web-dev-qa-db-ja.com

中小企業のファイアウォール/ VPNデバイス

優れた中小企業(1つの場所で50ユーザー未満)のファイアウォールとVPNデバイスとは何ですか?ワイヤレスは素晴らしい追加になるでしょう、そして私は1,000ドルの範囲の何かを考えています。これは、IT従業員が0〜2人の企業向けです。品質サポートとデバイス数の使いやすさ。 SSL VPNがあればいいのですが、クライアントベースの場合は、64ビットWindowsで動作するVPNクライアントが重要です。

4
Carl C

職場では、最近、小規模オフィスファイアウォール、site2site VPNエンドポイント、およびロードウォリアーVPNエンドポイントの役割でCisco ASA5505をインストールしました。それはしっかりしていて信頼できます。 CiscoのWebGUIは制限されており、Ciscoコマンドラインを回避する方法を知っていることが実際に必要です。

CiscoはVPNクライアントソフトウェアを分割しており、古いIPSecベースのクライアントは徐々にフェードアウトしており、新しいSSLベースのクライアントは勢いを増しています。この一例は、古いIPSecクライアントに対して64ビットバージョンが計画されていないことです。悪いニュースですが、SSLは個別にライセンスされており、はるかに高価です。

'roadwarrior' VPNを再度セットアップする場合は、ActiveDirectoryの統合を主張します。 VPNパスワードは、オフィスで日常的に使用しているADとは別のものであるため、ユーザーは常にVPNパスワードを忘れています。パスワードの変更はそれほど面倒ではありませんが、かなりの生産性が失われます。私たちのユーザーは、締め切りの前夜に自宅からVPNを試すことがよくあります...

uPnPは驚くほど素晴らしいでしょう。ユーザーの多くは、Skypeなど、最適に機能するためにファイアウォールを通過するトラフィックを必要とするものを利用しています。はい、uPnPに対してなされるべき強力なセキュリティの議論があります。選択はあなた次第です。

そして最後に-統計。 Cisco ASAには優れた統計セクションがあり、特定のタイプのネットワーク問題のトラブルシューティングに実際に役立ちます。ネットワーク上でとらえどころのない問題が発生するまれな日のために、何が起こっているのかを把握できないファイアウォール(または一般的に多くのIT機器)は必要ありません。

Kerio Winroute Firewallには、AD統合、必要に応じてuPnP、および非常に堅実な統計セクションがあります。 Kerioはファイアウォールで優れた実績があり、ワークステーションファイアウォールは、売却されるまで何年もの間マーケットリーダーでした。 Kerio Winrouteを使用したことはありませんが、小規模なファイアウォールを再度セットアップする場合は、KerioWinrouteまたはWindows2008R2を選択します。

2008 R2は非常に堅実なVPN実装を備えており、Windows 7とシームレスに統合されます。非常に顕著な欠点は、クライアントPCにWindows7が必要なことです。私たちはこれを受け入れることができました、私は他の多くの人が今できるとは思えません。

私はpfSenseと他の多くのオープンソースファイアウォールディストリビューションを知っています。彼らはとてもとても素敵です私の小規模オフィスのニーズでは、10/10 mbit回線を使用しているため、PCクラスのハードウェアでのpfSenseの追加のパフォーマンスは重要ではありません。また、小型のASAまたはジュニパーSSGの価格は法外なものではありません。そのため、pfSenseは主にASAまたはJuniper SSGと競合することになり、既製バージョンの実装よりも単純で短時間のほうが好きです。しかし、pfSenseは非常に優れており、他のニーズには優れている可能性があります。

だから私にとってはどちらかでしょう:

  • 2つのファイアウォールを備えた「DMZ」構成。前面にかなりシンプルなファイアウォールアプライアンスがあり、背後にPCベースのソフトウェアファイアウォール(Kerio、Windows 2008 R2)があり、AD統合を備えたロードウォリアーVPN用です。
  • 2つのNICを備えたPCベース(Kerio、Win 2008 R2)ファイアウォールを使用した1つのファイアウォールのセットアップ(おそらくわずかに安全性が低くなりますが、最近では大きな問題になるとは思えません)。

今のところ、私はKerio Winrouteを購入します(ここでも、彼らのWebサイトだけを見て、私はまだKerio Winrouteと個人的に仕事をしていません)。あなたがWindowsだけの店なら、今から1年後に私はWindows 2008R2に行きます。

4
Jesper M

pfSense をご覧になることをお勧めします。 40ユーザーのネットワークで機能し、管理が簡単であることがわかりました。 Webインターフェースにより、OpenVPNの管理が簡単になります。

あなたはそれを試してみても何も失うことはありません。

13
Luis Ventura

CiscoASA-5505には幸運がありました。少し高価ですが、構成するのに最適なギアであり、信頼性があります。 PPTP、IPSEC、L2TPなど、さまざまなVPNプロトコルを終了できます。 SSL VPN機能はありますが、ユニットとは別にライセンスされていると思います。

4
Evan Anderson

Fortigateアプライアンスには幸運がありました。お金のために、それらはCisco ASAよりも多くの機能を備えており、設定が簡単です。

2
3dinfluence

SmoothWall( http://smoothwall.org/ )と呼ばれるLinuxディストリビューションを使用するのが、おそらく最も安価で簡単です。

あなたはEBayで安い100ドルのコンピュータと追加のNICカードとあなたのビジネスを買うことができます。

1
djangofan

余裕があれば、間違いなくCisco ASA5505または5510ですが、私はこれらのデバイスをいくつか持っています(その前は、PIX 506eと515eを使用していました)。 Active Directory認証に関する以前のコメントについては、ADのWindowsサーバーの1つにMicrosoft Authentication Services(MicrosoftのRADIUS実装))をインストールし、RADIUSへのVPNを認証するようにASAを構成しました。 。

これにより、ユーザーはADパスワードを使用できるようになり、ユーザーは他のパスワードを忘れてしまうため、私の生活が本当に簡素化されます。JesperMortensenが言ったように、これは通常、危機に瀕しているときに発生します。いくつかの作業を提出する期限。これは本当にあなたのsysadminになり、パスワードをリセットするための営業時間外の電話を受けます。

ASAでは、Win2KおよびXP(残念ながら、VistaおよびWindows7のものではありません-特定のMicrosoftが最新のものを採用しているため)のネイティブWindowsクライアントで動作するL2TPVPNを構成することもできます。 IPSECの実装。ただし、市場の力により、CiscoまたはMicrosoftがRFCの特定の解釈に屈することになると確信しています。

ASAはかなりよく構造化されており、構成が簡単なデバイスです。シスコがアプライアンスにアプローチする方法(つまり、すべてがNATであり、インターフェイスのセキュリティレベル)を理解すると、5505について私が気に入っているのは2つのPOEがあることです。背面のポート。IP電話またはワイヤレスAPを接続して、余分な配線を節約できます。

ASAに対する私が持っている唯一の批判は次のとおりです。

  1. 制限付きSSLライセンス
  2. デバイスには外部電源があり、デバイスの背面に非常に薄いコネクタがあります。
  3. どういうわけか電源がこの奇妙な甲高い笛型の音を出し、それは何人かの人々を苛立たせることができます。

オールインワンのものをお探しの場合は、Cisco800シリーズルータも検討してください。ここでいくつかの情報を得ることができます リンクテキスト 。ワイヤレスが組み込まれた素敵なものがたくさんあります。ADSLサービスを利用している場合は、統合されたADSL2 +モデムを使用して見つけることができます。これにより、単一のボックスブランチオフィスソリューションが実現します。それらはIOS 12.xを実行し、CiscoのCBAC(コンテキストベースのアクセスリスト)をサポートするIOSのバージョンを取得できます-基本的にステートフルファイアウォールと暗号化Cisco Easy VPNと一緒に使用します。しばらく使用していないため、CBACにアプリケーションプロキシがあるかどうかはわかりません。

1
Coltoncat

約1000ドルで、Draytek 2950または3300を使用します。実際には、これらの両方で十分な変更が得られるはずです。私はこれらのルーターの多くを使用しましたが、それらは非常に優れており、構成が簡単で、負荷分散などの高度な機能を提供します。どちらもLANto LAN IPSEC VPNを実行し、個々のユーザーに対してPPTPダイヤルインVPNをサポートします。PPTPダイヤルインはWindowsに組み込まれたVPNサポートを使用し、追加の必要はありません3300はおそらく必要のないものを提供するので、あなたの代わりに2950を選択します(最大4つのWANポート!)での負荷分散など)。

Draytek 2910は1,000ドルをはるかに下回っていますが、2つまたは3つを超える同時VPNセッションをサポートするための馬力がありません。

JR

1
John Rennie

私はソフトウェア側で IPCop を、ハードウェア側で pcengines または soekris の何かを使って良い経験をしました。

IPCopは、OpenVPN構成をダウンロードするだけで、基本的なルーティング関連のほとんどを処理できる優れたWebインターフェイスを提供します。キャッシングプロキシのような利用可能なプラグインもかなりあります

1
serverhorror

過去5年間(おそらく4年間)WatchGuard X500を使用して、当社にVPNソリューションを提供してきました。

2008年の終わりに、このウォッチガードの製品ライフサイクルは終了し、切り替える必要があります。そこで、新しいモデルを購入しました。しかし、VPNは「a * sの痛み」でした。Vistaやその他のプラットフォームではWindows以外では機能しませんでした。

ついに私はpfSenseを発見しました。このシステムは完全に無料で、freeBSDに基づいています。古いWatchGuardハードウェアにインストールしました。 SSLベースのopenVPNインフラストラクチャを提供します。 pfSenseに切り替えてから、VPN接続に問題はなく、Windows、Mac OS、およびLinux用のopenVPNクライアントがあるため、自宅にWindowsクライアント(物理的または仮想)は必要ありません。

Morを読みたい場合-> klick me

A忘れました:この小さな赤いボックスは、5〜10人が同時にログインしている約80人のユーザーにこのサービスを提供します。

これが少しお役に立てば幸いです。

宜しくお願いします

ドイツからのarl

1
arl

私には、sonicwallアプライアンスを誓うコンサルタントの友人がいます。管理者に関する限り、彼らは主に「設定して忘れる」のです。ログを定期的にチェックするべきではないという意味ではありません!

1
Dan

Checkpoint Safe @ Office デバイスでかなり良い経験をしました。

  • 統合ワイヤレス、内部ネットワークから分離できます
  • 独自のクライアントを含む組み込みVPN(専用クライアントにx64があるかどうかは不明)
  • ロギング(私が信じているsyslogオプションを含むが、それを使用したことはない)
  • パッチメンテナンスの自動更新
  • アラート
  • 設定は非常に簡単
  • 非常に安定

いい物。

1
squillman