[KristianE]

jayzee:
USG-200 klarar ca 150 Mbit i vanlig throughput.
Er 100-lina bör inte vara några som helst problem.

Den klarar ungefär 75 Mbit över VPN. Antalet sam-
tidiga NAT-sessioner den klarar av är 40.000 och
100 VPN-tunnlar.

Övriga funktioner är stöd dubbla WAN-länkar med
automatisk failover eller lastbalansering, 3G via den
vanliga USB-dongeln, SSL-VPN och 5 års garanti.

Om man skaffar två st har de stöd för HA - High Avail-
ability.

Antal gigabit-portar är 7 st där 2 är reserverade för WAN,
en OPT (optional som kan användas för ett eget subnät
eller en tredje WAN-länk..) och fyra övriga där man väljer
bland följande zoner (subnät); LAN1, LAN2, EXT WLAN
och DMZ.

[patrikweb]

100Mbit är inte så mycket, men det du får kolla på är hur många aktiva anslutningar och liknande sakerna klarar. Oftast klarar HW betydligt mer men är låst i mjukvara och licenser.

Min personliga åsikt när det gäller brandväggar är att du betalar för luft och märket, ska du ha en brandvägg som ska klara 1Gbit+ i verkligheten får du betala 50-100k minst.

Medans du skulle kunnat köpa en HW själv och betalat en indie för göra en lika bra ny produkt för betydligt billigare. Eller använda någon av dom färdig GPL brandväggar som finns.

Då kan du klara Gbit för en kostnad på 5-10k.

Men en Cisco ASA är väl ett bra val annars, även om jag tycker brandvägg är överskattat.

[KristianE]

patrikweb:
Om priset är det enda som styr så visst kan
man bygga egna servrar av nån tower-låda
man hittade på Netonnet.. Sen om man vill
använda det för ett företags kritiska informa-
tion och/eller internetanslutning är det upp
till en själv.

Men när det väl skiter sig så måste man kunna
stå där och se chefen i ögonen och förklara att
man ändå sparade en tusenlapp på att bygga
själv..

SuperMicro må vara billiga men du har ju
inte mycket support att hurra över. När
det skiter sig och du behöver ett nytt
nätagg kan det dröja veckor och månader
innan du får ett nytt.

Med ZyXEL och många andra märken så
har du ett nytt senast dagen efter.

[patrikweb]

Visst när det gäller små brandväggar, men att betala några hundra tusen för luft sedan när man ska ha något större.

Men visst vill man köra stilen köpa dyra brandväggar för att kunna skylla sin inkompetens på andra så varför inte.

Jag säger inte att en supermicro är enterprise HW, men vill man ha HA så kan man köra 2 för redundans.

Tycker ändå brandväggar är jävligt överskattat.

[KristianE]

patrikweb:
Förklara gärna varför du tycker en brandvägg
är överskattad? Den gör sitt jobb och jag har
svårt att tro att folk förlitar sig helt på en sådan
utan arbetar med säkerhet i flera lager..

[jayzee]

Citat:

Originally posted by patrikweb@Jul 12 2009, 17:39
100Mbit är inte så mycket, men det du får kolla på är hur många aktiva anslutningar och liknande sakerna klarar. Oftast klarar HW betydligt mer men är låst i mjukvara och licenser.

Min personliga åsikt när det gäller brandväggar är att du betalar för luft och märket, ska du ha en brandvägg som ska klara 1Gbit+ i verkligheten får du betala 50-100k minst.

Medans du skulle kunnat köpa en HW själv och betalat en indie för göra en lika bra ny produkt för betydligt billigare. Eller använda någon av dom färdig GPL brandväggar som finns.

Då kan du klara Gbit för en kostnad på 5-10k.

Men en Cisco ASA är väl ett bra val annars, även om jag tycker brandvägg är överskattat.

Jag kan inget annat än bara hålla med, tittar man på prestandan och priset på brandväggarna så kan man inte låta bli att undra hur mycket mer prestanda och throughput man skulle kunna få ur en egenbyggd Linux brandvägg med en 5ggr. snabbare dual-core CPU än de bättre brandväggarna samt 4ggr. så mycket RAM.

Patrik, får man fråga vad du kör med?

[patrikweb]

Kör inga rena brandväggar, finns inte någon större mening.

Kör filter i Cisco core, rena ACL så spelar det inte roll om det är 1Mbit eller flera 100Gbit då det är wirespeed. Mer avancerad nivå upp till L7 går i CPU, behöver man prestanda för det så får man köra in modulära FW/IPS moduler.

Fast fördelen är att man kan ha en extern server som övervakar all trafik, typ en anomaly decection sedan bygga filter som man automatisk kör upp till core routrarna. Eller routra om den trafiken till en specfik FW/IDS.

Men i regel övervakar jag för DDoS på det sättet bara, även bra sätt att automatisk filterara ut det.