[MASOCH-L] RES: Recomendação de Firewall com VPN
Paulo Henrique
paulo.rddck at bsd.com.br
Thu Sep 22 08:07:47 BRT 2011
Em 22 de setembro de 2011 07:42, Marcio Merlone
<marcio.merlone at a1.ind.br>escreveu:
> Em 21-09-2011 18:49, Paulo Henrique BSD Brasil escreveu:
>
> Há alguma feature no ASA, CheckPoint, SonicWall no qual o IPFW, PF,
>> NetFilter ou até mesmo o IPFilter não lhe atenda ?
>>
> Tecnicamente não, apenas menos dor de cabeça administrativa. Trabalho em
> uma empresa que não é de TI, com uma equipe enxutíssima, e qualquer ganho de
> tempo vale ouro. Imagino que uma appliance pronta, fechada, custa menos
> tempo tanto pro setup inicial quanto pra operação ao longo das eras.
Tambem tenho uma equipe enxutissima e nem por isso vou gastar $4000 com uma
caixa fechada embora uma maquina boa para a tarefa acaba saindo quase que
pelo mesmo valor, se fazer a coisa muito bem feita vai acabar sendo demitido
:D ( experiência pessoal ).
>
>
> No caso se a resposta anterior for sim, essa feature não é obtida com o
>> uso de Snort ou qualquer outro IDS ?
>> O trafego esperado de analise é passível de atender como o equipamento
>> comodity hardware sem aumentar latência hoje e daqui a 5 anos?
>>
> O foco desta máquina não vai ser IDS.
A um ano atrás eu tinha um equipamento dedicado para firewall e um para IDS,
depois que coloquei tudo no mesmo equipamento e implantei redundância de
equipamentos na borda acabou os meus já raros problemas de internet que
caiu.
>
>
> Ser fã boy de alguma marca ou projeto é até legal, mais creio que só quem
>> conhece o seu ambiente é você proprio, infelizmente descriminar
>> detalhadamente para que qualquer um dos profissionais da lista posso lhe
>> ajudar a escolher uma solução ou poderá pegar todos os nomes citados, obter
>> as features de cada um e comparar com as suas necessidades, e se for pago
>> analisar para os próximos 5 a 10 anos.
>>
> É muito mais do que preciso. Quem vai dimensionar direitinho o hardware,
> modelo, features, será um parceiro comercial caso eu acabe optando por um
> appliance. Só queria sugestões de marcas, fabricantes, parceiros. O
> detalhamento vem depois.
Infelizmente eu tive a tempos atraz uma descepção com um dos "parceiros"
onde colocou em cheque um projeto do backbone de uma das empresa que prestei
consultoria, depois disso se é algo que vai o meu nome a coisa é totalmente
avaliada por mim independente de gosto de quem paga, da muito mais trabalho
porém não tive mais o inconscistencias.
>
>
> Considere que mesmo sendo uma rede nateada, IPv6 já é realidade e daqui a
>> 5 anos seja vantagem ter o seu proprio ASN e um /48 para empresa só para
>> manter redundância de link ( As empresas crescem, mesmos as que não tem foco
>> na área de tecnologia ).
>>
> Eu que sei... :)
Estou aprendendo ainda.
>
>
> Considere se o firewall será de perímetro ou de núcleo de rede.
>>
> Perímetro, vai fazer MIP para os servidores internos com endereço privado,
> firewall, NAT, gateway, site-to-site VPN e VPN para usuários móveis.
Ótimo, pois inventei de mistigar o trafego entre os setores e acabei com uma
i7 sobre uma X58SO2 com 10 interfaces gigabit e o infeliz do processador
trabalhando a 41/44%, enquanto que os p4-3.2 em uma DG31PRBR e 1Gb de ram na
borda não passa de 4/6%.
>
>
> --
> *Marcio Merlone*
> __
> masoch-l list
> https://eng.registro.br/**mailman/listinfo/masoch-l<https://eng.registro.br/mailman/listinfo/masoch-l>
>
Hoje estou com PFSense e sõ trocarei ele quando não tiver jeito mesmo, pois
o mesmo me atende em todas as necessidades é a minha sugestão quando
justificar $4000 para a diretoria em um unico equipamento torna-se a ser uma
luta de gladiadores.
--
:=)>Paulo Henrique (JSRD)<(=:
Alone, locked, a survivor, unfortunately not know who I am
More information about the masoch-l
mailing list