Hej alla,

nu är det så att vi har bytt upp oss till 100mbit uppkoppling (företag) där vi har vårt eget LAN samt en webbserver som hostar ett antal domäner. Hur som helst, hittills har jag haft en Netgear FVX538 V2 brandvägg som agerat som gateway mellan vårt LAN och internet. Problemet nu är att denna brandvägg klarar av en maximal throughput av 80mbit och vi behöver byta till något mer "professionellt" som skall klara av högre hastigheter än 100mbit så vi kan utnyttja hela bandbredden samt kunna vara någonlunda framtidssäkra. Nu vet inte jag vad man brukar ha i riktiga data/hosting center men skulle gärna veta det. Förslag?

Kanske nån ASA från Cisco? Kika lite på t.ex. Dustin för att få en uppfattning om vilka modeller som krävs.

Är tyvärr inte insatt på Cisco så jättemycket, jag anser deras produkter att vara överdrivet komplicerade att konfigurera samt dyra. Jag väljer helst ett annat märke (förrutom D-Link :/). Också, vad behöver man egentligen - router eller brandvägg? Tanken är att den skall klara av stor trafikmängd och såklart inte kosta multum (max. 10k) samt ha ett antal features såsom VLAN, gigabit och DMZ.

Jag skulle rekommendera en ZyXEL USG 300
som har bra med kraft och 7 individuella
gigabit-portar som du konfigurerar hur du vill.

En 100-lina är inga direkta problem för den
och den är enkel att administrera.

Den har även SSL-VPN som är en smidig
VPN-lösning där man använder sin vanliga
web-browser för att ansluta mot en portal
där man publicerar tjänster. Härigenom når
man sedan terminalservrar, file shares - allt
tunnlat över port 443 (HTTPS).

Vi har satt upp ett antal sådana här lådor
och de har alla fungerat alldeles utmärkt.
En av våra kunder har en sådan här på just
en 100-lina och den fungerar fint.

Den kostar visserligen en slant och antagligen
tror jag en USG 200 skulle fungera precis lika
bra för er. Throughputen på den är spec'ad
runt 150 Mbit så även den borde klara er lina.

Om detta verkar intressant är du välkommen
att skicka ett PM så kan jag berätta mer
detaljerat. Just ZyXEL har jag väldigt bra koll
på.

Edit: Samtliga brandväggar i ZyXELs
USG-serie har Gigabit-portar och flertalet
konfigurerbara portar för bl.a. DMZ. De stöder
även VLAN.

Tack KristianE, jag var faktiskt och tittade to ZyXEL ZyWALL USG 200 men är orolig då det verkar behövas köpas licens för content filtering samt en för AV (ifall det behövs) varje år vilket i sig kostar tillsammans som en någorlunda bra brandvägg!?

Alternativt så sätter ni upp en burk med Ipcop eller Untangle,
som får agera router/firewall,

med 2st Gigabit nätverkskort i så har ni en superb router.

jayzee:
Antivirus sänker prestanda ganska rejält i alla
sorters brandväggar. Visst är det bra att ha,
men eftersom jag förutsätter att ni ändå har
ett skydd i samtliga Windows-klienter och -servrar
så kan ni faktiskt avstå det i brandväggen.

Dagens antivirusskydd för brandväggar är
endast signaturbaserade och för att dra en
lång historia kort kan man säga att signatur-
baserade skydd är ganska värdelösa. :)

Content Filtering däremot är helt OK. Om
det är vissa specifika siter som Aftonbladet
man vill stoppa, kan man göra detta via
URL-filtrering. URL-filtrering som man själv
konfigurerar kostar ingenting. Inte heller
Anti-spam-skyddet som gör uppslag mot
DNS-svartlistor, t.ex. Spamhaus, Sorbs och
CBL.

Skulle rekommendera Halon SX-50, en riktigt kompetent brandvägg till ett bra pris. Här finns benchmarks, om du senare vill ha ytterligare prestanda är det lätt att uppgradera till en SX-101.

Tack för tipset, dock är jag inte intresserad av router/accesspunkt lösningar utan renodlad router/brandvägg med gigabit switch. Vi har redan Airport Extreme 802.11n trådlöst nät. Det verkar luta mer och mer åt ZyXEL eller bygga något eget (svårt att hitta lådor med så pass liten passform dock).

Antivirus i brandväggen klarar vi oss bra utan, vi kör mestadels Linux och OSX. För de Windows burkar vi har kör vi NOD32.

Edit: Hur mycket trafik klarar ZyXEL USG 200 av egentligen? Låt säga att man har en sajt med 50.000 besökare som servas av flertar webbservrar bakom brandväggen.

Edit 2: Hittade http://www.komplett.se/k/ki.aspx?sku...ed#ProductTabs. Brandväggens genomströmningshastighet skall ligga på 500 Mbps, men antal anslutningar/användare ligger på 253, är detta anslutningar från internet mot vårt LAN (server) eller antal LAN användare?

Om du skall bygga själv har mullet.se fina 19" lådor från Supermicro som är perfekta för brandväggar.

jayzee:
USG-200 klarar ca 150 Mbit i vanlig throughput.
Er 100-lina bör inte vara några som helst problem.

Den klarar ungefär 75 Mbit över VPN. Antalet sam-
tidiga NAT-sessioner den klarar av är 40.000 och
100 VPN-tunnlar.

Övriga funktioner är stöd dubbla WAN-länkar med
automatisk failover eller lastbalansering, 3G via den
vanliga USB-dongeln, SSL-VPN och 5 års garanti.

Om man skaffar två st har de stöd för HA - High Avail-
ability.

Antal gigabit-portar är 7 st där 2 är reserverade för WAN,
en OPT (optional som kan användas för ett eget subnät
eller en tredje WAN-länk..) och fyra övriga där man väljer
bland följande zoner (subnät); LAN1, LAN2, EXT WLAN
och DMZ.

100Mbit är inte så mycket, men det du får kolla på är hur många aktiva anslutningar och liknande sakerna klarar. Oftast klarar HW betydligt mer men är låst i mjukvara och licenser.

Min personliga åsikt när det gäller brandväggar är att du betalar för luft och märket, ska du ha en brandvägg som ska klara 1Gbit+ i verkligheten får du betala 50-100k minst.

Medans du skulle kunnat köpa en HW själv och betalat en indie för göra en lika bra ny produkt för betydligt billigare. Eller använda någon av dom färdig GPL brandväggar som finns.

Då kan du klara Gbit för en kostnad på 5-10k.

Men en Cisco ASA är väl ett bra val annars, även om jag tycker brandvägg är överskattat.

patrikweb:
Om priset är det enda som styr så visst kan
man bygga egna servrar av nån tower-låda
man hittade på Netonnet.. Sen om man vill
använda det för ett företags kritiska informa-
tion och/eller internetanslutning är det upp
till en själv.

Men när det väl skiter sig så måste man kunna
stå där och se chefen i ögonen och förklara att
man ändå sparade en tusenlapp på att bygga
själv..

SuperMicro må vara billiga men du har ju
inte mycket support att hurra över. När
det skiter sig och du behöver ett nytt
nätagg kan det dröja veckor och månader
innan du får ett nytt.

Med ZyXEL och många andra märken så
har du ett nytt senast dagen efter.

Visst när det gäller små brandväggar, men att betala några hundra tusen för luft sedan när man ska ha något större.

Men visst vill man köra stilen köpa dyra brandväggar för att kunna skylla sin inkompetens på andra så varför inte.

Jag säger inte att en supermicro är enterprise HW, men vill man ha HA så kan man köra 2 för redundans.

Tycker ändå brandväggar är jävligt överskattat.

patrikweb:
Förklara gärna varför du tycker en brandvägg
är överskattad? Den gör sitt jobb och jag har
svårt att tro att folk förlitar sig helt på en sådan
utan arbetar med säkerhet i flera lager..

Jag kan inget annat än bara hålla med, tittar man på prestandan och priset på brandväggarna så kan man inte låta bli att undra hur mycket mer prestanda och throughput man skulle kunna få ur en egenbyggd Linux brandvägg med en 5ggr. snabbare dual-core CPU än de bättre brandväggarna samt 4ggr. så mycket RAM.

Patrik, får man fråga vad du kör med?

Kör inga rena brandväggar, finns inte någon större mening.

Kör filter i Cisco core, rena ACL så spelar det inte roll om det är 1Mbit eller flera 100Gbit då det är wirespeed. Mer avancerad nivå upp till L7 går i CPU, behöver man prestanda för det så får man köra in modulära FW/IPS moduler.

Fast fördelen är att man kan ha en extern server som övervakar all trafik, typ en anomaly decection sedan bygga filter som man automatisk kör upp till core routrarna. Eller routra om den trafiken till en specfik FW/IDS.

Men i regel övervakar jag för DDoS på det sättet bara, även bra sätt att automatisk filterara ut det.