Аппаратный Firewall

Модераторы: Trinity admin`s, Free-lance moderator`s

Аватара пользователя
Андрей Куренков
free-lance moderator
Сообщения: 220
Зарегистрирован: 09 окт 2002, 20:11
Откуда: Foray ltd. СПб
Контактная информация:

Аппаратный Firewall

Сообщение Андрей Куренков » 11 окт 2002, 20:39

:rupor: Данная ветка форума перенесена из темы Сервер под Firewall
При всем моем уважении к коллегам, сервер не всегда является лучшим решением.
Firewall гораздо лучше реализовывать на специализированных маршрутизаторах. Для xDSL рекомендую Allied Telesyn AT-AR320. Менее, чем за $500 получается работоспособное решение, которое не просит "каши" в виде оплаты услуг приходящего юниксоида или лицензий мелкомягким. Кроме того, маршрутизатор (в отличие от сервера) не ляжет в случае DoS-атаки и стойко переживет выключение питания.

Аватара пользователя
Zigzug
Advanced member
Сообщения: 107
Зарегистрирован: 09 сен 2002, 14:17
Откуда: Moscow

Сообщение Zigzug » 12 окт 2002, 11:35

Еще есть аппаратный файрволл от 3COM.
Cтоит тож не так дорого. У нас в конторе он текоторое время эксплуатировался.

Аватара пользователя
a_shats
Advanced member
Сообщения: 5010
Зарегистрирован: 27 авг 2002, 10:55
Откуда: Москва
Контактная информация:

Re: Сервер под Firewall

Сообщение a_shats » 14 окт 2002, 10:38

Андрей Куренков писал(а):При всем моем уважении к коллегам, сервер не всегда является лучшим решением.
Firewall гораздо лучше реализовывать на специализированных маршрутизаторах.
Хм. Дык ведь по теме - не только файрволл. А лучшим решением будет сервер почты/прокси/фтп за аппаратным файрволлом, кто ж спорит-то ;)

Zirro
Advanced member
Сообщения: 235
Зарегистрирован: 27 авг 2002, 14:03
Откуда: Киров
Контактная информация:

Сообщение Zirro » 14 окт 2002, 11:14

Раз уж ветка скатилась к аппаратным файрволлам, то интересно было бы выявить плюсы их плюсы и минусы по сравнению с програмными.

to Андрей Куренков: Поскольку Вы заикнулись об AT-AR320, то видимо как то сталкивались с ним. Мы вот тоже его присматриваем, может поделитесь впечатлениями.

Аватара пользователя
Андрей Куренков
free-lance moderator
Сообщения: 220
Зарегистрирован: 09 окт 2002, 20:11
Откуда: Foray ltd. СПб
Контактная информация:

Re: Сервер под Firewall

Сообщение Андрей Куренков » 15 окт 2002, 00:09

a_shats писал(а):Хм. Дык ведь по теме - не только файрволл. А лучшим решением будет сервер почты/прокси/фтп за аппаратным файрволлом, кто ж спорит-то ;)
Извините, но ветка начиналась именно с "сервер под firewall" :))

Аватара пользователя
Андрей Куренков
free-lance moderator
Сообщения: 220
Зарегистрирован: 09 окт 2002, 20:11
Откуда: Foray ltd. СПб
Контактная информация:

Сообщение Андрей Куренков » 15 окт 2002, 00:35

Zirro писал(а):Раз уж ветка скатилась к аппаратным файрволлам, то интересно было бы выявить плюсы их плюсы и минусы по сравнению с програмными.
Firewall - так или иначе, но это программа. Другой вопрос, на какой платформе исполняется и какими аппаратными средствами "рулит".
Не разу не стану хаить варианты организации firewall на базе "обычного компьютера", к каковым в данном случае относятся и сервера. Есть только одно, но очень большое "НО": стандартные сетевые адаптеры (как desktop, так и серверные) не имеют встроенных средств для разруливания дробных пакетов, пакетов с нестандартной длинной, пакетов без sourse и т.п., а значит не в состоянии противостоять _любой_ стандартной DoS-атаке, даже вызванной сбойной сетевой картой:)
С другой стороны, маршрутизаторы на которых реализованы такие функции, как антивирусный контроль и кеширование трафика, shtml - акселерация и т.д. могут быть неоправданно дороги даже для немаленьких компаний:(
А потому наиболее разумным видится использование связок маршрутизаторов с реализованным на них firewall и выделенных серверов специализированных приложений.

З.Ы. А ведь Шурику, скорее всего хватило бы примитивной коробушки стоимостью около USD 100, реализующей NAT.... (SMC 7004, AT-AR220 e.t.s.)

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 15 окт 2002, 10:44

Андрей Куренков писал(а): Есть только одно, но очень большое "НО": стандартные сетевые адаптеры (как desktop, так и серверные) не имеют встроенных средств для разруливания дробных пакетов, пакетов с нестандартной длинной, пакетов без sourse и т.п., а значит не в состоянии противостоять _любой_ стандартной DoS-атаке, даже вызванной сбойной сетевой картой:)
:D А вот тут стоп - позвольте не согласиться:
противостоять любой, даже не стандартной DoS атаке мог ещё преславутый ipfwadm (xNIX),
а уж с появлением iptables вообще всё хорошо стало, правильно настроенный firewall дробные, инвертированные, слишком быстро пришедшие или запоздалые пакеты, неправильной длинны, да и вообще 'подозрительные пакеты' просто не рассматривает, они дропаются ещё на прероутинге.
:spy: Дык что не нужно пугать злобными хацкерами, которые могут завалить firewall всякими нюками, кстати много ли вы их под юниксы знаете ;-) ???

Андрей Куренков писал(а):С другой стороны, маршрутизаторы на которых реализованы такие функции, как антивирусный контроль и кеширование трафика, shtml - акселерация и т.д. могут быть неоправданно дороги даже для немаленьких компаний :(
Знаю не один пример, когда с подобными функциями справляется машинка класса Pentium 100. (правда от кеширования лучше отказаться)
Андрей Куренков писал(а):А потому наиболее разумным видится использование связок маршрутизаторов с реализованным на них firewall и выделенных серверов специализированных приложений.
:) А вот эта идея весьма интересна, и не только для задач начального уровня.
Последний раз редактировалось setar 16 окт 2002, 11:39, всего редактировалось 1 раз.

Аватара пользователя
Андрей Куренков
free-lance moderator
Сообщения: 220
Зарегистрирован: 09 окт 2002, 20:11
Откуда: Foray ltd. СПб
Контактная информация:

Сообщение Андрей Куренков » 15 окт 2002, 12:59

setar писал(а): :D А вот тут стоп - позвольте не согласиться:
противостоять любой, даже не стандартной DoS атаке мог ещё преславутый ipfwadm (xNIX),
а уж с появлением iptables вообще всё хорошо стало, правильно настроенный firewall дробные, инвертированные, слишком быстро пришедшие или запоздалые пакеты, неправильной длинны, да и вообще 'подозрительные пакеты' просто не рассматривает, они дропаются ещё на прероутинге.
Для того, что б "подозрительные пакеты" дропались, они должны, как минимум, попасть "в рассмотрение", чего элементарно может не произойти из-за "зависания" стандартного сетевого адаптера, вызванного DoS-атакой. Достаточно распространенная ситуация:( К сожалению, это касается не только адаптеров, но и коммутаторов, например хорошо известные Intel ES460T элементарно завешиваются копеешной сетевушкой с битым пульсатором (тривиальный пример DoS-атаки) :(

.
Андрей Куренков писал(а):С другой стороны, маршрутизаторы на которых реализованы такие функции, как антивирусный контроль и кеширование трафика, shtml - акселерация и т.д. могут быть неоправданно дороги даже для немаленьких компаний:(
Я имел в виду специализированные маршрутизаторы, реализующие такой набор функций, а не маршрутизаторы на базе ПК. В отношение того, что они стоят немалых денег, надеюсь особых возражений не будет:)

Аватара пользователя
Андрей Куренков
free-lance moderator
Сообщения: 220
Зарегистрирован: 09 окт 2002, 20:11
Откуда: Foray ltd. СПб
Контактная информация:

Сообщение Андрей Куренков » 15 окт 2002, 17:36

Zirro писал(а):Поскольку Вы заикнулись об AT-AR320, то видимо как то сталкивались с ним. Мы вот тоже его присматриваем, может поделитесь впечатлениями.
Раз тему, посвященную маршрутизаторам вынесли в отдельную ветку, будет логично рассказать о AT-AR320 здесь.
Опишу сразу 330 и 320. Отличаются только WAN-интерфейсом: у 320 - 10Base-T, а у 330 - синхронный/асининхронный последовательный (кабели есть V.35, RS-232, X.21). DMZ: 1*10/100BaseT + 2*Com (RS-232). На Com-ах удобно делать RAS для удаленных (или домашних:) ) пользователей подвеской обычный внешних модемов.

О главном: производительность в максимально параноидальном режиме выше, чем у Cisco 1605 и ограничена только пропускной способностью WAN-интерфейса. Firewall сертифицирован ICSE.
При оплате доп.лицензии включается 3DES-шифрация/дешифрация.
Есть дополнительная плата (AT-AR011) аппаратного сжатия и шифрования. Для организации связи в распределенном офисе по несимметричным каналам (например ADSL) - незаменимая вешь - окупается на трафике мгновенно.
Гарантия на маршрутизаторы 3хх-серии 2 года и включает в себя доступ к обновлениям прошивок (у Cisco - 90 дней и фиг обновлений бесплатно - все остальное - последующая гарантия, поддержка, обновления версий - за отдельные деньги).
У Allied Telesyn есть некая софтина (AT-View) с графическим интерфейсом для программания их роутеров, но стоит неприличных денег, а главное для устройств уровня маршрутизаторов 3хх-серии совершенно ненужная... Что стоит нормальному админу изучить каких-то 600-700 страниц и сделать все так, как нужно из коммандной строки, а не по шаблону:)

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 15 окт 2002, 17:44

Андрей Куренков писал(а): стоит нормальному админу изучить каких-то 600-700 страниц и сделать все так, как нужно из коммандной строки, а не по шаблону:)
:?: нет ли там, случаем управления через веб (типа как в принтерах от HP), это было бы весьма удобно.

Zirro
Advanced member
Сообщения: 235
Зарегистрирован: 27 авг 2002, 14:03
Откуда: Киров
Контактная информация:

Сообщение Zirro » 16 окт 2002, 11:34

Андрей Куренков писал(а):А потому наиболее разумным видится использование связок маршрутизаторов с реализованным на них firewall и выделенных серверов специализированных приложений.
Полностью поддерживаю :beer: , у себя в конторе мы собираемся сделать точно так же. Пока решается вопрос какую конкретно железяку взять в качестве аппаратного firewall'а (Cisco PIX-501 vs AT AR-320).

Аватара пользователя
Андрей Куренков
free-lance moderator
Сообщения: 220
Зарегистрирован: 09 окт 2002, 20:11
Откуда: Foray ltd. СПб
Контактная информация:

Сообщение Андрей Куренков » 17 окт 2002, 21:08

setar писал(а):
:?: нет ли там, случаем управления через веб (типа как в принтерах от HP), это было бы весьма удобно.
Нет в AT-AR3xx эта фича не реализована. Она появляется в роутерах семейства AT-AR7xx и в Rapier.
Последние, кстати, могут оказаться очень интересны для многих задач, т.к. это высокороизводительные L3 коммутаторы на которых может быть поднят firewall.

Аватара пользователя
a_shats
Advanced member
Сообщения: 5010
Зарегистрирован: 27 авг 2002, 10:55
Откуда: Москва
Контактная информация:

Сообщение a_shats » 21 окт 2002, 14:46


Zirro,
Андрей Куренков

Насчет коммутаторов L3 : а чем Cisco 400x не нравятся ? Ценой исключительно ? На них ведь PIX поднять можно. И не только его. Да и модульные они. А Рапиры... Хм. Не знаю. Нет у АТ такой, по крайней мере, репутации, как у Cisco, на этом рынке.

Аватара пользователя
Андрей Куренков
free-lance moderator
Сообщения: 220
Зарегистрирован: 09 окт 2002, 20:11
Откуда: Foray ltd. СПб
Контактная информация:

Сообщение Андрей Куренков » 21 окт 2002, 16:54

a_shats писал(а): Насчет коммутаторов L3 : а чем Cisco 400x не нравятся ? Ценой исключительно ? На них ведь PIX поднять можно. И не только его. Да и модульные они. А Рапиры... Хм. Не знаю.
Cisco - она и в Африке киска... Не скажу, что не нравятся. Более, того, в ряде случаев решения от Cisco объективно оптимальны. Но не в случае 400х - Rapier. Рапира так же модульный коммутатор на котором поднимается firewall. А цена у киски с PIX в разы выше:(
a_shats писал(а):
Нет у АТ такой, по крайней мере, репутации, как у Cisco, на этом рынке.
Не стал бы столь категорично утверждать. Торговая марка Cisco, безусловно, раскручена на порядок лучше (дольше). А вот в плане топовых решений, с АТ из известных на нашем рынке вендоров может поспорить пожалуй только нортел...

Zirro
Advanced member
Сообщения: 235
Зарегистрирован: 27 авг 2002, 14:03
Откуда: Киров
Контактная информация:

Сообщение Zirro » 21 окт 2002, 17:59

Насчет коммутаторов L3 : а чем Cisco 400x не нравятся ? Ценой исключительно ?
Конечно ценой!!! :wink: Я еле выпросил денег на AT AR-320 (который в наших краях на 200$ дешевле PIX'а), а Вы предлагаете Cisco 400x. :?

Ответить

Вернуться в «Сети - Вопросы конфигурирования сети»