我正在为托pipe/住房环境寻找防火墙产品(设备或软件)。 最大的问题是规则变得非常复杂,因为更多的客户在防火墙后面。 有些只有一台服务器,有些则有一个完整的子网。 一些需要NAT,一些VPN端点。 有些客户希望只允许端口http,其他ssh。 因此,设备需要能够支持VLAN,应该可以按照每个客户分组规则。
速度是另一个重要的一点。 并且能够轻松地pipe理冗余设备。
我正在寻找的东西,没有像垃圾邮件filter等所有额外的东西。我在网上search了很多,但他们也有所有这些额外(以及是一个超载的configuration界面),或者他们错过了一些我需要的function(例如VLAN)。
VPN端点不是一个重要的标准。 我们正在考虑一个单独的机器。
我想你会有几个select,你的要求不是那么高。 什么严重的防火墙不支持VLAN?
我们使用Clavister SG32xx的HA设置,它们支持规则,VPN和VLAN的分组,并且取决于许可(其定义吞吐量)而具有不同的版本。 性能范围从350Mbit到1.5Gbit我想。
他们的较低范围也提供HA,但不同步连接跟踪IIRC。 这是SG5x系列,吞吐量高达200Mbit。 function支持在技术上是相同的。
您也可以从思科检验点(ASA系列)那里得到您感兴趣的产品,但我们selectClavister主要是因为pipe理方便,以及我们从公司向我们展示产品的印象(和供应我们的支持)。
看看pfsense 。 它支持你刚刚列出的所有function,是免费的,开源的,有据可查的,如果你需要的话,商业支持是可用的。 它还支持集群,以实现无故障切换,包括所有活动会话。 并且可以在任何x86硬件上运行,因此您可以轻松地根据需要调整硬件的大小。
我推荐Fortinet的Fortigate系列。 我们与他们有良好的经验。 它们支持分组防火墙,VPN(SSL和ipsec),VLAN,HA。 您可以在主机上进行加权负载平衡,并且还支持VDOM,允许您为客户和客户提供虚拟设备和控制。
许可模式很简单:Fortigate的每个模型都具有相同的软件function,只有硬件function和选项可以更改。 而且,您不必花费一点时间就可以使用VPN,只需要使用任何数量的客户端即可。