小型企業防火牆/VPN設備
什麼是好的小型企業(一個位置<50 個使用者)防火牆和 VPN 設備?無線將是一個不錯的補充,我正在考慮 1,000 美元範圍內的東西。這適用於擁有 0-2 名 IT 員工的企業。質量支持和設備的可用性很重要。SSL VPN 會很好,如果它是基於客戶端的,那麼在 64 位 Windows 上執行的 VPN 客戶端很重要。
在工作中,我最近安裝了 Cisco ASA 5505,用作小型辦公室防火牆、site2site VPN 端點和 roadwarrior VPN 端點。它堅固可靠。Cisco 的 Web GUI 是有限的,實際上需要了解 Cisco 命令行的方式。
思科正在拆分他們的 VPN 客戶端軟體,舊的基於 IPSec 的客戶端正在慢慢淡出,而基於 SSL 的新客戶端正在獲得動力。一個例子是沒有為舊的 IPSec 客戶端計劃 64 位版本。對您來說是個壞消息,SSL 是單獨授權的,而且價格要貴得多。
如果我再次設置“roadwarrior”VPN,我會堅持使用 Active Directory 集成。我們的使用者經常忘記 VPN 密碼,因為它與他們每天在辦公室使用的 AD 是分開的。更改密碼並不麻煩,但會損失大量生產力。我們的使用者經常在截止日期前一天晚上在家中試用他們的 VPN…
uPnP 會非常好。我們的許多使用者使用 Skype 或其他需要通過防火牆的流量才能以最佳方式工作的東西。是的,針對 uPnP 有一個強有力的安全論據;選擇權在你。
最後 - 統計數據。Cisco ASA 有一個很好的統計部分,它實際上可以幫助您解決某些類型的網路問題。我不希望防火牆(或一般的許多 IT 設備)無法讓我了解正在發生的事情,因為在那些罕見的網路上出現難以捉摸的問題的日子裡。
Kerio Winroute 防火牆具有 AD 集成、uPnP(如果需要)和一個非常可靠的統計部分。Kerio 在防火牆方面有著良好的記錄,他們的工作站防火牆多年來一直是市場領導者,直到他們把它賣掉。我沒有使用過 Kerio Winroute,但如果我再次設置小型企業防火牆,我會選擇 Kerio Winroute 或 Windows 2008 R2。
2008 R2 有一個看起來非常可靠的 VPN 實施,它與 Windows 7 無縫集成。非常明顯的缺點是客戶端 PC 上需要 Windows 7。我們可以接受這一點,我懷疑很多其他人現在可以接受。
我知道 pfSense 和許多其他開源防火牆發行版。他們非常非常好。對於我的小型辦公室需要,pfSense 在 PC 類硬體上的額外性能並不重要,因為我們使用的是 10/10 mbit 線路。而且小型 ASA 或 Juniper SSG 的價格也並不高。因此,pfSense 最終主要與 ASA 或瞻博網路 SSG 競爭,我只是更喜歡簡單和短時間來實施現成的版本。但是 pfSense 非常好,對於其他需求它可能很棒。
所以對我來說,要麼是:
- 一個雙防火牆“DMZ”配置,前面有一個相當簡單的防火牆設備,後面有一個基於 PC 的軟體防火牆(Kerio,Windows 2008 R2),用於與 AD 集成的 roadwarrior VPN。
- 一個防火牆設置,帶有基於 PC 的(Kerio,Win 2008 R2)防火牆和 2 個 NIC(可以說安全性稍差,但我懷疑這在當今是個很大的問題)。
現在,我會購買 Kerio Winroute(同樣,只看他們的網站,我還沒有親自與 Kerio Winroute 合作過)。一年後,如果您是一家僅限 Windows 的商店,我會選擇 Windows 2008 R2。