» Hardware Firewall - Аппаратные фаерволы

Hardware Firewall - Аппаратные фаерволы

Производители и решения

Cisco
Cisco PIX 500 series
Cisco ASA 5500 series

Juniper
Juniper Networks NetScreen-5 Series
Juniper Networks SSG 5/SSG 20
Juniper Networks NetScreen-25/NetScreen-50
Juniper Networks SSG 140
Juniper Networks NetScreen-204/NetScreen-208
Juniper Networks SSG 300 Series
Juniper Networks SSG 500 Series
Juniper Networks NetScreen-500 / NetScreen-500 GPRS
Juniper Networks ISG Series / ISG Series GPRS
Juniper Networks NetScreen-5200/NetScreen-5400

Check Point
VPN-1 Power
VPN-1 UTM
VPN-1 UTM Power
VPN-1 Power VSX
FireWall-1 GX

SonicWall
SonicWALL TZ Series
SonicWALL PRO Series
SonicWALL TZ 170 Series


NetGear
Netgear ProSecure UTM150 - Unified Threat Management

Clavister
Clavister E7

D-Link
D-Link DFL Series
D-Link DSR Series



Обзоры



Родственные темы

Лучший файерволл firewall
Настройка персональных файерволов (firewall rules)

я думаю, что такая тема уже была. но всё же.

За всю свою короткую жизнь не встречал firewall'а лучше чем MS ISA Server. А из аппаратных - Watchguard.com (особенно хорошо в этом случае имеет место быть соотношение цена/качество/кол-во фич/юзер-лицензий).

Не понятео про "возможно пополняемую базу вирусов", но исходя из того, что тебе требуется DMZ, начинай смотреть модели, начиная от Firebox-500 и выше.

Так же очень распространены Sonicwall'ы - тебе, думаю, подойдет модель PRO230 и выше. Но по моим собственным наблюдениям, а также судя по откровениям reseller'ов - SonicWall'ы доставляют проблемы. Сами reseller'ы советуют брать WatchGuard не смотря на то, что WatchGuard может выйти чуть дороже (а может и нет! все зависит от требуемой конфигурации)

А критиковать твои найденные решения не буду - если подходить комплексно (цена/возможность приобретения, простота и надежность работы, стоимость-длительность тех.поддержки, продление гарантийного обслуживания, место проживания и т.д.), то я дальше Watchguard уже даже не смотрю. И, нада признацца, довольно давно

вообще-то не советую ни один, но

Цитата:

D-Link Firewall

- лучшче пристрелите сразу. чтобы не мучался..

в процессе работы просто пропадает внешняя сетка-появляеться после рестарта, не говорю что именно эта модель - точного названия не помню - но какая разница

cisco pix 515E

В сторону Netscreen тоже можно посмотреть, но про "аппаратный firewall" и обновление баз по вирусам я если честно не понял...

http://www.netscreen.com

По цене не шибко дорогие, а народ пользует и не нарадуется. Вроде как выбрать можно для сетки любого размера.

Цитата:

А обосновать?

Цитата:

The Cisco PIX 515E Firewall intended for Small-to-Medium Business and Enterprise environments, provides up to 188 Mbps of firewall throughput with the ability to handle as many as 125,000 simultaneous sessions. Certain PIX 515E models includes stateful high-availability capabilities, as well as integrated support for 2,000 IPsec tunnels. The PIX 515E provides a modular chassis with support for up to six 10/100 Fast Ethernet interfaces

new_yorik
А у тебя дока есть по нему А то надо бы мне его прикрутить, а что он умеет я пока не знаю.

по поводу firewall-ов от Cisco
почитать можно вот тут

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/index.html

Cisco не панеацея, но они широко распространены, сертифицированы ГосТех комиссией и т.д.

насчет бюджета, 515 шасси обойдется вам примерно в 8-10 тыс $.

EveryonE
у меня все есть.

Из самых бюджетных - семейство SMC Barricade. NAT, DHCP и прочее. функциональность не шибко крутая, но весьма безглючная железка - у меня 3 года уже в необслуживаемом режиме живет, и вроде проблем нету.
http://www.smc.ru/products/wideband/

trisen

Цитата:

насчет бюджета, 515 шасси обойдется вам примерно в 8-10 тыс $.

где это такие цены год назад брал за 4 тыс. $

Цитата:

Про пополняемую базу:

http://www.dlink.ru/technical/faq_firewall.html

Спасибо всем за азимуты, буду копать дальше.
Если у кого ещё возникнут какие наблюдения из жизни файрволов -- всегда рад послушать. Да, по поводу бюджета -- до штуки. По-сему киски отпадают :о(

demonstalker
Cisco PIX 501 этот помоему 300-400 баксов с 10 лицензиями стоит. на остаток лицензий купить и как раз

Закралась крамольная мысля: если смена числа лицензий у Циски (и не только) -- суть заведение аппаратнонезависимого ключа, значит существуют манёвры по улучшению жизни?.. Существуют куйгены и прочие маленькие хитрости?.. Это я так, для общего кругозору :о)

Cisco PIX 501 нету DMZ и вообще это SOHO firewall. Если уж очень охота поиметь PIX то стоит наверно посмотреть на 506 тогда...
Но я бы рекомендовал CP-1 например вот такой http://www.checkpoint.com/products/connect/vpn-1_edge.html
ну или Netscreen хотя у него тоже багов и глюков немало.
А всякие детские поделки лучше не брать так как большинство это linux/iptables+web.Проще такое самому собрать.

kroka
да ну. там полноценный иос стоит, хотя конечно по производительности можно и сохо назвать, но по возможностям он далеко не сохо.

new_yorik

Я же говорю в 501 нет DMZ.

kroka
так и в 506 вроде нет

И всё же, имею честь доложить, что решения от WatchGuard будут все-таки несколько эффективнее предложенных выше. Это касается как функциональных, так и стоймостных показателей.

Вот, к примеру, сравнение WatchGuard Firebox X и моделей файерволов от:
Cisco
Fortinet
NetScreen
SonicWALL
Symantec

CISCO
WatchGuard Firebox X vs Cisco: Model comparison
Firebox X version Cisco

так же небольшой обзор решений от WatchGuard появился на Ф-Центре. если кому интересно:

http://www.fcenter.ru/articles.shtml?interview/9603

Насчет WatchGuard. Есть у меня старинный приятель один, он сейчас технический директор и, по сути, главный сисадмин в одном местном ISP. Сидит под линуксом уже много лет. Ну так вот, пришел я к нему где-то с месяц назад по какому-то делу и получилось так, что я его разбудил. 8-O Оказалость, что какой-то клиент притащил ему этот FireBox (модель точно не помню) и он провозился с ним целую ночь -- что-то там не получалось. Короче, утром он высказал некоторые свои мысли насчет этого FireBox и его создателей. В общем, я пришел к выводу, что брать такой девайс, мягко говоря, не стоит. Внутри это ни больше, ни меньше, чем обычный линукс на слабом железе. Причем ядро по-моему 2.0. Я не говорю, что линукс в чем-то плох, нет. Но настоящий индеец может при желании сам собрать себе такой WatchGuard не особо напрягаясь, включая LCD и Flash-диски, IMO, что будет в несколько раз дешевле, как минимум. Времени, конечно, больше на это уйдет, само-собой, но тем не менее... Может я и ошибаюсь, конечно. Интересно было бы услышать противоположные мнения.

да, всё верно, у меня у самого такой дивайс дома валяется (Firebox II, официально уже не поддерживается компанией-производителем) - внутри почти обычная motherboard, CPU (вроде Intel 200MHz, но кулер без вентилятора, зато сбоку их воткнули аж два - прогоняют воздух внутри ящика), блок питания, PCMCIA-слот, 2 флашки, светодиоды (типа в качестве LCD ).

основная система грузится на флашку A, флашка B - как бы временная, в основе Linux, и тд, и тп.

на данный момент с выпуском серии Firebox X ситуация не изменилась, внутри всё тот же Linux, тот же Manager для настройки, управления, вывода логов и отчетов (разве что проц воткнули на 1GHz (если не быстрее), довели количество сетевух до 6, встроили полноценный ЖКИ), всё крайне просто и надежно работает: то бишь типичное аппаратное решение - при сравнении альтернативных аппаратных вариантов каждый желающий сможет воочию убедиться, что линейка Firebox X на высоте (это не реклама - я на них, слава богу, не работаю )

вожусь с файерволами довольно давно, разные побывали в руках, были проблемы и с Watchguard, но с выпуском последних версий "прошивок" и самой аппаратной части Firebox X нерешаемых проблем нет, а, учитывая стоимость и крайне высокий уровень тех. поддержки, нередко имеет смысл приобретения именно Watchguard.

имеем дело с fortigate, очень интересная железка, простая в управлении, имеет интересную фичу как виртуальный домен, может работать как в Layer 3 так и Layer 2 режиме, имеет встроенный AV, content checking. А так в целом все предлагают свои продукты по примерно одинаковой цене, и в зависимости от фич и глючности железки эта цена может немного варьироваться

Цитата:

имеем дело с fortigate

извеняюсь что не втему (поиск не выявил других тем с fortigate)
случайно отформатировал через консоль fortigate-60 может у кого есть прошивка ?
спасибо

Мож я не по теме. У меня есть ADSL-роутер... хочу воткнуть его в какой-нибудь хардварный фаерволл и раздавать интернет.. контроллируя ип... ну и мак желательно. посоветуйте что-нибудь крайне дешевое.. хочу избавиться от шлюза в виде компа.. шум достал

Таки не по теме - здесь обсуждается специализированное железо и специализированный софт, который и напичан для этого железа

З.ы. у меня асус wl500gp с прошитым xwrt
Контролировать можно просто - забить статическую таблицу мас-адресов и поставить в автозагрузку. Для дома хватит

Из разряда совсем дешевых (25$)DLink DIR 100 (аналог di604)
Интерфейсы LAN
4 порта 10/100BASE-TX Ethernet
Все порты поддерживают автоматическое определение полярности MDI/MDIX
Все порты поддерживают управление потоком 802.3x (полнодуплексный режим) и back pressure (полудуплексный режим)
[more]
Поддержка VPN
PPTP pass-through
IPSec pass-through
L2TP pass-through

Функции Интернет-шлюза
Преобразование сетевых адресов (NAT)
DHCP-сервер (для автоматического назначения параметров IP)

Управление доступом пользователей
Фильтрация MAC-адресов
Фильтрация IP-адресов

Межсетевой экран
NAT (преобразование сетевых адресов) с VPN pass-through
SPI (Stateful Packet Inspection)
Защита от атак DoS (Denial of Service)

Фильтрация Web-сайтов
Фильтрация URL-адресов

Настройка и управление
Мастер по быстрой установке
Через Web-интерфейс с использованием Internet Explorer v.6, Netscape Navigator v.7 или другого браузера с поддержкой Java
Dynamic Domain Name System (DDNS)
Соответствует стандарту Universal Plug and Play (UPnP)
Поддержка Network Time Protocol (NTP)
[/more]
Правда нат т.сказать неуправляемый - тупо задаются две сетки внешняя и внутренняя и наттится аватоматом между ними . Об dnate речи никакой
Самое то чтобы дома 2-3 компа к инету подрубить

добрый...
ребят, посоветуйте...
нужен железный фаер, для небольшой конторы, примерно 10 машин...
а фаер желательно аналог kerio winroute firewall, просто его накладно ставить для такого количества машин, нужно, что-нить железное, если оно будет настолько же функционально - просто супер...
спс...

Появилась задачка выбора комплексного решения для будующего хостинга своих серверов:
Sonicwall - интересные с виду такие устройства, не работал, купленно Dell. С виду ребята серьёзные. Дорогие.
Mikrotik - интересно может быть только СloudСoreRouter, но у них хватает своих граблей со стабильностью, поддержкой и документацией. Цена пока неизвестна.
Cisco - используем Cisco ASA 5510.
NetGear - после работы с NETGEAR FVX538 смотреть в их сторону не хочется.
FortiGate - интересные с виду решения с хорошей производительностью. Дороги.
Juniper - был опыт с NS50, сейчас даже незнаю что там смотреть.
CheckPoint - незнаю что смотерть даже там

Из своего опыта и вождением жалом по Северной Америке, т.е. тенденция (отсекая все остальные решения):

Sonicwall – дорого, но оно того стоит для таких маленьких контор, как Вы описали. За хорошееи качественное (включая сервисы UTM) нужно платить. Я знаю несколько контор-контракторов, которые полностью сажают своих мелких клиентов на Sonicwall.

Juniper – дорого для маленьких контор, но для чуть большего количества ю-зверья – в самый раз. SRX 210. Вообще присмотритесь к Juniper – не так дорого и более человечнее, чем Cisco. Для маленьких контор – GUI, для контор с ростом и сателлитами – командная строка (то, что можно сделать в командной строке занимает 3-4 строчки, то же через web interface – 10-12 строчек). Стабильность, гибкость.