Valg av branmur

[Ole3]

Jeg har en internetlinje på 25/5 og ønsker å oppgradere til 50/10.

 

Brannmuren jeg her i dag henger ikke helt med. Den yter ca 21Mb/s med nåværende konfigurasjon, så det blir meningsløst å øke Internetytelsen uten å bytte denne boksen.

 

Det jeg ønsker den skal gjøre er:

• DHCP
• være stateful
• blokkere noen porter basert på intern ip-adresse
• Forwarde noen porter
• Bandwith mgm
• QoS
• IPS
• Mulighet for Blokkering av P2P (inspeksjonsbasert)
• Mulighet for DMZ
• Mulighet for VLAN
• Trådløst går over eget punkt

Kan du hjelpe meg?

 

Ole

Endret 14. desember 2014 av Ole3

[j--]

Kan en gammel maskin og en linuxdistro være noe, eller vil du ha en ferdig boks med webmanagement rett ut av boksen?

 

Du skriver "trådløst går over eget punkt" - vil det si at du ønsker en brannmur som også har ett trådløst aksesspunkt?

[Ole3]

Takk for svar j-- !

 

Jeg vil klart foretrekke en ferdig boks med web management.

Jeg har et eget basepunkt for trådløs.

 

Ole.

[Lindsay]

En har jo webmanagment om det så er linux eller freebsd.

Trekker nok litt mere strøm enn hva du muligens aksepterer, men så får du en firewall som har corporate ytelse. Dog bør den da ikke være for gammel basert på mulighetene en slik løsning gir.

[j--]

Mikrotik Routerboard kan kanskje være noe? Litt usikker på IDP/IPS og DPI, men det burde det gå å lese seg til.

 

For å legge lista ett sted - hva har du i dag, og hvilke av funksjonene som du ønsker har du?

[Lindsay]

Denne skulle vel duge i massevis http://store.netgate.com/Firewall/C2758.aspx

[j--]

Trådstarter: Hvilken prisklasse er vi på?

[stigfjel]

Fortigate kan også være et godt alternativ. Selv har jeg en Fortigate 60D, som faktisk yter ganske bra (1.5 Gbps throughput).

 

Men den er dyr for hjemmebruk, og vanskelig å få tak i som privatperson.

[VegardBe]

En Watchguard T10 ser ut til å være tingen. Full UTM og nivå-7-brannmur. Ikke noe for nybegynnere. Denne lille boksen har stort sett det samme i seg som sine større søsken. Jeg er ikke helt sikker på om den er konfigurerbar via webUI, men det er egen programvare som er tilpasset oppsettet (Watchguard System Manager). Overvåkning kan skje via Watchguard Dimension, som er webbasert. Sistnevnte finnes det en demo av. Et par linker under:

http://watchguard.com/wgrd-products/utm/firebox-t10/overview

Demo av Watchguard Dimension: http://www.watchguard.com/wgrd-products/thanks-watchguard-dimension-demo

Denne kjøpes typisk med lisens for oppdatering av filtre til IPS/UTM/AV.

[Ole3]

Takk for alle svar!

 

Watchguard T10 er innenfor budsjett. (Og en utrolig stilig farge ) Jeg skal se nærmere på denne! Har du erfaring med den Vegard?

 

Fortigate og Netgate blir vel noe i overkant?

 

Ole

[wtf1337]

Ubiquiti EdgeRouter PRO ERPro-8

[VegardBe]

Takk for alle svar!

 

Watchguard T10 er innenfor budsjett. (Og en utrolig stilig farge ) Jeg skal se nærmere på denne! Har du erfaring med den Vegard?

 

Fortigate og Netgate blir vel noe i overkant?

 

Ole

Jeg har ikke direkte erfaring med akkurat T10, men noe erfaring med de større modellene til Watchguard. Etter det jeg skjønner, der T10 virkelig skinner, er hvis et firma har brannmurer fra Watchguard og ansatte med hjemmekontor kan ha T10 som en utstrakt del av firmanettverket og at brannmuren kontrolleres og overvåkes fra arbeidet, men jøss og bevares, hvis du ikke blir skremt av en "proff" brannmur, så kan dette være en fin sak. Nettet hjemme hos meg går inn via coax til en "hjemmeruter" med en hjemmebrannmur. Hadde jeg hatt RJ45 inn i huset, så hadde jeg nok sterkt vurdert en T10, men føler nå at det blir litt smør på flesk å sette opp en T10 i tillegg. (Jeg er dog veldig klar over at denne hjemmebrannmuren, som er mer eller mindre portbasert, min ikke kan måle seg med en dedikert, profesjonell brannmur.)

 

Det finnes også softwareversjoner av Watchguard sine brannmurer, men disse har jeg ingen erfaring med. Lurer på om de ikke har 30 dagers gratis prøveversjon av disse, men jeg er litt blank på dette området.

 

Her står også litt mer: http://www.watchguard.com/docs/datasheet/wg_firebox_t10_ds.pdf

Denne har i utgangspunktet 200Mbit/s throughput, men skrur du på full UTM, så faller denne til ca. 55Mbit/s, men det gjelder flere brannmurer der ute.

[Ole3]

Da har jeg lest, sett og tenkt ... Og jeg vet ikke om det hjalp

 

Jeg nøler fordi jeg legger merke til at denne brannmuren - og andre - ser ut til å lene seg tungt mot abonnementsordninger. Prisen for disse er ikke så lett å få tak i. For Watchguard sin del ser jeg at den i norske butikker kommer med Livesecurity Service inkludert. Jeg finner etterhvert ut at dette er kun eventuelle software oppdateringer av boksen og ikke signaturer. Prisen for bare dette etter første år er ca 700 kr pr år. Hvis du ikke fornyer i tide kommer det en tilleggsavgift oppå dette som en slags straff ... Prisen for sikkerhetstjenestene har jeg så langt ikke funnet.

 

Jeg aner et pengesug etter kjøpet som jeg ikke vet størrelsen på. Jeg vil selvsagt ha en enkel pris å forholde meg til. Cisco ser likedan ut ... Sukk .

 

Hvordan løser dere sikring av internetforbindelsen?

 

/Ole

Endret 16. desember 2014 av Ole3

[kpolberg]

pfSense virtualisert kjører jeg hjemme, finnes også i embedded variant.

 

På hyttene kjører jeg OpenWRT på en TP-Link WDR4300, den klarer fint helt vanlig NAT trafikk, men har ikke nok CPU kraft til noe store greier utenom.

[siDDis]

Eg køyrer også pfSense, men synes det er noko skikkeleg makkverk! Einaste grunnen til eg framleis har det er fordi at det foreløpig funker.

 

Min neste brannmur blir Palo Alto Networks PA-200 eller PA-500

[kpolberg]

pfSense er nok ikke helt enterprise kvalitet, men funksjons messig så klarer den seg ganske så bra.

[Lindsay]

Fra samme shop finnes billigere og pfsense er gratis om du ikke ønsker betalt support vel og merke.

Merk deg dog att dette er av svakere hardware men prisene er også lavere

 

Benytter selv smoothwall express og ikke pfsense, open source firewall har den mangel att en ikke får i pose og sekk.

Endret 16. desember 2014 av Lindsay

[siDDis]

Problemet er at dei fleste av dagens brannmurer er totalt utdaterte. Ønsker du å blokkere Facebook Games, men enable Facebook Chat så er det håplaust å få til. Eller om det blir offentlegjort eit sikkerheitshol i Apache så er du på ingen måte beskytta. Dette har Palo Alto Networks endra på.

[kpolberg]

PAN-PA-500 Platforms Palo Alto Networks PA-500 $3,150 each Palo Alto Networks, Inc. PAN-PA-500

PAN-PA-200 Platforms Palo Alto Networks PA-200 $1,400 each Palo Alto Networks, Inc. PAN-PA-200

 

Gratis eller $1400...Tror jeg holder meg til gratis for hjemmenettverket mitt en stund til..

[wtf1337]

Problemet er at dei fleste av dagens brannmurer er totalt utdaterte. Ønsker du å blokkere Facebook Games, men enable Facebook Chat så er det håplaust å få til. Eller om det blir offentlegjort eit sikkerheitshol i Apache så er du på ingen måte beskytta. Dette har Palo Alto Networks endra på.

Uten å spekulere for mye så høres dette veldig ut som pebkac.