Межсетевой экран для малого бизнеса /VPN-устройство

Что такое хороший брандмауэр и VPN-устройство для малого бизнеса (<50 пользователей на месте)? Беспроводная связь была бы хорошим дополнением, и я думаю о чем-то в диапазоне 1000 долларов. Это было бы для предприятий с 0-2 сотрудниками IT. Качественная поддержка и удобство использования устройства. SSL VPN был бы хорош, и если он основан на клиенте, важен VPN-клиент, работающий в 64-битной Windows.

11 ответов

Решение

На работе я недавно установил Cisco ASA 5505 в роли брандмауэра для небольших офисов, конечной точки VPN site2site и конечной точки roadwarrior VPN. Это твердое и надежное. Веб-интерфейс Ciscos ограничен, поэтому знание командной строки Cisco практически необходимо.

Cisco разделяет свое программное обеспечение VPN-клиента, старый клиент на основе IPSec постепенно исчезает, а новый на основе SSL набирает обороты. Одним из примеров этого является то, что для старого клиента IPSec не планируется 64-битная версия. Плохая новость для вас, SSL лицензируется отдельно и намного дороже.

Если бы я снова настроил VPN "roadwarrior", я бы настаивал на интеграции с Active Directory. Наши пользователи постоянно забывают пароли VPN, поскольку они отделены от AD, которые они ежедневно используют в офисе. Смена паролей не доставляет особых хлопот, но значительная производительность теряется. Наши пользователи часто пробуют свой VPN из дома за ночь до крайнего срока...

uPnP было бы удивительно приятно. Многие из наших пользователей используют Skype или что-то еще, что для оптимальной работы требует трафика, проходящего через брандмауэр. Да, существует веский аргумент безопасности против uPnP; выбор за вами.

И последнее - статистика. У Cisco ASA есть хороший раздел статистики, и он может фактически помочь вам устранить неполадки определенных типов сетевых проблем. Я бы не хотел брандмауэр (или вообще много ИТ-оборудования), который не может дать мне представление о том, что происходит, в те редкие дни, когда в сети существует неуловимая проблема.

Kerio Winroute Firewall имеет интеграцию с AD, uPnP, если хотите, и очень солидный раздел статистики. Kerio имеет хороший послужной список в брандмауэрах, их брандмауэр рабочей станции был лидером рынка в течение многих лет, пока они не продали его. Я не работал с Kerio Winroute, но если я снова настрою брандмауэр для малого бизнеса, я выберу Kerio Winroute или Windows 2008 R2.

2008 R2 имеет действительно солидную реализацию VPN и легко интегрируется с Windows 7. Весьма заметным недостатком является то, что Windows 7 требуется на клиентских ПК. Мы могли бы принять это, я сомневаюсь, что многие другие могут прямо сейчас.

Я знаю о pfSense и многих других дистрибутивах брандмауэров с открытым исходным кодом. Они очень, очень хорошие. Для моего небольшого офиса дополнительная производительность pfSense на оборудовании класса ПК не имеет значения, поскольку мы на линии с пропускной способностью 10 мегабит. И цена небольшого ASA или Juniper SSG не запредельная. Таким образом, pfSense в основном конкурирует с ASA или Juniper SSG, и я просто предпочитаю простоту и короткое время реализации готовой версии. Но pfSense очень хорош, для других нужд может быть отличным.

Так что для меня это будет либо:

  • Конфигурация с двумя межсетевыми экранами "DMZ", с довольно простым устройством брандмауэра спереди и программным брандмауэром на базе ПК (Kerio, Windows 2008 R2) позади него для VPN-сетей Roadwarrior с интеграцией AD.
  • Установка с одним брандмауэром, с брандмауэром на базе ПК (Kerio, Win 2008 R2) с 2 сетевыми картами (возможно, чуть менее безопасным, но я сомневаюсь, что в настоящее время это большая проблема).

Прямо сейчас я бы купил Kerio Winroute (опять же, только просматривая их сайт, я лично еще не работал с Kerio Winroute). Через год я бы пошел на Windows 2008 R2, если вы магазин только для Windows.

Могу ли я рекомендовать вам взглянуть на pfSense. Я считаю, что он способен работать в сети из 40 пользователей и прост в управлении. Веб-интерфейс делает управление OpenVPN легкой задачей.

Вы ничего не потеряете, попробовав это.

Мне повезло с Cisco ASA-5505. Это немного дорого, но это хорошее устройство для настройки и было надежным. Вы можете прекратить использование различных протоколов VPN, включая PPTP, IPSEC и L2TP. Есть функция SSL VPN, но я считаю, что она лицензируется отдельно от устройства.

Нам очень повезло с техникой Fortigate. За эти деньги у них больше возможностей, чем у Cisco ASA, и их проще настраивать.

У меня был хороший опыт работы с IPCop на стороне программного обеспечения и чего-то от pcengines или soekris на стороне оборудования.

IPCop предоставляет хороший веб-интерфейс, который позволяет вам просто загрузить конфигурацию OpenVPN и обрабатывает большинство основных вещей маршрутизации. Есть также много доступных плагинов, таких как кеширующий прокси

У меня есть друг-консультант, который клянется приборами sonicwall, они в значительной степени "установлены и забыты", что касается администратора. Это не значит, что вы не должны регулярно проверять свои журналы!

Приблизительно за 1000 долларов я бы использовал Draytek 2950 или 3300. На самом деле, оба они должны дать вам много изменений. Я использовал многие из этих маршрутизаторов, и они очень хороши, просты в настройке и предлагают расширенные функции, такие как балансировка нагрузки. Они оба используют VPN для IPSEC LAN и LAN и поддерживают PPTP dialin VPN для отдельных пользователей. PPTP dialin использует поддержку VPN, встроенную в Windows, и не требует дополнительного программного обеспечения. На вашем месте я бы выбрал 2950, ​​так как 3300, вероятно, предлагает то, что вам не нужно (например, распределение нагрузки по 4 портам WAN!).

Стоимость Draytek 2910 намного меньше 1000 долларов, но он не способен поддерживать более двух или трех одновременных сеансов VPN.

JR

Определенно, Cisco ASA5505 или 5510, если вы можете себе это позволить, у меня есть несколько таких устройств (и до этого я использовал PIX 506e и 515e). Что касается предыдущих комментариев об аутентификации в активном каталоге, я установил Microsoft Authentication Services (реализацию Microsoft RADIUS) на одном из серверов Windows в моей AD и настроил ASA для аутентификации VPN для RADIUS.

Это позволяет пользователям использовать свои пароли AD и действительно упрощает мою жизнь, так как пользователи всегда забывают любые другие пароли, которые вы им предоставляете, и, как сказал Джеспер Мортенсен, это обычно происходит, когда наступает кризис - как будто они на Крайний срок, чтобы представить какую-то работу, которая в конечном итоге заканчивается вашим системным администратором, получающим в нерабочее время звонок для сброса пароля.

ASA также позволяет настраивать L2TP VPN, которые будут работать с собственным клиентом Windows в Win2K и XP (к сожалению, не в VISTA и Windows 7 - из-за того, что Microsoft взяла на себя новейшую реализацию IPSEC, хотя я уверен, что рыночные силы приведут к тому, что либо Cisco, либо Microsoft отклонятся от своих конкретных интерпретаций RFC).

ASA - это довольно хорошо структурированное и простое в настройке устройство, когда вы понимаете подход Cisco к устройству (т. Е. Все является NAT, и уровни безопасности на интерфейсах), что мне нравится в 5505-х, это то, что у них есть два POE порты на задней панели, к которым можно подключить IP-телефон или беспроводную точку доступа и сэкономить лишнюю проводку.

Единственная критика, которую я имею в отношении ASA:

  1. Ограниченное SSL-лицензирование
  2. Устройство имеет внешний источник питания, который имеет очень хрупкий разъем на задней панели устройства.
  3. Источник питания по какой-то причине издает этот странный высокий свистящий шум, который может раздражать некоторых людей.

Если вы ищете что-то все в одном, рассмотрите также маршрутизаторы Cisco серии 800. Вы можете получить некоторую информацию здесь текст ссылки. У них есть несколько хороших встроенных беспроводных сетей, и если у вас есть служба ADSL, вы можете найти их с помощью встроенных модемов ADSL2+, что делает решение для одного кассового филиала. Они работают под управлением IOS 12.x, и вы можете получить версии IOS, которые поддерживают CBAC Cisco (списки доступа на основе контекста) - в основном межсетевой экран с сохранением состояния и шифрование вместе с Cisco Easy VPN. Я не уверен, что у вас есть прокси приложений в CBAC, так как я не использовал его некоторое время.

Последние 5 лет (возможно, четыре года) мы использовали WatchGuard X500 для предоставления VPN-решения для нашей компании.

С конца 2008 года жизненный цикл этого часового щита заканчивается, и нам нужно переключиться. Итак, мы купили новую модель. Но VPN был "болью в а * с". Он не работал на Vista или любой другой платформе, кроме Windows.

Наконец я обнаружил pfSense. Эта система полностью бесплатна и основана на freeBSD. Я установил его на старом оборудовании WatchGuard. Он предоставляет инфраструктуру openVPN на основе SSL. С момента перехода на pfSense у нас нет проблем с VPN-подключением, и мне не нужен Windows-клиент (физический или виртуальный) дома, потому что есть клиенты openVPN для Windows, Mac OS и Linux.

Если ты хочешь прочитать мор -> кликни мне.

ИИ забыл: эта маленькая красная коробочка предоставляет эту услугу примерно 80 пользователям, в которых одновременно регистрируется от 5 до 10 пользователей.

Надеюсь, это вам немного поможет.

С наилучшими пожеланиями

Арль из Германии

Использование дистрибутива Linux под названием SmoothWall ( http://smoothwall.org/), вероятно, самый дешевый и простой.

Вы можете купить дешевый компьютер за $100 на EBay и дополнительную NIC-карту, и вы в бизнесе.

У меня был довольно хороший опыт работы с устройствами Checkpoint [email protected].

  • Встроенный беспроводной, может отделить от внутренней сети
  • Встроенный VPN, включая собственный клиент (не уверен, есть ли у проприетарного клиента x64 или нет)
  • Ведение журнала (включая опцию системного журнала, я верю, но никогда не использовал это)
  • Автообновление обслуживания патчей
  • Оповещения
  • Довольно легко настроить
  • Очень стабильный

Хорошая вещь.

Другие вопросы по тегам