[elektro] HW Firewall kérdés - elég sürgős

[Stolmár Tamás]

Azért a sima iptables és ezek a cuccok között ég és föld a különbség!

Ezek a "modern" tűzfalak elég mély tartalomelemzést tudnak.
És pl.tundnak weboldal kategorizációt.
Tehát pl. be tudod állítani hogy a főnökön kívül ne nézhessen senk pornót.
Ezt úgy oldja meg, hogy van egy rendszeresen frissített adatbázisuk
amiben a kismillió pornóoldal szerepel, és az oda menő forgalmat blokkolja.
De van ilyen adatbázis chatoldalakról, social media, medical, stb. 
oldalakról.
Több száz tételes kategórialista.
Igazából ennek a karbantartását is kell megfizetni.

Pár tíz fős cégeknél nem látom ennek értelmét.
Ha valaki munkaidőben netezik, és nem halad a munkájával, akkor ki kell 
tenni.
Ha meg jól dolgozik, megcsinálja afeladatát akkor meg mind1.
Persze nagy cégnél ez más,
bár ott meg akinek ilyenre van ingerenciája, akkor előfizet egy mobilnetre.


Addig amig nincs egyértelmű kívánság hogy mit akar tűzfalból fogni, akkor
teljesen fölösleges ilyenekben gondolkodni.

Watchguard-al volt tapasztalatom, nem ajánlom.
Kb 10 éves technológia ami belőle látszik, csak ipsec vpn-t tud, ami nem 
működik rendesen,
ha a szolgáltató natol.
Nincs webkonfigja, egy kretén windowsos programmal kell kezelni.

Volt tapasztalatom fortigate-el, egyel komolyabb, el is mentünk a határáig,
a funkciók 95%-ak webről kezelhető.
Pár dologtól égnek állt a hajam tőle, de használható és megszokható.
(Nem rossz választás)

Én azt javaslom, hogy az untangle felé kacsintgass.
Még nem próbáltam, de tervbe van véve.
Lehet tőlük komplett vasat is venni,
de simán egy virtuális gépbe vagy kommersz pcre is telepíthető.
Sima ISO-ról telepíthető, mint egy linux - az is, csak cél rendszernek 
van összerakva.
Bármilyen mostani normális asztali PC szerintem gigabites forgalmakig 
elég lehet.
Ezért nem vagyok hajlandó dollárezreket fizetni.
Az untangle lite ingyenes, de a modulok-ra elő lehet fizetni, akkor az a 
modul sokkal többet tud.
És csak azt kell kifizetni ami tényleg kell .

Cisco Meraki jött még 1x szembe, igazi cisco szósszal leöntött nagyon 
business,
és szerintem túlárazott, túlbonyolított.

Ezeknek szinte mindig van éves díja mint a vírusirtónak, ezért ezzel 
kalkulálni kell.


On 03/18/2016 03:07 PM, Kiss Gabor wrote:
> On 03/18/2016 11:11 AM, Karoly Kovacs wrote:
>> Köszi, ezt én is tudtam. :) Meg is tudnám csinálni linux alatt
>> (természetesen), de amint a tárgyban is írtam, a dolog sürgős (pár nap
>> van rá, ráadásul a hely, ahová kell, kb. 700km-re van tőlem...).
> Nem kivihetetlen, ha van a közelben középiskola.
> Egy diákot megbízol, hogy a user vasára telepítsen Linuxot.
> Ha kész, átveszed az irányítást, és felkonfigurálod a tűzfalat
> egy alkalmas eszközzel.
> Én a 'ferm' programot favorizálom, de aki nem akar nagyon elmélyedni
> a részletekben, annak a 'shorewall' tán ajánlatosabb egy kicsit.
>
> Megjegyzem, pár nap alatt a legspécibb hardver mégannyira sem fog
> megérkezni a userhez a Góbi sivatagba.
>
> kissg