Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Hardverski vs softverski firewall

[es] :: Enterprise Networking :: Hardverski vs softverski firewall

Strane: 1 2

[ Pregleda: 7495 | Odgovora: 21 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Too furious

Član broj: 51350
Poruke: 80
*.dynamic.isp.telekom.rs.



Profil

icon Hardverski vs softverski firewall26.03.2010. u 08:59 - pre 170 meseci
Pozdrav.

Radim kao sistem administrator u firmi u kojoj planiramo postavljanje računarske mreže za oko 80 računara. Planiramo uzimanje CISCO opreme, tj. rutera i svičeva. Jedna od dilema je da li uzeti hardverski i softverski firewall. Dvoumim se između CISCO ASA5510-BUN-K9 i Microsoft TMG ISA servera. ISA server je jeftiniji za oko 500 evra.

S obzirom da nemam puno znanja o prednostima, odnosno manama jednog i drugog hteo sam da zamolim da mi neko vas preporuči koje bi mi rešenje bilo bolje. Ono što mi je, osim bezbednosti, bitno je da mogu kontrolišem koje sajtove/servise korisnici mogu da koriste, šta da downloaduju, da imam uvid u to koje sajtove posećuju itd...
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Hardverski vs softverski firewall26.03.2010. u 09:20 - pre 170 meseci
Moj glas ide za ASA-u. Prvo - bezbedniji je jer garantovano fails open, tj. ako se nesto desi (pokvari, sta god), ne moze doci do upada. Drugo, ima mnogo manje problema u proslosti, trece ima veci uptime i konacno ASA ima jednostavno manje sta da se "pokvari". Za ISA-u moras da imas server, pa moras da imas Windows OS, pa ISA-u, sve to ima svoje probleme... Ovako uzmes jednu spravu i miran si.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

Too furious

Član broj: 51350
Poruke: 80
*.dynamic.isp.telekom.rs.



Profil

icon Re: Hardverski vs softverski firewall26.03.2010. u 09:38 - pre 170 meseci
Zahvaljujem.

Zaboravio sam da napomenem da bi se ISA nalazio na serveru i Windows OS koje svakako moram da imam (zbog nekih drugih stvari).
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Hardverski vs softverski firewall26.03.2010. u 09:42 - pre 170 meseci
Tim pre. Jako je losa ideja da firewall stoji na istom serveru kao jos neki servis.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

andrija.panic
Beograd

Član broj: 62161
Poruke: 78
*.static.isp.telekom.rs.



+1 Profil

icon Re: Hardverski vs softverski firewall26.03.2010. u 10:01 - pre 170 meseci
Hm...evo i moje 2 pare, sto bi rekli na americkim forumima:

@ nkrgovic

ISA/TMG - ako se stopira iz nekog razloga servis (sto mi se nije desilo u prethodne 3 godine), ISA je kompletno blokirana u smislu protoka - "fails open"

ISA ima milion i jedan feature koji nema 90% drugih uredjaja (ne poredim ga direktno sa Ciscom koji je pomenut).

Nadgledanje aktivnih konekcija je lepota, isvestavanje (reporting) je tako detaljno, da mozes da pravis bukvalno statistike i da vidis koji user ide gde,...itd.itd.itd znaci reporting je majka, nisam siguran kako to radi na Ciscu.

Za ove 3 godine, nisam imao ama bas nikakvih problema, a publishing nekog sajta pod tim i tim imenom, da se rutira na tu i tu adresu sa tim i tim uslovima....toliko detaljno... nema sanse... (samo nemoj da instaliras crackovan GFI Web Monitor, jer moze da ti obori ISA server :))))))))))))

ISA vrsi pred-autentifikaciju (da ne prevodim sa engleskog), vrsi inspekciju HTTPS saobracaja (tacnije TMG, po sistemu man-in-the-middle) i ima jos tone i tone feature-a koji ostali firewalli nemaju ni izbliza, URL filtering, itd

Naravno, nista nije savrseno, ali je management ISA/TMG-a verovatno x puta laksi/brzi od velikog broja drugih firewall-a..

Imas trial, probaj pa vidi kako ti se cini...


Pozz

P.S. slazem se da generalno ne bi trebao da drzis nista posebno pametno osim ISA/TMG na tom serveru, to je ipak Firewall/VPN/Proxy itd...mozda neki eventualno slican proizvod, kao GFI Web Monitor, koji neverovatno dobro dopunjuje ISA server, zlo i naopako kako radi - samo nemoj da koristis crackovanu varijatnu, dobices pretnje putem emaila direktno od GFI-a - iskusio u mojoj firmi :)))


[Ovu poruku je menjao optix dana 28.03.2010. u 15:35 GMT+1]
 
Odgovor na temu

srndach

Član broj: 58095
Poruke: 242
212.200.85.*



+2 Profil

icon Re: Hardverski vs softverski firewall26.03.2010. u 10:32 - pre 170 meseci
Cisco ...
ISA nam pravi nevidjene probleme ...
Narocito sa VPN ...
Valjda bas zato sto je nakrcana opcijama ...
Sa Ciscom sam jedino imao probleme sa prasinom u ventilatorima ... na 2950 ...
Ali to nije tema ...
U svakom slucaju, ne verujem softverskim resenjima, pogotovo kad dolaze i MS kuhinje ...

Cisco ASA5510-SEC-BUN-K9 sa security plus licencom jos bolje resenje ...

Mada, s obzirom da se tek "kucis" razmislio bih i o novoj seriji Cisco ISR G2 rutera ...
Imaju servisne module, koji mogu da ti rade kao Windows ili Linux ili ...



[Ovu poruku je menjao srndach dana 26.03.2010. u 18:06 GMT+1]
 
Odgovor na temu

Too furious

Član broj: 51350
Poruke: 80
*.dynamic.isp.telekom.rs.



Profil

icon Re: Hardverski vs softverski firewall26.03.2010. u 10:49 - pre 170 meseci
U predlogu rešenja koje sam dobio, osim pomenutog firewall, stoji i CISCO ISR ruter druge generacije. A planiramo i VPN.

Dakle, do sada 2 points ASA, 1 point ISA. Evrovizijski :D
 
Odgovor na temu

gandalf
Goran Raovic
senior network engineer
Belgrade

Član broj: 52
Poruke: 248
89.216.33.*

Jabber: goran.raovic@gmail.com


+44 Profil

icon Re: Hardverski vs softverski firewall26.03.2010. u 11:20 - pre 170 meseci
cao,

da i ja dam moje misljenje na temu, imam solidnog iskustava sa ASA firewall-om i dosta slabijeg sa ISA fw-om. Moje misljenje je da ti ASA fw igra ulogu ako hoces veliki broj ipsec konekcija ili web ssl (vpn) i ako ti treba obican l3/l4 firewall, sto se tice ISA firewall-a meni su sva ta softwerska resenja .. bzvz, iz prostog razloga sto se oslanjaju na sigurnost o.s-a koji ih hostuje. Po meni najbolje ti je resenje da uzmes neki firewall novije generacije koji nudi content filtering i application recognition. Ja licno imam iskustva sa paloalto firewall-ima od istoimene firme i za to sto tebi treba po meni oni su mnooogo bolje resenje i od ISA i od ASA firewall-a.


P.S i naravno od ISR-a (g2).. koji ne uzimam za ozbiljno kao firewall..



 
Odgovor na temu

srndach

Član broj: 58095
Poruke: 242
212.200.85.*



+2 Profil

icon Re: Hardverski vs softverski firewall26.03.2010. u 11:22 - pre 170 meseci

Dobro se raspitaj za ISR G2 ...
Ima i imace opasan set funkcija, harverski realizovanih ...
Sto se tice VPN ...
Velik broj Cisco strucnjaka je proporucio da se VPN konekcije terminiraju na ruterima, a ne na ASAma ... ali kod nas to nije bas izvodljivo, prosto nemamo rutere na svim udaljenim lokacijama ...
ASA je ipak i prevashodno firewall ...
U svakom slucaju, nova generacija rutera je vrlo interesantna, a ruteri provereno dobro rade kao FW ...
 
Odgovor na temu

Too furious

Član broj: 51350
Poruke: 80
*.dynamic.isp.telekom.rs.



Profil

icon Re: Hardverski vs softverski firewall26.03.2010. u 11:42 - pre 170 meseci
Zahvaljujem na odgovorima. Koliko vidim, ipak je bolja opcija hardverski FW. Naročito, jer bih za ISA morao da kupujem dodatni server, licencu za Windows OS...
 
Odgovor na temu

dragancili

Član broj: 255391
Poruke: 73
91.150.114.*

Jabber: dragancili@gmail.com


+2 Profil

icon Re: Hardverski vs softverski firewall26.03.2010. u 13:49 - pre 170 meseci
Ako bih morao da biram dao bih svoj glas ASA uredjaju bez dvoumljenja. Eventualno radi jos bolje optimizacije 2900 ISR G2 serija sa Security bundle-om na sebi za sve-i VPN, routing i sve ostalo...ali ako bih mogao da napravim resenje na taj postojeci server bih postavio ESXi free hipervizor, na njega virtuelni Windows server koji ti vec radi sta god da treba da radi a druga virtuelna masina bi bila CentOS Linux sa firewall funkcionalnoscu. I pokrio si sve uz super ustedu u lovi plus sve mora da radi kao sat :)...
Dragan
 
Odgovor na temu

cyBerManIA
I ovo T ono
Space

Član broj: 25195
Poruke: 698
109.106.245.*

Sajt: www.facebook.com/cyberman..


+263 Profil

icon Re: Hardverski vs softverski firewall26.03.2010. u 16:41 - pre 170 meseci
Moj predlog ide Cisco-u..
Hardware-rski je, mnogo manja verovatnoca da se izbaguje, usled kvara
Isa nisam koristio, tako da ne mogu s sigurnoscu da govorim, ali MS resenja mi ne ulivaju neku preveliku sigurnost i stabilnost..

@ Svi, jel neko koristio kerio winroute firewall, kao resenje za firewall, vpn server... ?
Cisto me interesuju vasa misljenja o njemu..
Ja ga koristim vec duze vreme, i u potpunosti sam zadovoljan njime..

Veoma se lako podesava inbound & outbound traffic.Dozvoljeni traffic moze da se skenira nekim AV Enginom (Avast!, Avg, ClamAv, DrWeb, NOD32, Sophos, mozda i KAV).U realnom vremenu prikazuje sve aktivnosti u mrezi, naravno i loguje sve to.Limitira bandwidth, poseduje load balancing kao i connection failover. VPN.. itd..
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Hardverski vs softverski firewall27.03.2010. u 21:24 - pre 170 meseci
Citat:
andrija.panic
ISA vrsi pred-autentifikaciju (da ne prevodim sa engleskog), vrsi inspekciju HTTPS saobracaja (tacnije TMG, po sistemu man-in-the-middle) i ima jos tone i tone feature-a koji ostali firewalli nemaju ni izbliza, URL filtering, itd

A da ti ovo malo pojasnis?

Kako se vrsi inspekcija https saobracaj? man-in-the-middle ? O cemu ti pricas? Sta, ISA ima tehnologiju koja je razbila enkripciju ???
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

gandalf
Goran Raovic
senior network engineer
Belgrade

Član broj: 52
Poruke: 248
*.adsl-1.sezampro.yu.

Jabber: goran.raovic@gmail.com


+44 Profil

icon Re: Hardverski vs softverski firewall27.03.2010. u 22:23 - pre 170 meseci
hmm.. mozda nesto u fazonu klasicnog man-in-the-middle napada ..
- presretne https saobracaj u toku uspostavljanja sesije (dok jos nije https)
- u ovom trenutku se vidi url kom korisnik pristupa
- ona kreira https konekciju sa udaljenim serverom, a klijentu prezentuje svoj ssl sertifikat koji dinamicki kreira za domen koji je klijent trazio i taj sertifikat potpise interno isa sa svojim CA serverom. A njen CA sertifikat sa kojim potpisuje certifikate koji se prezentuju klijentu ubaci u klijentski windows preko neke ad polise ..?!

pretpostavljam da bi nesto ovako bilo moguce.. pogotovu sto ISA fw moze poprilicno dobro da se integrise sa AD-om.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Hardverski vs softverski firewall27.03.2010. u 23:52 - pre 170 meseci
Moguce je ali ja bi bio zesce pissed da meni to proba da uradi... Da ne zelim nesto kriptovano, ne bi to gurao kroz SSL.

Da ne spominjem da to sprecava korisnika da zna KAKAV je SSL sertifikat udaljenog sajta.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

gandalf
Goran Raovic
senior network engineer
Belgrade

Član broj: 52
Poruke: 248
*.adsl-1.sezampro.yu.

Jabber: goran.raovic@gmail.com


+44 Profil

icon Re: Hardverski vs softverski firewall28.03.2010. u 00:27 - pre 170 meseci
Pa i bice kriptovano na delu mreze koji je nesiguran. Ovo je prvenstveno namenjeno enterprise korisnicima gde je bitnije da ne dovlacis nedozvoljeni sadrzaj kroz https sesiju nego da imas privatnost..
 
Odgovor na temu

markovm
Srbija

Član broj: 11886
Poruke: 207
*.dynamic.isp.telekom.rs.



+14 Profil

icon Re: Hardverski vs softverski firewall28.03.2010. u 10:09 - pre 170 meseci
Citat:
A da ti ovo malo pojasnis?

Kako se vrsi inspekcija https saobracaj? man-in-the-middle ? O cemu ti pricas? Sta, ISA ima tehnologiju koja je razbila enkripciju ???


Ovo radi i cisco (sa ironportom sigurno), AFAIK generalno svi koji reklamiraju https inspekciju, rade na nacin koji je opisao gandalf tj. dve SSL sesije (od klijenta do "FW-a" i od "FW-a" do remote HTTPS servera). Mislim da kada iniciras SSL sesiju (kao klijent) dobije upozorenje da ce biti splitovana na dva dela, i takodje cak mozes da definises kakojim remote sajtovima uopste mozes da pravis SSL.

Poz,
Milenko.
...jer tako smo u mogućnosti.
 
Odgovor na temu

andrija.panic
Beograd

Član broj: 62161
Poruke: 78
212.200.65.*



+1 Profil

icon Re: Hardverski vs softverski firewall28.03.2010. u 12:14 - pre 170 meseci
Bravo Gandalf,

da, dobro si objasnio u principu - http://www.microsoft.com/foref...nt-gateway/en/us/features.aspx , pa ko zeli da pogleda...

@ nkrgovic
Ako sam dobro upucen, ti si CCIE guru (ili to bese Gandalf :), tako da razumem tvoj razmisljanje, i slazem se da je CISCO, CISCO i glupo ga je porediti sa nekim soft resenjima. Ali za 1600$, tesko da mozes da dobijes sve feature-e koji dolaze uz ISA, tj novi TMG (Threat Management Gateway, novo ime za ISA server).

Drugo, takodje razumem zasto ljudi ne vole MS resenja (pare, pare, pare... kao i bug-ovita istorija raznih softvera), ali mislim da ne treba previse da osudjujete MS, da nije njih, ko bi gurao opensource zajednicu da pravi kvalitetniji, gui-orijented software itd..., koliko update-e firmware-a hardware-a radi pod linuxom ??? Vecina pod DOS okruzenjem.. no to je druga tema, da ne skrecem...

Kvalitet nekog mreznog uredjaja/servera/storage-a, lezi 95% u njegovom software-u, po meni. Naravno podrazumeva se neka hardware-ska stabilnost i brzina, itd...a windows (serverska varijanta) je dosao do tako zrelog nivoa, da je to bruka (2008 i 2008 R2)... napucan sa featurima i radi zlo dobro... i kao takav predstavlja jako dobru osnovu za neke serverske proizvode...

Ko nije radio sa MS serverskim proizvodima, normalno je da ga ne voli i da ne zna sta je sve MS u mogucnosti... ne kazem da je MS bogom dan za sve i svasta...daleko od toga... Ja licno radim i sa Hyper-V, ali nikada preodukcijsko okruzenje ne bih stavljao na to.. Ipak je VmWare daleko ispred MS - -zelim da kazem da nisam 100% orjentisan na MS...ali takodje ne volim kada ga ljudi osudjuju a da ga realno ne poznaju dovoljno dobro...

Cisto moje misljenje, nadam se da nece da me bicuju :)))

Poz
 
Odgovor na temu

andrija.panic
Beograd

Član broj: 62161
Poruke: 78
212.200.65.*



+1 Profil

icon Re: Hardverski vs softverski firewall28.03.2010. u 12:34 - pre 170 meseci
@ cyBerManIA

Upravo sam skinuo Winroute Firewalll, kao VmWare applicance, pokrenuo, malo cacako i jako sam prijatno iznenadjen - pokusaj kopije ISA/TMG-a.

Skoro identican raspored u konzoli, pravilima za klijente itd... cena za 50 korisnika je tacno 1600$ isto kao ISA/TMG servera, samo sto kod ISA/TMG-a imas jos milion i jedan feature koji ovde nemas.... Kerio je dosta, cini mi se, laksi za konfiguraciju, i nije previse GEEK-orijented....mislim, pravljen je sa beginer-admin gui-jem u smislu komplesnosti. Ali zavisno od tipa firme, moze da regularno vrsi posao...
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Hardverski vs softverski firewall28.03.2010. u 13:42 - pre 170 meseci
@andrija:

Verovatno je Gandalf CCIE... ja nisam. Ali ovo nije pitanje ukusa i navike, cak ni mogucnosti - ovo je pitanje sigurnosti. Jednostavno, hardverski firewall ima manje stvari koje je moguce razbiti. Na softverskom firewall-u ti imas OS plus firewall, plus korisnike, plus... mnogo toga. Na hardverskom uradjaju ima mnogo manje stvari koje mogu da budu ugrozene. Jednostavno smanjujes broj vektora upada, nista vise.

Plus, ISA ne kosta samo 1600$, treba ti i dedicated server za to, plus dedicated OS licenca. Instalirati firewall za mrezu na server na kome se vrti jos n stvari je JAKO glupo resenje, sve i da predpostavis da neki Windows server vec postoji (a ne mora da postoji) - a pouzdan server, plus OS licenca su jos cca 2000$ minimum.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

[es] :: Enterprise Networking :: Hardverski vs softverski firewall

Strane: 1 2

[ Pregleda: 7495 | Odgovora: 21 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.