Cisco PIX!

Pa da li baš MORA HW rješenje....koje ipak košta, a za taj obim posla i jedan P4 sa Endian FW/Proxy/AV+SPAM OpenSource rješenjem radi kod mene u praksi već skoro godinu ...
http://www.efw.it
http://www.efw.it/firewall/wiki/Features
cca 100 MB iso....

I moj glas ide za NE hardversko resenje. Uostalom i PIX treba konfigurisati, nije samo potrebno ubaciti ga u mrezu.

Ja (naravno) glasam za hardversko rešenje, i to (naravno) Juniper NS-5GT, eventualno u wireless varijanti.

Razlike u korist hardverskog u odnosu na softverski FW su mnogobrojne i velike, ali što je najvažnije - nepobitne su, da ne idemo u detalje. Mislim, to je već dosta izlišna priča.

I dve ovde navedene zablude:
HW rešenje, čak i ono (naj)kvalitetnije ne mora po pravilu da košta više ili bar ne mnogo više od pomenutog PC rešenja - dobar PC4 je već reda veličine 500€. To jeste dosta manje od jakog hw fw-a, ali "mali" firewall (npr. pomenuti ns5gt) za "malu" mrežu ima cenu istog reda veličine.
I drugo, treba i Open Source rešenje znati instalirati i konfigurisati, zar ne? A na modernim FW više nije samo CLI, već bogat Windows UI sa Wizardom za konfigurisanje... pp. da je to i efikasnija i lakša varijanta.

A što se tiče PIX-a.... :) Tu bi već mogla da se lome koplja. Kao i obično.

Fortinet

Ja bih uvek uzeo hardverski firewall, i to - ako se ja pitam Pix. Stavise sa ga i uzeo za firmu gde radim. Razlozi :

- PIX je namenska sprava. Za razliku od generickog OS-a sa dodatnim softverom koji moze puno toga, pix je od starta pravljen da radi samo to.
- PIX kad ne radi - ne radi. On uvek fails open. Poenta je da ako ti neko "pukne" pixa, ili se pokvari, moze da te isece sa neta, ali ne i da propusti sav saobracaj. To se ne desava.
- PIX ces lakse kupiti u celom svetu nego neki drugi hardver. Gde god postoji internet, Cisco ima prodaju na ovaj ili onaj nacin.
- za PIX ces uvek naci nekog ko zna da ga koristi, za odgovarajuc novac. Naravno, PIX danas ima i web interfejs i wizarde... Ali ako ti zatreba strucnjak, strucnjaka za Cisco opremu je mnogo lakse naci nego za nesto genericko.

Preko toga, mislim da bi bilo dobro imati i neki hardened OS (Dobro zakrpljen Linux, ili jos bolje OpenBSD ako ga znas), sa softverskim filtriranjem, zastitom od upada, proxy-jem, antivirusom.... Znaci - dvoslojna zastita. Ali ako moras da biras pocni od PIX-a.

U sluačaju zaista velikih/masivnih production mreža, prihvatljiv odnos cijena/kvalitet/kompleksnost održavanja/dobar support - je MUST i zadnjih godina je tu, slažem se, FortiNet u velikom usponu ....recimo FortiGate 300A

http://www.fortinet.com
http://kc.forticare.com/
http://docs.forticare.com/


_{[Ovu poruku je menjao dpop dana 26.03.2006. u 09:44 GMT+1]}

Cudo kako niko nije preporucio OpenBSD.?

Imajte na umu da se radi o shkoli, tj. ustanovi koja nece tek tako lako iskeshirati pare za takav uredjaj ako joj nije PREKO potreban. Takodje dajem glas PIX seriji, ali s obzirom da se radi o cifri od oko 500€, opensource reshenje dodje dosta prihvatljivije. Naravno, mislim na nkrgovicev post u kome je izneo scenario jednog fully patched linuxa ili BSD derivata, ali on podrazumeva vec postojece znanje ili ekstra uchenje.

Ne kapiras ti mene... Znaci - neki normalan OS u toj prici jeste dobar, ali vise kao proxy nego kao firewall. Fails closed je prelepa stvar kod PIX-a, i to je ono sto je glavni razlog za preporuku. Druga prednost, posebno za skolu u unutrasnjosti je sto ce PIX lakse kupiti nego fortinet (ima li ovo kod nas uopste?) . Takodje, PIX ne moras redovno da pecuje i odrzavas.

Konacno - heh... secam se kad sam ja bio u skoli... Znas koliko bi mene zadrzao bilo koji softverski firewall ? Paa... mozda ako stoji u kancelariji direktora :). Cudo sta par pametne dece sa USB stickom ili boot CD-om mogu da urade :). Verujem da je to mnogo vise nego sto par profana koji rade za bednu platu moze (i hoce) da odrzava. PIX nije nimalo lako izbusiti ni sa fizickim pristupom, plus neki 506E moze da stoji maltene bilo gde...

Ja bih jos jednom pitao zasto mislite da je za 500€ prihvatljivije opensource rešenje? Da ne reklamiram ovde, postavicu u vidu pitanja: sta mislite koliko kosta manji hw fw, npr. navedeni juniper 5gt ili hsc, tj cisco pix 501?

I moram da se ponavljam: linux resenje nijeisto sto i hw fw, a post nosi subject "HW FW preporuka" :)

U cemu je razlika? Mora da sam malo spavao na casu..:) (Npr OpenBSD sa Soekris plocom je...? )

Pozdrav

Nesto sto se lako kupuje u svakoj samuposluzi, nema nikakvih update-a, servis je jos jednostavniji, i uopste prava je stvar za nekog kome ce to odrzavati kako koga nadju....




Zasto je bolji PIX od 500+ EUR ? Zato sto kad im za dve godine dodje neko - on zna STA je to, i ima lak nacin da dodje do dokumentacije za podesavanje. Takodje, radi se o firmi cije proizvode mozes da kupis na n razlicitih mesta, ne juris gde ima, uvek imas i servis... Ono sto se zove PODRSKA. Plus, mnogo je lakse naci strucnjaka za Cisco-a nego za Open BSD.

Srpska skola sa Ciscom? Ciscovi produkti su jako skupi, osim na ebay tu i tamo. Jedan novi Access Point kosta oko 1000 evra, pa ti vidi. Pa za srpske edukacijske institucije je cuchavac standard wc-a - a ti pricas o Ciscu. First things first dude.

Cisco PIX 501 sa 50 licenci ti je oko 5500kn ili otprilike 750 eura.Barem je bio prije 7-8 mjeseci. Konfiguracija uopce nije teska ako imas imalo informatickog iskustva i svodi se najvise na indentifikaciju potreba i citanja par dana nesto manuala...vjeruj mi,ja sam ga tako postavio i onda su dosli "profesionalci" i pitali zasto smo prije njih zvali druge "profesionalce" :)

grmph. pa ja upravo o tome i pričam. zašto mene citiraš? :)

p.s. i ne reče čovek šta je na kraju pazario i da li je zadovoljan...