iT邦幫忙

0

購買防火牆的全方位考量點

zikyo 2010-04-30 09:34:5719239 瀏覽

請問大家一下,各品牌防火牆的考量.(Cisco ASA, Juniper SRX, Cehck Point, 3Com, BlueCoat)
還有別的我沒有提到的 也請您補充一下 謝謝 !!
例如:
在規劃層面,有沒有哪一種品牌佔有優勢?
主機價格跟備品層面哪一個最符合經濟效益?
各個Firewall的市占率
end user操作容易上手
以及小弟沒有想到的層面 麻煩補充一下
萬分感激 !!

davistai iT邦大師 1 級 ‧ 2010-05-05 09:12:34 檢舉
januslin( IT邦好手1級 )
後續的服務很重要
好的服務讓你上天堂
不好的服務讓你回家見爹娘

非常有道理!!! b!
有的人是這麼念的:

好的服務帶你上天堂
不好的服務讓你住套房
Remix的說法
因為失職選錯廠商和廠牌
所以回家被爸媽養了 ^^
18
tombo
iT邦高手 1 級 ‧ 2010-04-30 20:46:28
最佳解答

架構考量:
當然埠數越多的防火牆可以做很多複雜的架構,例如:多個網段、多層防禦、多WAN負載平衡、Multi Homing、
VPN、HA等等..當然埠數少也不是不能做,只是多幾台設備去做。

功能考量:
例如你要做SQL Injection防護、XSS防護,用一般的防火牆就沒用;
如果你需要SSL VPN,要考慮單獨採購一台SSL VPN設備,還是要一台UTM抵多台;跟應用軟體的相容性如何?怎麼算錢(By Client Accounts or Unlimit)
是不是有必要使用專門的防毒牆?
還有AntiSPAM功能是否有必要整合到防火牆內?還是使用專用的設備?
通常 UTM 功能超多,但是如果都啟用,效能會變很差。
而且這些功能的效果,可能不會比專用的設備好。
例如:很多防火牆都有內建 AntiSPAM 功能,但僅止於 Keyword, DNS Check, RBL 阻擋等等,它們的功效就沒辦法跟 CISCO IronPoint 相比。
一台 IronPort 就可以把垃圾信、釣魚信、病毒木馬信全擋掉,也不太需要多層過濾郵件(郵件過濾太多層,當你發生收不到信的問題就累了!)
內建的 IPS 效能與功能跟專用的 IPS 設備相比也差很多。

效能考量:
防火牆功能啟用越多,效能越低,規則政策越多,效能越低,
你如果有打算使用全部的功能,你可能必需考慮一下預算是否買得起負擔全部負載的等級的設備。
(將各功能分散,管理多台,還是集中一台管理?
選擇各家廠商專長領域的設備?還是集中一台就好?)

技術考量:
你是否有辦法自己Own該設備的所有技術?還是必須倚賴廠商?倚賴網友...
如果必須靠廠商,你得想想廠商對貴公司的態度、廠商的技術水準、備品的支援
如果依賴朋友,你得自己想想,有沒有那種熱血澎湃,技術能力又夠、又有時間的好朋友?

預算考量:
設備不是買來就算了,它還必須保持有效的持續運作,這包括硬體的保固、軔體的升級、如果有防毒、IPS、AnitSPAM等功能,相關的升級服務也是要逐年花錢的。
不要以為買了一個防火牆就可以擋一輩子,軔體不升級,可能會有漏洞被攻擊,其他功能的軔體不升級,可能攔不到新病毒,無法阻擋新的攻擊手法,無法過濾廣告病毒信等等。

先想想你想要保護什麼,多聽聽廠商的建議架構及規劃,全部聽完之後,要有自己的想法及需求;再問問廠商你的想法跟需求,怎樣規劃可以滿足。
架構越單純,維護越輕鬆,但也不表示我建議您使用一台 UTM 就好,因為前面講了,UTM 的部份功能,沒辦法滿足需求。

其實現在外到內的資安防護,就針對幾個常見的服務
1.Web Service:要防護 SQL Injection, XSS、DoS、...也許未來有其它更新的攻擊手法。
2.SMTP Service:如果採用CISCO IronPoint,一台就搞定,不需要搞太多層,又是過濾病毒又是過濾廣告信的。
3.POP3 Service:要防護暴力字典攻擊,確保帳號密碼不外流,你會需要 IPS 功能。
4.其它系統漏洞的部份防護:即便是很普通的服務,如果有漏洞,一樣會讓駭客入侵,這是一般防火牆無法防護的,你會需要 IPS。

但是系統漏洞通常修補得很慢,所以你要考慮是否需要零時差的防護,或是盡量把開放的服務限制來源端。
如果不想為了 IPS 防護而購買太高等級的設備,可以選用 ISP 的防護方案,例如中華電信的資安艦隊。

當然,最重要的是,要勤於修補系統漏洞!

至於內到外的資安防護範圍就太大,不討論那塊。

16
twnem
iT邦好手 1 級 ‧ 2010-04-30 10:28:06

全方位考量點是沒錯!
但...也需要看你當時使用的環境是怎樣
這樣在做決定才是正確的
好比家裡的網路環境有可能安裝一台 2 萬多的防火牆嗎?
所以說,使用的環境是影響購買的方向

takaki iT邦新手 4 級 ‧ 2010-05-02 13:29:00 檢舉

+1
家中用的話,隨便一台ip分享器都有內建基本的防火牆與NAT架構就非常夠用囉。

公司或企業的話,就要看規劃與安全政策而定,例如我家的政策一定要雙牆,且內外兩牆不能相同核心(通常是LINUX+Cehck Point on WINDOWS)...最近改成hinet資安艦隊送的硬體防火牆(核心是linux)作外牆,內牆是自建的linux 防火牆(老闆不想花錢更新Cehck Point),雙NAT...在DMZ區還外加一台具有偽造封包能力的設備(不是我管得所以只知道有此設備),兼具收集封包與丟假連線封包阻斷用,當然...放在DMZ區就是拿來當砲灰的設備XD。

當然,如果是小型公司,人數與電腦都少,使用家用的IP分享器絕對綽綽有餘。

takaki iT邦新手 4 級 ‧ 2010-05-02 13:44:55 檢舉

補充:品牌的部份...
規劃基本上是不帶品牌,因為規劃內容是針對公司需求而詳列所需之處理能力與效益,然後依據規劃內容找出符合需求的設備,之後再將這些設備作品質參考的過濾,就會得出符合企劃的設備。

品牌的品質參考基本上是很主觀的,你要能夠從這些主觀的參考資料中找到平衡點。
以我來說,我會考量設備的穩定度與耐操能力,在沒有實際使用經驗下,我只能參考其他單位的使用情況或網路評價來作為參考點,其中,我比較重視負面評價,因為這可能會發生在我身上...
正面的資訊可以讓我初步預測正面的效能與效益,負面的資訊可以讓我規劃問題解決方案與備援機制(當我決定使用時)。

12
門神JanusLin
iT邦超人 1 級 ‧ 2010-04-30 10:55:39

^^

後續的服務很重要

好的服務讓你上天堂

不好的服務讓你回家見爹娘

14
yateousz
iT邦新手 5 級 ‧ 2010-04-30 13:50:40

我覺得可以從最基本的問題來進行規劃

"錢" = "預算" = "實際" = "老闆的決定"

takaki iT邦新手 4 級 ‧ 2010-05-02 13:14:30 檢舉

其實如果真的把「老闆」算進去...排列應該如下:
老闆的一句話(決定)> 錢=預算 > 實際(效果、功能)

yateousz iT邦新手 5 級 ‧ 2010-12-28 15:05:50 檢舉

同意^^

12
insider
iT邦研究生 5 級 ‧ 2010-04-30 14:59:03

Recently just quote the following firewall design for government tender:

  1. First tier : McAfee® - enterprise - McAfee Firewall Enterprise Sidewinder ( one pair )
  2. DMZ : Check-point (Nokia) ( one pair )
  3. Backup Network : Cisco ASA 5500 (one pair)

Has to sepreate Intranet Zone & Internet Zone.

10
p12076
iT邦新手 4 級 ‧ 2010-04-30 21:54:00

哪一種品牌佔有優勢:各有各的擁護者,依管理者喜好、預算及電腦台數多寡而定。
主機價格跟備品層面哪一個最符合經濟效益:買主機時一起談三年保固及備品較划算。
各個Firewall的市占率:只有Gartner評比可參考其市佔率。
end user操作容易上手:見仁見智。
以及小弟沒有想到的層面 麻煩補充一下:提出公司的電腦台數、預算、管理者禁忌、一定要有的功能較能獲得最佳建議喔!

moki1111 iT邦新手 3 級 ‧ 2010-05-01 17:05:15 檢舉

為什麼會去考慮到end user 的操作..這點小弟實在不懂!!

hcsvieken iT邦研究生 5 級 ‧ 2017-09-12 11:01:01 檢舉

end user= 管理設備的人

12
ansonchen
iT邦新手 1 級 ‧ 2010-05-01 20:52:42

小弟使用過這幾款,裝機與測試過的(SE 與 MIS)
UTM-Firewall:Juniper、NetScreen、FortiGate、ShareTech、Cyberoam。
CP值高依序:Shertech -> Fortigate -> Cyberoam -> Juniper -> NetScreen
價格依序:Shertech -> Cyberoam -> Fortigate (記得的)
非價格考量與管理介面的建議採購:Fortigate -> Shertech -> Cyberoam

J & N都是同OS, 效能J要買硬體等級較高才好
Shertech為台廠NUsoft研發,功能操作都佳
但效能一定要買最高等級硬體,
遇過可作VPN trunk的產品,同時作Traffic & VPN的LoadBalance

不過近幾年有很多廠商推新款
Palo Alto內建類似AP防火牆功能
可在AP Layer就作阻擋封鎖
價格不便宜 號稱新一代防火牆

14
jenpin
iT邦新手 4 級 ‧ 2010-05-02 22:46:31

幾個因素要注意
1.老闆給的預算有給多少?
2.公司的流量及員工上網的行為模式?
3.Firewall若只做FW+DME,那各種品牌皆可.操作介面覺得好用才是重點.也許一台DLink就能滿足你,基本上是開80Port,其他全部都檔掉.是否尚需針對80Port做管理呢?
4.UTM的防火牆大同小異.IPS.防毒.URL...更新來源不就那幾家.功能全開效能就差.
5.多功能Firewall:任何的漏洞攻擊及病毒都是發生後才可得到特徵碼及病毒碼.重點在於你使用一年後是否以繼續購買昇級這些"碼".若不會去更新.建議去中古市場買一台Cisco PIX或Netscreen.
5.版裡有人提到Palo Alto,若有考慮買UTM的Firewall.那這台的CP值真的不錯.
6.連線數是設備硬體效能最大重點.不過有很多品牌的連線數都是灌水.標榜流量可達100MB.也許單掛一台PC跑個BT他就當掉了.這要特別注意.

8
sula3065408
iT邦研究生 1 級 ‧ 2010-05-03 08:24:55

隨便抓一台PC用Linux架一架就有了,便宜、強大且穩定,不過要花時間且後續要自己維護,你功力夠的話,預算真的很省,File Server、VPN、iSCSI、RAID、L7-Filter、QoS、、、等都有足夠的資源可以運用,維護就寫寫SCRIPT讓它自動每月出報表,才不會讓老闆覺得MIS只會叫他花錢買,不如找個工讀生去按按下一步還比較省錢一點,還沒走的~就去當雜工連水電一起包一包吧 ~ XD。

6
darren0126
iT邦新手 5 級 ‧ 2010-05-03 09:21:13

我建議您先將需求表列出來,再考慮防火牆的品牌,老實說品牌不會決定一切,
重點是你的預算有多少,需要防火牆做到什麼功能,若是家庭要使用的話,
建議多爬爬文,若是公司要使用,建議找熟悉的SI,多問問他們,
相信您可以從中得到許多資訊.....

6
paokao
iT邦新手 4 級 ‧ 2010-05-05 00:45:54

zikyo提到:
主機價格跟備品層面哪一個最符合經濟效益?end user操作容易上手

針對上述問題小弟有台設備提供給大家參考:
Sharetech LB2206是個不錯的選擇,具有多功能負載平衡的防火牆,使用操作簡單對入門者適用,價格約12,000左右

他沒有SPAM功能吧!!

ansonchen iT邦新手 1 級 ‧ 2010-05-05 13:26:21 檢舉

是不是打錯了
記得沒那麼便宜
LB有Load Balancing VPN
Current session連線一多會慢點
建議採用LB高規格硬體或是他的UTM較高的規格

我要發表回答

立即登入回答