Назад | Перейти на главную страницу

Брандмауэр для малого бизнеса / устройство VPN

Что такое брандмауэр и VPN-устройство для малого бизнеса (<50 пользователей в одном месте)? Беспроводная связь была бы хорошим дополнением, и я думаю о чем-нибудь в диапазоне от 1000 долларов. Это будет для предприятий с 0–2 ИТ-сотрудниками. Качественная поддержка и удобство использования устройства имеют значение. Было бы неплохо использовать SSL VPN, а если он основан на клиенте, важен VPN-клиент, работающий в 64-битной Windows.

Могу я порекомендовать вам взглянуть на pfSense. Я считаю, что он работает в сети с 40 пользователями и прост в управлении. Веб-интерфейс делает управление OpenVPN простой задачей.

Вы ничего не потеряете, попробовав это.

Мне очень повезло с Cisco ASA-5505. Это немного дороговато, но это удобное в настройке оборудование, и оно оказалось надежным. Вы можете завершить на нем различные протоколы VPN, включая PPTP, IPSEC и L2TP. Есть функция SSL VPN, но я считаю, что она лицензируется отдельно от устройства.

На работе я недавно установил Cisco ASA 5505 в роли межсетевого экрана небольшого офиса, конечной точки site2site VPN и конечной точки VPN Roadwarrior. Он прочный и надежный. Веб-интерфейс Ciscos ограничен, поэтому знание командной строки Cisco практически необходимо.

Cisco разделяет программное обеспечение своего VPN-клиента, старый клиент на базе IPSec постепенно исчезает, а новый, основанный на SSL, набирает обороты. Одним из примеров этого является то, что для старого клиента IPSec не планируется 64-разрядная версия. Плохая новость для вас, SSL лицензируется отдельно и намного дороже.

Если бы я снова настроил VPN «Roadwarrior», я бы настаивал на интеграции с Active Directory. Наши пользователи постоянно забывают пароли VPN, поскольку они не связаны с AD, которые они используют ежедневно в офисе. Смена паролей не составляет большого труда, но при этом теряется значительная производительность. Наши пользователи часто пробуют свой VPN из дома в ночь до крайнего срока ...

uPnP был бы на удивление хорош. Многие из наших пользователей используют Skype или что-то еще, для оптимальной работы которого требуется пропускать трафик через брандмауэр. Да, есть веские аргументы в пользу безопасности против uPnP; выбор за вами.

И последнее - статистика. Cisco ASA имеет хороший раздел статистики, который действительно может помочь вам устранить определенные типы сетевых проблем. Мне не нужен брандмауэр (или большая часть ИТ-оборудования в целом), который не может предоставить мне представление о том, что происходит, в те редкие дни, когда в сети возникает неуловимая проблема.

Kerio Winroute Firewall имеет интеграцию с AD, uPnP, если хотите, и очень солидный статистический раздел. Kerio имеет хороший послужной список в области межсетевых экранов, их межсетевой экран для рабочих станций долгие годы был лидером на рынке, пока они не продали его. Я не работал с Kerio Winroute, но если бы я снова настроил брандмауэр для малого бизнеса, я бы выбрал Kerio Winroute или Windows 2008 R2.

2008 R2 имеет действительно надежную реализацию VPN и легко интегрируется с Windows 7. Очень заметным недостатком является то, что на клиентских ПК требуется Windows 7. Мы могли бы принять это, я сомневаюсь, что многие другие могут принять это прямо сейчас.

Я знаю pfSense и многие другие дистрибутивы брандмауэра с открытым исходным кодом. Они очень и очень милые. Для моего небольшого офиса дополнительная производительность pfSense на оборудовании класса ПК не имеет значения, поскольку мы находимся на линии 10/10 Мбит. И цена на маленький ASA или Juniper SSG не запредельная. Таким образом, pfSense в основном конкурирует с ASA или Juniper SSG, и я просто предпочитаю простоту и короткое время реализации готовой версии. Но pfSense очень хорош, для других нужд он может быть отличным.

Так что для меня это было бы либо:

  • Конфигурация «DMZ» с двумя брандмауэрами, с довольно простым устройством брандмауэра снаружи и программным брандмауэром на базе ПК (Kerio, Windows 2008 R2) за ним для виртуальных сетей VPN с интеграцией AD.
  • Установка с одним брандмауэром, с брандмауэром на базе ПК (Kerio, Win 2008 R2) с двумя сетевыми адаптерами (возможно, немного менее безопасным, но я сомневаюсь, что в настоящее время это большая проблема).

Прямо сейчас я бы купил Kerio Winroute (опять же, только глядя на их сайт, я лично еще не работал с Kerio Winroute). Через год я бы выбрал Windows 2008 R2, если вы магазин только для Windows.

Нам очень повезло с приборами Fortigate. За эти деньги они имеют больше функций, чем Cisco ASA, и их легче настраивать.

Примерно за 1000 долларов я бы использовал Draytek 2950 или 3300. На самом деле и то, и другое должно дать вам много возможностей. Я использовал многие из этих маршрутизаторов, и они очень хороши, просты в настройке и предлагают расширенные функции, такие как балансировка нагрузки. Оба они используют IPSEC VPN между LAN и LAN, а также поддерживают PPTP Dialin VPN для отдельных пользователей. Набор номера PPTP использует поддержку VPN, встроенную в Windows, и не требует дополнительного программного обеспечения. На вашем месте я бы выбрал 2950, ​​поскольку 3300, вероятно, предлагает то, что вам не понадобится (например, балансировка нагрузки до 4 портов WAN!).

Draytek 2910 стоит намного меньше 1000 долларов, но не обладает мощностью, чтобы поддерживать более двух или трех одновременных сеансов VPN.

JR

У меня был хороший опыт работы с IPCop со стороны программного обеспечения и кое-что из двигатели или Soekris со стороны оборудования.

IPCop предоставляет удобный веб-интерфейс, который позволяет вам просто загружать конфигурацию OpenVPN и обрабатывает большую часть основных задач маршрутизации. Также доступно множество плагинов, таких как прокси для кеширования.

мы использовали WatchGuard X500 последние 5 лет (возможно, четыре года), чтобы предоставить нашей компании решение VPN.

С концом 2008 года жизненный цикл этого сторожевого устройства подходит к концу, и нам необходимо перейти на него. Итак, мы купили новую модель. Но VPN был «занозой в заднице». Он не работал в Vista или любой другой платформе, кроме Windows.

Наконец я обнаружил pfSense. Эта система полностью бесплатна и основана на freeBSD. Я установил его на старое оборудование WatchGuard. Он предоставляет инфраструктуру openVPN на основе SSL. С момента перехода на pfSense у нас нет проблем с VPN-соединением, и мне не нужен клиент Windows (физический или виртуальный) дома, потому что есть клиенты openVPN для Windows, Mac OS и Linux.

Если хочешь прочитать мор -> кликни меня.

О: Я забыл: этот маленький красный прямоугольник предоставляет эту услугу примерно для 80 пользователей, в которые одновременно входят от 5 до 10.

Надеюсь, это вам немного поможет.

С уважением

arl из германии

У меня есть друг-консультант, который клянется в устройствах sonicwall, они в значительной степени "установили и забыли" с точки зрения администратора. Это не значит, что вам не следует регулярно проверять журналы!

У меня был довольно хороший опыт работы с Контрольно-пропускной пункт Safe @ Office устройств.

  • Встроенная беспроводная связь, возможность отделения от внутренней сети
  • Встроенный VPN, включая собственный клиент (не уверен, есть ли у проприетарного клиента x64 или нет)
  • Ведение журнала (включая параметр syslog, я считаю, но никогда не использовал его)
  • Автоматическое обновление исправлений обслуживания
  • Оповещения
  • Довольно легко настроить
  • Очень стабильный

Хорошая вещь.

Определенно Cisco ASA5505 или 5510, если вы можете себе это позволить, у меня есть несколько таких устройств (а до этого я использовал PIX 506e и 515e). Что касается предыдущих комментариев об аутентификации активного каталога, я установил службы аутентификации Microsoft (реализация RADIUS от Microsoft) на одном из серверов Windows в моем AD и настроил ASA для аутентификации VPN в RADIUS.

Это позволяет пользователям использовать свои пароли AD и действительно упрощает мою жизнь, поскольку пользователи всегда забывают любые другие пароли, которые вы им даете, и, как сказал Джеспер Мортенсен, это обычно происходит, когда приближается кризис - как будто они крайний срок для отправки некоторых работ, которые, в конечном итоге, попадают в ваш покорный слуга, системный администратор, которому в нерабочее время звонят для сброса пароля.

ASA также позволяет настраивать L2TP VPN, которые будут работать с собственным клиентом Windows в Windows 2000 и XP (к сожалению, не в VISTA и Windows 7 - из-за того, что Microsoft использует свою последнюю реализацию IPSEC, хотя я уверен, что рыночные силы приведут к тому, что Cisco или Microsoft отклонятся от своих интерпретаций RFC).

ASA - это довольно хорошо структурированное и простое в настройке устройство, если вы понимаете подход Cisco к устройству (то есть, все является NAT и уровни безопасности на интерфейсах), что мне нравится в 5505, так это то, что у них есть два POE порты на задней панели, к которым вы можете подключить IP-телефон или беспроводную точку доступа и сэкономить лишнюю проводку.

Единственная критика ASA, которую я имею:

  1. Ограниченное лицензирование SSL
  2. Устройство имеет внешний блок питания, который имеет очень хрупкий разъем на задней панели устройства.
  3. Блок питания почему-то издает этот странный пронзительный свистящий звук, который некоторых людей может раздражать.

Если вы ищете что-то универсальное, обратите внимание на маршрутизаторы Cisco серии 800. Вы можете получить информацию здесь текст ссылки. У них есть множество хороших моделей со встроенной беспроводной связью, и если у вас есть услуга ADSL, вы можете найти их со встроенными модемами ADSL2 +, что составляет единое решение для филиалов. Они работают под управлением IOS 12.x, и вы можете получить версии IOS, которые поддерживают CBAC (списки доступа на основе контекста) - в основном межсетевой экран с отслеживанием состояния и шифрование вместе с Cisco Easy VPN. Я не уверен, что у вас есть прокси-серверы приложений в CBAC, поскольку я давно им не пользовался.

Используя дистрибутив Linux под названием SmoothWall ( http://smoothwall.org/ ), наверное, самый дешевый и простой.

Вы можете купить дешевый компьютер за 100 долларов на EBay, дополнительную сетевую карту и свой бизнес.