"Bettina" <pruehs@mocka.dk> wrote in message
news:3b615114$0$9451$4d4eb98e@news.dk.uu.net...
> Hvis I skulle vælge mellem Cisco Pix, Firewall 1 og Borderwarem, hvilken
> ville I så vælge (og hvorfor)?
Man skal vælge den man er bedst til!!!
Jeg har aldrig rodet med en Borderware firewall så den vil jeg ikke udtale
mig om.
Pix'en har generelt haft det problem at den er dyr at udvide hvis man fx
skal have en ekstra DMZ. Jeg har hørt rygter om, at der nu skulle være en
workaround?!
På Firewall-1 skal du også vælge det underliggende OS og hvis det er
konfigureret af ht så gæt selv hvor sikker din firewall er. Firewall-1 har
sin styrke i miljøer med mange firewalls hvor man har behov for central
styring. Desuden kan den anvende helt almindelige netkort hvis du ønsker
flere DMZ.
Både PIX og FW-1 anvender stateful inspection - en Proxy Server eller Raptor
derimod er en "Application firewall" og ISA Serveren fungere både som
stateful inspection og applikations firewall. Forskellen består i på hvilket
niveau de undersøger de pakker der passere igennem. (Firewall-1 har dog
noget applikations firewalls kapacitet)
Stateful inspection fordele:
- Høj performance
- Understøtter praktisk talt alle services
- Simpel at forstå
Stateful Inspection Ulemper
- Tillader direkte IP forbindelse mellem eksterne og interne klienter
- Understøtter ikke umiddelbart bruger validering (Der kan dog anvendes
OPSEC plugins)
- Kan undersøtte alle ip services (dette medfører fx at man kan anvende port
53 til at køre http telnet, ftp etc.!!! port 53 udp/tcp anvendes normalt til
DNS(det er dog ikke noget man bare gør))
Application firewall fordele
- Tillader IKKE direkte forbindelse mellem eksterne og interne klienter
- Understøtter validering af brugere
- Tjekker indholdet af pakken på applikationsniveau (dermed har den fx en
god chance for at se at en HTTP PUT kommando ikke hører til i en DNS pakke)
- Gode muligheder for logning
Application firewall ulemper
- Væsentlig dårligere performance end staeful inspection
- Skal være supporteret af de interne klienter
- Understøtter ikke alle services!
Er sikkerhed et absolut must uanset pris bør der være flere lag af firewalls
og de bør anvende forskellig teknologi! Nogle af de mest sikrede
institutioner i dk anvender typisk tre firewalls på snor.
-Anders
http://www.look-at-IT.com