Op zoek naar een nieuwe firewall, de oude begint een beetje brak te raken....
Ik heb meerdere partijen gesproken en iedereen heeft zijn eigen oplossing. Om eerlijk te zijn zie ik door de bomen het bos niet meer
Er is geen specifieke PIX, Checkpoint, etc. kennis in huis en dat willen we eigenlijk ook proberen zo te houden. We zoeken dus een oplossing die gemakkelijk te beheren en te updaten is. Gui & Wizards-style. We hebben al een veel te breed scala aan produkten die gesupport moeten worden. (denk NT/2K/Netware/Oracle/Solaris/linux/Progress/routers/switches/sql/etc/etc) Weinig interesse in weer een "complex" systeem.
De situatie is/wordt alsvolgt:
4 segmenten
1) LAN
2) DMZ
3) Internet
4) segment naar ander bedrijf wat van onze faciliteiten gebruik maakt
Alle segmenten zijn/worden 100Mb FD, inclusief het Internetsegment.
Momenteel staan er 2 webservers in het DMZ. Het IP-nummerplan voorziet in uitbreiding tot 30-nodes. Vooralsnog wordt het DMZ nauwelijks belast, maar de verwachting is dat dit aardig zal toenemen.
Ca 350 werkstations maken outbound gebruik van de internetverbinding. Overwegend gebeurt dit via een proxy-server, welke nu nog in het LAN staat. Enkele specifieke werkstations/servers gebruiken een applicatie welke niet via een proxy-server kan lopen. Deze worden nu en in de toekomst gerouteerd via de firewall (NAT) naar het internet. Waarbij alleen specifieke TCP/UDP poorten worden toegelaten.
De machine moet VPN-verbindingen op kunnen zetten, tot minstens 50 simultaan. Ook moeten 1 of meerdere VPN-tunnels naar business-partners opgezet gaan worden. Standaarden moeten dus ondersteund worden!
- Minimaal 4x ethernet, mogelijk uitbreidbaar tot 6
- Hoge throughput op ethernetpoorten
- Mogelijkheid tot VPN via internet
- Mogelijkheid tot externe authenticatie (radius/tacacs)
- Gemakkelijk configureerbaar
- SNMP-support (belasting van interfaces)
- Mogelijkheid tot logging en / of syslogging
- Gemakkelijk te updaten met service packs
- Voorkeur voor standaarden (bv. IPSec (ESP, AH), MD5, 3DES, L2TP, PPTP, etc)
- Hoge beschikbaarheid
- Korte responstijden igv storingen
Ik heb zelf goede ervaringen met Netscreen. Dat zou dan een NS200 moeten worden.
Nokia/Checkpoint klinkt als een aanrader, maar is weer moeilijker beheersbaar.
Cisco PIX, lijkt bijzonder prijzig en ook, gelijk aan checkpoint, moeilijk en ingewikkeld qua installatie en beheer.
Ook roept er iemand over Symantec VELOCIRAPTOR 1300.
Heeft er iemand ervaringen en een idee over wat een reeele oplossing zou zijn gezien bovenstaande?
Ik heb meerdere partijen gesproken en iedereen heeft zijn eigen oplossing. Om eerlijk te zijn zie ik door de bomen het bos niet meer
Er is geen specifieke PIX, Checkpoint, etc. kennis in huis en dat willen we eigenlijk ook proberen zo te houden. We zoeken dus een oplossing die gemakkelijk te beheren en te updaten is. Gui & Wizards-style. We hebben al een veel te breed scala aan produkten die gesupport moeten worden. (denk NT/2K/Netware/Oracle/Solaris/linux/Progress/routers/switches/sql/etc/etc) Weinig interesse in weer een "complex" systeem.
De situatie is/wordt alsvolgt:
4 segmenten
1) LAN
2) DMZ
3) Internet
4) segment naar ander bedrijf wat van onze faciliteiten gebruik maakt
Alle segmenten zijn/worden 100Mb FD, inclusief het Internetsegment.
Momenteel staan er 2 webservers in het DMZ. Het IP-nummerplan voorziet in uitbreiding tot 30-nodes. Vooralsnog wordt het DMZ nauwelijks belast, maar de verwachting is dat dit aardig zal toenemen.
Ca 350 werkstations maken outbound gebruik van de internetverbinding. Overwegend gebeurt dit via een proxy-server, welke nu nog in het LAN staat. Enkele specifieke werkstations/servers gebruiken een applicatie welke niet via een proxy-server kan lopen. Deze worden nu en in de toekomst gerouteerd via de firewall (NAT) naar het internet. Waarbij alleen specifieke TCP/UDP poorten worden toegelaten.
De machine moet VPN-verbindingen op kunnen zetten, tot minstens 50 simultaan. Ook moeten 1 of meerdere VPN-tunnels naar business-partners opgezet gaan worden. Standaarden moeten dus ondersteund worden!
- Minimaal 4x ethernet, mogelijk uitbreidbaar tot 6
- Hoge throughput op ethernetpoorten
- Mogelijkheid tot VPN via internet
- Mogelijkheid tot externe authenticatie (radius/tacacs)
- Gemakkelijk configureerbaar
- SNMP-support (belasting van interfaces)
- Mogelijkheid tot logging en / of syslogging
- Gemakkelijk te updaten met service packs
- Voorkeur voor standaarden (bv. IPSec (ESP, AH), MD5, 3DES, L2TP, PPTP, etc)
- Hoge beschikbaarheid
- Korte responstijden igv storingen
Ik heb zelf goede ervaringen met Netscreen. Dat zou dan een NS200 moeten worden.
Nokia/Checkpoint klinkt als een aanrader, maar is weer moeilijker beheersbaar.
Cisco PIX, lijkt bijzonder prijzig en ook, gelijk aan checkpoint, moeilijk en ingewikkeld qua installatie en beheer.
Ook roept er iemand over Symantec VELOCIRAPTOR 1300.
Heeft er iemand ervaringen en een idee over wat een reeele oplossing zou zijn gezien bovenstaande?
:strip_icc():strip_exif()/u/49919/Icon-CBR600F2.jpg?f=community){kind=icon}
:strip_icc():strip_exif()/u/16170/crop5f3ee51d8d633.jpeg?f=community)
:strip_icc():strip_exif()/u/44267/wap11.jpg?f=community)
:strip_icc():strip_exif()/u/12519/iconlamp.jpg?f=community)
/u/21071/avatar%252060x60.png?f=community){kind=avatar}
) Dus dat is geen optie meer, tenzij ik het management en collega's kan overtuigen nt4 naar w2k te migreren.... 
:strip_icc():strip_exif()/u/11852/scotchava2.jpg?f=community)
:strip_icc():strip_exif()/u/21673/crop65674aee06c6d_cropped.jpg?f=community)
:strip_exif()/u/8968/Savingprivatebrian2b_60x60.gif?f=community)
:strip_icc():strip_exif()/u/15745/camel_head.jpg?f=community)
en dan moet m'n stageopdracht zo'n beetje af zijn