PDA

Bekijk Volledige Versie : Hardware Firewall



ColoProvider
01/03/05, 19:41
Beste Concullega's,

wij zijn op zoek naar een centrale hardwarematige firewall voor de bescherming van ons serverpark (60 servers).

Er zal op piekuren zo'n 60 mbit verbruikt worden, we gaan er uiteraard vanuit dat dit nog toe zal nemen in de nabije toekomst.

Nu spreekt de Juniper netscreen 500 baseline (http://www.juniper.net/products/glance/nscn_500.html) ons erg aan, op de prijs dan na.
Wat zijn jullie ervaringen met hardwarematige firewalls en met welke types werken jullie?

McRox
01/03/05, 22:58
Bij het uitkiezen van een firewall (vooral voor een groot aantal servers) is het erg belangrijk te weten om wat voor verkeer het precies gaat..

Je kunt 60Mbit op verschillende manieren versturen en ontvangen.. Onder andere de packets per seconde (pps) is een belangrijke punt bij het kiezen van een firewall.

Cisco Pix en Netscreen zijn uitstekende firewalls.

Riverhead zijn uitstekend geschikt voor grote netwerken. Maar dan praten we over een firewall van ~50K.

Hierover is veel informatie te vinden op webhostingtalk.com onder de Colocatie afdeling :)

Nucleus
02/03/05, 00:01
Wij kunnen zeker de Watchguard Vclass systemen aanraden.

Hebben er verschillende draaien en doen het uitstekend!

U kan deze in detail bekijken op: http://www.watchguard.com/products/vclass.asp

Een Vclass 80/100 zou kunnen voldoen aan uw eisen.

oscar
02/03/05, 01:34
Zelf gebruik ik netscreen, erg betrouwbaar en snel, ik zie ze ook steeds meer bij de grote jongens.

ColoProvider
02/03/05, 01:39
Origineel geplaatst door oscar
Zelf gebruik ik netscreen, erg betrouwbaar en snel, ik zie ze ook steeds meer bij de grote jongens. Dat netscreen enorm goed is bewijst de overname door Juniper wel ;)
Welke netscreen producten hebben jullie en hoe bevallen die? Is het beheer eenvoudig te doen en hoe zijn de firmware updates? En wat is de keuze dat jullie voor netscreen kozen en bij welke firma schaffen jullie de firewalls aan?

dotXS
02/03/05, 21:17
Zelf heb ik nu met vele verschillende hardwarematige firewalls gewerkt.

Cisco, Netscreen en Watchguard zijn allemaal hoge qualiteit firewalls.

Ik vind Netscreen prettiger dan de PIX serie van Cisco. De performance van de Netscreen is naar mijn mening ook beter.

Watchguard had altijd het nare probleem dat als je de policy aanpaste je dan ook de hele firewall moest rebooten.

Een producent die ook altijd goede firewalls heeft geleverd vind ik is Nokia. Dit was altijd een hardwarematige Check Point FireWall-1 implementatie. Dit heeft wel voordelen met het bouwen van rules (als je al ervaring hebt met CheckPoint). Het werkte ook altijd perfect samen met de software versie. Lekker als je veel verschillende firewalls in één policy wou hebben.

De belangrijkste vraag is wat voor jou de zwaarst wegende features zijn. Heb je bijvoorbeeld veel Cisco kennis in huis dan is een PIX misschien wel de beste route.

Ik zou voor de netscreens of een nokia gaan. Zijn beide niet goedkoop maar qualitatief wel goed.

Nucleus
02/03/05, 21:28
Origineel geplaatst door dotXS

Watchguard had altijd het nare probleem dat als je de policy aanpaste je dan ook de hele firewall moest rebooten.


Enkel ter info:
Zowel bij de Firebox en Vclass systemen van Watchguard is een reboot niet nodig na een policy aanpassing.

dotXS
02/03/05, 21:52
Origineel geplaatst door Nucleus


Enkel ter info:
Zowel bij de Firebox en Vclass systemen van Watchguard is een reboot niet nodig na een policy aanpassing.

Omdat de grotere Watchguards voor mij een tijdje terug zijn geweest ook het woordje had.

Ik heb laatst weer vluchtig naar de nieuwe modellen gekeken, ik heb wel het idee dat bij Watchguard ook de tijd niet heeft stil gestaan.

Ik zou bijna willen zeggen "Mooi spul dat watchguard" :)

Tha_Wiz
03/03/05, 12:14
Ik zou je adviseren eens te kijken naar de oplossingen van FortiNet. Dit bedrijf levert real-time anti-virus firewalls met intrusion detection en prevention. De oprichter van Fortinet is de oude CEO van Netscreen en zag een nieuw gat in de markt met Unified Threat Management (dus een bredere inzet van firewalls, ids, idp, anti-virus, anti-spam etc in een gezamelijke appliance).

Ik heb een uitgebreid onderzoek gedaan naar de verschillende firewall leveranciers, maar geen kwam er in de beurt van de mogelijkheden van de Fortigate (het firewall product van Fortinet). Ik gebruik de technology nu ondertussen een jaar en ben er zeer over te spreken. De mogelijkheden zijn bovendien erg uitgebreid, stabiel en eenvoudig in beheer. Daarnaast draaid de firewall een eigen operating system (vanuit de scratch gebouwd, dus niet een linux basis ofzo) wat 100% gericht is op een zo groot mogelijk doorvoorsnelheid. Hierdoor heb je de minste mogelijke vertraging door alle scans waardoor men eigenlijk gewoon over realtime firewalls spreekt.

Mocht je wat extra informatie willen dan ben ik graag bereid je meer te vertellen hierover (ik lijk wel een salesman :), maar een goed product mag natuurlijk gepromote worden).

Meer info op: http://www.fortinet.com en http://www.qdis.nl (de Nederlandse distributeur).

dotXS
03/03/05, 13:10
Ziet er niet verkeerd uit. De prijzen zijn er ook wel naar zo te zien. Een fortigate 400 (280Mbit throughput) zit zo rond de €6000,- kaal.

Voor die prijs koop je ook zo'n beetje een Cisco PIX met Failover of een Nokia IP260/265 dubbel uitgevoerd.

Altijd lastig dit soort keuzes ....

@Tha_Wiz : Zit er erg netjes uit, hoe zit het met de prijs qualiteits verhouding ? Zoals ik hierboven al opmerkte zijn ze niet echt goedkoop. Wat is de toegevoegde waarde geweest om ze aan te schaffen ?

Tha_Wiz
03/03/05, 13:24
Origineel geplaatst door dotXS
@Tha_Wiz : Zit er erg netjes uit, hoe zit het met de prijs qualiteits verhouding ? Zoals ik hierboven al opmerkte zijn ze niet echt goedkoop. Wat is de toegevoegde waarde geweest om ze aan te schaffen ? [/B]

Ik weet niet precies waar je die prijzen gevonden hebt en of ze ook kloppen, maar ik kan je wel vertellen dat bijv. bij Qdis (daar heb ik mijn Fortigate ook gekocht) goed kan onderhandelen voor de machine zelf (de abonnementen hebben een vaste prijs).

Je betaalt in principe voor de machine (de 19 inch appliance) en daar boven op kun je abonnenementen afsluiten voor het automatisch updaten van de virusdefinities, de attack database (voor IDS & IDP), anti-spam database, extra support etc. Eigenlijk zie je dat overal wel bij die aanbieder terug.

Failover, of te wel high availability zoals zij het noemen, zit volgens mij automatisch op alle modelen tegenwoordig. Er zitten standaard namelijk 3 poort op (kan ook meer zijn), op de external en dmz kun je dan verschillende netwerkverbindingen zetten zodat bij problemen je altijd nog via 1 verbinding kan connecten.

Prijs kwaliteit vind ik persoonlijk absoluut goed. Je koopt namelijk niet alleen een firewall maar een complete security oplossing met tevens anti-virus en intrusion detection en prevention. Daarmee vul je het gat van alleen een firewall op met tevens detection van attacks en malafide code op poorten die wel open staan. Een vergelijk met bijv. die Pix firewall is dus eigenlijk een vergelijking van appels en peren :).

dotXS
03/03/05, 13:55
Een vergelijk met bijv. die Pix firewall is dus eigenlijk een vergelijking van appels en perenDat klopt.

Het ligt er alleen wel aan waarvoor je die firewalls aanschaft. Soms zijn teveel mogelijkheden op een network appliance niet wenselijk.

Ik kies vaker voor losse oplossingen dan een total geïntegreerde oplossing. Als één van die oplossing het laat weten stort alles in.

Toch zie ik het voordeel van die Fortigate dingen wel in. De prijzen heb ik even in een paar minuutjes opgesnord op het interweb dus daar moet je niet teveel aan hangen.

Tha_Wiz
03/03/05, 14:30
Origineel geplaatst door dotXS
Dat klopt.

Het ligt er alleen wel aan waarvoor je die firewalls aanschaft. Soms zijn teveel mogelijkheden op een network appliance niet wenselijk.

Ik kies vaker voor losse oplossingen dan een total geïntegreerde oplossing. Als één van die oplossing het laat weten stort alles in.


Daar heb je absoluut gelijk in. In het geval van de Fortigate is dat echter de kracht: all-in-one oplossingen met hoge snelheid en veel mogelijkheden.

dotXS
03/03/05, 14:58
Ik zal het in mijn achterhoofd houden. De volgende keer dat ik naar een highspeed firewall oplossing zoek staat Fortinet ook op het lijstje.

fits
28/04/05, 15:06
hmmm, las ik daar nu ergens dat Fortinet niet op linux draait?
Er zit wel degelijk een hardwarematige processor in (ASIC) maar het OS op de machine is toch wel degelijk Linux.

Wie weet wordt het binnenkort helemaal niet meer gedistribueert, kijken jullie hier maar eens na (bezint eer ge begint)

http://www.vnunet.com/news/1162512



http://www.linuxsecurity.com/content/view/118885/65/



gr
Fits