我正在寻找用于托管/住房环境的防火墙产品(设备或软件)。最大的问题是随着越来越多的客户在防火墙后面,规则变得非常复杂。有些只有一台服务器,有些则有整个子网。有些需要 NAT,有些需要 VPN 端点。一些客户希望只允许端口 http,其他客户也希望允许 ssh。因此,设备需要能够支持 VLAN,并且应该可以对每个客户的规则进行分组。
速度是另一个重点。并且能够轻松管理冗余设备。
我正在寻找没有垃圾邮件过滤器等所有附加功能的东西。我在网上搜索了很多,但要么他们也有所有这些附加功能(并且是一个重载的配置界面),要么他们错过了一些我需要的功能(例如 VLAN)。
VPN 端点不是一个重要的标准。我们正在考虑为它配备一台单独的机器。
我想你会有几个选择,你的要求不是那么高。什么严重的防火墙不支持VLAN?
我们使用 Clavister SG32xx 的 HA 设置,它们支持规则、VPN、VLAN 的分组,并根据许可(定义吞吐量)提供不同的版本。我认为性能范围从 350Mbit 到 1.5Gbit。
它们的较低范围还提供 HA,但不同步连接跟踪 IIRC。它是 SG5x 系列,吞吐量高达 200Mbit。功能支持在技术上是相同的。
您也有可能对您感兴趣的 Checkpoint、Cisco(ASA 系列)的产品,但我们选择 Clavister 主要是因为易于管理以及我们从向我们展示产品(和供应)的公司获得的印象我们支持)。
看看pfsense。它支持您刚刚列出的所有功能,是免费的、开源的、有据可查的,如果您需要,还可以提供商业支持。它还支持集群以实现无缝故障转移,包括所有活动会话。并且可以在任何 x86 硬件上运行,因此您可以根据需要轻松调整硬件大小。
我推荐 Fortinet 的 Fortigate 系列。我们和他们有很好的经验。它们支持分组、VPN(SSL 和 ipsec)、VLAN、HA 的防火墙。您可以在您的主机上进行一些加权负载平衡,它们还支持 VDOM,允许您为您的客人和客户提供虚拟设备和控制。
许可模式很简单:每个型号的 Fortigate 都具有相同的软件功能,只是硬件功能和选项发生了变化。而且您无需为能够使用 VPN 付出任何代价,它就可以与您需要的任意数量的客户端一起工作。