spot_ Skrevet 19. november 2016 Del Skrevet 19. november 2016 Hei! Tenkte å lufte erfaring med brannvegger her. Kan gjerne være Open Source, har som sagt sett veldig mye på pfsense, men mange sier at den ikke er sikker nok i forhold til en standard brannvegg fra Cisco, Jupiter osv. Litt info med tanke på hva som trengs: Skal kunne håndtere et normalt DDOS angrep og fungere\beskytte ca 10 000 brukere. Pris, helst under 100 000,- (nærmere 50 000 jo bedre). Håper på god diskusjon, vi ser i kommentarfeltet! -spot Lenke til kommentar
Habla Møberg Skrevet 19. november 2016 Del Skrevet 19. november 2016 Siden du har sett på pfsense, så bør du iallfall se på ClearOS. Det er i utgangspunktet en alt-i-ett-løsning, men du velger hvilket modus og hvilke egenskaper du vil ha med når du setter den opp, slik at den kan fungere rent som brannmur. Du kan og få den ferdig oppsatt med maskinvare, og de har kundeservice med god kompetanse på faget.Med 10.000 brukere vil jeg tro det er naturlig å ha flere brannmurer, både for bedre filtrering og ikke minst failover, der er og ClearOS i senere versjon blitt ganske så god på lastfordeling/failover. Jeg ville ha sendt de en epost, lagt fram problemstillingen, og se hva de foreslår tilbake. Koster ingenting å spørre.Ellers finnes det jo selvsagt et vell av kommersielle brannmurer, generell fellesnevner er kostnad... Lenke til kommentar
xcomiii Skrevet 19. november 2016 Del Skrevet 19. november 2016 Til det store antall brukere, vil jeg si at da er du havnet i Enterprise klassen. Og jeg tror det er urealistisk å finner noen bra løsning til under 100 000, med mindre du setter opp et hjemmesnekret opplegg som da naturligvis ikke har noen offisiell support og du selv står ansvarlig for dette. Du sier ingenting om det finnes SLA krav på dette, og hva evt konsekvensen er ved SLA brudd. Hvis du har en SLA som er spikret i en kontrakt eller avtale, hvordan har du tenkt å etterleve det med en hjemmesnekret løsning? Skal du være tilgjengelig 24/7 hele året for å fikse ting skulle oppstå? Hvem ringer du når du står fast? De aller fleste bedrifter jeg kjenner i Norge som har så mange ansatte, har mer gjerne bøttevis av komersielle brannmurer (Checkpoint/Juniper/Cisco osv), flere sikkerhetssoner, dedikerte appliances for Site2Site VPN osv. Uten at jeg er noen supereksptert, så måles gjerne brannmurer i troughput, hvor mye klarer en å dytte igjennom per sekund. DDOS er litt ullent, da de varierer sterkt i både trafikkmengde og antall connections inn. De fleste banker i Norge f.eks, har svært dyre og komplekse løsninger for å håndtere DDOS angrep, ønsker du noe i samme stilen? Eller bare en enkel boks som kan håndtere x antall Mb/s under et DDOS angrep? Lenke til kommentar
ilpostino Skrevet 19. november 2016 Del Skrevet 19. november 2016 Jeg synes du bør tenke litt mer igjennom hvilke egenskaper du skal ha i en brannmur enn at den skal avvikle DDOS. Skal den se etter farlige lenker i e-post, hvor mye passthrough skal den ha på datatrafikken, skal den ha mulighet for VPN, hvor mange samtidige sesjoner skal den ha, har du DMZ må du tenke litt over hvor mange logiske brannmurer du skal ha+++ Lenke til kommentar
Habla Møberg Skrevet 19. november 2016 Del Skrevet 19. november 2016 Til det store antall brukere, vil jeg si at da er du havnet i Enterprise klassen. Og jeg tror det er urealistisk å finner noen bra løsning til under 100 000, med mindre du setter opp et hjemmesnekret opplegg som da naturligvis ikke har noen offisiell support og du selv står ansvarlig for dette. Du sier ingenting om det finnes SLA krav på dette, og hva evt konsekvensen er ved SLA brudd. Hvis du har en SLA som er spikret i en kontrakt eller avtale, hvordan har du tenkt å etterleve det med en hjemmesnekret løsning? Skal du være tilgjengelig 24/7 hele året for å fikse ting skulle oppstå? Hvem ringer du når du står fast? Vil få legge til at ClearOS også benyttes i storskala (jeg vet iallfall om ett miljø med ca 60.000 brukere som får de meste av sine tjenester dekket med en klynge servere fra ClearOS), flere universitetsmiljø i USA har alt benyttet dette i en årrekke, med hell. Som regel vil man ha dedikert personell, men ClearOS tilbyr støtte på flere nivåer. Helt fra 1 ukes responstid, til 60 minutter og selvsagt 24/7. Support sitter i USA, det er ikke veldig mange her i Norge som er forhandler eller yter brukerstøtte, men USA-kontoret er etter min erfaring "på hugget". Jeg har benyttet meg av deres support ved flere anledninger, og har vært særs fornøyd med den hjelpen jeg har fått. Både f.eks google, en bråte internasjonale kommersielle bedrifter og veldedige organisasjoner benytter ClearOS som brannmur og/eller andre tjenester. Her er et eksempel på maskinvare de kan tilby, her er litt mer utvalg, den vil da komme skreddersydd til brukeren, og kan settes opp på stedet i samarbeid med supportavdelingen. TS: Ta kontakt med salgsavdelingen hos disse, presenter din utfordring, og de kommer med et par forslag til løsning. Lenke til kommentar
Habla Møberg Skrevet 19. november 2016 Del Skrevet 19. november 2016 Jeg synes du bør tenke litt mer igjennom hvilke egenskaper du skal ha i en brannmur enn at den skal avvikle DDOS. Skal den se etter farlige lenker i e-post, hvor mye passthrough skal den ha på datatrafikken, skal den ha mulighet for VPN, hvor mange samtidige sesjoner skal den ha, har du DMZ må du tenke litt over hvor mange logiske brannmurer du skal ha+++ Helt klart. Behovet vil jo variere ekstremt alt etter behovet til disse brukerne. Lokasjon, krav til tilgjengelighet, type tjenester som skal tilbys... Skal alle 100.000 ha tilgang til VPN så... :-) Lenke til kommentar
MontBlanc Skrevet 28. november 2016 Del Skrevet 28. november 2016 10 000 brukere er jo et betydelig antall, sa da vil det være naturlig å gå for noe skikkelig. Sjekk ut Check Point eller Palo Alto. Om du vil ned i pris kan ZyXEL ZyWALL også være et alternativ, men er litt usikker på om de har noen som vil takle så mange sesjoner... Med så mange brukere og dertil krav til kvalitet, vil det være uaktuelt sette opp noe selv... DDOS vil du jo unasett ikke greie å beskytte deg mot på endepunktet, eventuelt kan du avdekke det der og få det stoppet i samarbeid med din ISP. Om du har flere IP-adresser kan du kanskje få satt opp noe logikk som dropper all trafikk ved x antall sesjoner, men det vil jo uansett bli DOS. Det finnes jo mer kostbare løsninger med "vasking"/scrubbing av trafikk, men disse er urimelig dyre og vil normalt gi deg både faste og variable kostnader. Lenke til kommentar
kjetilkl Skrevet 28. november 2016 Del Skrevet 28. november 2016 Kan det være ett alternativ å leie tjenesten? har du linjer fra Telenor vet jeg at du kan leie brannmur av de også iallefall, sikkert andre leverandører også. - Mulig f.eks Datametrix o.l. tilbyr det uavhengig? Lenke til kommentar
[email protected] Skrevet 2. desember 2016 Del Skrevet 2. desember 2016 https://opnsense.org/ - bygger på pfsense men er litt mer "framoverlent". De tilbyr kommersiell support også ved behov. Skal du ha Juniper/Cisco/Palo Alto/Whatever så må du nok regne med å legge noen kroner inn i det for å få god througput. Du sier 10000 brukere men du bør også si noe om hvilken throughput du forventer å få ut av løsningen. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå