RouterOS хотя и достаточно хорошо работает с фаерволом (использование ресурсов ЦП) , но это программный продукт с вытекающими недостатками . RB/1100 на 200-300 мбит/с скорее всего загнется , а если ддос то точно умрет . Вообще производительность роутерос сильно зависит от очередности и оптимизации правил фаервола. Для небольших каналов связи(веб, почта любой сервис...) вполне удобная вещь т.к. позволяет строить динамические правила. Если уж очень хочется "дешево и сердито" то можно построить на х86 и купить отдельно софт (проц i5-i7 / 2гб опперативки) Aliv Cherevko wrote:
Небольшое уточнение: нам необходим доступ к управляющим консолям виртуальных машин и самого сервера и есть желание отсечь доступ к таким консолям на уровне внешнего железного firewall. Т.е. железка ищется как гигабитный свитч + выделено только для указанной выше задачи.
В дополнение, защита от DDOS атак и ботнетов тоже интересна, но на уровне хостинг провайдера. Отсюда возникает третий вопрос - посоветуйте, пожалуйста, такой collocation, где в случае возникновения DDOS на наши сервера, мы сможем получить помощь от провайдера, а не просто выключение оборудования. Атаки в ближайшем будущем не ожидаются, но кто знает.
С уважением, Александр Черевко
-----Original Message----- From: Aliv Cherevko [mailto:aliv@estafeta.org] Sent: Tuesday, June 05, 2012 12:53 PM To: 'uanog@uanog.kiev.ua' Subject: Железный firewall.
Коллеги,
Необходим гигабитный switch с firewall'ом на борту и доступом через web interface. Прочий функционал приветствуется, но не обязателен. Планируется установка в стойку на collocation'е для "прикрытия" собственных серверов и обеспечения включения всех четырех серверных портов по гигабиту. Из простых моделей (без всяких ISP, DLP и прочего) - смотрю на Mikrotik, он же Routerboard RB/1100AHx2. Подскажите, пожалуйста, есть ли достойные альтернативы?
И второй вопрос - какие посоветуете железки из разряда IPS/DLP для защиты периметра сети предприятия.
С уважением, Александр Черевко