Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
Безопасность cisco firewall 501
 
Для компании хочу приобрести аппаратный firewall + nat
Выбор остановил на Cisco Secure PIX Firewall 501. Если кто-то использует его, дайте свои отзывы или рекомендации по другому оборудованию. В компании 70 человек и до недавнего времени использовал програмный KWF6
 
Уважаемый AlexeyB. Аппаратных брандмауэров в природе не существует, поскольку выполняемые ими функции не реализованы на уровне процессорного микрокода. PIX представляет собой ни что иное, как компьютер с урезанными возможностями, на котором установлена специализированная ОС для контроля потоков трафика. Возможности устройств класса Cisco Secure PIX Firewall 501 как правило достаточно скромны, а для компании в 70 человек (если у вас достаточно широкополосное соединение с Internet) его производительности может оказаться просто недостаточно.
 
То есть использование того же kerio в моем случае более перспективно, чем cisco 501. А как насчет доступа в инет посредсвом NAT. Меня просто немного не устраивает 6 версия Kerio Winroute Firewall. Периодически грузит проц на 100% и решения не кто не мог сказать.
 
Я не берусь судить об эффективности шлюзов на платформе Windows, но Linux для вашего случая удовлетворит все потребности даже при использовании весьма древнего ПК.
Например, у меня один из шлюзов построен на базе Celeron 300 МГц, ОЗУ 512 Мбайт и без проблем работает в качестве маршрутизатора с поддержкой BGP и межсетевого экрана. Среднесуточный трафик через этот шлюз превышает 1 Гбайт, а суммарная полоса внешних соединений более 30 Мбит/с.
 
Цитата
nmalykh пишет:
Я не берусь судить об эффективности шлюзов на платформе Windows, но Linux для вашего случая удовлетворит все потребности даже при использовании весьма древнего ПК.
Например, у меня один из шлюзов построен на базе Celeron 300 МГц, ОЗУ 512 Мбайт и без проблем работает в качестве маршрутизатора с поддержкой BGP и межсетевого экрана. Среднесуточный трафик через этот шлюз превышает 1 Гбайт, а суммарная полоса внешних соединений более 30 Мбит/с.
А стоимость решения/владения какова?
 
0 р. 0 коп, или банка пива своему знакомому, если нет дистрибутива Linux на руках =)
 
Цитата
Cryte пишет:

А стоимость решения/владения какова?

Баннеров анимированных от M$ насмотрелся ?  

Берешь сильно б/у машину (но надёжную), CD практически халявный, инсталяешь, настраиваешь, забываешь.
 
Цитата
less пишет:
 [QUOTE]Cryte пишет:

Берешь сильно б/у машину (но надёжную), CD практически халявный, инсталяешь, настраиваешь, забываешь.
С первой частью высказывания трудно не согласиться, но вот забывать о межсетевом экране (независимо от платфорсы, на которой он работает), право, не следует. Иначе в какой-то момент придется столкнуться с печальным фактом его неработоспособности (например, по причине взлома через дыру в программе, которую не обновили вовремя).
 
бери Пикс 515Е, уж куда надежней линуха
кроме всего экспиренс поднимешь
 
если неприязнь к линуху - то смотреть в сторону openbsd. Если оч. хочется дублирования канала, то там есть CARP(свободный аналог cisco vrrp).

ps: 2denzel - а что такое "надёжность"?
 
для меня в пиксе это надежность железяк
ориентированность ОС на фаерволинг и впн + простота настройки - что
позволяет избежать многих ошибок в конфигурации
де-факто мейнстрим в области  
некоторые возможности пикса нереализуются на линухе. по крайней
мере не слышал
небольшое количество известных багов - что означает меньшие затраты
на поддержку этого барахла
 
Цитата
denzel пишет:
для меня в пиксе это надежность железяк
пикса - это ж пицук с процессором pentium3.
так что не думаю что железки внутри лучше железок от брендов вроде asus.

Цитата
denzel пишет:

некоторые возможности пикса нереализуются на линухе. по крайней
мере не слышал
можно подробнее?
буду признателен, если ткнёшь в урл где про эти возможности написано.(гуглевание к просветлению не привело, много маркетинговой мишуры).
Имхо, пропускная способность пиксы упрётся в процессор.
PS: вот говоришь "надёжность выше/ниже" А численно оценить? ;)
 
я не пиксовод и их не продаю. но в работе они радуют

общая совместимость железок куда важней надежности проца, да и проц
то вещь не самая слабая в писбке   
кстати пень3 вроде в 535 пиксе - самом крутом какой я щупал
в 515 селерон 433  



численно я не оценю это в циску обратись =) у них все готово красочно
по этому вопросу. я не владею цифирями
 
из нереализуемвх на линуксе возможностей - это failover
также virtual telnet  авторизация

не бог весть што но на линуксе не видел
 
аналоги failover:
openbsd
linux

имхо, наилучшим решением для дешевого шлюза/vpn-сервера является сочетание via-C4/via-C5+openbsd.
openbsd поддерживает аппаратный генератор случайных чисел/AES-шифрование в этих процессорах.
=====================
VIA Nehemiah core processor integrate a powerful Advanced Cryptography Engine that can encrypt or decrypt data at a sustained rate of 12.8 Gb/s. For a single encryption or decryption, the effective rate can be even faster, up to 21 Gb/s. This is faster than any known commercial AES hardware implementation, and several times faster than software implementations carried out with the latest high performance processors.
======================
линк

весь комплект в районе 100-150$.
 
2rage
спасибо, это очень интересно

что нибудь из этого пробывал?
 
Что вы человека приучаете к разврату... У него появилась светлая мысль - построить защищенную сеть используя специализированное оборудование, а вы ему - "да не парься, возьми машину, да постарее...". Человек уже использовал программные продукты, хочет перейти на аппаратные решения.
 
с ivps я баловался, балансировал нагрузку на http(хотя
технической необходимости не было. на тот момент ipvs
было experimental, сейчас вроде стабильное). знакомый
настраивал CARP, говорит всё просто.

2SheremetevAnton:
а смысл?
большая часть pix features врядли понадобится, а вот
цена у этой железки немаленькая.
Так что... из пушки по воробьям.
 
Вы знаете требования к защите его сети?   Если человека уже не устраивает простой пакетный фильтр и он хочет внедрить нормальный межсетевой экран, зачем его отговаривать?  
PS: Кстати пиксы разные бывают. Даже по стоимости  
 
в плане надежности пиксы проявили себя оч.хорошо,
единственно что у 501-го со штекером питания проблемы бывают - плохо контачит

для организации с таким штатом нужен 515-й (хотя бы на будущее),
надо раскрыть, какие функции он будет выполнять (трафик фильтровать, vpn-туннели держать..), тогда можно советовать конкретно

в настройке ничего сложного нет
Страницы: 1 2 След.
Читают тему