Назад | Перейти на главную страницу

Какой брандмауэр я должен использовать?

Наша сеть насчитывает около 70 компьютеров. Теперь мы используем брандмауэр kerio winroute на windows xp. Меня это не устраивает и, с другой стороны, я не специалист по сетям, а разработчик программного обеспечения. Нет никого, кто понимает сеть, кроме меня. Нам нужен брандмауэр, который эффективно маршрутизирует 8-мегабитный Интернет, не допускает ультра-серфинга, простого администрирования, которым могут пользоваться люди, а не сетевые эксперты.

Мне нужны также предложения модема. Наш модем слишком старый и не отвечает, когда в сети слишком много пользователей.

Я бы получил аппаратный межсетевой экран от Cisco для сети из 70 компьютеров. Фактически, для сети из 70 компьютеров вы почти нуждаться в чьей-то поддержке; в зависимости от вашей ситуации вы можете заключить контракт с компанией на Х часов в год или нанять кого-то внутри компании хотя бы на неполный рабочий день.

Единственная причина, по которой я предложил устройство Cisco, заключается в том, что, хотя они и дороги, они обычно представляют собой устройства, которые после настройки в значительной степени отключены и "работают", плюс вы получаете приличные варианты контрактов на поддержку, так что если вы не знать, что вы делаете, вы можете найти людей для поддержки, которые поработают над этим и / или поработают с вами по телефону.

Если вы нанимаете кого-то, кто знает, что делает или готов потратить на это время, вы можете получить машину для запуска готового решения, такого как Smoothwall или любого из ряда дистрибутивов Linux, предназначенных для маршрутизаторов, бесплатно, и они больше чем справиться с нагрузкой, о которой вы говорите. Но это все еще аппаратное обеспечение, оно требует настройки ваших машин для использования его в качестве шлюза (или правильно организовать восходящий канал от коммутатора к брандмауэру и направить его через модем), что опять же возвращает вас к тому, что вам настоятельно рекомендуется получить поддержать договор с ИТ-компанией или нанять кого-то для работы с вашей компанией.

Кроме того, если ваше соединение периодически замедляется, когда «в сети слишком много пользователей», у вас могут быть проблемы с подключением, доступной пропускной способностью или машиной, через которую вы направляете людей для брандмауэра, особенно если это дешевое обычное оборудование. . Вам нужно будет сузить область, где на самом деле происходит замедление сети, и контролировать поток трафика. Какое оборудование это проходит? Не выходят ли ваши пользователи за пределы возможностей, ведь даже при 8-мегабайтном соединении вы можете потерять его, когда у вас есть тридцать пользователей, просматривающих видео на YouTube ...

Лично я бы просто использовал Linux-бокс с iptables для брандмауэра. Они легко настраиваются, бесплатны, и есть много онлайн-поддержки и документации. Если вы не просто хотите использовать общие iptables, вы можете использовать http://www.untangle.com/.

Что-то вроде openwall может преуспеть. Хотя, возможно, это уже не так просто, как раньше.

Вам понадобится сервер как минимум с двумя интерфейсами. Если у вас есть серверы, доступные из Интернета, они должны находиться в DMZ на третьем интерфейсе.

Изменить: я использую Ubuntu Linux с Shorewall брандмауэр. Shorewall имеет обширную документацию, хорошие стартовые конфигурации для одного, двух или трех интерфейсов. В этом случае потребуются две или три конфигурации интерфейса.

Для Ubuntu установите серверную версию. Shorewall доступен как пакет с использованием aptitude. Для управления убедитесь, что openssh-server установлен, и используйте putty для доступа к серверу с рабочего стола Windows. Это будет среда командной строки.

Сэкономьте много денег и запустите pfSense на машине FreeBSD. Он масштабируемый, быстрый, очень полнофункциональный и более гибкий, чем многие «устройства» безопасности более низкого уровня.

Мне нравятся аппаратные брандмауэры, и я рекомендую Juniper серии SRX100 / 210/210. Они обычно превосходят Cisco по цене и предлагают большинство из тех же функций, если не все.

Том