我正在为一家小型企业寻找 VPN 和 DMZ 解决方案。以下是一些背景信息和他们的一些要求:
- 这是一家小型企业,大概有十几台服务器和另外六个工作站。它提供带有数据库后端的公共 Web 应用程序。成本是一个重要因素,易于设置和维护的解决方案也很重要。
- 需要通过站点到站点 VPN 链接 2 个物理位置
- 必须通过客户端到站点 VPN 为州外承包商(最有可能为 5 个或更少)提供远程访问
- 上述 (3) 的 VPN 客户端需要在 Windows (XP 和 Win7) 和 Linux (Ubuntu) 上运行
- 两个物理位置都需要一个 DMZ 来容纳 Web 应用程序服务器。
- 任何解决方案都必须由具有一定系统管理能力但不是网络专家的人员来实施和维护。
- 我想避免使用任何基于 PC 的解决方案,例如 OpenVPN。我并不反对 OpenVPN 或类似的解决方案,我只是想使用某种设备来简化流程。
我一直在寻找低成本设备,比如几台 CISCO RV042,因为它似乎提供了我需要的所有开箱即用功能。但我不确定我是否太便宜了,所以我正在寻找一个健全性检查。对于小型企业来说,这是一个不错的解决方案吗?还是我应该寻找其他解决方案?
答案1
我建议使用 Cisco ASA 5505 防火墙设备(例如 #ASA5505-50-BUN-K9)。价格不到 500 美元。
有了它,您可以:
- 思科思维共享。人们确实知道如何设置和配置这些单元。
- 站点到站点的 IPSEC 隧道可以通过 Web 界面轻松配置。
- 可以通过附带的 Mac、Windows 和 Linux 客户端进行客户端连接。
- DMZ 可用。
成本可能是个问题,但这不是您应该节省的领域。
答案2
另一个选择是 Fortinet 的设备系列。根据您的要求,Fortigate 40C或者稍微高端一点福蒂盖特 60C可以解决问题。它们非常适合站点到站点 VPN,具有专用的 VPN 客户端(或者您可以使用操作系统的内置 PPTP 客户端)。
它们比思科套件便宜,但做工精良。话虽如此,Fortinet 推广的订阅服务(AV、反垃圾邮件等)听起来你并不需要——大多数经销商应该提供不带这些附加服务的 SKU,这会进一步降低价格。
最后一件事 - 看起来刷新后的型号系列上不再有专用的 DMZ 端口,但您可以根据自己的喜好重新配置交换机端口,包括 DMZ。
答案3
Mikrotik。就这么简单 - 他们的硬件价格无与伦比,功能相当于思科的 90%,价格仅为思科的 5%。您很可能可以使用 750 甚至 450 - 我在主办公室使用 450,在数据中心使用 1100AH,在远程位置使用 750。价格简直是笑话。
答案4
虽然这对您的站点到站点的需求没有多大帮助,但一种超低成本(免费或接近免费)的工作站到站点 VPN 方法是通过 SSH。SSH 是一种安全隧道,并且在所有有用的方面都是一种 VPN。
VPN 客户端(如 Putty)会将流量从本地端口通过 VPN 重定向到您的 SSH 服务器。总体设置如下:
- 在位于 DMZ 或内部/信任网络中的现有服务器上设置 SSH 服务器软件
- 打开防火墙以允许公众访问 SSH 端口
- 在远程工作站上设置 SSH 客户端。
SSH 客户端:Putty 是一款出色的免费 SSH 客户端,但还有其他客户端。
SSH 服务器:内置于 Linux。Windows 上有免费软件和低成本商业选项。http://en.wikipedia.org/wiki/Comparison_of_SSH_servers