什么是一个好的小企业(一个位置的用户less于50个)防火墙和VPN设备? 无线将是一个很好的补充,我想在1000美元范围内的东西。 这将是0-2 IT员工的企业。 质量支持和设备数量的可用性。 SSL VPN会很好,如果是基于客户端的,那么在64位Windows上运行的VPN客户端就非常重要。
在工作中,我最近安装了一个Cisco ASA 5505,担任小型办公室防火墙,site2site VPN端点和roadwarrior VPN端点。 这是坚实可靠的。 Ciscos的网页graphics用户界面是有限的,知道你的思科命令行的方式实际上是必需的。
思科正在分裂他们的VPN客户端软件,旧的基于IPSec的客户端正在逐渐淡出,而基于新的SSL的势头正在增长。 其中一个例子就是没有为旧的IPSec客户端计划64位版本。 对你来说坏消息,SSL单独许可,而且更昂贵。
我应该再次设置“roadwarrior”VPN,我会坚持Active Directory集成。 我们的用户经常忘记VPN密码,因为它与办公室每日使用的AD不同。 更改密码并不麻烦,但是很多生产力都会丢失。 我们的用户经常在截止date前一晚从家里尝试VPN。
uPnP会令人惊讶的好。 我们的许多用户使用Skype或其他需要通过防火墙的stream量来实现最佳工作。 是的,对uPnP提出强有力的安全论据; select是你的。
最后 – 统计。 思科ASA有一个很好的统计部分,它实际上可以帮助您解决某些types的networking问题。 我不想要一个防火墙(或者一般的IT设备),这些防火墙无法提供给我看看发生了什么事情的情况,在networking上出现难以解决的问题的罕见日子里。
Kerio Winroute防火墙有AD集成,uPnP,如果你想要的话,还有一个非常稳定的统计部分。 Kerio在防火墙方面有着良好的logging,他们的工作站防火墙多年来一直处于市场领先地位,直到他们将其卖掉。 我没有与Kerio Winroute合作,但是我应该再次设置一个小型防火墙,我会selectKerio Winroute或Windows 2008 R2。
2008 R2拥有非常稳定的VPN实施,并与Windows 7无缝集成。显而易见的缺点是客户端PC需要Windows 7。 我们可以接受这一点,我现在怀疑许多其他人可以。
我知道pfSense和许多其他开源防火墙发行版。 他们非常非常好 对于我的小型办公室来说,在PC级硬件上pfSense的额外性能并不重要,因为我们处于10/10 mbit线路上。 而一个小的ASA或Juniper SSG的价格并不令人望而却步。 因此,pfSense主要是与ASA或Juniper SSG竞争,而我更喜欢现成版本的简单和短时间。 但pfSense是非常好的,对于其他需求,它可以是伟大的。
所以对我来说可能是:
现在,我会购买Kerio Winroute(再次,只看他们的网站,我还没有亲自与Kerio Winroute合作)。 一年后,如果你是一家只有Windows的商店,我会selectWindows 2008 R2。
我可以推荐你看看pfSense 。 我发现它可以在40个用户networking上运行,并且易于pipe理。 Web界面使得OpenVPN的pipe理变得非常容易。
你不会因为尝试而失去任何东西。
我对思科ASA-5505运气不错。 这有点昂贵,但它是很好的configuration和可靠的齿轮。 您可以终止其上的各种VPN协议,包括PPTP,IPSEC和L2TP。 有SSL VPNfunction,但我相信它是单独许可的。
我们与Fortigate电器运气很好。 为了钱,他们比思科ASA有更多的function,并且更容易configuration。
大约1000美元我会用一个Draytek 2950或3300.其实这两个应该给你很多的变化。 我已经使用了许多这些路由器,它们非常好,易于configuration并提供高级function,如负载平衡。 他们都执行局域网到局域网的IPSEC VPN,他们支持个人用户的PPTP拨号VPN。 PPTP拨号使用Windows内置的VPN支持,不需要额外的软件。 在你的地方,我会select2950,因为3300可能提供你不需要的东西(比如多达4个WAN端口的负载平衡!)。
Draytek 2910远低于1000美元,但没有足够的能力来支持两个或三个以上的VPN会话。
JR
我在软件方面有IPCop的经验,在硬件方面有pcengines或soekris的经验 。
IPCop提供了一个很好的networking接口,让您只需下载OpenVPNconfiguration,并处理大部分基本路由select。 也有相当多的插件像caching代理一样可用
我们过去5年(也许是四年)一直在使用WatchGuard X500为我们公司提供VPN解决scheme。
随着2008年年底这个watchguard的产品生命周期结束,我们需要切换。 所以我们买了新的模型。 但VPN是“痛苦的a * s”它没有工作在Vista或任何其他平台,然后Windows。
最后我发现了pfSense。 这个系统完全免费,基于FreeBSD。 我已经将它安装在旧WatchGuard硬件上。 它提供了一个基于SSL的openVPN基础设施。 由于切换到pfSense我们没有任何问题与VPN连接,我不需要任何Windows客户端(物理或虚拟)在家里,因为有Windows,Mac OS和Linux的OpenVPN客户端。
如果你想读摩尔 – > 克里克我 。
我忘记了:这个小小的红盒子为大约80个用户同时login5到10个用户提供了这个服务。
希望这可以帮助你一点。
最好的祝福
来自德国的arl
我有一位顾客朋友,他们是由sonicwall设备发誓的,就pipe理员而言,他们在很大程度上是“设定和忘记”的。 这并不意味着你不应该定期检查你的日志!
我已经在Checkpoint Safe @ Office设备上有很好的体验。
好东西。
明确的思科ASA5505或5510,如果你能负担得起,我有一些这些设备(在此之前,我使用PIX 506e和515e的)。 至于之前有关Active Directory身份validation的评论,我已在我的AD上的一个Windows服务器上安装了Microsoft身份validation服务(Microsoft的RADIUS实现),并configuration了ASA以将VPNvalidation为RADIUS。
这允许用户使用他们的AD密码,并且真正地简化了我的生活,因为用户总是忘记你给他们的任何其他密码,正如Jesper Mortensen所说的那样,通常是在手头有危机时才会发生 – 就像他们在提交一些工作的最后期限,最终在你的系统pipe理员,得到一个工作时间以外的电话重置密码。
ASA还允许您configurationL2TP VPNs,它将与Win2K和XP中的本机Windows客户端一起工作(不幸的是,它不是VISTA和Windows 7中的那个) – 因为特定的微软采用了他们最新的IPSEC实现,尽pipe我相信市场力量将导致思科或微软对RFC的特殊解释)。
ASA是一个结构良好,易于configuration的设备,一旦你了解思科接近设备的方式(即一切都是NAT,以及接口上的安全级别),我喜欢5505的是他们有两个POE后面的端口,可以挂接IP电话或无线AP,节省自己的额外接线。
我对ASA唯一的批评是:
如果您正在寻找一种一体机,请考虑Cisco 800系列路由器。 你可以在这里获得一些信息链接文本 。 他们有一大堆有无线内置的好的,如果你有ADSL服务,你可以find他们与集成的ADSL2 +调制解调器,这使得一个单一的分支机构的办公室解决scheme。 他们运行IOS 12.x,您可以获得支持思科CBAC(基于上下文的访问列表)的IOS版本 – 基本上是一个有状态的防火墙,并与Cisco Easy VPN一起encryption。 我不确定你在CBAC有没有应用程序代理,因为我有一段时间没有使用它。
使用名为SmoothWall的Linux发行版( http://smoothwall.org/ )可能是最便宜和最简单的。
你可以在eBay上购买一台价值100美元的电脑,还可以买一个额外的网卡和你的业务。