我正在尝试找出托管网站的最佳网关/防火墙。由于我是一名开发人员,而不是系统管理员,所以无法决定采用哪种方式。您能建议哪种方式最好吗?
以下是我考虑过的一些选择。
1> Microsoft TMG +一体化,VPN,网关,防火墙,IPS +硬件可扩展性 +将其用于我的公司服务器。?不确定这是否是网站防火墙的好选择,还没看到有人使用它。
2> 思科+++-昂贵
3> F5 +非常适合负载平衡?看起来更适合负载平衡和 SSL 卸载,但不确定 IPS 有多好(如果有的话)?仍然需要其他网关到 vpn 等。
答案1
我的经历几乎和 Cian 的完全相反:
- 我们目前建议并部署 Netscreens 用于小型安装——SSG-5 防火墙价格不太贵,而且非常坚固,Netscreen 系列从那里开始扩展,整个界面或多或少都相同(我们已经扩展到一对集群 SSG-520 单元)。电话和硬件更换支持非常好。是的,有一个学习曲线,但对于任何事情来说都是如此。
- 上次我们查看 Checkpoint 时,我们为无法使用的东西支付了荒谬的费用(35,000 美元?)。对 Checkpoint 的支持甚至更多。这对我们来说是一个巨大的损失。我只能假设这些年来情况已经发生了变化。
- 如果您正在进行基本的防火墙设置,那么 smoothwall 是个不错的选择,但是对于任何稍微复杂的事情,您最终都会自己处理 iptables 规则,这时我就想知道为什么有人会费心使用 smoothwall。
我同意的一点是 PIX 盒子价格昂贵并且极其复杂。
答案2
如果您必须使用防火墙,请不要选择思科。PIX 是我遇到过的最可怕的软件之一。如果您遇到复杂的设置,Netscreen 也好不到哪里去。
Checkpoint 制作了一些很棒的软件,尽管价格昂贵。就企业网络软件而言,它是迄今为止我用过的最友好的软件。如果你是一个 *nixy 人,OpenBSD 和 PF 是一个很棒的解决方案,它很容易扩展以进行故障转移等。但它确实需要一定量的工作,而且没有 Checkpoint 那么友好。
答案3
使用名为 SmoothWall 的 Linux 发行版(http://smoothwall.org/) 可能是最便宜且最简单的。
您可以在 EBay 上购买一台便宜的 100 美元计算机和一张额外的 NIC 卡,然后就可以开始营业了。
答案4
如果你想要一个基于 GUI 的 ipcop,它很棒,并且支持免费的 openvpn 插件,如 zerina
如果你想使用基于文本的配置,那么 shorewall 就很不错 - 它对于保护 Web 服务器本身也很有帮助