Hirdetés

Hozzászólok Aktív témák

  • Jackal2

    senior tag

    válasz gulb #3133 üzenetére

    Gulb: már utána olvastam, és nem oldotta meg:D De akkor leírom ide mi a konkrét probléma. Hardveres tűzfal alatt azt értem, hogy a szoftver egy célhardveren fut, nem pedig a helyi pc-den.

    A munkahelyemen le kellene választani egy kb. 30-40 fős szekciót a hálózatról, de bizonyos szervezet váltási okok miatt egyelőre nem lehet ezt fizikailag megtenni, ezért pár hónapig közös lenne a hálózatunk. Kellene a LAN-on belülre egy kapuőr tűzfal, amelyen lehet szűrni a forgalmat, de bizonyos forgalomnak ténylegesen be kell jönnie, mert a vonal végén vannak a kiszolgáló szerverek, nekik nincs szervertermük. SMTP, DNS, DHCP, HTTP tőlünk jön, illetve bizonyos alkalmazások egyéb portokkal.

    A hálózat azon része egy IP tartományban van a miénkkel, de a két épület között optika viszi át a csomagokat,de helyben 100megas/gigas UTP van, és nálunk a rack szekrénybe egy media converter alakítja át a hálózatot UTP-re, ide kéne tenni valahova a tűzfalat. A rack szekrényben van még 4 db másik switch is, ami már a hálózat innenső oldala, lehet hogy ezeknek a forgalomszűrésére is szükség lehet a közeljövőben (ez a tűzfal portszáma, illetve típusa miatt lehet érdekes).
    Ami fontos szempont, hogy menedzselhető legyen távolról SNMP-vel, konfigurálható legyen webes felületen, CLI-vel, lehessen központi helyről menedzselni valamilyen log szerverrel (akár a saját szoftverével is vagy Syslog, email küldés). Küldjön riasztást behatolás vagy gyanús forgalom esetén.

    Későbbi szempontként, a tűzfal tudjon authentikálni RADIUS szerverhez, vagy valamilyen közös biztonsági, monitorozó alkalmazáshoz.

    Amit egyelőre nem kell, mert fizikailag nincs kiépítve, de elképzelhető hogy egyszer lesz: AD vagy LDAP (vagy egyéb más központi authentikáció)-ba való integrálhatóság.

    A problémám az, hogy nem igazán tudom, hogy milyen szempont alapján kellene méretezni a tűzfalat, mondjuk néhány lehetne az alábbiak közül:
    - ár (ez szerintem mindenhol :DD )
    - áteresztőképesség deep inspection, UTM alatt
    - a későbbiekre tekintettel, lehetőleg egyforma tűzfalak miatt a jó kezelhetőség, menedzselhetőség erős szempont
    - VPN-ek valószínűleg nem lesznek, szóval ezek száma nem túl fontos
    - kell-e fizetni mindenféle egyéb szolgáltatásért ami jár hozzá? Sok helyen /user license re is adnak meg összeget, meg egyéb szolgáltatásokra is, ez nekem kicsit zavaros egyelőre

    Másik probléma, hogy nem tudom pontosan hogy milyen forgalmat kellene átereszteni? Pl. az ARP-k, a Broadcastok, a különböző eszközöket életben tartó protokolloknak sem kellene látszania a leválasztott hálózatban, mert azok tartalmából is lehet következtetni sok mindenre ami támadási felület.

    Remélem ebből látható, hogy nem otthonra szeretnék routeres tűzfalat. Ha valaki tudja hogy melyik topicban, kihez lehet fordulni, akkor az kérem mondja meg,

    Az alábbi blog szerkesztője: quadkopter.blog.hu

Hozzászólok Aktív témák

Hirdetés