Jag letar med ljus och lykta efter en brandvägg som ger även dos skydd. De flesta jag hittar inkl ingate och Sonic Wall har mkt sparsamt med dos skydd.

Jag vill åt en brandvägg där man kan kan sätta att ett IP inte kan access amer än 40-50 ggr per sekund tex.

Är det någon som har något tips?

kika på Halon, tillverkas här i göteborg, mycket trevligt företag och kompetenta brandväggar. http://www.halonsecurity.com/


edit: länk

Om "hitlimit" är alla krav du har så skulle jag köra på en linux-brandvägg med iptables. Eller BSD med pf.

jonasb76, du tänkar på http://www.shorewall.net kanske?

Nej, jag tänkte på en vanlig linux (gentoo, debian, m.m.) och skriva sina egna iptables-regler. Men om Shorewall har hitlimit så funkar ju den också såklart.

Brandväggar är normalt överpris på, du betalar för inget alls i stort sätt mer än en box och något grafiskt.

Sedan bygger nästan alla ändå på *BSD/Linux, halon, watchguard dom bygger även på det.

Om jag själv ska köra något med brandvägg och liknande så är det Cisco produkter.

Men för 15-30k så kan du anställa en indie för att bygga en egen brandväggs produkt efter dina egna krav på med linux/*BSD.

Jo, fast shorewall använder ju iptables i basen och skapar mer en bra iptables struktur samt shorewall kan konfigureras via webmin som det ser ut så det ser lovande ut.

ASA5510, schyst burk!

Vad tycks om Clavister.com?

Cisco har alla möjliga DOS skydd i sin ASA serie, har du tittat på dom?

Tänkt på att bara för att du kan spärra en IP adress för DoS så kommer dom ju fortsätta o försöka och ändå fylla din fina internetlina.

Finns ju 2 typer av D(D)oS, ena som går ut på fylla linan och andra är för att få det att dö på annat vis exempelvis en Syn Flood.

Som tidigae nämnt (av PatrikWeb) är de färdiga brandväggarna oftast bara dyrt krims-krams som ändå bygger på en BSD/Unix kärna.

Jag rekommenderar dig (om kunskap och tid finns) att istället investera i en egen server som kör PFSense www.pfsense.org vilket är en mycket pålitlig, skalbar och avancerad brandvägg. Bygger f.ö. på Shorewall som tidigare nämnts.

Tack wooper, jag har testat att installera PFSense på en dl320 och den installerade klockrent, så det verkar som om det blir det!

Fördelen med BSD/pf över Linux/iptables är att den förra klarar fler samtidiga uppkopplingar.

DDoS-attacker är alltid svårt att värja sig emot, särskilt när de bygger på SYN-attacker (där inget motsvarande ACK-paket skickas och uppkopplingen därmed hålls öppen en viss tid i väntan på svar). Även att droppa paket kräver en viss beräkningskapacitet av maskinen som ju måste avgöra om det tillhör en redan öppen/tillåten uppkoppling eller om det ska kastas bort. På det området är BSD överlägset Linux.

Du behöver följande

1 st Dator
1 st OpenBSD/FreeBSD .
1 st Hyr in rätt komptens och konfigurera grejerna.

Så kommer du undan för 1/2 priset och det blir rätt gjort.

DDOS är knepiga och skydda sig emot.

Dos är nästan omöjligt att skydda sig mot med en enkel brandvägg.
Du måste även ha bandbredd annars sänker de din lina.

Vi fick en DDoS på en lina där vi har bra brandvägg. Tyvärr var just den linan endast 100mbit. Även om vi kunde droppa alla paket från att gå vidare till den drabbade maskinen så är det just wirespeed som var avgörande.

Bara att dra trafiken över gigabitlänk och käka den där istället tills attacken minskade. (ca 2h)