Gibt es eine praktikable Alternative zur Verwendung einer Linux-/Unix-/BSD-Firewall/eines Routers/VPN?

Gibt es eine praktikable Alternative zur Verwendung einer Linux-/Unix-/BSD-Firewall/eines Routers/VPN?

Ich versuche, etwas zu kaufen, um unseren Vyatta-Router zu ersetzen, der in einer virtuellen Maschine auf Hyper-V läuft (es ist nicht praktisch, wenn das ganze Netzwerk ausfällt, wenn der Host neu gestartet werden muss, und ich habe das Gefühl, dass diese Konfiguration möglicherweise nicht stabil ist).

In den meisten Beiträgen zu diesem Thema wird die Verwendung von Linux/OpenBSD/FreeBSD/usw. empfohlen, mit einigen Empfehlungen zur Verwendung von Appliances von Anbietern für bestimmte Zwecke wie Firewall und VPN.

Wir sind ein Windows-Shop und es war für uns eine Herausforderung, Vyatta zu nutzen, aber da es kostenlos und unkompliziert zu verwenden war, haben wir uns dafür entschieden. Jetzt brauchen wir etwas, das für unser Team einfacher (neu) bereitzustellen und zu verwalten ist. Ich würde lieber etwas Windows-basiertes oder ein Gerät kaufen, das alle der folgenden Dinge kann:

  • DHCP-Server (Reservierungen, angegebenes Gateway, DNS usw.)
  • Statische Routen, die den Verkehr über drei Schnittstellen leiten
  • Leicht reproduzierbar (Powershell-Skript, Puppet, Chef usw.)
  • Intuitive Benutzeroberfläche (eine ordentliche Weboberfläche wäre gut, aber ich möchte nicht, dass sie zur CLI wechseln müssen)

Hat jemand Empfehlungen, wonach ich suchen sollte, um unseren Anforderungen gerecht zu werden?

Antwort1

Wenn Sie auf PC-Hardware laufen möchten, schauen Sie sich vielleicht anpfSenseoderm0n0wall. Wenn Sie an Vyatta gewöhnt sind und es ansonsten gut für Sie funktioniert hat, können Sie einfach dedizierte PC-Hardware kaufen, um es auszuführen und die Probleme zu vermeiden, die Sie mit dem virtuellen Setup haben.

Ich stimme dem Kommentator zu, der sagte, dass Ihre Anforderungen widersprüchlich erscheinen – es scheint ungewöhnlich, dass Sie eine Konfiguration haben, die drei verschiedene Netzwerke und statisches Routing erfordert, aber kein Netzwerkadministrator in der Nähe ist, der mit einer CLI und seinen eigenen Hardwarepräferenzen vertraut ist.

Andererseits ist Vyatta in einer von Windows gehosteten virtuellen Maschine auch ein ziemlich ungewöhnliches Router-Setup, sodass Sie bereits in einer relativ eigenwilligen Umgebung arbeiten. Nichts für ungut, es klingt, als würde es (irgendwie) seinen Job erledigen, und darauf kommt es an.

Sind Sie sicher, dass Sie drei verschiedene Netzwerke benötigen? Diese Anforderung schließt Sie aus der Kategorie der 200-Dollar-SOHO-Router aus und zwingt Sie zur Entscheidung zwischen PC-Hardware mit mehreren Netzwerkkarten (mit den entsprechenden MTBF-, Wärme-, Platz- und Stromverbrauchsproblemen) und „seriösen“ Routern, die teuer sind und keine hübschen GUI-Oberflächen haben, die „einfach funktionieren“, sobald Sie sie anschließen.

Antwort2

Das Gleiche habe ich neulich jemandem in einer ähnlichen Situation gepostet:

Um einen NetOp zu zitieren: "Niemand wurde jemals gefeuert, weil er Cisco-Geräte gekauft hat"; denn esWerke, es ist weithinunterstütztund ein ASA5505ist nicht so teuer(auch für ein kleines Unternehmen).

Sie haben auch die Möglichkeit, einen kompletten Windows-Server mit Forefront Threat Management Gateway (dem Nachfolger von ISA Server) einzurichten, wenn Sie eine reine Windows-Firewall mit sehr hoher Robustheit wünschen. Das ist allerdings recht kompliziert und teurer als ein Cisco ASA5505 (oder ein ähnliches Produkt).

Antwort3

Es ist nicht Windows, sondern die Firewall/Gateway-Appliances vonAstarosind ziemlich solide und einfach zu bedienen. Sie verkaufen Markenhardware, auf der alles bereits installiert ist. Sie verwenden einfach ihre webbasierte Schnittstelle, um alles zu konfigurieren. Sie sind als Gateway von einem Unternehmensnetzwerk zum Internet konzipiert und bieten alle möglichen Funktionen dazu (einschließlich DHCP und Spamfilterung), aber sie haben in den letzten Jahren auch als Front-End-Firewalls in unserem Rechenzentrum eine gute Verwendung gefunden. Intern läuft es auf einer Linux-Plattform, aber da die Webschnittstelle alles steuert, musste ich mich nie per SSH anmelden, um etwas zu tun.

verwandte Informationen