Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2006-06-15 12:33:36

  Preibx - Użytkownik

Preibx
Użytkownik
Zarejestrowany: 2006-03-12

Co lepsze ? Sprzętowy firewall czy skonfigurowany Debian?

Witam!

Główne pytanie jest następujące:
Czy lepiej inwestować w już skonfigurowane małe skrzynki renomowanych firm np. CISCO lub D-Link  - czy w dobrze skonfigurową mocną maszynę (1GB RAM, 2,4 GHz, 200GB dysk) Debian

Podaje przykładowe parametry:
1)D-Link DFL-700 FireWall 1FEth;1WAN xDSL;200VPN; 1500 zł netto
http://www.dlink.com/products/?pid=327
http://www.dlink.com/products/resource.asp?pid=327& … 152&sec=0

Ta zapora jest przeznaczona szczególnie dla małych i średnich przedsiębiorstw. Pełni ona funkcje: NAT (Network Address Translation), zapory, wykrywania ataków typu odmowa usługi (DoS) i VPN. Ponadto obsługuje ona połączenie WAN i dysponuje niezawodnym złączem sieci LAN 10/100 Mbs, jak również złączem DMZ do podłączenia lokalnego serwera WWW i e-mail.

Kolejne cechy, które normalnie występują tylko w drogich zaporach korporacyjnych, to filtrowanie pakietów SPI, wbudowana obsługa VPN, złącze DMZ, wiele adresów IP i wiele serwerów wirtualnych. DFL-700 zapisuje w dzienniku wszystkie ataki i ustala, spod jakiego adresu IP wyszedł atak. Raport o ataku zostaje następnie wysłany na określony adres e-mail, a cały przychodzący ruch od wykrytego adresu IP będzie w przyszłości blokowany. Administrator sieci może skonfigurować adres e-mail do odbierania wiadomości od zapory. Wykrycie ataku jest zapisywane w dzienniku, a informacja o tym jest wysyłana przez e-mail. Za pomocą wbudowanej funkcji VPN można utworzyć maksymalnie 200 połączeń tunelowych IPSec z różnymi lokalizacjami. IPSec stosuje efektywne systemy szyfrowania jak DES, 3DES, AES i automatyczne zarządzanie kluczami IKE/ISAKMP. Utworzenie tunelu VPN łączącego zaporę ze zdalnym komputerem gwarantuje użytkownikom mobilnym bezpieczne przesyłanie danych z szyfrowaniem DES. W ten sposób ważne, poufne informacje mogą być bezpiecznie pobierane i przesyłane. Umożliwia to bezpieczne i niezawodne połączenie pracowników zewnętrznych i domowych biur z siecią firmową.

Istnieje możliwość utworzenia pewnej liczby tuneli VPN bez IKE (Internet Key Exchange). Obsługiwane jest blokowanie adresów URL. Raporty o przesyłaniu danych w czasie rzeczywistym, ostrzeżenia o atakach internetowych i komunikaty o działaniach internetowych są zapisywane w dziennikach i mogą być przekazywane przez e-mail. Zapora obsługuje uwierzytelnienie RADIUS i umożliwia wykorzystanie serwera RADIUS z informacjami użytkownika.



Kod:

Specyfikacja techniczna


    * 1 port LAN 10/100Base TX, 1 port DMZ 10/100BaseTX Obsługa bramy poziomu aplikacji (ALG) NAT
    * 1 port 10/100BaseTX WAN do podłączenia modemu telewizji kablowej lub DSL
    * Klient/serwer DHCP
    * Obsługa PPPoE do zdalnego logowania
    * Obsługa PPTP, L2TP, IPSec, tranzytu VPN
    * Filtrowanie treści, blokowanie URL/domen i sprawdzanie słów kluczowych
    * Agresywny/główny tryb klienta w sieci VPN
    * Obsługa serwerów wirtualnych
    * Ochrona zapory przy użyciu SPI (Stateful Packet Inspection)
    * Konfigurowanie i monitorowanie w czasie rzeczywistym za pomocą przeglądarki internetowej
    * Blokowanie ataków typu odmowa usługi (DoS), także w wersji rozproszonej (DDoS)
    * Obsługa protokołu Syslog
NAT (Network Address Translation) / NAPT (Network Address Port Translation)

2) 1)Serwer+Stacja Robocza  - wszystkie usługi poniżej + srodowisko graficzne 1500 zł netto

Kod:

* serwera PROXY - strony internetowe są ściągane prosto z naszego serwera (a nie z internetu) co znacznie przyśpiesza ładowanie stronw www i zmniejsza obciążenie łącza! - nie trzeba wpisywać ustawień proxy w przelgądarkę www, dzięki czemu użytkownik sieci nawet nie wie, że korzysta z proxy!
    * lokalnego serwera DNS - dzieki czemu zapytania o adresy internetowe sa realizowane znacznie szybciej, a co za tym idzie strona www wczesniej sie ukaże w przeglądarce
    * limitów pedkośći wysylanych i odbieranych danych przez uzytkowników sieci lokalnej (dynamiczny i/lub statyczny podział pasma.)
    * limitów danych wysylanych i odbieranych przez serwer
    * ilości połączeń jakie może wykonać pojedynczy komputer z/do internetu
    * prowadzenia rozmów głosowych czy wysyłania plików (np. przez GG) przez komputery w LANie, mając tylko jeden publiczny adres IP
    * udostępnianie internetu jedynie wybranym adresom MAC i/lub IP
    * blokowania dostępu do internetu oraz przekierowaniem użytkownika na stonę z komunikatem administratora
    * calkowitego blokowania programów p2p w wybranych przez siebie godzinach i/lub dniach tygodnia
    * prowadzenia statystyk zużycia łącza dla każdego użytkownika (foto 2) i nie tylko
    * limitu transferu wysłanych i odebranych danych przez komputery w sieci lokalnej - bardzo przydatne kiedy tpsa daje nam limi kilku GB miesięcznie (jak np. w Neostradzie).
    * serwera DHCP (serwer sam przydziela adresy sieciowe komputerom w LANie (moga to byc zawsze te same adresy)).
    * wyświetlenie komunikatu o zapłacie za internet w oknie przeglądarki www (foto 3)
    * wysyłania komunikatów administratora widocznych w przeglądarce www użytkownika (foto 4)
    * Filtracja TTL uniemożliwia podudostępnianie internetu dalej przez naszych użytkowników.
    * śledzenie łącza - serwer wysyla nam maila w momencie podłączenia nowego komputera do sieci, natychmiast mozna wykryc ewentualnych kombinatorów :)
    * ssh - aby można było zdalnie łączyć się z serwerem.


Dodatkowo serwer można skonfigurowac pod kątem:

    * serwer może być w całości zarządzany jednym, czytelnym panelem z poziomu strony www (foto 5)
    * możliwość ustawienia różnych prędkości ściągania/wysyłania przez użytkowników w dzień i w nocy
    * RAID-1 (tzw. mirroring) - dokłada sie do serwera drugi dysk. Wtedy obydwa dyski posiadaja taką samą zawartość (jeden jest "lustrem" drugiego i na odwrót...) co podnosi niezawodność serwera w momencie awarii jednego z dysków.
    * jest możliwość wykonania kopii systemu na płycie CD lub DVD, lub na dodatkowym HDD
    * serwer pocztowy z tzw. uwierzytelnianiem i dostępem przez www
    * serwer ftp
i wiele innych....

Z góry dziękuje za rzetelne opinie

Offline

 

#2  2006-06-15 13:40:30

  Ulter - Użytkownik

Ulter
Użytkownik
Zarejestrowany: 2006-03-15

Re: Co lepsze ? Sprzętowy firewall czy skonfigurowany Debian?

leprze nie jest nic.

ps. jak mozna robić takie błędy?

Offline

 

#3  2006-06-15 14:38:28

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: Co lepsze ? Sprzętowy firewall czy skonfigurowany Debian?

Moim zdaniem lepszym rozwiazaniem jest server debianowy dlaczego?
- mozna go aktualizowac i przystosowywac do zmieniajacyhc ise waruunkow np nowe zagrozenia itp?
- wdrazanie nowych technologi
- brak ogranczen np w liczbie obslugiwanych klijentow czy tuneli itp....
- rozwiazani sprzetowe moga sie zestarzec co moze utrudnic ochrone naszej sieci
- debian jest wilofunkcyjny mozna go skonfgurowac dla konkretnych potreeb i zastosowan

Tylko tu jest uwaga
- najlepiej skonfigurowac debiana samemu ze zrozumieniem wedziec co sie na tym debianie robi by w razie potrzeby szybko umiec usunac usterke
- ewentualnie miec dobrego i zaufanego administratora ktory by sie tym zajmowal i co najwazniejsze byl dyspozycyjny

Offline

 

#4  2006-06-15 19:28:41

  xanax - Członek DUG

xanax
Członek DUG
Skąd: Kraków
Zarejestrowany: 2005-12-27

Re: Co lepsze ? Sprzętowy firewall czy skonfigurowany Debian?

Jak zwykle Biexi ma racje :). Router sisco sprawdza się jeśli potrzebne jest coś na szybko i jest nieskomplikowane. Serwer na debianie jest bardziej elastyczny i ma nieograniczone możliwości ale pochłania więcej czasu no i wymaga wiedzy.

Offline

 

#5  2006-06-15 23:15:56

  Libo - Użytkownik

Libo
Użytkownik
Skąd: Żory
Zarejestrowany: 2004-10-25

Re: Co lepsze ? Sprzętowy firewall czy skonfigurowany Debian?

a ja chcialbym wtracic swoje 5 groszy i stanac troche w obronie rozwiazan sprzetowych :) 
Xanar - nie chce zebys sie obrazil ale chyba masz nikle pojecie o zaawansowanym sprzecie sieciowym szczegolnie Cisco. Po pierwsze jest zasadnicza roznica miedzy PIX'ami a Routerami i nie dokonca poprawne jest  uzywanie tych pojeci zamiennie.  dodatkowo stwierdzenie ze urzadzenia te sa "szybko konfigurowalne i nieskomplikowane" tez raczej swiadczy o tym ze nie miales z nimi za bardzo do czynienia ( jezeli sie myle to sory ale twoje wypowiezi o tym swiadcza )

Waznym pytaniem jest to do czego chcemy wykorzystac nasze urzadzenia ale jednoczesnie nalezy pamietac ze router to nie serwer a serwer to nie router ( mozna probowac z gorszym lub lepszym skutkiem przystosowac jedno zeby dzialalo jak drogie, ale nie bedzie to rozwiazanie sprawdzajace sie w 100% )
Sa dziedziny w ktorych serwery debianwe nie poradza sobie, chodzi tu miedzy innymi o zaawansowany routing z wykorzystaniem protokolow OSPF, EIGRP czy BGP. Oczywisnie istnieja proby napisania odpowiedniego oprogramowania (np. Zebra ), ale rozwiazania sprzetowe sa znacznie wydaniejsze i mniej zawodne.

Co do wypowiedzi BiExi to kto powiedzial ze urzadzena sprzetowe nie mozna aktualizowac ?? Wrecz przeciwnie support takich firm jak Cisco jest znacznie szybszy a reakcaj na wykryte bledy jest praktycznie natychmiastowa. Dodatkowo nie zgodze sie z toba ze na serwerach nie ma ograniczenia co do "liczby obsl. klientow czy tuneli...", zawsze istnieja ograniczenia mimo ze teroetycznie wydaje sie to prawda w praktyce czesto spotykaja nas niemile niespodzianki, dodatkowo mozliwosc dobrych PIX'ow sa naprawde imponujace ( do 500,000 jednoczesnych sesji )
Zaden serwer nie bedzie dzialal wydajnie w roli routera niz specjalnie do tego celu zaporojektowana platforma. 

Kolejna kwestia jest bezpieczenstwo. Platformy na ktorych odpalne jest kilka uslug spelniajacych rozne zadanie jest duzo bardziej podatna na wszelkiego rodzaju bledy w oprogramowaniu i ataki. 

chcialem przedstawic pare zalet rozwian sprzetowych bo one tez takowe posiadaja. jednoczenie jeszcze raz podkreslam ze najwazniejsze jest to do czego takie urzadzenie ma byc wykorzystywane. w malych lub srednich przedsiebiorstwach serwer jest roziwazaniem znacznie bardziej oplacalnycm i spelniajacym wszystkie wymogi jekie takowy zaklad moze miec. jednoczesnie nie do pomyslenia jest zeby duza firma z wieloma siedzibami czy przedsiebiorstow telekomunikacyjne opieralo swoja infrastrukture o same serwery.

pozdrawiam


Nie ma nie idzie... jest nie umiem.

Offline

 

#6  2006-06-16 10:57:33

  BiExi - matka przelozona

BiExi
matka przelozona
Skąd: Gorlice
Zarejestrowany: 2004-04-16
Serwis

Re: Co lepsze ? Sprzętowy firewall czy skonfigurowany Debian?

Libo - tak ale jesli chodzi o rozwiazania sprzetowe trzeba brac pod uwage ich kodzt - zobacz sobie na ceny cisco obecnie produkowanych......
Kolejna sprawa jest taka ze np dla cisco upgrade jest platny
Co do technologii to przy wiekszych sieciach oczywiscie laczy sie ze sobom rozwiazania sprzetowe i programowe to jest raczej oczywiste....

Co do tych ograniczen co pisalam wyzej bardziej chodzilo mi o ograniczenia sprzetowe tzn moc obliczeniowom itp samego uzadzenia :]

Mialam do czyenienia w swojej karieze z Cisco oraz z routerami Nortel'a i nie mowie ze sa one zle, tylko po prostu moim zdaniem jest to rozwiazanie dla firm kotre maja duzyyyyyyyyy zapsas pieniedzy.....

Acha i jeszcze ejdno co do faktu konfiguracji np cisco to tez trzeba miec dosc duza wiedze :]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)