[GTER] Firewall

Paulo Henrique paulo.rddck at bsd.com.br
Mon Jul 30 22:25:50 -03 2012 

Não compreendo o tamanho do seu ambiente.
Quanto de banda vai passar por ele?
Quantos pacotes tem que analisar por segundo?
Até que camada do TCP/IP voce deseja analisar?
É apenas firewall ou vai querer uma integração com IDS ?
Quanto estima de investimento para tal appliance ?
Possui quantos Us no rack disponivel ?
Analisou a redundancia do hardware ?
As vezes consideramos e adquirimos um leão que depois passa a ser um elefante branco.
Quantos segmentos de rede possui?
Minha sugestão.
2 Dell R410 com a quantidade de interfaces que precisar + 1 gigabit para intercomunicação entre os dois.
Se for firewall de borda de as aconselho a investir rm duas decagigabit.
PFsense com PFsync.
A interface é simples para quem sabe o que faz, resumo aanalista de segurança/rede. E aind é simples.

Att.

-----Mensagem original-----
De: "Michel L. M. B. Perez"
Enviado:  30/07/2012, 17:23 
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunt.: Re: [GTER] Firewall


Cara,

Aqui na empresa trabalhamos com Cisco (ASA) e Palo Alto, antigamente
trabalhavamos com Fortigate e SonicWall, como todos vocês sabem, um UTM
quando tem todas as suas funcionalidades habilitadas a caixa perde muita
performance. E você sempre tem que comprar um elefante pra matar um
mosquito.

Você tem que observar o que vai habilitar, por exemplo Firewall, VPN IPSEC
e SSL e IPS (se for só isso eu fico com o ASA sou suspeito pra falar),
quando você começa a pensar em outros coisas, além de porta e protocolo,
balanceamento de carga em cima de Links baseado em assinaturas,
visibilidade do que passa pelo seu Firewall, Filtro de conteúdo e Proteção
contra Malwares e etc, no caso do Cisco você vai precisar de uma caixa
maior com algumas placas para habilitar todas essas funcionalidades.

O X da questão é sempre o que você quer fazer? Quanto você tem pra gastar?
Sei que a maioria do pessoal aqui usa FW OpenSource, mas é o que sempre
digo, no OpenSource cada um faz do seu jeito. Se não estiver bem
documentado ou muito bem alinhado com os outros o q  está sendo feito,
depois de um tempo a coisa pode ficar bagunçada.

Não sei qual seu cenário qual sua realidade, qual valor que você tem pra
investir, não to dizendo aqui que OpenSource não presta, as coisa funcionam
e funcionam muito bem. Mas como qualquer outra solução você deve tomar
cuidado.

Espero ter ajudado .

Att.,

--
Michel Perez
Skype: michelmbperez
michelmbperez at gmail.com
http://br.linkedin.com/in/michelmbperez



Em 30 de julho de 2012 15:43, mantunes <mantunes.listas at gmail.com> escreveu:

> Aker. ???
>
> estou fazendo tratamento psicológico por causa deste nome..
>
> se quiser uma solução.. vá de fortinet e programe suas férias..
>
> Em 30 de julho de 2012 14:39, Alexandre J. Correa - Onda Internet
> <alexandre at onda.net.br> escreveu:
> > OUCH !!!
> >
> > esse nome me da ate dor de barriga :X
> >
> >
> > Em 30/07/2012 13:41, Murilo Lima - System Way escreveu:
> >
> >> Temos usado a solução da aker muito boa!
> >>
> >> :)
> >>
> >>
> >>
> >> Em 30/07/2012 08:25, Arquivo Linux escreveu:
> >>>
> >>> Eu só não utilizei o pfsense em produção por falta de oportunidade, no
> >>> atual emprego temos iptables com um frontend chamado shorewall,
> funciona
> >>> e
> >>> facilita, porem o ambiente esta crescendo muito, estamos pensando em
> >>> migrar
> >>> para alguma solução proprietária, estamos avaliando sonicwall,
> fortinet,
> >>> checkpoint, asa, astaro etc...
> >>>
> >>> Inclusive se algum colega tiver alguma sugestão ou quiser relatar
> alguma
> >>> experiencia, por favor!
> >>>
> >>>
> >>>
> >>> Em 29 de julho de 2012 19:15, Alisson <alissoncadori at gmail.com>
> escreveu:
> >>>
> >>>> Boa noite pessoal gostaria de uma opinião  do pessoal da lista quais
> >>>> tipos
> >>>> de firewall utilizam em seus sistemas , já utilizei endian, pfsense, e
> >>>> hoje
> >>>> utilizo debian com regras feitas em scripts , via iptables.
> >>>> --
> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> > --
> > Sds.
> >
> > Alexandre Jeronimo Correa
> > Sócio-Administrador
> >
> > Onda Internet
> > www.onda.net.br
> >
> > IPV6 Ready !
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>
> --
> Marcio Antunes
> Powered by FreeBSD
> ==================================
> * Windows: "Where do you want to go tomorrow?"
> * Linux: "Where do you want to go today?"
> * FreeBSD: "Are you, guys, comming or what?"
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list