Я ищу любые рекомендации по брандмауэру, соответствующие нашим требованиям, указанным ниже.
В одной из наших стоек мы сейчас используем межсетевой экран Watchguard Firebox Core 550e. Он хорошо служил нам в течение последних нескольких лет, но теперь мы нуждаемся в обновлении.
Наши основные требования к новому межсетевому экрану:
Поддержка блокировки больших диапазонов IP-адресов, таких как страны (Firebox борется с этим)
Хорошая защита DOS
Относительно легко управлять. Графический интерфейс Watchguard очень прост в использовании.
В настоящее время у нас в среднем около 12000 подключений (7000 активных) одновременно, и нам потребуется поддерживать гораздо больше (вдвое больше), чем это.
Большое спасибо Ник
Firebox X550e имеет встроенную защиту от вторжений (DOS, DDOS, SYN Flood), поддерживает 25000 одновременных сеансов, имеет пропускную способность 390 Мбит / с, имеет возможность блокировать отдельные хосты, диапазоны хостов, а также отдельные сетевые блоки, так что насчет этого не тебе нравится?
Если вам нравится Watchguard, то X750e и X1250e - следующий шаг вперед в серии XCore e.
http://www.watchguard.com/products/compare_results.asp?p1=x1250e&p2=x750e&p3=x550e
Я не шучу, маленький сервер с OpenBSD и движком фильтрации PF? Имеет отличную производительность даже на самом нижнем конце серверов, а файл конфигурации вполне читабелен ИМХО.
В основном, придерживаться того, в чем ваша организация компетентна. Когда дело доходит до маршрутизации и безопасности, ничто не может заменить опыт и хорошую подготовку. Я вижу, что большинство небольших предприятий повсеместно стандартизируются на Cisco. Они делают это, потому что это ограничивает их обучение / навыки только одним производителем, а Cisco выбрана потому, что у них есть обширный портфель продуктов и широкая сеть технических специалистов.
Если вышеизложенное вас не убеждает, я бы рассмотрел Можжевельник, Пропускной пункт, Cisco, или Fortinet как ведущие бренды межсетевых экранов сегодня (без специального заказа).
Обратите внимание, что новая серия SRX от Junipers основана на программном обеспечении JUNOS маршрутизатора, а не на предыдущем брандмауэре ScreenOS. Сейчас это может быть немного грубо, но у него действительно хороший потенциал в будущем.
По моему опыту, Cisco ASA - надежная коробка, но я бы не назвал ее конфигурацию «простой» или «логичной» для людей без обучения в Cisco.
У меня нет личного опыта работы с Checkpoint и Fortinet; Я только что слышал, как их хвалили хорошие люди. Таким образом, я не могу сказать больше об их простоте настройки.