haha sto nisi rekao da to pise na internetu mora da je istina.... haha je'l bilo i u Politici? ili na njuz.net ? :)
Od toga sto si naveo, Checkpoint. Sprava provereno dobro radi. Juniper nije los, stavise odlican je - ali ja nemam iskustva sa njim. Ja bi uzeo onaj za koji mogu da dobijem najbolju podrsku i gde cu najlakse naci dokumentaciju.
Koncept da ce neki uredjaj da stiti internet od losih aplikacija u tvojoj mrezi, pritom nemajuci uvid u to sto se desava na serveru, vec nagadjajuci po paketima u mrezi je jednostavno pogresan. Mozda zvuci kao dobar hype i mozda je lep marketing ali, niti je ideja firewall-a da prati sta izlazi iz mreze i stiti internet, niti on to moze da odradi bez uvida u to sta se desava na serveru, jer se bez toga te informacije daju previse lako lazirati. Ono sto perimetar mreze moze je:
- Da radi statefull inspection (rade svi ozbiljni uredjaji).
- Da, eventualno, radi VLAN-ove i terminira VPN-ove (rade, valjda svi)
- Da radi IDS/IPS. Cisco ASA ima modul za ovo, mislim da Checkpoint ima mogucnost. U krajnjoj liniji, imas snort.
- Da radi neki threat prevention and detection od DoS-a, pa na dalje. Ovo moze da ide mnogo dalje od prostog IPS-a. Znam da Cisco ima posebne uredjaje za ovo, kao i module za Catalyst 6500... Skup hobi, ali ako imas para jako dobro resenje. Ako imas svoj ASN navodno moze da menja i BGP i lepo zaobidje i sve vrste DoS-ova....
- Da radi application filtering za npr. SMTP i FTP - ovo je imao jos PIX, ima i ASA.
- Da radi kao web application firewall uz duboku analizu L7 saobracaja KA WEB SERVERU. Ovo znam da F5 lepo radi, mislim da Cisco ima neko svoje resenje, ali ne bi sad o tome.
Te fore da ce neka sprava da provaljuje prema potpisima aplikacija sta izlazi iz mreze, pa da na osnovu toga spreci da se neka rogue aplikacija ubaci i radi ko zna sta.... To je lepa ideja, koja ne moze da radi. Kao deo desktop sprave to jos i ima smisla, uz podrsku OS-a i njegovog kernela, pa uz checksums trusted programa i sl. Ali da to radi na nivou mreze - to se jednostavno previse lako lazira. Ostatak stvari su iste kao na vecini normalnih uredjaja i njih, valjda, radi kako valja, pa ce to i da radi. Jedini problem ce da nastane ako doticna firma pukne, pa ne bude ko imao da updateuje signatures za IPS/IDS... Zato i kazem Checkpoint od gore navedenog - kod ovakvih sprava treba imati support i update-e.
Naravno, vi momci slobodno kupite tu spravu - i pravljena je za hipstere kao sto ste vi. Kad kaze na forumu da je to
teh Palo Alto firewall odma znas da je ozbiljno. Pise na internetu, mora da radi. Posle mozete zajedno i na Zaz....
Please do not feed the Trolls!
Blasphemy? How can I blaspheme? I'm a god!'