מחפש פתרון Firewall חדש

[TalKorn]

מחפש פתרון Firewall חדש

שלום,

להלן מקרה לקוח, אודה למי שיכול לעזור ולהמליץ על Firewall חדש בהתאם.

טופולוגיה
- רשת משתמשים (200 במספר)
- רשת שרתים (30 במספר, כולם וירטואליים)
- רשתDMZ שמכילה שרת Frontend לאתר שלו
- קו האינטרנט שיש לו הוא 40Mbps סימטרי (Upload ו- Download)
- בתוך הרשת יש לו נפחי תעבורה של כמעט 1 Gbps.

קשיים
ה - FW עמוס עם 90% CPU ו 100% Memory Usage, מה שמשפיע לרעה ומשבש את כל התקשורת באתר.
כך גם התקשורת בין המשתמשים לשרתים, גם התקשרות החוצה לאינטרנט וגם הגישה לאתר שלו.


Wishlist:

הלקוח מבקש שנציע לו Firewall חדש, בתצורה שרידה (היום יש לו מכונה אחת. הוא רוצה שתי מכונות שיעבדו Active-StandBy),
המוצר צריך להיות מוצר מוביל בתחומו, שיתן לו מענה לשכבות הגנה נוספים – כמו IPS, וכן את היכולת לנהל חוקים לפי משתמשים ואפליקציות ולא רק לפי IP ו- Port
שיעמוד בעומס הקיים היום, בלי שהמכונה תהיה עמוסה וגם תאפשר לו גידול עתידי של עד 50%

אשמח אם תוכלו להמליץ על מוצרים העומדים בדרישות, את המשך המחקר אעשה בעצמי

תודה!

 

[DuuGi]

כל המוצרים המובילים יענו על הבקשות

העניין הוא את מי אתה מעדיף.
Juniper SRX
CISCO ASA
FORTIGATE
לכולם יש דגם שיענה על הצרכים שלך, השאלה היא כמה כסף הלקוח רוצה להשקיע ואת מי מהם יהיה לך יותר קל לקנפג.

 

[TalKorn]

אוקיי ו -

תודה DuuGi!
ובהנחה והלקוח לא מחזיק בתקציבים גדולים אך רוצה את הטוב ביותר שהוא יכול להשיג במחיר "שפוי" ובהתחשב בעובדה שהלקוח יצטרך לדאוג לקנפוג בעצמו ורוצה ממני רק "המלצה".... על מי מהם היית ממליץ?

 

[DuuGi]

בהיתחשב בהנחות שלך , fortigate , הממשק הכי נוח לניהול

לגבי דגם אני לא סגור שה200 יספיק לדרישות הגדילה (יש לחברה הזאת נטיה להפריז ביכולות על הנייר) אז הייתי הולך על ה-300.

 

[קולרגול ירחמיאל]

נצל"ש. האם הפורטיגייט VMware Appliance מתאים למקרה הנ"ל?

האם מבחינת כמות משתמשים ועומס, הדבר היחיד שמגביל אותו הוא הברזל שעליו הוא יושב או שיש הגבלה אחרת? כלומר האם יש כמה גרסאות למכונה הויטואלית? לפי מה נקבע שם הרישוי? מישהו יודע סדרי גודל של מחיר?
לא מכיר פורטיגייט ... אני בימים אלה חוקר אותו ועדיין לא הגעתי לתשובה סופית: האם יש אפשרות לקנפג PBR ? להוציא פקטות לאינטרפייס מסויים שנקבע על פי פורט ?

 

[Booster Caputa]

אמנם יקר אבל

אני הייתי ממליץ על Checkpoint

הכי פשוט לניהול על ידי הלקוח

 

[sharonei1]

איזו FW יש כרגע ללקוח ?

אולי העומס בגלל ריבוי רולים כבדים מידיי ?

 

[frolik]

pfsense

בתצורת קלסטר ...

 

[marvin2]

ומה הסיבות לנטישה ?

 

[izackv]

ו PFSENSE לא מסוגל להתמודד עם עומס כזה?

כמה זיכרון מותקן על השרת? איזה כוח עיבוד?
יכול להיות שיש שם בלאגן מבחינת כמות חוקים?
&nbsp
&nbsp

 

[DuuGi]

איך הגעתם ל-PF הכותב המקורי לא עובד עם זה

הוא גם ביקש משהו שהוא מעבר לFW רגיל כי הוא רוצה יכולות סינון .
וחוץ מזה הוא מציין שהוא צריך שזה יתוחזק על ידי אנשים שלא מבינים גדולים ברשתות.
אז אנא קיראו את הדרישות של המבקש לפני שאתם מציעים דברים.

 

[יוזר מחופש]

מה זאת אומרת לא עובד עם זה?

ברור שהוא לא עובד עם זה. הוא מחפש פתרון חדש שיחליף את הקיים.
הוא לא ציין שהוא צריך שזה יתוחזק על ידי אנשים שלא מבינים גדולים ברשתות (לא ש PfSense מצריך ידע גדול אחרי קינפוג ראשוני).
&nbsp
הדבר היחידי שלא מסתדר לי עם PF זה סינון ברמת יוזר AD. ואני לא בטוח שזה לא קיים בצורה זו או אחרת בכל מקרה.
&nbsp

 

[DuuGi]

תקרא שוב את 2 הפוסטים שלו

 

[izackv]

אתה מניח הנחות ומתייחס אליהן כאל עובדות.

זה שהוא כתב שהלקוח יצטרך לקנפג בעצמו לא מצביע על תחזוקה על ידי אנשים שלא מבינים ברשת. להיפך.
לקוח שרוצה המלצה אבל לוקח על עצמו את ההתקנה והתפעול בדרך כלל מבין לא מעט ברשתות.
אחרת הוא היה רוכש שירות.
&nbsp
בשום מקום לא כתוב שמחפשים את הממשק הכי נוח לניהול...
לעומת זאת הם כן מציינים שהמחיר חשוב מאוד.
והם גם מציינים שהבעיה הנוכחית היא בעיית משאבים.
&nbsp
מתוך הדרישות שלהם,
מבחינת מחיר, PFSENSE כנראה זולה יותר מהפתרון שאתה מציע.
היא תומכת בשרידות, תומכת בדרישות המשאבים, ניתנת ללימוד בצורה לא מורכבת מדי.
לגבי יכולות IPS/IDS, יש לה מספר פתרונות/פלאגאינים שאפשר להוסיף עליה בעלות דומה מאוד לעלות המקורית של רכיב התוכנה שלה.
&nbsp
לגבי תמיכה בקישור ל AD
כאן צריך להבין את הצורך האמיתי ולבחון את רכיב הפרוקסי.
סביר להניח שמה שרוצים זה למעשה שרת פרוקסי שיודע להבחין בין המשתמשים.
וסקוויד, שמגיע גם כפלאגאין, יכול למיטב זכרוני להתחבר ל AD ולעשות את זה.
&nbsp
--
אז תודה על הבקשה לקריאה לפני שמגיבים.
הבקשה/המלצה נכונה תמיד.
רק לא ברור לי למה הפנית אותה אלי במקרה הזה.