一家3百人左右員工的企業,有什麼適合的UTM防火墻是比較實用的?
小弟會說可大可小的原因是
考慮到細部些的話
1.既然說是要UTM,那版主希望增加哪些功能?
Anti-Virus、Anti-Spam、IPS/IDS、WEB-Filter?是都要還是要部分
有的可以整合無線網路,是否需要?
有的還可以做 web-protal,是否要對連線的USER進行身分驗證?
2.目前版主的網路架構是否複雜?是否要再UTM上切出多個區域?
3.對外頻寬大約多少、線路類型、是否為Multi-Link、是否要做NAT(這部分看與ISP牽的線路和型態)
4.是否需要報表(Report)亦或是保存log,要保存多久?
5.Firewall Policy習慣正向列表還是反向列表
6.是否習慣純英文介面和cli
7.最重要的是....有多少預算
creayman wrote:
嗯...這個問題可大...(恕刪)
問題是現在很多SI都主推自己代理的產品為主,不一定是我需要的,我覺得不適用的,他也一直要我試看看,所以問看看有沒有大大比較有經驗的,有些中型的防火牆是比較好用的。目前SI是建議用FortiGate-300C
1.功能:最主要的大概是IPS/IDS、Anti-Virus,其他次要的IM管理、WEB-Filter、整合無線網路、QOS。
2.不是很複雜,現有的上面可以說就是設基本的WAN、LAN、DMZ。
3.頻寬20M+20M+100M,我有別一台設備負責做線路負載。
4.需要報表(Report)及保存log,保存多久,最好能超過1年。
5.正向表列,全封,再針對需要的去打開。
6.能有中文GUI介面是比較理想一點。
7.先預設30至80萬吧。
會比較建議 FortiGate、SonicWALL 這些有提供中文介面而且還有整合自家wireless AP的UTM
LOG的部分,雖然這兩家大台的都會有內含硬碟
不過還是建議準備一台LOG Server外吐
SonicWALL有防火牆LOG分析軟體(收費)
FortiGate有Forti-Analyzer(硬體)
其他家不建議的原因
Zyxell 有UTM,但是沒有Wireless
Cisco 有UTM,但是沒有整合Wireless
Juniper有UTM,有整合Wireless(SRX系列),但是....他的GUI和CLI介面只會玩死自己
再來
對外總線路頻寬是140M,在加上USER流量
個人建議版主找UTM的時候 throughtput (IDS/AV) 不要小於 300Mbps
有些UTM,只做Firewall的時候,throughtput很高
但是一做IPS/AV後,整個throughtput會降的很低,而且CPU/MEM都會拉高
所以最好是以IPS/AV後的throughtput做為基準 (雖然可能不是每條Policy都會開IPS/AV偵測)
然後還要注意 current session 和 new session per second 這兩個數字
這兩個數字代表著UTM的處理效能
不過....光版主要的IPS/IDS、Anti-Virus,其他次要的IM管理、WEB-Filter
這些授權如果是3年的話就不只80萬了...
anyway
建議版主多找幾家SI提供建議,並且請SI提供該設備的DataSheet與預估報價
之後就....多多比較唄
viccheng1925 wrote:
問題是現在很多SI都...(恕刪)
80萬可以考慮paloalto PA-500以上的機型..
L7功能超強..絕大部分的APP都能識別出來..連SSL連線也能解開來看..
搭配AD/LDAP,就能很明確識別那個User在幹啥壞事了..
缺點,套用policy時(PA-200),速度很慢..
另外要整合無線網路的話...這台應該/好像不行(不確定)..
目前各家整合無線網路的功能..幾乎都要搭自己廠牌的設備..
但如果只是單純Radius認證,建議自己找台server就能搞定..
最後,80萬的預算是有包含MA嗎??
有話,能賣到的機型會更低階喔~~
對了,買設備臉皮厚一點,直接叫SI提供測試機給你玩一個月..
不要怕不買會不好意思,這比較能找你符合需求的設備..
也比較容易寫出有內容的評估報告給老闆..
它會使得NPU無法獲得操作....
居多traffic I/O會經過CPU處理...
由其proxy-based的情況下, 不過proxy-based被官方刪掉(out)應該是遲早的事..
因為新的flow-based優點多於缺點(不會buffering)...
300C是兩顆NP2(256MB DDR2 x2)+CP6(走PCI-X)結構..
CPU我不是很確定...
可能是celeron的機種(跟310B類似)...
600C/800C就是比較暴力的i5-750 CPU
CP7/8+NP4+ISF架構+8GB DDR3 RAM...
FOS在v5版之後, IPS/App控制性能應該是有大幅增強(CP或著NPU都可以協助加速, 這在v4版還看不到)...
v5版有眾多改進的功能
wireless改進(性能依然不佳),
flow-based WebFilter, new SSL inspection(flow-based okay!), new BYOD, etc....
但是v5版bug目前還很多(有些bug簡直不可思議)...
而且BYOD功能有點幼稚(跟其它某幾家比的話)...
但是透過Endpoint Control還是可以控制client端(還算好用!!...不過超過10 clients要另外買license)
可以藉由這部分功能將UTM資源轉嫁至client端...
如果純打UTM的話, fortigate的話..
我會推薦的話是100D g2版(注意! 要g2..因為g1只有2GB..)..
因為300C真的太貴了...
而且還是舊的NP2, 沒有ISF..
100D g2是使用atom 1.8GHz x2+CP8+ISF+4GB DDR3 RAM..
主要是那個新型的CP8(PCIe)加速器...
價格亦比300C低廉很多...
而且提供了hardware switch(very useful! v5, 600C以上要v5.0.4)...
居多fgt都是software switch, 做不好會破壞性能(這官方不會提醒..)..
雖然少了NPU, 不過CP8可以提供更好的UTM效能...
當然...
不管是NXGFW或著UTM...
RAM反而是最重要的...
這部分多多益善最好....
A:IPS個人覺得每家都普普通通...比起專業的IPS設備...個人覺得有些浪費錢
您End Point端使用的防毒軟體是? 建議買有品牌的防毒功能 (就是非防火牆自家特徵碼的)
IM管理記得要測skype、FB chat、Line
Web-Filter 建議買有品牌的過濾功能 (就是非防火牆自家資料庫的)
這部份部是很建議整合無線網路,原因多半防火牆整合無線,多數的天線都長在機器身上
難以將無線訊號延伸...就算可以外掛AP...能夠乘載的使用者也有限(建議另外再購置)
QOS 用來?
真的有要用嗎? QOS 整段(Point-to-Point)做才有效阿2.不是很複雜,現有的上面可以說就是設基本的WAN、LAN、DMZ。
不建議買Port是固定的,例如固定有幾個WAN Port 幾個LAN Port 幾個DMZ...
太沒有彈性了
3.頻寬20M+20M+100M,我有別一台設備負責做線路負載。
NAT在誰身上做呢? FW ? WLB ?
4.需要報表(Report)及保存log,保存多久,最好能超過1年。
A:建議電信設備中不要含有硬碟,硬碟故障的機會比晶片高許多
您不怕到時候會影響到防火牆的運作嗎?
5.正向表列,全封,再針對需要的去打開。
A:黑白名單就看管理者的方便。
6.能有中文GUI介面是比較理想一點。
A:如果要中文選項就剩不多了
7.先預設30至80萬吧。
A:多找幾個品牌測試吧
內文搜尋
從 APP 打開
X