[ITNOG] Consiglio per Firewall da Rack

Brian Turnbow b.turnbow@twt.it
Mer 13 Feb 2019 18:42:01 CET


Ciao Alessio

Dipende molto dello scopo e le necessità.
Per esempio per filtrare ip/porta e basta (quindi no nating)  avete
pensato a switch che fa acl in hardware ?
Questo significa perdere statefull inspection , deep packetfiltering etc ,
ma dropando in hw rendo molto meno impattante certi ddos, syn flood etc.
Molti grossi sito fanno questo perché il firewall stesso diventa un attack
vector ed è magari facile esaurire i max connections o mandare in crisi lo
cpu soprattutto sui modelli di fascia più economica.
Quindi fanno stateless filtering sullo switch e il resto direttamente sui
server.
A questo punto per vpn basterebbe un vpn server o router per gli accessi.

La richiesta di porte 10G fa alzare di molto i costi di vendor come
fortinet /palo alto/juniper/cisco  etc
Spendere 30k per un paio di FW che usa per 10% della loro funzionalità va
pensato bene al interno del budget del progetto..
Ma magari il budget non è un problema e il fatto di avere il “leader del
mercato”  è piu importante.
Una soluzione tipo pfsense etc su commodity hardware  costerebbe meno e
gestisce  ~ 1 session state per ogni k di ram da quello che mi ricordo, e
quindi va dimensionato in base alle esigenze.
Idem dimensionare un vm per fare un firewall appliance, va dimensionato e
pensato relativo a requisiti.

Consiglio di mettere giù bene un elenco dei feature che volete, sia
funzionale che di sicurezza, lo scopo di aggiungere, nonché il budget che
vuoi mettere a disposizione.
In questo modo poi fare un comparison fare le scelta più adatto.

My 2 cents


Brian Turnbow
CTO
TWT S.p.A.

From: itnog [mailto:itnog-bounces@lists.itnog.it] On Behalf Of Alessio
Cecchi
Sent: mercoledì 13 febbraio 2019 17:53
To: itnog@lists.itnog.it
Subject: Re: [ITNOG] Consiglio per Firewall da Rack

Hai ragione, forse sono stato troppo generico nella richiesta.
Mi aspetto una soluzione che preveda un supporto tecnico, che sia
gestibile tramite una interfaccia web e che abbia la gestione dell'alta
affidabilità fra gli apparati nativamente.
Non mi interessano soluzione "fatte in casa" o al risparmio.
Grazie
Il 13/02/19 17:11, Paolo Di Francesco ha scritto:
credo che se chiedi a N persone potresti ricevere N+M pareri
Ad ogni modo, per quello che devi fare tu puoi usare:
a) server con linux, *BSD
b) appliance tipo pfsense o similare
c) mikrotik (es. CCR)
d)...sdn?
tutto dipende da cosa ti aspetti tu dal firewall, la quantita' di traffico
da gestire (direi poca) ma soprattutto quello che "te gusta" maggiormente.
Alla fine sei tu o qualcun altro che dovra' gestire il firewall quindi
molto dipende anche dalle conoscenze e dai gusti di chi lo deve usare
Saluti



Ciao a tutti,
stiamo progettando l'aggiornamento del parco hardware della nostra
infrastruttura, circa 80 server fra virtuali e fisici, e devo valutare
anche l'acquisto di una nuova coppia di firewall da mettere a protezione
di questi server.
L'esigenza è fare filtraggio sulle porte/IP ed instaurare VPN per fare
manutenzione. Non ci interessano funzionalità di IDS o NGFW. Il traffico
che facciamo oggi è di poco inferiore a 500Mbit ma prevediamo di superare
il Gbit quindi ero orientato su prenderne uno con porte 10Gbit.
Da un punto di vista dell'hardware vorrei apparati con la doppia
alimentazione e configurati in coppia per avere alta affidabilità
(Active/Passive).
Sono indeciso se orientarmi su hardware dedicato, ad oggi utilizziamo un
VDOM su Fortigate che ci mette a disposizione il datacenter e ci piace,
oppure appliance solo software tipo pfSense o simili da installare su un
paio di server dedicati a tale scopo.
Ovviamente mi preme che sia qualcosa di affidabile e robusto, ma con un
prezzo che non mi obblighi a sottoscrivere licenze d'uso per funzionalità
che già sappiamo non utilizzeremo.
Su che prodotti potrei orientarmi e quali sono le caratteristiche da
tenere in considerazione? Voi cosa utilizzate in situazioni simili?
Grazie
--
Alessio Cecchi
Postmaster @ http://www.qboxmail.it
https://www.linkedin.com/in/alessice






--


Ing. Paolo Di Francesco

Level7 s.r.l. unipersonale

Sede operativa: Largo Montalto, 5 - 90144 Palermo

C.F. e P.IVA  05940050825
Fax : +39-091-8772072
assistenza: (+39) 091-8776432
web: http://www.level7.it




--
Alessio Cecchi
Postmaster @ http://www.qboxmail.it
https://www.linkedin.com/in/alessice
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.itnog.it/pipermail/itnog/attachments/20190213/28b09b13/attachment.html>


Maggiori informazioni sulla lista itnog