我正在寻找用于托管/住房环境的防火墙产品(设备或软件)。最大的问题是,随着防火墙后面的客户越来越多,规则变得非常复杂。有些只有一台服务器,有些则有整个子网。有些需要 NAT,有些需要 VPN 端点。有些客户只想允许端口 http,有些客户也希望允许 ssh。因此,设备需要能够支持 VLAN,并且应该能够按客户分组规则。
速度是另一个重点。并且能够轻松管理冗余设备。
我正在寻找一些不具备所有额外功能(如垃圾邮件过滤器等)的东西。我在网上搜索了很多,但他们要么也有所有这些额外功能(并且配置界面过载),要么错过了我需要的一些功能(例如 VLAN)。
VPN 端点并不是一个重要的标准。我们正在考虑为其配备一台单独的机器。
答案1
我想你会有几种选择,你的要求不是那么高。哪个严肃的防火墙不支持VLAN?
我们使用 Clavister SG32xx 的 HA 设置,它们支持规则分组、VPN、VLAN,并且根据许可(定义吞吐量)提供不同的版本。我认为性能范围从 350Mbit 到 1.5Gbit。
他们的低端产品也提供 HA,但据我所知不同步连接跟踪。它是 SG5x 系列,吞吐量高达 200Mbit。功能支持在技术上是相同的。
您可能还会对 Checkpoint、Cisco(ASA 系列)的产品感兴趣,但我们选择 Clavister 主要是因为其管理简便,而且向我们展示产品(并为我们提供支持)的公司给我们留下了深刻的印象。
答案2
看一下普福斯。它支持您刚才列出的所有功能,免费、开源、文档齐全,并且如果您需要,还可以获得商业支持。它还支持集群以实现无缝故障转移,包括所有活动会话。并且可以在任何 x86 硬件上运行,因此您可以轻松调整硬件大小以满足您的需求。
答案3
我推荐 Fortinet 的 Fortigate 系列。我们对它们有很好的体验。它们支持带分组的防火墙、VPN(SSL 和 ipsec)、VLAN、HA。您可以在主机上进行一些加权负载平衡,它们还支持 VDOM,允许您为访客和客户提供虚拟设备和控制。
许可模式很简单:Fortigate 的每个型号都具有相同的软件功能,只有硬件功能和选项会有所不同。而且您无需花费大量金钱即可使用 VPN,它可以直接与您需要的任何数量的客户端配合使用。