什么是好的小型企业(一个地点的用户数少于 50 人)防火墙和 VPN 设备?无线设备会是一个不错的补充,我考虑的价格在 1,000 美元左右。这适用于拥有 0-2 名 IT 员工的企业。质量支持和设备可用性很重要。SSL VPN 会很好,如果它是基于客户端的,那么在 64 位 Windows 上运行的 VPN 客户端很重要。
答案1
我最近在工作中安装了 Cisco ASA 5505,用作小型办公室防火墙、site2site VPN 端点和 roadwarrior VPN 端点。它坚固可靠。Cisco 的 Web GUI 功能有限,因此了解 Cisco 命令行几乎必不可少。
Cisco 正在拆分其 VPN 客户端软件,旧的基于 IPSec 的客户端正在逐渐淡出,而新的基于 SSL 的客户端正在获得发展势头。其中一个例子是,旧的 IPSec 客户端没有计划推出 64 位版本。坏消息是,SSL 是单独授权的,而且价格要贵得多。
如果我再次设置“roadwarrior”VPN,我会坚持使用 Active Directory 集成。我们的用户经常忘记 VPN 密码,因为它与他们每天在办公室使用的 AD 是分开的。更改密码并不麻烦,但会损失大量生产力。我们的用户经常在截止日期前一天晚上在家中尝试使用 VPN...
uPnP 会出乎意料地好用。我们的许多用户使用 Skype 或其他需要通过防火墙才能正常工作的设备。是的,uPnP 存在很强的安全问题;选择权在您手中。
最后是统计数据。思科 ASA 有一个很好的统计数据部分,它实际上可以帮助您解决某些类型的网络问题。我不想要一个无法让我了解正在发生的事情的防火墙(或一般的 IT 设备),因为在极少数情况下,网络上会出现难以捉摸的问题。
Kerio Winroute 防火墙具有 AD 集成、uPnP(如果您需要)以及非常可靠的统计部分。Kerio 在防火墙方面拥有良好的业绩记录,他们的工作站防火墙多年来一直是市场领导者,直到他们将其出售。我没有使用过 Kerio Winroute,但如果我再次设置小型企业防火墙,我会选择 Kerio Winroute 或 Windows 2008 R2。
2008 R2 的 VPN 实现看起来非常可靠,并且与 Windows 7 无缝集成。最明显的缺点是客户端 PC 需要 Windows 7。我们可以接受这一点,但目前我怀疑很多人不能接受。
我知道 pfSense 和许多其他开源防火墙发行版。它们非常非常好。对于我的小型办公室需求,pfSense 在 PC 级硬件上的额外性能并不重要,因为我们使用的是 10/10 mbit 线路。而且小型 ASA 或 Juniper SSG 的价格并不高。因此,pfSense 最终主要与 ASA 或 Juniper SSG 竞争,我只是更喜欢现成版本的简单性和快速实施时间。但 pfSense 非常好,对于其他需求来说,它可以很棒。
因此对我来说,情况可能是:
- 双防火墙“DMZ”配置,前面有一个相当简单的防火墙设备,后面有一个基于 PC 的软件防火墙(Kerio,Windows 2008 R2),用于具有 AD 集成的移动 VPN。
- 一个防火墙设置,带有一个基于 PC 的防火墙(Kerio、Win 2008 R2),该防火墙有 2 个 NIC(可能安全性稍差,但我认为现在这不是什么大问题)。
现在,我会购买 Kerio Winroute(再次强调,仅查看其网站,我个人尚未使用过 Kerio Winroute)。如果您的商店只提供 Windows,一年后我会选择 Windows 2008 R2。
答案2
我可以建议你看看普富思。我发现它适用于 40 个用户的网络并且易于管理。Web 界面使 OpenVPN 的管理变得轻而易举。
只要尝试一下,你就不会失去任何东西。
答案3
我使用 Cisco ASA-5505 时运气不错。它有点贵,但配置起来很不错,而且很可靠。您可以在其上终止各种 VPN 协议,包括 PPTP、IPSEC 和 L2TP。它具有 SSL VPN 功能,但我相信它是单独授权的。
答案4
大约 1000 美元,我会使用 Draytek 2950 或 3300。实际上,这两款路由器应该会给你带来很多变化。我使用过很多这样的路由器,它们都非常好,易于配置,并提供负载平衡等高级功能。它们都支持 LAN 到 LAN IPSEC VPN,并且支持个人用户的 PPTP 拨入 VPN。PPTP 拨入使用 Windows 内置的 VPN 支持,不需要额外的软件。如果你是我,我会选择 2950,因为 3300 可能提供你不需要的东西(比如在最多 4 个 WAN 端口上进行负载平衡!)。
Draytek 2910 的价格远低于 1,000 美元,但其性能不足以支持两个或三个以上的同时 VPN 会话。
JR