Gå til innhold

Anbefaling av brannvegg


Anbefalte innlegg

Hei! 

 

Tenkte å lufte erfaring med brannvegger her. Kan gjerne være Open Source, har som sagt sett veldig mye på pfsense, men mange sier at den ikke er sikker nok i forhold til en standard brannvegg fra Cisco, Jupiter osv. 

 

Litt info med tanke på hva som trengs: 

Skal kunne håndtere et normalt DDOS angrep og fungere\beskytte ca 10 000 brukere.

 

Pris, helst under 100 000,- (nærmere 50 000 jo bedre). 

 

Håper på god diskusjon, vi ser i kommentarfeltet! 

 

-spot

Lenke til kommentar
Videoannonse
Annonse

Siden du har sett på pfsense, så bør du iallfall se på ClearOS. Det er i utgangspunktet en alt-i-ett-løsning, men du velger hvilket modus og hvilke egenskaper du vil ha med når du setter den opp, slik at den kan fungere rent som brannmur. Du kan og få den ferdig oppsatt med maskinvare, og de har kundeservice med god kompetanse på faget.
Med 10.000 brukere vil jeg tro det er naturlig å ha flere brannmurer, både for bedre filtrering og ikke minst failover, der er og ClearOS i senere versjon blitt ganske så god på lastfordeling/failover. Jeg ville ha sendt de en epost, lagt fram problemstillingen, og se hva de foreslår tilbake. Koster ingenting å spørre.
Ellers finnes det jo selvsagt et vell av kommersielle brannmurer, generell fellesnevner er kostnad...

Lenke til kommentar

Til det store antall brukere, vil jeg si at da er du havnet i Enterprise klassen. Og jeg tror det er urealistisk å finner noen bra løsning til under 100 000, med mindre du setter opp et hjemmesnekret opplegg som da naturligvis ikke har noen offisiell support og du selv står ansvarlig for dette.

 

Du sier ingenting om det finnes SLA krav på dette, og hva evt konsekvensen er ved SLA brudd. Hvis du har en SLA som er spikret i en kontrakt eller avtale, hvordan har du tenkt å etterleve det med en hjemmesnekret løsning? Skal du være tilgjengelig 24/7 hele året for å fikse ting skulle oppstå? Hvem ringer du når du står fast?

 

De aller fleste bedrifter jeg kjenner i Norge som har så mange ansatte, har mer gjerne bøttevis av komersielle brannmurer (Checkpoint/Juniper/Cisco osv), flere sikkerhetssoner, dedikerte appliances for Site2Site VPN osv.

 

Uten at jeg er noen supereksptert, så måles gjerne brannmurer i troughput, hvor mye klarer en å dytte igjennom per sekund. DDOS er litt ullent, da de varierer sterkt i både trafikkmengde og antall connections inn. De fleste banker i Norge f.eks, har svært dyre og komplekse løsninger for å håndtere DDOS angrep, ønsker du noe i samme stilen? Eller bare en enkel boks som kan håndtere x antall Mb/s under et DDOS angrep?

Lenke til kommentar

Jeg synes du bør tenke litt mer igjennom hvilke egenskaper du skal ha i en brannmur enn at den skal avvikle DDOS. Skal den se etter farlige lenker i e-post, hvor mye passthrough skal den ha på datatrafikken, skal den ha mulighet for VPN, hvor mange samtidige sesjoner skal den ha, har du DMZ må du tenke litt over hvor mange logiske brannmurer du skal ha+++

Lenke til kommentar

Til det store antall brukere, vil jeg si at da er du havnet i Enterprise klassen. Og jeg tror det er urealistisk å finner noen bra løsning til under 100 000, med mindre du setter opp et hjemmesnekret opplegg som da naturligvis ikke har noen offisiell support og du selv står ansvarlig for dette.

 

Du sier ingenting om det finnes SLA krav på dette, og hva evt konsekvensen er ved SLA brudd. Hvis du har en SLA som er spikret i en kontrakt eller avtale, hvordan har du tenkt å etterleve det med en hjemmesnekret løsning? Skal du være tilgjengelig 24/7 hele året for å fikse ting skulle oppstå? Hvem ringer du når du står fast?

Vil få legge til at ClearOS også benyttes i storskala (jeg vet iallfall om ett miljø med ca 60.000 brukere som får de meste av sine tjenester dekket med en klynge servere fra ClearOS), flere universitetsmiljø i USA har alt benyttet dette i en årrekke, med hell. Som regel vil man ha dedikert personell, men ClearOS tilbyr støtte på flere nivåer. Helt fra 1 ukes responstid, til 60 minutter og selvsagt 24/7. Support sitter i USA, det er ikke veldig mange her i Norge som er forhandler eller yter brukerstøtte, men USA-kontoret er etter min erfaring "på hugget". Jeg har benyttet meg av deres support ved flere anledninger, og har vært særs fornøyd med den hjelpen jeg har fått. Både f.eks google, en bråte internasjonale kommersielle bedrifter og veldedige organisasjoner benytter ClearOS som brannmur og/eller andre tjenester. Her er et eksempel på maskinvare de kan tilby, her er litt mer utvalg, den vil da komme skreddersydd til brukeren, og kan settes opp på stedet i samarbeid med supportavdelingen.

TS: Ta kontakt med salgsavdelingen hos disse, presenter din utfordring, og de kommer med et par forslag til løsning.

Lenke til kommentar

Jeg synes du bør tenke litt mer igjennom hvilke egenskaper du skal ha i en brannmur enn at den skal avvikle DDOS. Skal den se etter farlige lenker i e-post, hvor mye passthrough skal den ha på datatrafikken, skal den ha mulighet for VPN, hvor mange samtidige sesjoner skal den ha, har du DMZ må du tenke litt over hvor mange logiske brannmurer du skal ha+++

Helt klart. Behovet vil jo variere ekstremt alt etter behovet til disse brukerne. Lokasjon, krav til tilgjengelighet, type tjenester som skal tilbys... Skal alle 100.000 ha tilgang til VPN så... :-)

Lenke til kommentar
  • 2 uker senere...

10 000 brukere er jo et betydelig antall, sa da vil det være naturlig å gå for noe skikkelig.

Sjekk ut Check Point eller Palo Alto.

 

Om du vil ned i pris kan ZyXEL ZyWALL også være et alternativ, men er litt usikker på om de har noen som vil takle så mange sesjoner...

 

Med så mange brukere og dertil krav til kvalitet, vil det være uaktuelt sette opp noe selv...

 

DDOS vil du jo unasett ikke greie å beskytte deg mot på endepunktet, eventuelt kan du avdekke det der og få det stoppet i samarbeid med din ISP. Om du har flere IP-adresser kan du kanskje få satt opp noe logikk som dropper all trafikk ved x antall sesjoner, men det vil jo uansett bli DOS.

Det finnes jo mer kostbare løsninger med "vasking"/scrubbing av trafikk, men disse er urimelig dyre og vil normalt gi deg både faste og variable kostnader.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...