Brannmur, ikke NAT basert...

[opresterud]

Vi har et nett med 30 eksterne IP adresser, hvor bla. felles skrivere og en storage server skal få tildelt dette. Resten av adressene fordeles på de interne bedrifter i bygget hvor hver enkelt strengt tatt kan gjøre hva dem vil.

 

Er på utkikk etter en brannmur som skal stå rette etter xDSL modemet, men denne brannmuren skal ikke være NAT basert og kun være en brannmur. Dvs. de eksterne IP adressene vi har skal slippes gjennom så sant det ikke er noe "rusk".

 

Er ingen nettverksperson, så dette er vel omtrent så godt jeg kan forklare det

 

Vi har per i dag maks. 30 maskiner i bruk samtidig (dvs. noen bak egne bredbåndsroutere etter hovedswitchen), men det antaller kan doble seg.

 

Noen som har tips om en OK brannmur som ikke koster alt for mye, som kan gjøre denne jobben?

[cybercrx]

Tenker du kan bruke Microsoft ISA Server til dette. Det er bare å opprette IP pakkefiltre på de server / tjenester du vil ha på dine public iper.

 

MS ISA Server

 

Ellers har vel Cisco helt sikkert en løsning, men da snakker vi sikkert en god del mer penger...

 

Finnes sikkert masse linux-baserte løsninger også.

[opresterud]

Er ute etter en "boks" som håndterer dette, ønsker ikke å sette opp en dedikert PC. Har ingen servere stående heller. Må da være andre enn Cisco som kan levere noe slikt...? ca. 5000kr er vel det jeg håper på, gjerne under

 

BTW, behøver også full pass-through støtte for IPsec og PPTP.

Endret 2. mai 2005 av opresterud

[knut]

Det finnes mange bokser, men det spørs hvor avansert det skal være. VPN passthrough trenger du ikke å bry deg om da det er NAT-spesifikt.

 

Det du burde se etter er en boks som støtter IPS (Intrusion prevention system), dette koster noe mer, men gir deg også en svært god sikkerhet. Slike bokser ser på alle pakker og ser om det er godkjente pakker eller ikke. Det kan da være alt fra forsøk på å få urettmessig tilgang på en IIS-server, SQL-server eller f.eks. dialers, toolbars, spyware eller annet "drit".

 

Slike bokser koster mer enn 5000 kr, og du må ofte betale litt i året for å oppdatere IPS-systemet. F.eks. har vi testet denne: http://www.hardware.no/art.php?artikkelid=11063

 

Fortinet, Sonicwall, Watchguard og Checkpoint er store med det jeg har skrevet om her. Fortinet er blant de rimeligste og innehar svært mange funksjoner som blant annet Antivirus (sjekker mail og web-protokollene).

 

Fortinet Fortiguard 50A koster fra 7300 kr (ink mva). For serviceavtale kan du regne med 15% av nyprisen pr år. Dette er egentlig svært rimelig i dette segmentet. Routingytelsen er oppgitt til å være 50 Mbps, om du kjører med full IPS vil denne ytelsen omtrent halveres.

 

Om du ønsker en enklere brannmur hvor du lager bestemte regler om hva som er lov eller ikke kan Cisco PIX være greie. Jeg har også satt opp et par Linksys RV082 på den måten uten de store problemene. En av disse står med 128 public adresser.

[opresterud]

bludern, takk for godt svar

 

Tror vi får klare oss med en "enkel" brannmur i første omgang, denne skal egentlig stå som et ytre filter hvor skrivere og en intern lagringsserver står koblet rett på. Videre så vil hver enkelt bedrift koble egne NAT baserte VPN routere til denne, de får utdelt en ekstern IP hver. Så det blir i praksis dobbelt sett med brannmurer.

 

Men, har tittet litt på disse som du nevner:

Cisco PIX Firewall 501 50Bruker

Linksys RV082 8-port VPN Router

 

Hvis du har erfaring med begge to, hvordan står de opp mot hverandre? En feature ved RV082 som virker interesant for oss er muligheten til å kjøre to linjer ut. Sentralen vi hører til har dessverre ikke SHDSL mulighet, så vi vurderer å supplere 2048/448 ADSL linjen vi har med en ekstra på samme fart for å takle litt mer trafikk.

 

Det eneste vi behøver at denne gjør er å fungere som en OK brannmur, la de eksterne IP adressene få passere inn på LAN samt evt. filtrere noen av de eksterne adressene som skal brukes på internt utstyr slik at de ikke kan nås utenfra.

 

I første omgang har vi 30 eksterne adresser, samt opp mot 50 brukere (hvorav halvparten vil bli "maskert" bort gjennom egne NAT baserte bredbåndsroutere).

[knut]

Om du skal satse på det trygge velger du Cisco boksen. Linksys boksen har noen problemer fra tid til annen, men totalt sett fungerer den tilfredstillende.

 

Siden du skal bruke den som router og ikke gateway blir det vanskelig med to linjer.

 

Men jeg ville virkelig anbefalt deg en IPS-brannmur da det gjør nettet ditt langt tryggere, tenk bare at du slipper de fleste problemer med spyware og diallers. Du kan også stoppe P2P-trafikk helt slik at du får nok kapasitet. Og selvfølgelig prioritere trafikk som skal ha lav forsinkelse. I motsetning til vanlige pakkefiltrerende brannmurer går IPS-brannmurene lengre inn i pakkene og stopper kun de riktige ved en enkel regel, istedet for mange som må til for torrent, kazaa og andre båndbreddespisende programmer.