Я ищу брандмауэр (устройство или программное обеспечение) для среды хостинга / жилья. Самая большая проблема заключается в том, что правила становятся очень сложными, поскольку за брандмауэром находится больше клиентов. У одних только один сервер, у других - целая подсеть. Некоторым нужен NAT, некоторым - конечная точка VPN. Некоторые клиенты хотят разрешить только порт http, другие - тоже. Таким образом, устройство должно поддерживать сети VLAN, и должна быть возможность группировать правила для каждого клиента.
Еще один важный момент - скорость. И возможность легко управлять резервными устройствами.
Я ищу что-то, что не имеет всех дополнительных функций, таких как фильтр спама и т. Д. Я много искал в сети, но либо у них были все эти дополнения (и с перегруженным интерфейсом конфигурации), либо они пропустили некоторые из функции, которые мне нужны (например, VLAN).
Конечная точка VPN не является важным критерием. Мы думали об отдельной машине для него.
Посмотри на pfsense. Он поддерживает все функции, которые вы только что перечислили, является бесплатным, с открытым исходным кодом, хорошо документирован, и при необходимости доступна коммерческая поддержка. Он также поддерживает кластеризацию для незаметного аварийного переключения, включая все активные сеансы. И работает на любом оборудовании x86, поэтому вы можете легко настроить оборудование в соответствии с вашими потребностями.
Думаю, у вас будет несколько вариантов, ваши требования не такие уж высокие. Какой серьезный межсетевой экран не поддерживает VLAN?
Мы используем HA-настройку Clavister SG32xx, они поддерживают группировку правил, VPN, VLAN и доступны в разных версиях в зависимости от лицензии (которая определяет пропускную способность). Я думаю, производительность колеблется от 350Мбит до 1,5Гбит.
Их нижний диапазон также предлагает HA, но не синхронизирует IIRC с отслеживанием соединений. Это серия SG5x с пропускной способностью до 200 Мбит. Поддержка функций технически такая же.
У вас также есть продукты от Checkpoint, Cisco (серия ASA), которые могут вас заинтересовать, однако мы выбираем Clavister в основном из-за простоты администрирования, а также из-за впечатления, которое мы получили от компании, которая продемонстрировала нам продукт (и поставляла нам с поддержкой).
Я рекомендую серию Fortigate от Fortinet. У нас был хороший опыт работы с ними. Они поддерживают межсетевой экран с группировкой, VPN (SSL и ipsec), VLAN, HA. Вы можете выполнить взвешенную балансировку нагрузки на своих хостах, и они также поддерживают VDOM, что позволяет вам предлагать виртуальные устройства и контроль своим гостям и клиентам.
Модель лицензирования проста: каждая модель Fortigate имеет одни и те же программные функции, меняются только аппаратные возможности и опции. И вам не нужно платить ни ногу, ни руку, чтобы иметь возможность использовать VPN, он просто работает с любым количеством клиентов, которое вам нужно.