Firewall til min. 10 server

Det er meget svært at råde dig ordentlig med så få oplysninger. Hvilke opgaver skal serverne løse, Hvad er trudslen, er der forskellige klassifikations niveauer osv osd.

Du bør beskytte med en bastions firewall som første niveau 2 (herunder forudsættes at du har en pakke filtrerings router først og sikkerheden er etableret). Denne bastions firewall bør som minimum være stateful inspektion (kan måske være mindre hvis trudselsniveauet ikke er stort og hvis der ikke er fortrolige eller højre klassificerede oplysninger der skal beskyttes),

Lidt afhængig af niveau kan du kikke på.

Smoothwall
Cisco Pix
Checkpoint Firewall 1
Microsoft ISA
Symantec Enterprise firewall.

Samtidig bør alle dine servere beskyttes med en software firewall, her vil jeg uden tøven anbefale BitGuard fra http://www.danwaresecurity.com/

Endelig skal alole servere hardnes alvorligt

Det er primært web-mailhosting server

Hvad siger din risikovurdering.

Hvad koster det dig hvis:

Dine tjenester går ned så dine kunder ikke kan sende og modtage mail (mistede kunder, tab af anseelse osv osv)
Dine kunders mail bliver kompromitteret og andre læser deres mail ((mistede kunder, tab af anseelse osv osv)
Dine kunders mail går tabt og kan ikke retableres (mistede kunder, tab af anseelse osv osv)
Dine mailservere bliver brugt til spam udsendelse
Dine mailservere bliver brugt til opbevaring og viderfordeling af ulovligt materiale, herunder børneporno.

Herefter skal du kikke på hvor stor sandsyneligheden er for at dette sker. Generelt jo flere kunder, jo større sandsynelighed, jo mere kendt din forretning bliver jo større sandsynelig, jo dårligere/mindre din sikkerhed er jo større sandsynelighed.

Disse faktore vil sige dig hvor meget du bør ofre på din sikkerhed.
Jeg vil råde dig til at tage noget uddannelse. F.eks. protego (jeg er selv CPSA certificeret fra protego) udbyder nogle fremravende kurser, herunder mail sikkerhed. se http://www.protego.dk

Dn nem og forholdsvis overkommelig løsning er en Zywall10 (ca. 4000,- ex.moms de rigtige steder)

Den håndtere hele ranges af ip-adresser og en af fordelene er at den - i et range - kan nat'te dit eksterne range ind til en sekvens af private ip's

Den ret skrap med SPI og man kan hvis behovet er der lave 10 samtidige VPN-tunneler i hardwaren.

Du kan lukke for alle porte både ind og ud dvs at alt andet end de nævnte 25,80,110 og evt. 443 kan lukkes begge veje.

Så er der kun sikkerheden i din webserver og din mailserver at bekymre sig om og det er patch på patch på .......

vbcoder >> kør Zywall10 ikke kun 10 Mbps på wan, skal bruge 100Mbps
bufferzone >> både web-mailserveren mener jeg er 99.99 % sikker sat op, men vil gerne ha den ekstra sikkerhed og sætte en firewall op før serverne.

Så er det jo et økonomisk spørgsmål. hvad vil du ofre.

0,- kr. klassen: Smoothwall på en ældre maskine
>30000,- kr Zywall, lille cisco pix
>20.000,- Microsoft ISA
>150.000,- Checkpoint Firewall 1
>250.000,- Symantec Enterprice firewall

Hvis nogen af disse beløb overrasker dig, så husk at der også skal noget konsulent bistand til opsætning eller uddannelse og disse er ret dyre

De nye Zywall10W kører op til 100 på Wan siden

ftp://ftp.zyxel.dk/ZyWALL10W/document/ZyWALL10W_V1_Datasheet.pdf

Jeg vil stærkt anbefale ISA, evt. kan du teste med deres Beta2 som kan hentes fra deres hjemmeside gratis. Dog kan denne kun benyttes i 180 dage. Men den endelige version skulle være på trapperne. RC2 har været i test et stykke tid.
Den opfylder dine krav og er nem at sætte op, hvis man kender lidt til Firewalls. Desuden er den blevet mere intuiativ end forgængeren (ISA2000).

Sonicwall er også et ganske glimrende produkt og findes i mange varianter og prisklasser.

Jeg kan varmt anbefale TrustGate. TrustGate er et dansk produkt som forhandles af Intermate www.intermate.dk
TrustGate er til at komme til for penge + du kan få dansk kursus og support direkte hos intermate.
Se f.eks på deres TG242R eller TG363R modeller. En af dem vil sikkert kunne dække dine behov.