RE: Firewall Hardware Low End

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Agosto 2002 ml@sikurezza.org
Soggetto: RE: Firewall Hardware Low End
Mittente: marco misitano
Data: 6 Aug 2002 18:34:16 -0000

******************************
*DISCLAIMER: lavoro per cisco*
******************************

---------[original message]------------------
Mi trovo a dover realizzare una protezione alla seguente rete:

- LAN: 15 client Windows (navigazione+mail) + 2 fileserver Win2000
- 1 server web IIS/Win2000 da rendere visibile su internet (PATed o
DMZed)
- Connetività: linea ADSL con una manciata di IP pubblici (linea da
upgradare in futuro).

La protezione da realizzare è con firewall hardware integrato.

Le ipotesi che ho preso in considerazione sono:
- 3Com Office Connect Internet Firewall (3C16770 o 3C16771 con DMZ)
- Symantec VPN Appliance 100
- Cisco PIX 501
- Zyxel Zywall 50 (o 100 con DMZ).

Qualcuno ha già avuto a che fare con queste macchine?
Pregi? Difetti? Gioie? Dolori?
-------------------------------------------------



Conosco bene PIX501 che e' uno stateful inspection con performances piu
che sufficienti nel tuo caso (va 20 volte piu veloce della DSL che hai),
interfaccia grafica di gestione via web e tutte le caratteristiche dei
fratelli maggiori 515,525,535, VPN inclusa e quindi potrebbe andar bene,
ma non e' per consigliarti questo che ti rispondo (se vuoi info sulla
macchina scrivimi offline) Volevo farti riflettere sul fatto che molto
probabilente in router sul quale termina la DSL, potresti attivare la
funzionalita' di firewall stateful inspection raggiungendo quindi con un
singolo device il tuo scopo. Con tutti I modelli che citi infatti la DSL
termina su un router, "diventa" ethernet, entra nel firewall, ed esce
sulla rete. Se il router fosse, ad esempio un 827 di cisco, sulla stessa
macchina potresti avere la terminazione della DSL, e funzionalita' di
firewall (stateful, non ACL), VPN, ed un limitato signature set di
Intrusion detection, tutto questo con un solo upgrade del firewall
feature set del router. Conosco un po solo il symantec, che se e' come
gli altri modellu usa una tecnologia di application gateway, il che per
le performances che richiedi puo andar benissimo, ma se un domani vorrai
farci passare attraverso una applicazione custom (chesso' una remote
shell che ti sei fatto con netcat su una porta bizzarra), dovrai creare
un proxy (processo sul firewall in grado di 'proxare' quella
applicazione), il che in alcuni casi puo' non essere banale. 

I miei soliti 2 cents.

Ciao
marco


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Firewall Hardware Low End, Filo

In risposta a:
- Firewall Hardware Low End, Gabro

Data:
- precedente: Re: Analisi delle connessioni in real time, Lorenzo Riccucci
- successivo: Re: Analisi delle connessioni in real time, Max Piccolo
- indice

Argomento:
- precedente: Firewall Hardware Low End, Gabro
- successivo: Re: Firewall Hardware Low End, Filo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005