Welke firewall-oplossing voor serverpark MKB-situatie * - Netwerken

vrijdag 16 december 2005 00:34

Acties:

Verwijderd

Topicstarter

Naar aanleiding van mijn vorigge topic nog een vraag... het is niet zo zeer dat ik me er niet in heb verdiept, maar meer dat ik gewoon geen verstand heb van hardwarematige firewalls...

De prijzen tussen die dingen lopen extreem uiteen, van een paar honderd, tot duizenden euro's. Er moet wel een enorm verschil zijn tussen die dingen alleen begrijp ik niet echt wat nou precies dit enorme verschil is....

Ik heb wat firewalls uitgezocht om eens te vergelijken:

Netgear ProSafe VPN firewall 200 w/8 Port 10/100 switch
Afbeeldingslocatie: http://www.netgear.com/images/products/large/fvx538.jpg

ZyXEL ZyWALL 5
Afbeeldingslocatie: http://www.zyxel.com/uploads/product/img/ZyWALL51086660731.jpg

Cisco PIX 515E
Afbeeldingslocatie: http://www.cisco.com/image/jpeg/en/us/guest/products/ps4094/c1122/cdccont_0900aecd800aa566.jpg

Nu is die laatste Cisco bijna 10x zo duur. Waar zit dit verschil in? Van de dingen die ik begrijp, lijkt het erop dat die Cisco veel meer bandbreedte aankan dan die andere firewalls. Verder zie ik niet zoveel verschil...

Wat ik zoek is gewoon een hardwarematige firewall voor 3 windows servers, die ik graag via een webinterface wil kunnen beheren. Ik wil poortjes kunnen openzetten en sluiten per lan-aansluiting, en het liefst de mogelijkheid om bepaalde ip-adressen volledige toegang te kunnen geven (dus geen restricties op basis van poortnummers). Zover ik begrijp is dit ook allemaal met bovenstaande firewalls mogelijk, hoewel ik daar niet helemaal zeker van ben. Ik vind de specs nogal lastig vind om te begrijpen.

Verder vraag ik me af of het mogelijk is als ik een reeks ip-adressen mag gebruiken van mijn provider, ik deze zomaar kan toewijzen aan de servers achter de firewall (die weer achter een switch van mijn provider zit), en deze dus van buitenaf ook bereikbaar zijn (uiteraard mits de firewall goed is geconfigureerd)...

Is er iemand die me een beetje opweg kan helpen met bovenstaande? Is het echt nodig om te gaan voor zo'n Cisco firewall van bijna 3k, of voldoen de goedkopere ook met wat ik wil doen?

[ Voor 9% gewijzigd door Verwijderd op 16-12-2005 01:01 ]

vrijdag 16 december 2005 08:23

Acties:

Verwijderd

Wij gebruiken hier een SonicWall Firewall
link:
http://www.sonicwall.com/products/tz170.html

Met dit apparaat kan je zeer veel instellen. (oa. ip-reeksen blokkeren, toegang tot internet reguleren mbv categorieen, etc)
Hij houdt verder alles bij (mailgebruik, internetgebruik (ook per user), vpn, ftp etc.)

prijs weet ik niet precies, iets van €650,--
Dit apparaat voldoet bij ons prima.

opm: Sonicwall heeft ook grotere en vooral duurdere oplossingen.........

vrijdag 16 december 2005 10:08

Acties:

Verwijderd

Tja, een pix is niet aan te raden als je er geen verstand van heb, aangezien hij nogal lastig te configureren is dan. Aangezien je bedrijfje volgens mij niet echt groot is, heb je ook geen gigantische throughput nodig. Ik zou dus voor de zyxel of die andere gaan, welke je daarin neemt maakt volgens mij niet zo gek veel uit (hoewel ik niet echt de specs heb doorgespit).

vrijdag 16 december 2005 10:13

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Welke eisen stel je uberhaubt aan zaken als:

- Throughput
- Managability (bv web interface / client maar ook cli interface etc)
- Logging
- Rapportage
- Monitoring
- Failover
- Budget
- VPN mogelijkheden (ook hier throughput en aantal sessies)
- Ondersteuning van leverancier / fabrikant
- Onderhoudscontract?
- Standaardisering hardware
- Wat is het kennis niveau van de mensen die het gaan beheren?

Zonder op deze vragen antwoord te geven zal niemand je een goed advies kunnen geven.

[ Voor 3% gewijzigd door Bor op 16-12-2005 10:45 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 16 december 2005 10:14

Acties:

Ora et Labora

Astaro

Werkt perfect, niet bijzonder duur, en een goede geavanceerde firewall met veel mogelijkheden, oa VPN over PPTP of IPSEC, proxy server, IP reeksen toegang, SMTP en POP3 scanner, anti spam, antivirus, packet filter, surf protection, spyware protection, en nog een aantal handige dingen, en uiteraard te beheren via een Web-interface.

Wel installeren op een pc'tje met minimaal 2 netwerkkaarten.

[ Voor 56% gewijzigd door Ora et Labora op 16-12-2005 10:18 ]

Who's general failure, and why is he reading my disk?

vrijdag 16 december 2005 10:26

Acties:

JackBol

Security is not an option!

EJVL schreef op vrijdag 16 december 2005 @ 10:14:
Wel installeren op een pc'tje met minimaal 2 netwerkkaarten.

jah, vooral gaan hobbien als je er al geen verstand van hebt.
en hier komt nog meer kritiek. Een firewall is niet zaligmakend, als je al niet weet op welke basis je keuzes moet maken, zie ik het somber in qua configuratie en beheer (logging? monitoring?).

en ook antwoorden:
ipadressen:
- Ligt aan je provider, maar als je een reden hebt, kan je provider bij RIPE en /29 of /28 oid. aanvragen voor interne netwerkje, zodat je lekker kan routeren zonder NAT.

firewall zelf:
- Er zijn verschillende providers die ism. 3th parties een firewall als managed dienst leveren. Kijk of je zoiets kan aanschaffen. Je bent een vast maandbedrag kwijt en dat dingetje wordt netjes op afstand voor je beheert en gemonitort door mensen die verstand hebben van (network-)security. Elke maand krijg je een rapportje met een statusoverzicht. (geloof me, your manager is gonna love you for this)

De actuele opbrengst van mijn Tibber Homevolt

vrijdag 16 december 2005 10:27

Acties:

aZuL2001

Kijk eens naar de Basewall lijn.

Wellicht is de 2000 iets te licht, maar de 6000 voldoet zeker

Voorzichtige inschatting op basis van de andere modellen die je zelf voorstelt : de 3000
Afbeeldingslocatie: http://www.basewall.nl/lang/products/thumb/phpThumb.php?src=/lang/products/images/vpn-3000.gif&w=200&h=200

Afbeeldingslocatie: http://www.basewall.nl/lang/products/thumb/phpThumb.php?src=/lang/products/images/vpn-3000.gif&w=200&h=200

[ Voor 4% gewijzigd door aZuL2001 op 24-12-2005 08:51 ]

Abort, Retry, Quake ???

vrijdag 16 december 2005 11:10

Acties:

Ora et Labora

Dirk-Jan schreef op vrijdag 16 december 2005 @ 10:26:
[...]

jah, vooral gaan hobbien als je er al geen verstand van hebt.

hoezo hobbien? Astaro wordt geleverd als software, dit kun je gewoon installeren op een pc, 2 netwerkkaarten erin, inkomend en uitgaand en spreekt volledig voor zich, niks geen hobbien aan als je de instructies van Astaro gebruikt.

Who's general failure, and why is he reading my disk?

vrijdag 16 december 2005 11:44

Acties:

Taigu

Dirk-Jan heeft wel een punt imho. TS is op zoek naar een firewall, gezien het feit dat hij naar applicances kijkt lijkt me het geen gek idee om aan te nemen dat TS geen/weinig Linux kennis heeft en graag een 100% out of the box oplossing wil. De keuze is al lastig genoeg voor TS en je maakt de keuze alleen maar lastiger door allerlei software oplossingen te adviseren.

De firewalls welke TS nu aan het vergelijken is zijn appels met peren. TS, volg aub Bor zijn advies op en stel eerst een vast wat het apparaat moet kunnen en wat je budget is. Op basis daarvan kun je dan gaan zoeken / verder advies vragen.

[ Voor 12% gewijzigd door Taigu op 16-12-2005 11:46 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

vrijdag 16 december 2005 12:03

Acties:

TetsuoShima

low energy output

Ik heb hier een ZyWALL5 staan en daar ben ik zeer tevreden over. Hij doet alles wat je vermeld hebt dat ie moet doen en meer...

Multiple outside IP's onto multiple inside ip's doe je met full featured NAT. Werkt prima op de ZyWALL en produktondersteuning is top! De prijs valt ook best mee in vergelijking met de concurrentie.

Evil is done without effort, naturally, it is the working of fate; good is always the product of an art.

vrijdag 16 december 2005 14:40

Acties:

Ora et Labora

buddhole schreef op vrijdag 16 december 2005 @ 11:44:
Dirk-Jan heeft wel een punt imho. TS is op zoek naar een firewall, gezien het feit dat hij naar applicances kijkt lijkt me het geen gek idee om aan te nemen dat TS geen/weinig Linux kennis heeft en graag een 100% out of the box oplossing wil. De keuze is al lastig genoeg voor TS en je maakt de keuze alleen maar lastiger door allerlei software oplossingen te adviseren.

De firewalls welke TS nu aan het vergelijken is zijn appels met peren. TS, volg aub Bor zijn advies op en stel eerst een vast wat het apparaat moet kunnen en wat je budget is. Op basis daarvan kun je dan gaan zoeken / verder advies vragen.

Je hoeft ook geen verstand van linux te hebben hoor, dat heb ik ook niet, nog nooit mee gewerkt trouwens, volledig web based, maar verder heb je wel gelijk natuurlijk

Who's general failure, and why is he reading my disk?

vrijdag 16 december 2005 17:34

Acties:

Taigu

Je hoeft nergens verstand van te hebben om op Next -> Next -> Finish te kunnen klikken. Laten we met zn allen proberen het niveau in PNS een beetje hoog te houden

offtopic:
Begrijp me niet verkeerd aub, wordt af en toe beetje moe van mensen die zo makkelijk over bepaalde zaken denken. En daar bedoel ik jou niet mee maar bep. TS'en hier in PNS. Helaas zijn er steeds minder interessante topics en personen die zeer veel verstand van zaken hebben zie je verdwijnen. Dus om dat even voort te zetten:

@CreativeIT : Ook gezien je andere topic is het raadzaam wat informatie in te winnen bij een leverancier. Zij kunnen je precies vertellen wat je moet hebben, mocht je dan nog twijfels hebben dan kun je dat hier altijd posten.

[ Voor 123% gewijzigd door Taigu op 16-12-2005 17:39 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

vrijdag 16 december 2005 18:31

Acties:

Verwijderd

Topicstarter

Iedereen bedankt voor de info

Ik heb zelf inderdaad niet zo heel veel verstand van firewalls en netwerk zaken. Ik kan wel een netwerkje opzetten en een servertje configureren, maar daar blijft 't bij. Ik zoek dus inderdaad een simpele oplossing waarbij ik niet een bijbel aan documentatie voor moet doorbladeren.

De situatie is niet zo heel lastig, er is dus 1 uplink van de firewall naar een switch via waar ik naar 't internet connect. Achter de firewall komen een paar Windows servers te draaien met webapplicaties (die over poort 80 gaan). Even antwoord op 't lijstje van Bor:

De bedoeling is dat die firewall gewoon zo in te stellen is, dat hij voor enkele servers alleen verkeer toelaat over poort 80, en een andere bijvoorbeeld 21 en 80.
Een uitzondering moet zijn wanneer je ergens een ip-adres gaat toevoegen aan één of andere allow-list op de firewall, iemand met dat ip-adres geen restricties heeft en in feite dus geen last moet hebben van de firewall.
Er moeten wel VPN connecties mogelijk zijn, maar dit zijn er nooit meer dan 5, wellicht zelfs niet meer dan 1.
De maximale bandbreedte hoeft niet enorm te zijn, het moet wel kunnen pieken, maar dan denk ik aan maximaal 10mbit.
De firewall moet via een http-webinterface te beheren zijn.
Logging is een pré maar niet super belangrijk.
Er hoeft geen onderhoudscontract bij.
Moet rackmountable zijn.
Het mooiste zou zijn als ik op de servers zelf kan instellen welke ip's ze gebruiken. Normaal krijg ik van mijn hoster een lijstje ip-adressen en die kan ik dan zelf op mijn servers instellen. Dit zou ik het liefst het zelfde hebben alleen dan met die firewall ertussen.
Het zou mooi zijn als de servers onderling ook kunnen communiceren zonder last te hebben van de firewall restricties. Mocht dit niet mogelijk zijn hang ik er gewoon een 2e switch neer, alle servers hebben 2 nics.
Met oog op de toekomst minimaal 4 poortjes.
Budget is niet direct van belang, het liefst onder de 1000 euro; maar mocht het nodig zijn wil ik er wel meer aan uitgeven (maximaal 2500 euro ofzo).

Dat is zo'n beetje wat ik dus zoek..

vrijdag 16 december 2005 18:35

Acties:

Verwijderd

Nu is deze bedragen zie, vraag me ik me af, waarom geen oude pc

vrijdag 16 december 2005 18:43

Acties:

JackBol

Security is not an option!

Verwijderd schreef op vrijdag 16 december 2005 @ 18:35:
Nu is deze bedragen zie, vraag me ik me af, waarom geen oude pc

lees aub de reactie van buddhole eens....
en geloof me, 1000 euro is niet veel voor een firewall...

De actuele opbrengst van mijn Tibber Homevolt

vrijdag 16 december 2005 20:11

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Zullen we vanaf nu de hobbybob oplossingkjes achterwege laten ?

Graag ontopic op een PNS discussieren graag.

Tijd voor een nieuwe sig..

zaterdag 17 december 2005 13:36

Acties:

Taigu

Met oog op de toekomst minimaal 4 poortjes.

Ik vraag me af of je 4 poorten bedoelt om 4 machines op aan te kunnen sluiten of wil je 4 zones gaan cre-eren ?

Je overige wensen en eisen komen dan wat meer neer op een instap firewall, zoals de goedkopere zywall's (bijv. de 5, netscreen-5, pix 506 (misschien nog wel 501). Als je die 4 poorten nodig hebt om enkel machines aan te kunnen sluiten ga dan op zoek naar een instapfirewall met wat meer ethernet poorten of een instapfirewall en een los switchje erbij. Nadeel is dat deze apparaten vaak te klein zijn om in een rack te hangen, je kan ze wel makkelijk op een van je servers leggen en dan zullen ze niet meer dan 1u innemen.

Wil je echte in elke zone een netwerk gaan creeren en gaan werken met rulesets tussen de zones om verkeer goed af te kunnen scheiden of VPN's op te kunnen zetten naar specifieke zone's dan kom je imho in een wat hoger segment firewall terecht, zoals de 515 of een netscreen-25. Belangrijk is ook onderhoudscontracten/support contracten en licentiekosten voor vpn client software. Het inrichten van een dergelijke firewall kan ook gecompliceerder zijn.

[ Voor 11% gewijzigd door Taigu op 17-12-2005 13:38 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

zaterdag 17 december 2005 14:37

Acties:

Verwijderd

Topicstarter

buddhole schreef op zaterdag 17 december 2005 @ 13:36:
[...]

Ik vraag me af of je 4 poorten bedoelt om 4 machines op aan te kunnen sluiten of wil je 4 zones gaan cre-eren ?

In ieder geval voor 4 machines. Wat wil aparte zones precies zeggen? Dat je per aansluiting/poort apart alles kunt instellen? Dus aansluiting/poort 1 bv alleen poort 80 open, en aansluiting/poort 2 bijvoorbeeld alleen 21 etc?

zaterdag 17 december 2005 15:20

Acties:

JackBol

Security is not an option!

Verwijderd schreef op zaterdag 17 december 2005 @ 14:37:
[...]

In ieder geval voor 4 machines. Wat wil aparte zones precies zeggen? Dat je per aansluiting/poort apart alles kunt instellen? Dus aansluiting/poort 1 bv alleen poort 80 open, en aansluiting/poort 2 bijvoorbeeld alleen 21 etc?

De functionaliteit jij hierboven aangeeft, kan je ook bereiken met een extended accesslist.

Anyhow, verschillende zones houdt in dat je in een hogere mate beveiliging kan regelen, doordat verkeer tussen zones via de firewall moet gaan, waardoor je policies kunt toepassen op dit verkeer. Hierdoor heb je meer controle.

Hier gaat het enkel om een paar servertjes die je toch allemaal zelf onder beheer hebt. Je kan de configuratie dan ook op basis van ip adressen doen, met alle servers gewoon in 1 zone.

Maar ik blijf erbij, een firewall inrichten heeft geen zin als je er geen verstand van hebt, er zitten zoveel haken en ogen aan, dat een gemiddelde 'wrong-doer' rechtstreeks door een firewall heen fietst die door een noob is ingericht. Lees deze (net verder bladeren, want het is een erg slechte howto, maar kon zosnel niets beters vinden) site eens. Dan zie je dat er een stuk meer bij komt kijken dan een firewall tussen een kabel hangen. En ja, daar zul je specialistische kennis voor moeten hebben...

[ Voor 4% gewijzigd door JackBol op 17-12-2005 15:23 ]

De actuele opbrengst van mijn Tibber Homevolt

zaterdag 17 december 2005 18:35

Acties:

Verwijderd

Titelfix

zaterdag 17 december 2005 23:12

Acties:

Verwijderd

Nu is die laatste Cisco bijna 10x zo duur. Waar zit dit verschil in? Van de dingen die ik begrijp, lijkt het erop dat die Cisco veel meer bandbreedte aankan dan die andere firewalls. Verder zie ik niet zoveel verschil...

Ik denk dat je een beetje verkeerde vergelijking maakt... de Pix515 is een apparaat waar je een middelgroot bedrijf mee aan Internet hangt. Totaal niet te vergelijken met de ZyWall en NetGear. Je kunt in deze context beter naar een Pix501 kijken, die is beter vergelijkbaar met de andere apparaten en kost rond de 350 Euro, is die te licht, kan je nog naar een Pix506 kijken (+/- 800 Euro).

zondag 18 december 2005 00:57

Acties:

Bl@ckbird

Vanaf de PIX 515E kun je gaan kijken naar de ASA5500 serie. ( Datasheet )

Voor firewall performance onder de PIX 515E kun je kijken naar de ISR routers van Cisco.
Bijvoorbeeld de 871 ( Datasheet )
WAN zijde: 10/100 Mbps Ethernet
LAN zijde: 4 poorts 10/100 Mbps managed switch.

Met de Advanced IP Services IOS upgrade krijg je DMZ mogelijkheid op één van de 4 switchpoorten en IPS ( Intrusion Prevention System ) Hiermee kan je bijvoorbeeld MSN verkeer blokkeren dat over poort 80 gaat.

Voor een schaal hoger kun je kijken naar de 1800 serie.
Bijvoorbeeld de 1811 ( Datasheet )
WAN zijde: 10/100 Mbps Ethernet
LAN zijde: 8 poorts 10/100 Mbps managed switch.
+ V90 modem backup

- Idem voor de 1812 maar deze heeft ISDN aan boord.
- De 1800 hebben verder dezelfde IPS mogeljkheden als de 870 serie.
- De 870 serie is een desktop model en de 1811/12 zijn rackmountable te maken.

De ISR routers kun je beheren met de Security Device Manager of kortweg SDM ( Datasheet )

De PIX of ASA 5500 serie kun je beheren met de Adaptive Security Device Manager
of kortweg ASDM ( Datasheet )

Voordat je deze management tooltjes kan gebruiken moet je even met de Command Line Interface een IP adres aan één van ethernet interfaces hangen.
Deze software kun je gratis downloaden op Cisco.com, mits je een licentie voor DES of 3DES encryptie hebt. Maar dit zit er standaard bij als je iets met VPN's wil gaan doen.

ff Offtopic:
Cisco gaat de losse security devices langzaam aan vervangen door geïntegreerde, alles-in-één doosjes. Voor de PIX, VPN Concentrator en IDS / IPS komen de ISR routers en ASA voor in de plaats.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

zondag 18 december 2005 01:10

Acties:

JackBol

Security is not an option!

-Blackbird- schreef op zondag 18 december 2005 een verhaal over heel veel leuke features van wat ciscodoosjes:
[...]

Misschien is deze informatie van een beetje te hoog niveau voor de TS en de producten ietsiepietsie te prijzig voor zijn behoefte... (je bent zeker salesman

)

[ Voor 23% gewijzigd door JackBol op 18-12-2005 01:13 ]

De actuele opbrengst van mijn Tibber Homevolt

zondag 18 december 2005 01:39

Acties:

Verwijderd

Dirk-Jan schreef op zondag 18 december 2005 @ 01:10:
[...]

Misschien is deze informatie van een beetje te hoog niveau voor de TS en de producten ietsiepietsie te prijzig voor zijn behoefte... (je bent zeker salesman )

Couldn't agree more...

Voor de TS: ik heb prettige ervaringen met de NetScreen 5-reeks. Alles wat je wilt volgens je wensen-lijstje. Redelijk geprijsd en wel degelijk in een rack te hangen met een rack-mount kitje. Voor VPN heb je wel een VPN-client nodig (apart nog aanschaffen..)

Linkje: http://www.juniper.net

zondag 18 december 2005 01:48

Acties:

Bl@ckbird

@Dirk-Jan:
Een 870 is toch nog wel te doen?
TS begint zelf over een PIX 515E.
Wat ik even wil aangeven is dat er (specifiek op Cisco gebied) ook
nog andere mogelijkheden zijn. (En ja... ik doe technische pre-sales

)

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

zondag 18 december 2005 01:57

Acties:

TetsuoShima

low energy output

Rekening houdend met je hierboven genoemde vereisten, hoef je echt geen firewall/router van boven de 500 euro aan te schaffen. Die ZyWALL 5 gaat prima aan al je behoeften voldoen met overschot voor eventueel aanpassing van je behoeften naar boven toe. Is nog relatief goedkoop ook... Het instellen is een eitje als je een heel klein beetje achtergrondkennis hebt en heb je die niet, dan is er een zeer goede handleiding bij waarin je al je vragen beantwoord zult zien. Verder wordt er om de maand nieuwe en betere firmware uitgegeven waarmee je zeer snel en eenvoudig kan upgraden(mocht het nodig zijn). Er is een UTP versie beschikbaar die je nog meer controle over je data-verkeer geeft, maar voor je eisen is dit niet echt nodig. Ik/wij gebruiken een ZyWALL 5 om 14 pc's (waaronder 3 servers) met het internet (4 IP's x.x.x.x/30) te verbinden en ben/zijn zeer tevreden over de prestaties. VPN is geen enkel probleem, kan er 10 tegelijk aan (wij gebruiken er normaal nooit meer dan 2, dus kan niet verifiëren hoe goed hij dat doet, maar voor 2 is het perfect) met een doorvoer van 25Mbps, de firewall heeft een doorvoer van 80Mbps, is rackmountable, ondersteunt bandwith shaping (wat dikwijls zeer nuttig is in ons geval)....

Ik lijk ook wel een verkoper... hahaha

Evil is done without effort, naturally, it is the working of fate; good is always the product of an art.

zondag 18 december 2005 21:58

Acties:

Bas

aka BannieMove

Je zou ook voor een Cisco Pix 501 of 506 gaan. Die kosten ca 500 euro (501 iets minder en de 506 iets meer), maar dan kun je alles wat er op je wensenlijst staat. Ik prefereer altijd Cisco (is een van de meest gerenomeerde partijen op netwerk infrastructure en is makkelijk te beheren).

Tjielp... een vogel.

zondag 18 december 2005 23:18

Acties:

JackBol

Security is not an option!

Bas schreef op zondag 18 december 2005 @ 21:58:
Je zou ook voor een Cisco Pix 501 of 506 gaan. Die kosten ca 500 euro (501 iets minder en de 506 iets meer), maar dan kun je alles wat er op je wensenlijst staat. Ik prefereer altijd Cisco (is een van de meest gerenomeerde partijen op netwerk infrastructure en is makkelijk te beheren).

Als ik dan even mijn mening mag spuien, sorry hoor, maar die PIXen van cisco zijn bras. (De ASA'a beginnen al iets beter te worden). Als je de cisco vergelijkt met een netscreen, fortinet of linux gebaseerde firewall zoals astaro of netasq performen ze echt wel het slechtst, daarnaast zijn de iossen op de pix niet dermate secure en zit je met gigantische licentiekosten voor vanalles en nogwat (wie gaat er in godsnaam licenties voor submodules beheren?? dat is een dagtaak man!) Nu zijn de (web)interfaces van de PIX al iets beter geworden, maar het is echt om te huilen voor een 'marktleider'. En dan hebben we het nog niet eens over large scale administration. Probeer maar eens 200 pixen uptodate en in het gareel te houden (config en log management).

sorry, dat moest er even uit... niets persoonlijks, just my 2 ct.

EDIT: maar inderdaad, op netwerkinfrastructuur zijn ze erg goed (switches, routers), maar van firewalls hebben ze geen kaas gegeten...

[ Voor 7% gewijzigd door JackBol op 18-12-2005 23:19 ]

De actuele opbrengst van mijn Tibber Homevolt

maandag 19 december 2005 00:17

Acties:

aZuL2001

Om een wat budgetvriendelijkere optie nog eens te pimpen : op http://www.basewall.nl/lang/nl/products.php kun je de 3000 vergelijken met een paar andere hierboven genoemde apparaten. Info zal niet helemaal objectief zijn, maar het geeft iig een goede indicatie. En op basis hiervan kun je zelf de info van de andere apparaten checken.

Maar de Netscreens hebben een goede reputatie. Cisco is imho een router fabrikant. En een router met firewall (/vpn) functionaliteit is heel wat anders dan een firewall met router functionaliteit.

[ Voor 1% gewijzigd door aZuL2001 op 21-12-2005 17:01 . Reden: typo ]

Abort, Retry, Quake ???

maandag 19 december 2005 11:27

Acties:

reddog33hummer

Dat schept mogelijkheden

Verwijderd schreef op vrijdag 16 december 2005 @ 18:31:
• Met oog op de toekomst minimaal 4 poortjes.

Klinkt een beetje alsof je zelf een beetje aan thuis zit te denken (nat boxje). Op zich kan zoiets wel, een routertje met een ingebouwde switch. Maar een externe switch is mischien wel iets om aan te denken.

Backup not found (R)etry (A)bort (P)anic<br\>AMD 3400+ 64, 2 GB DDR, 1,5 TB Raid5

maandag 19 december 2005 20:16

Acties:

vliegjong

Bump!

watchgaurd x500 / 700 anders een netscreen 5gt advanced anders een 25 maar dan red je het niet met je €'s.
Voor een degelijke oplossing met je niet met een dubbeltje vooraan willen zitten.

Ik ben een Nerd, jij ook? Dan zijn er namelijk 10 toffe mensen :)

woensdag 21 december 2005 15:47

Acties:

Jesse

vliegjong schreef op maandag 19 december 2005 @ 20:16:
*knip*
Voor een degelijke oplossing met je niet met een dubbeltje vooraan willen zitten.

Nee, je moet met oplossingen komen die passen bij zijn geval.

_{En dat geld voor meer mensen hier.

Omdat het hier prof is betekent niet dat je alleen over oplossingen van meer dan EUR 1k mag praten. (En anders hoort dit topic hier niet thuis, maar dat is wat anders.)}

[ Voor 9% gewijzigd door Jesse op 21-12-2005 15:51 ]

donderdag 22 december 2005 00:07

Acties:

Verwijderd

Dirk-Jan schreef op zondag 18 december 2005 @ 23:18:
[...]

Als ik dan even mijn mening mag spuien, sorry hoor, maar die PIXen van cisco zijn bras. (De ASA'a beginnen al iets beter te worden). Als je de cisco vergelijkt met een netscreen, fortinet of linux gebaseerde firewall zoals astaro of netasq performen ze echt wel het slechtst, daarnaast zijn de iossen op de pix niet dermate secure en zit je met gigantische licentiekosten voor vanalles en nogwat (wie gaat er in godsnaam licenties voor submodules beheren?? dat is een dagtaak man!) Nu zijn de (web)interfaces van de PIX al iets beter geworden, maar het is echt om te huilen voor een 'marktleider'. En dan hebben we het nog niet eens over large scale administration. Probeer maar eens 200 pixen uptodate en in het gareel te houden (config en log management).

sorry, dat moest er even uit... niets persoonlijks, just my 2 ct.

EDIT: maar inderdaad, op netwerkinfrastructuur zijn ze erg goed (switches, routers), maar van firewalls hebben ze geen kaas gegeten...

En pix draait toch helemaal geen ios ?!

donderdag 22 december 2005 00:16

Acties:

JackBol

Security is not an option!

Verwijderd schreef op donderdag 22 december 2005 @ 00:07:
[...]

En pix draait toch helemaal geen ios ?!

idd, pix os. maar maakt voor de strekking van het verhaal niet uit

overigens heeft cisco voor de CRS-1 het IOS herschreven. Dit 'IOS XR' is nu eindelijk gebaseerd op een microkernel. Hierdoor wordt het geheel stukken veiliger. Nu maar hopen dat dit IOS zo snel mogelijk naar de platforms komen die ik wat vaker in mijn handen heb...

De actuele opbrengst van mijn Tibber Homevolt

donderdag 22 december 2005 11:46

Acties:

Bl@ckbird

Offtopic:
Modulair IOS verhaal voor de Cat 6500
http://www.cisco.com/en/U...per0900aecd803b2f61.shtml

@ Onderbuurman:
Neu hoor...
Het CRS-1 verhaal gaat ook voor de 6500 gelden.
Alleen de ontwikkeling hiervan duurt even... Gewoon geduld hebben

[ Voor 37% gewijzigd door Bl@ckbird op 22-12-2005 23:15 ]

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

donderdag 22 december 2005 15:10

Acties:

JackBol

Security is not an option!

-Blackbird- schreef op donderdag 22 december 2005 @ 11:46:
Offtopic:
Modulair IOS verhaal voor de Cat 6500
http://www.cisco.com/en/U...per0900aecd803b2f61.shtml

offtopic:
Nog meer offtopic: Modulair design is goed, maar iets heel anders als een microkernel.

De actuele opbrengst van mijn Tibber Homevolt

vrijdag 23 december 2005 14:08

Acties:

pierce

Neem een Netasq! Uitstekende firewalls met veel mogelijkheden voor relatief weinig geld.
Het beheer is ook niet echt moeilijk, en ze hebben een mogelijkheid om te beheren via een webinterface, maar ook een manager.

Kijk anders even op de website van netasq, http://www.netasq.com/en/index.php .
Een F25 lijkt me prima voor jouw omgeving.

Compricon is een van de nederlandse leveranciers van dit product, en de prijzen staan als ik me niet vergis op hun website.

[ Voor 12% gewijzigd door pierce op 23-12-2005 14:10 ]

5564

zondag 25 december 2005 23:04

Acties:

Verwijderd

Wat me ook niet onbelangrijk lijkt. Hoeveel sessies verwacht je gelijktijdig te moeten (kunnen) verwerken.
Een simpele SOHO gaat al redelijk snel onderuit nl.

maandag 26 december 2005 22:58

Acties:

Verwijderd

als het gaat over 3 servers dan zal zijn netwerk wellicht niet meer als 50 werknemers beslaan? Ik denk dat een PIX 501 ruim voldoende is voor wat je gaat gebruiken. Of iig iets van deze strekking. Ik heb geen ervaring met fortigate of netscreen. Wij hebben een flink aantal cisco pixjes staan, meeste 501, maar her en der, afhankelijk van de behoeften een 506e of een 515 en wij hebben er vrijwel nooit problemen mee. Het enige wat ik wel mis in de pix, maar ik heb ergens horen vallen dat het er wel aankomt voor de pix is ssl vpn.. ofwel clientless vpn verbindingen..

[ Voor 62% gewijzigd door Verwijderd op 26-12-2005 23:11 ]

dinsdag 27 december 2005 09:07

Acties:

Bas

aka BannieMove

Even off topic... de pixen zullen in de naarbije toekomst verdwijnen en vervangen worden door ASA producten. Deze ondersteunen wel VPN SSL (voor zover als ik nu weet, gaat een Pix dit niet doen).

On-topic. Mijn mening blijft dat een Pix 501 hier ruim voldoende is. Ik ben het met je eens dat in grote omgevingen een pix ietwat lastiger te beheren is (of je moet je in de complexe materie van Cisco Works gaan verdiepen)

Tjielp... een vogel.

donderdag 29 december 2005 09:36

Acties:

burne

Mine! Waah!

Koffie schreef op vrijdag 16 december 2005 @ 20:11:
Zullen we vanaf nu de hobbybob oplossingkjes achterwege laten ?

Graag ontopic op een PNS discussieren graag.

Linux/*BSD op voorhand afdoen als 'hobbybob oplossingkje' is anders bepaald geen 'professionele' houding. Menig hele dure doos is gebaseerd op linux of een BSD. Zoals de Junipers van True. En voordat je boos wordt: ik heb die dingen 3.5 jaar beheerd, en zonder klachten van de tweakertjes over de 'hobbybob oplossingen'.

Gegeven de keus tussen een machine met een linux of *BSD-distro erop en een netscreen/zywal etc. ga ik zonder een moment van twijfelen voor de zelfbouw-oplossing. Van de andere kant: ik heb er ook wel wat ervaring mee.

I don't like facts. They have a liberal bias.

donderdag 29 december 2005 09:55

Acties:

Verwijderd

Burne schreef op donderdag 29 december 2005 @ 09:36:
[...]

Linux/*BSD op voorhand afdoen als 'hobbybob oplossingkje' is anders bepaald geen 'professionele' houding. Menig hele dure doos is gebaseerd op linux of een BSD. Zoals de Junipers van True. En voordat je boos wordt: ik heb die dingen 3.5 jaar beheerd, en zonder klachten van de tweakertjes over de 'hobbybob oplossingen'.

Gegeven de keus tussen een machine met een linux of *BSD-distro erop en een netscreen/zywal etc. ga ik zonder een moment van twijfelen voor de zelfbouw-oplossing. Van de andere kant: ik heb er ook wel wat ervaring mee.

Zelfbouw oplossingen kunnen inderdaad beter en sneller zijn. Neem nu HP servers. Voor minder geld, kun je zelf een net zo snelle, zoniet snellere machine bouwen. Maar stel dat je nu problemen krijgt en er niet uit komt.. Hoe groot is de kans dat er iemand is met een gelijkwaardige configuratie die ook jouw probleem heeft gehad?

Ik ben voorstander van proven-technologie, niet omdat ik linux niet vertrouw, maar vanuit het oogpunt dat er nog duizenden bedrijven zijn met een gelijkwaardige configuratie. Ik zou dus voor een netscreen gaan boven een zelfbouw oplossing. het is maar net hoeveel ervaring en kennis je hebt en wat de impact is mocht je er een paar dagen uit liggen.

donderdag 29 december 2005 11:07

Acties:

CyBeR

💩

Burne schreef op donderdag 29 december 2005 @ 09:36:
[...]

Zoals de Junipers van True.

Niet om 't een of ander, maar de laatste M40 is op 7 maart dit jaar uitgezet

Die hangt nu samen met een M5 als versiering in hun kantoor

All my posts are provided as-is. They come with NO WARRANTY at all.