WN

WN (https://www.wn.se/forum/index.php)
-   Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)
-   -   Bästa brandvägg för 15000-30000kr (https://www.wn.se/forum/showthread.php?t=28498)

Danielos 2008-04-09 17:21

Jag letar med ljus och lykta efter en brandvägg som ger även dos skydd. De flesta jag hittar inkl ingate och Sonic Wall har mkt sparsamt med dos skydd.

Jag vill åt en brandvägg där man kan kan sätta att ett IP inte kan access amer än 40-50 ggr per sekund tex.

Är det någon som har något tips?

najk 2008-04-09 17:25

kika på Halon, tillverkas här i göteborg, mycket trevligt företag och kompetenta brandväggar. http://www.halonsecurity.com/


edit: länk

Björklund 2008-04-09 18:29

Om "hitlimit" är alla krav du har så skulle jag köra på en linux-brandvägg med iptables. Eller BSD med pf.

Danielos 2008-04-09 18:45

jonasb76, du tänkar på http://www.shorewall.net kanske?

Björklund 2008-04-09 23:56

Nej, jag tänkte på en vanlig linux (gentoo, debian, m.m.) och skriva sina egna iptables-regler. Men om Shorewall har hitlimit så funkar ju den också såklart.

patrikweb 2008-04-10 00:23

Brandväggar är normalt överpris på, du betalar för inget alls i stort sätt mer än en box och något grafiskt.

Sedan bygger nästan alla ändå på *BSD/Linux, halon, watchguard dom bygger även på det.

Om jag själv ska köra något med brandvägg och liknande så är det Cisco produkter.

Men för 15-30k så kan du anställa en indie för att bygga en egen brandväggs produkt efter dina egna krav på med linux/*BSD.

Danielos 2008-04-10 10:46

Citat:

Originally posted by jonasb76@Apr 9 2008, 23:56
Nej, jag tänkte på en vanlig linux (gentoo, debian, m.m.) och skriva sina egna iptables-regler. Men om Shorewall har hitlimit så funkar ju den också såklart.
Jo, fast shorewall använder ju iptables i basen och skapar mer en bra iptables struktur samt shorewall kan konfigureras via webmin som det ser ut så det ser lovande ut.

Emj 2008-04-10 17:31

ASA5510, schyst burk!

kimovski 2008-04-10 21:40

Vad tycks om Clavister.com?

studiox 2008-04-16 22:02

Cisco har alla möjliga DOS skydd i sin ASA serie, har du tittat på dom?

Tänkt på att bara för att du kan spärra en IP adress för DoS så kommer dom ju fortsätta o försöka och ändå fylla din fina internetlina.

patrikweb 2008-04-16 22:27

Finns ju 2 typer av D(D)oS, ena som går ut på fylla linan och andra är för att få det att dö på annat vis exempelvis en Syn Flood.

wooper 2008-04-17 14:20

Som tidigae nämnt (av PatrikWeb) är de färdiga brandväggarna oftast bara dyrt krims-krams som ändå bygger på en BSD/Unix kärna.

Jag rekommenderar dig (om kunskap och tid finns) att istället investera i en egen server som kör PFSense www.pfsense.org vilket är en mycket pålitlig, skalbar och avancerad brandvägg. Bygger f.ö. på Shorewall som tidigare nämnts.

Danielos 2008-05-29 13:16

Tack wooper, jag har testat att installera PFSense på en dl320 och den installerade klockrent, så det verkar som om det blir det!

emilv 2008-06-03 22:00

Fördelen med BSD/pf över Linux/iptables är att den förra klarar fler samtidiga uppkopplingar.

DDoS-attacker är alltid svårt att värja sig emot, särskilt när de bygger på SYN-attacker (där inget motsvarande ACK-paket skickas och uppkopplingen därmed hålls öppen en viss tid i väntan på svar). Även att droppa paket kräver en viss beräkningskapacitet av maskinen som ju måste avgöra om det tillhör en redan öppen/tillåten uppkoppling eller om det ska kastas bort. På det området är BSD överlägset Linux.

klein 2008-06-04 14:43

Citat:

Originally posted by danielos@Apr 9 2008, 17:21
Jag letar med ljus och lykta efter en brandvägg som ger även dos skydd. De flesta jag hittar inkl ingate och Sonic Wall har mkt sparsamt med dos skydd.

Jag vill åt en brandvägg där man kan kan sätta att ett IP inte kan access amer än 40-50 ggr per sekund tex.

Är det någon som har något tips?

Du behöver följande

1 st Dator
1 st OpenBSD/FreeBSD .
1 st Hyr in rätt komptens och konfigurera grejerna.

Så kommer du undan för 1/2 priset och det blir rätt gjort.

DDOS är knepiga och skydda sig emot.

magic 2008-06-05 11:23

Dos är nästan omöjligt att skydda sig mot med en enkel brandvägg.
Du måste även ha bandbredd annars sänker de din lina.

Norman 2008-06-05 16:17

Vi fick en DDoS på en lina där vi har bra brandvägg. Tyvärr var just den linan endast 100mbit. Även om vi kunde droppa alla paket från att gå vidare till den drabbade maskinen så är det just wirespeed som var avgörande.

Bara att dra trafiken över gigabitlänk och käka den där istället tills attacken minskade. (ca 2h)


Alla tider är GMT +2. Klockan är nu 16:50.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson