06. maj 2002 - 16:05Der er
10 kommentarer og 1 løsning
Firewall i firmanetværk - fast linie til nettet
Har kigget på: Zyxel Zywall Symantec Enterprise Firewall Cisco PIX
Har lige modtaget en prisliste fra Symantec Symantec Enterprise Firewall (SEF) med VPN 1 server op til 25 brugere - 25.300 kr.
og det samme hos Zyxel og Cisco. Hvad betyder det at man kan sætte en server på og 25 brugere? Hvis jeg nu i dag kører mit netværk gennem en proxy server, så vil der vel kun være 1 bruger (og evt. en server der står før proxyserveren? (så kan jeg vel godt nøjes med det mindste produkt)
Hvad skal man vælge af løsning: 6 servere (2 skal kunne ses fra internet - web-servere) og ca. 40 brugere
Det har nogem med hastighed at gøre, hvis du køber en zywall 1 til en bruger og sætter den til et nærværk med 25 brugere vil den dø under arbejdspredset. Du skal huske at statefull inspektion betyder at firewallen holder styr på al kommunikation ud og ind. Med 25 brugere er der noget mere samtidig kommunikation. Din firewall skal dimmentioneres efter antallet brugere for at kunne k´lare arbejdspredset
Og skal sådan en firewall ikke opdaters? jeg kan se den seneste opdatering fra fx zyxel går tilbage til januar måned - jeg troede den skulle opdateres oftere for at kunne modstå nye angrebstyper?
Det betyder begge dele, normalt er det antallet af porte eller ltallet af samtidige connections, men det har mindst lige så meget med kapasitet at gøre, Zywallen er en intiligent boks, det kræver mere intiligens at håndtere flere brugere. Jeg vil ikke anbefale dig at bruge den lille version, selvom det teknisk kunne lade sig gøre gennem en proxy
jeg forestiller mig også zywall 100 i dk og zywall fra udlandet og ind mod mig Zywall 100 er vidst også den eneste af deres produkter med DMZ for placering af web-servere m.v.
Lige et par kommentarer: SEF er en 'hybrid firewall' - dvs at den kombinerer Application Proxy begrebet med Stateful Inspection. Det betyder blandt andet at SEF stoppede NIMDA angreb, hvor imod firewalls der kun bruger Stateful Inspection teknologien, vil lade uønskede objekter passere lige igennem. (spørg løs hvis du vil have en mere teknisk forklaring)
Antallet af 'brugere' er som regel baseret på antallet af IP adresser i brug på INDERSIDEN af firewall'en. Visse producenter kræver så yderligere licens til VPN klienterne, men det er ikke alle. Det med IP adresserne kan godt være en fælde, for nogle servere bruger f.eks. 2 eller flere adresser, og printere og kopimaskiner bruger typisk også IP adresser. De skal også tælles med...
Nu vil jeg nødigt sidde og lave alt for meget reklame herinde, men såfremt du er interesseret i at høre lidt mere om firewalls (primært SEF), så skriv lige tilbage. Undertegnede lever af at sælge sikkerhedsløsninger :-)
sgatke: jeg er bestemt interesseret i yderligere info...
Hvordan kan Firewallen egentlig aflurer hvor mange IP adresse jeg har hvis min opbygning er
firewall -> mine internet servere - burde tælle det antal ip numre serveren har min Proxy server - burde tælle 1 ip nummer Herinde adskillige maskiner bag proxy altså.
Hvis jeg har forstået dit setup korrekt, så vil du kunne "snyde" firewall'en med hensyn til antallet af IP adresser. Desværre vil det skære en stor del af sikkerheden væk, fordi du nu kun kan have den samme regel for alle interne brugere. (man kunne f.eks. forestille sig at det kun var de tre personer i økonomiafdelingen der skulle have adgang ud på nogle givne porte til deres bankprogram).
Jeg kan sagtens se idéen med at spare lidt på licensbudgettet på den måde, men vi har altså erfaring for at det kan give udfordringer når skidtet skal konfigureres - ikke kun pga de enkelte brugere, men også NAT (adresse konvertering) vil kunne give problemer hen ad vejen.
Du skrev ovenfor at du har 2 servere der skal kunne ses fra Internettet. Det betyder at du også skal kigge på om den firewall du vælger, har mulighed for én eller flere DMZ ben, og hvordan de håndterer dem.
kan SEF håndtere flere servere i DMZ? og kender du priserne - den prisliste jeg har medtager kun 1 server hele vejen ned
Faktisk kan jeg sagtens få brug for 7-8 servere i denne zone. Men hvad er det lige der er i DMZ - jeg synes at ha lavet noget for nogen engang og de havde da web-/mail-server bag deres firewall (som jeg forstod det)
Forklaring på DMZ: En firewall har i hvert fald to 'ben' (network interfaces). Det ene bliver brugt ud til Internettet (kaldet det externe ben), og det andet bruges ind til ens eget netværk (kaldet det interne ben). Hvis man nu hoster sin egen webserver, så skal man naturligvis tillade HTTP trafik udefra Internettet og ind på ens netværk. Desværre er en webserver sjældent 'sikker', så hvis en person får hacket webserveren, så har vedkommende jo fri adgang til resten af netværket. Derfor er det interessant at placere "offentlige" servere på et seperat netværks segment - dvs på en DMZ. Hvis ens server så bliver hacket, så har personen ikke adgang til resten af ens netværk.
(sjov øvelse at skulle forklare uden hjælp af PowerPoint :-) Håber det var forståeligt)
SEF kan, afhængig af hvilken platform du ønsker, håndtere et meget højt antal DMZ (så vidt jeg husker er det omkring 16 på Win2000, vist nok 64 på Solaris). Det er dog ikke sikkert du behøver så mange. Har du f.eks. 2 almindelige webservere, så er det sikkert ikke nødvendigt at sætte dem på hver sit ben.
Med hensyn til Symantec prislisten, så hentyder '1 server, 50 users' til at man må installere SEF på én maskine med max 50 interne IP adresser. Det betyder altså intet om det er servere, arbejdsstationer, printere eller kaffemaskiner der er på indersiden.
Da jeg sidder i distributionsleddet, kan jeg kun give dig de VEJLEDENDE priser. En SEF + VPN til 50 IP adresser koster 54.700 kr. excl. moms. Hertil skal du lægge ca. 9.850 kr. i årlig vedligeholdelse samt prisen for en server med Windows NT/2000 Server licens til.
Alternativt, hvis du kan 'nøjes' med 4 ben (altså to DMZ), kan du købe en 'VelociRaptor'. Det er en SEF som leveres i en færdig appliance box som ikke kræver nær så meget vedligeholdelse som en NT/2000 installation. En VelociRaptor med VPN til 50 IP adresser, koster ca. 41.700 kr. - det vil sige den er væsentlig billigere end en NT/2000 løsning, men til gengæld er den begrænset til 4 network interfaces.
Pheeew, det blev en længere smøre :-)
Hilsen Sgatke
P.S. Alle nævnte priser er vejledende, excl. moms og forsendelse, og er med forbehold for fejl og ændringer.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
