Toon posts:

Zyxel ZyWall 70 als vervanging voor IPCop op een ouwe PC

Pagina: 1
Acties:

dinsdag 22 november 2005 12:55

Acties:

Verwijderd

Topicstarter
We hebben nu een oude PC onder in het rack staan met IPCop 1.3.9, we willen deze graag vervangen, omdat de PC nu al twee keer vastgelopen is (niet meer bereikbaar via webinterface, na een herstart werkt het weer als een zonnetje, maar liep de nacht erop weer vast).

We overwegen een Zyxel ZyWall 70 aan te schaffen, deze kan wat IPCop kan en meer (zoals een subscription-based AV/Anti-Spam service, 4 DMZ poorten out-of-the-box, uitgebreide docs en natuurlijk support en garantie). En het is natuurlijk een mooi apparaat, en een appliance spreekt mij aan als totaal oplossing. Het kost meer, maar dat is geen probleem (m.a.w. als we de ZyWall willen dan kopen we die gewoon, "niet bezuinigen op beveiliging"). Maar ik wil niet op basis van gevoel (appliance + rackmount = mooi òf IPCop = open source + Linux = stabiel) zoiets beslissen, de ratio moet de doorslag geven, toch?

Wat ik wel super zou vinden zijn een paar ervaringen van mensen met de ZyWall 70 (of vergelijkbaar) en/of IPCop en hoe ze denken over de vergelijking.

Wat te denken bijvoorbeeld van de documentatie (800 pagina's ZyWall vs. 60 pagina's IPCop), hoe belangrijk vind je dat? Of het feit dat je van IPCop weet wat de technologie is (IPTables e.d.) en de ZyWall een blackbox is, maakt dat je wat uit? En voor wie telt stiekem toch emotie wel mee bij zo'n aanschaf (dus je vind Linux gewoon een mooiere optie, of juist zo'n strak apparaat mooier, ongeacht de prestaties)?

dinsdag 22 november 2005 23:23

Acties:

Verwijderd

Lees ik het nou goed dat je zegt dat een oplossing met een met Linux geïnstalleerde server stabieler is dan een ZyWall-firewall? En zie ik je dat dan gaan afwegen tegen support?

Ik denk dat je eerst eens je eisen duidelijk moet hebben. Je somt leuk op wat die ZyWALL kan, maar wat wil je nou precies voor functionaliteit. En ook belangrijk: hoe zit het met de kennis die in huis is?

Je moet nog wat verder na gaan denken lijkt me. Stel eerst eens vast wat je precies zoekt en ga dan pas zitten vergelijken.

donderdag 24 november 2005 13:53

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op dinsdag 22 november 2005 @ 23:23:
Lees ik het nou goed dat je zegt dat een oplossing met een met Linux geïnstalleerde server stabieler is dan een ZyWall-firewall? En zie ik je dat dan gaan afwegen tegen support?
Nee, niet goed gelezen ;). Ik wil juist niet dat 'vooroordelen' de doorslag geven.

Lees nog eens de post. IPCop doet wat we willen, de ZyWall (voor zover ik op kan maken uit de documentatie) doet hetzelfde en nog wat extra zaken. Dus beiden voldoen en beiden zijn een optie. Hoe maak je nu de keus?

Ik vraag me af of er mensen zijn die dan (als ze beiden inzetbaar zijn) als argument hanteren:
  • een linux based of open source firewall is beter want... (open/stabiel (nogmaals, ik zeg niet dat dat zo is, ik weet daar te weinig van, anderen wel))
  • een 19" appliance is beter want... (support/garantie)
  • neem gewoon de goedkoopste optie!
Maar voor de volledigheid: wat ik zoek is:
  • 1 WAN poort (hieraan de modem/router van onze provider)
  • 1 LAN poort (hieraan de switch voor het interne netwerk van 25 werkstations en 3 servers)
  • 1 of meerdere DMZ poorten (hieraan de 2 extern benaderbare servers, meerdere DMZ poorten zorgt ervoor dat we geen switch nodig hebben voor de servers)
  • Alle poorten 10/100
  • DHCP server voor het LAN
  • NAT voor het LAN
  • Port forwarding voor de DMZ
  • Meerdere aliassen (ip-range die we hebben van provider) voor de WAN poort (weet nog niet zeker of dat nodig is)
  • Configuratie via web-interface vanuit LAN
  • Backup kunnen maken van instellingen
  • Goede documentatie (niet alleen een opsomming van de opties)
  • Update van de software vanuit het LAN
  • Inzicht in de logs van het systeem
  • Overzicht van diverse tabellen (arp/routing/huidige verbindingen)
  • 19" rack-mountable
Waar ik nog niet over uit ben:
  • Stateful inspection
  • Grafieken
  • Aanpassen van eth interfaces via web-interface (dus niet alleen alias)

vrijdag 25 november 2005 14:46

Acties:

Verwijderd

Als de functionaliteit van beide oplossingen voldoende is, heb je dus weinig aan de extra functionaliteit van de Zywall. Dus tenzij je van plan bent die functionaliteit te gebruiken is die functionaliteit dus irrelevant.

Dan heeft de IPCop oplossing als voornaamste voordeel dat het een standaard PC is en je er ook andere Firewall software op kan zetten als IPCop niet meer voldoet. Het Open Source zijn zou ik nou niet direct als pluspunt zien (tenzij je van plan bent zélf uitbreidingen te gaan programmeren of echt paranoide bent)

Qua stabiliteit ben je vaak beter af met een appliance dan met een PC gebaseerde oplossing. Bij appliances zijn de software en hardware specifiek ontwikkeld voor hun taak, een PC moet general purpose zijn. Zo zit er in een hoop appliances geen harddisk maar een flashgeheugen als opslag. Het kost wat meer en heeft een veel lagere capaciteit dan een harddisk maar is wél betrouwbaarder.

Ook "Rackmount" is natuurlijk geen argument, je kan IPCop ook op een 1U servertje draaien. Als je eerlijk vergelijkt moet je tenslotte ook hardware aanschaffen voor IPCop en dat is niet per definitie de allergoedkoopste PC. Een tweedehands PC zou ik trouwens in een bedrijfsomgeving nooit overwegen als firewall. Juist je firewall moet stabiel zijn en snel en eenvoudig te repareren zijn als die kapot gaat. Garantie en support zijn dus wél belangrijke elementen bij de keuze. Als je een probleem hebt met de instellingen wil je wel dat iemand je kan helpen. Goede documentatie is daarbij natuurlijk de eerste stap maar misschien kom je daar niet altijd uit.

Op zich is ook het aantal pagina's documentatie niet alleszeggend maar in 800 pagina's kun je wel meer informatie kwijt dan in 60. Maar als je nu geen problemen hebt met de documentatie van IPCop is er niet gelijk een reden om aan te nemen dat je in de toekomst wel problemen zal krijgen.

Dus, kort door de bocht, als IPCop voldoet en goedkoper is zie ik eigenlijk geen noodzaak om op welke andere appliance over te stappen. Het enige probleem wat je schijnt te hebben is de onderliggende hardware. Vervang die door iets wat wel stabiel en betrouwbaar is en IPCop zou moeten functioneren. Het kan echter zijn dat de IPCop software zelf verantwoordelijk voor de crashes. In dat geval voldoet IPCop duidelijk niet en moet er iets anders komen :)

[ Voor 4% gewijzigd door Verwijderd op 25-11-2005 14:53 ]

vrijdag 25 november 2005 15:21

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op vrijdag 25 november 2005 @ 14:46:
Dan heeft de IPCop oplossing als voornaamste voordeel dat het een standaard PC is en je er ook andere Firewall software op kan zetten als IPCop niet meer voldoet.

Bij appliances zijn de software en hardware specifiek ontwikkeld voor hun taak, een PC moet general purpose zijn.
Dat soort dingen had ik zelf nog niet bedacht maar voegt wel iets toe aan de afweging die we moeten maken. Bedankt voor je tips!
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq