Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 42
Так а какой файрвол любимый то?)
pfSense
Да, хорош.
А на линукс хосты ставлю shorewall, iptables для ленивых + хороший логгинг.
А на линукс хосты ставлю shorewall, iptables для ленивых + хороший логгинг.
Shorewall-ом пользовался до того, как нашел pfSense. Он у меня защищал целый кластер довольно долгое время. Но когда я увидел первый раз Сэнс — все стало на свои места)
Это дистрибутив. А файрвол-то какой любимый?) pf, ipfw, iptables?
PFSense офигенен за одним маалёньким исключением: SIP через него настолько геморроен, что дешевле купить ещё один внешний IP у провайдера для АТС.
Возможно, никогда не работал с SIP. Но на всякий случай, у них сейчас вышла долгожданная вторая версия — может решили эти проблемы?
Нет, я специально ставил, проверял — не решили проблему.
Там есть крайне мутный плагин с SIP-proxy, заставить который работать по-человечески бьётся уже не одно поколение админов. :)
Там есть крайне мутный плагин с SIP-proxy, заставить который работать по-человечески бьётся уже не одно поколение админов. :)
ip-Атс (cisco, grandstream) стояла за pfsense, натом были прокинуты два или три порта (tcp/udp 5060 точно и еще какие-то уже не помню) все работало… или я что-то не так понимаю
Какой бы не был любимым firewall, всё определяется необходимостью обеспечивать конкретный функционал в конкретных условиях.
PFSense выбирают, как правило, именно за его ненавязчивую навороченность. Он сам по себе крут, а с модулями из собственного репозитория становится впереди планеты всей.
Тем не менее, в моих предпочтениях у него появился хороший конкурент — MikrotikOS. Крайне неприхотливая к железу система роутинга, правда, без наворотов типа IDS. Зато SIP нормально работает и возможности по роутингу великолепные.
Тем не менее, в моих предпочтениях у него появился хороший конкурент — MikrotikOS. Крайне неприхотливая к железу система роутинга, правда, без наворотов типа IDS. Зато SIP нормально работает и возможности по роутингу великолепные.
Мы здесь не pfSense обсуждаем. Тем более, что он обладает одной врожденной болезнью. А именно, железа поддерживает не более, чем может поддержать FreeBSD 8.2. А это достаточно сильно ограничивающий фактор.
С FreeBSD работаю давно, однако никогда не замечал проблем у неё с железом.
Что конкретно подразумевается? Поддержка amd64, i386, ia64, pc98, powerpc и sparc64 имеется.
Что конкретно подразумевается? Поддержка amd64, i386, ia64, pc98, powerpc и sparc64 имеется.
В фаерволе я думаю критичны поддержки сетевых карт и wifi-адаптеров. Ну и pf вроде с OpenBSD.
FreeBSD замечательно работает с железом, но только если оно в списке поддерживаемого. Если же его (железа) в этом списке нет, то начинаются танцы с бубнами. Про поддержку всяких RAID-контроллеров и прочей экзотики речи не ведется потому как оно не критично для роутеров (но уже критично для прокси, почтовых серверов и т.д.). А вот отсутствие поддержки для достаточно большой номенклатуры WiFi и LAN адаптеров огорчает. В результате приходится очень аккуратно подходить к выбору тех же неттопов или других решений на SoC.
И давайте не будем говорить, что железо надо выбирать под ос, а не ос под железо. ;) Иначе скатимся к холивару FreeBSD vs все остальные.
PS. Постом выше я уже говорил, что решение (железо+софт) надо подбирать под задачу. Не всегда есть возможность поставить PC с кошерным для FreeBSD железом. Часто приходится делать решения на неттопах и еще чаще на железных роутерах.
И давайте не будем говорить, что железо надо выбирать под ос, а не ос под железо. ;) Иначе скатимся к холивару FreeBSD vs все остальные.
PS. Постом выше я уже говорил, что решение (железо+софт) надо подбирать под задачу. Не всегда есть возможность поставить PC с кошерным для FreeBSD железом. Часто приходится делать решения на неттопах и еще чаще на железных роутерах.
А «железные» firewall-ы, я так понял даже не рассматриваются. М мне всегда импонировала связка железка->периметр->proxy/firewall->ЛВС. Железки работают «из коробки» и работают стабильнее. Жрут гораздо меньше энергии (то есть от УПСА проработает гораздо больше) и имеют более чем достаточный функционал.
В частности, если смотреть в сторону бюджетных решений, то D-Link NetDefend, например, очень мне понравилась. Единственная претензия к ней, это отсутствие в их ОС DNS-клиента. Младшая модель стоит около 10К, если мне память не изменяет. При этом умеет более чем достаточно. Если не большая сеть, и нет необходимости в проксе со статистикой и хитрыми политиками по сайтам — то это очень достойный вариант. Он и firewall, и маршрутизатор, и VPN-шлюз. Есть, кстати, ALG для SIP-а (и натит и фаерволит) и даже пользователей умеет авторизовывать по всякому.
Есть еще линксисы в этой ценовой категории со сходным функционалом. И DrayTek-и, но про них сказать нечего.
При наличии таких железок не вижу никакого смысла заморачиваться с PCшныйми решениями (опять же, если не нужна прокся). Тем более, если нужно при этом что-нить покупать.
В частности, если смотреть в сторону бюджетных решений, то D-Link NetDefend, например, очень мне понравилась. Единственная претензия к ней, это отсутствие в их ОС DNS-клиента. Младшая модель стоит около 10К, если мне память не изменяет. При этом умеет более чем достаточно. Если не большая сеть, и нет необходимости в проксе со статистикой и хитрыми политиками по сайтам — то это очень достойный вариант. Он и firewall, и маршрутизатор, и VPN-шлюз. Есть, кстати, ALG для SIP-а (и натит и фаерволит) и даже пользователей умеет авторизовывать по всякому.
Есть еще линксисы в этой ценовой категории со сходным функционалом. И DrayTek-и, но про них сказать нечего.
При наличии таких железок не вижу никакого смысла заморачиваться с PCшныйми решениями (опять же, если не нужна прокся). Тем более, если нужно при этом что-нить покупать.
>А «железные» firewall-ы, я так понял даже не рассматриваются
На самом деле, я сравнил в 3-ем пункте достоинства и недостатки железных firewall-ов и дистрибутивов.
>Жрут гораздо меньше энергии
При правильном подборе железа, можно взять очень экономные mini-itx с atom CPU и блок питания, который будет тянуть не больше 20W.
Но вообще да, для тех, кто не хочет заморачиваться, рынок забит такими железками. Я, кстати, специально в самой статье никаких названий не упомянал — каждому свое.
На самом деле, я сравнил в 3-ем пункте достоинства и недостатки железных firewall-ов и дистрибутивов.
>Жрут гораздо меньше энергии
При правильном подборе железа, можно взять очень экономные mini-itx с atom CPU и блок питания, который будет тянуть не больше 20W.
Но вообще да, для тех, кто не хочет заморачиваться, рынок забит такими железками. Я, кстати, специально в самой статье никаких названий не упомянал — каждому свое.
кстати, а что вы скажете о коробках Vyatta? приходилось сталкиваться?
Нет. Когда-то попробовал поставить себе их дистрибутив, поиграться. Насколько я помню, прикол заключался в том, что они сделали IOS(cisco) подобную систему.
Кстати, если я не ошибаюсь, это только router, не firewall.
Кстати, если я не ошибаюсь, это только router, не firewall.
Говорят, там всё в одном — и роутер, и файрвол.
У меня та же ситуация. Поставил community-версию их дистрибутива: оказалось, что GUI — только за деньги. Снёс.
У меня та же ситуация. Поставил community-версию их дистрибутива: оказалось, что GUI — только за деньги. Снёс.
Наверное, слово «лучше» здесь неуместно.
У каждого свои предпочтения, по которым он выбирает наиболее удобный для себя.
Если Вас интересует какая-то определенная функция, почитайте на форумах насколько хорошо она работает в каждом из них и есть ли она там вообще.
У каждого свои предпочтения, по которым он выбирает наиболее удобный для себя.
Если Вас интересует какая-то определенная функция, почитайте на форумах насколько хорошо она работает в каждом из них и есть ли она там вообще.
У комунити виатта есть Web-GUI. Больше и не надо. Впрочем Vyatta — это скорее роутер с плюшками.
Они не делали свой IOS. Vyatta — это дебиан плюс обвязка. Просто поверх работает свой шелл, если можно так сказать, который похож не на Cisco а на Juniper больше всего. В итоге есть единый конфиг, которым настраивается весь функционал. Удобная штука. Мне нравится.
Ваш 3й пункт, судя по некоторым пунктам, немного не про то. В области железок такого класса не оперируют понятиями «дистрибутив». Ее не надо устанавливать (хотя конечно можно обновлять). Она в принципе идет в комплекте. И как раз с ними-то и не возникает вопроса про совместимость железа. Достаешь устройство из коробки и оно гарантированно выполняет 100% своих функций, за которые ты заплатил (если оно конечно не бракованное, но это другая история).
Про расширяемость: редко когда компании вырастают резко, тем более такие, на которые ориентирован подобный класс устройств. И когда нужно наращивать мощность, можно просто купить старшую модель той же серии и перелить в нее конфиг. На все про все — 5 минут максимум. А с компьютером как раз может возникнуть куча проблем. Ось как есть может не перенестись, если железо сильно разное, а оно будет сильно разное. Придется переставлять ОС, потом выясниться что новая двухголовая сетевуха на 2x1Gb не поддерживается, ну и т.п.
То есть я вполне понимаю, что PCшные и местами очень даже успешно и «к месту» применимы, но мне как-то ближе решение железное, хотя сейчас использую и то и другое.
Про расширяемость: редко когда компании вырастают резко, тем более такие, на которые ориентирован подобный класс устройств. И когда нужно наращивать мощность, можно просто купить старшую модель той же серии и перелить в нее конфиг. На все про все — 5 минут максимум. А с компьютером как раз может возникнуть куча проблем. Ось как есть может не перенестись, если железо сильно разное, а оно будет сильно разное. Придется переставлять ОС, потом выясниться что новая двухголовая сетевуха на 2x1Gb не поддерживается, ну и т.п.
То есть я вполне понимаю, что PCшные и местами очень даже успешно и «к месту» применимы, но мне как-то ближе решение железное, хотя сейчас использую и то и другое.
> Сервер. Который… и firewall, и почта, и ftp, и файлохранилище, и еще куча вещей… в плане безопасности – это просто одна большая дыра
Кривые руки — это большая дыра.
ответил Вам случайно чуть выше
Если речь про железки, то все количественные характеристики есть в описании устройства. Они у всех примерно одни и теже, так что косвенно устройства можно сравнивать. Но вот производительность оценить тяжело. Она зависит от оч. большого количества параметров. И количество правил, как правило, не тот потолок в который упираешься. Но конфигурации бывают разные, цели бывают разрые, да все бывает разное.
Если речь про решения на базе PC, то там все еще сложнее, так как включается фактор железа. От компьютера к компьютеру все сильно разнится. Там даже количественные характеристики получить невозможно, разве что теоретический потолок заложенный в самой логике программы.
Если речь про решения на базе PC, то там все еще сложнее, так как включается фактор железа. От компьютера к компьютеру все сильно разнится. Там даже количественные характеристики получить невозможно, разве что теоретический потолок заложенный в самой логике программы.
Дааа, кто работал с CheckPoint (еще до NG), тот в цирке больше не смеётся…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Firewalls — немного теории для начинающих или что надо знать перед покупкой