Palomuuri 1Gbit kuituliittymälle

Liittynyt
23.01.2018
Viestejä
586
Telian Avoin kuitu-liittymä asennetaan käyttökuntoon lähipäivinä. Uusi liittymänopeus (1 Gbit/s) vaatii nykyisen Zyxelin USG20-palomuurin päivittämistä, jotta liittymästä saa kaiken tehon irti.

Vaatimuksia ovat:
- Valmis appliance - ei omatoimisia Linux/Open Source-rakennelmia
- Pieni ja mielellään ilman tuuletinta, jotta mahtuu telekaappiin
- Järkevän hintainen (= alle 500 eur)
- Palomuurin perusominaisuudet riittävät, ei tarvetta web-suodatukselle tms.
- 1 Gbit pitää mennä läpi kaikissa olosuhteissa
- Integroitua Wifi-tukiasemaa ei tarvita, sitä tehtävää hoitaa jo Orbi Mesh

Tähän mennessä ehdokkaiksi ovat löytyneet:
- Fortigate E50 tai E60
- Sophos XG 85 tai 105

Muita hyviä ideoita uudeksi laitteeksi? Miten muut olette ratkaisseet kodin palomuurin nopean kuituliittymän kanssa?
 
Heitetääs jokerina Ubnt:n EdgeMax linjasto vaikkei nyt ehkä suoraan "Firewall appliance" kategoriaan istukaan.

Uusi ER-4 malli tullut vuoden vaihteen paikkeilla saataville. Hintaluokka 200$/~180-200€ ja vääntöä kuin pienessä kylässä.
Ubiquiti Networks - EdgeRouter™ 4
 
Muita hyviä ideoita uudeksi laitteeksi? Miten muut olette ratkaisseet kodin palomuurin nopean kuituliittymän kanssa?
Lisään itse omalle listalleni "puolivalmiin" appliancen, eli Sophos XG Home Edition:
Free Firewall for Home Users | Free Home Security Appliance Download | Sophos XG Firewall

Ja tähän alle raudaksi vaikkapa Fitlet2:
fitlet2

Fitlet2 on täysin passiivisesti jäähdytetty pieni IOT-käyttöön suunniteltu PC 4-ytimisellä E3950-prosessorilla ja max. 16 GB muistilla.
 
Lisään itse omalle listalleni "puolivalmiin" appliancen, eli Sophos XG Home Edition:
Free Firewall for Home Users | Free Home Security Appliance Download | Sophos XG Firewall

Ja tähän alle raudaksi vaikkapa Fitlet2:
fitlet2

Fitlet2 on täysin passiivisesti jäähdytetty pieni IOT-käyttöön suunniteltu PC 4-ytimisellä E3950-prosessorilla ja max. 16 GB muistilla.

No jos tuollanen Sophos + fitlet2 kelpaa, niin pfSense kannattaa harkita ton Sophoksen tilalle.
pfSense® - World's Most Trusted Open Source Firewall

pfSenseltä löytyy myös valmiita laitteita.
 
Nuo PfSense-appliancet ovat todella kalliita. Tuo Fitlet2:sta teholtaan vastaava SG-4860 maksaa noin $800, kun Fitlet2:sia saa tuolla kustannuksella kaksi.

Tilasin tuollaisen Fitletin ja kokeilen siinä nyt ensiksi tätä Sophoksen XG Home Editionia - se on ilmainen. Kyseessä on täysin kaupallinen tuote, jonka ainoat rajoitukset maksulliseen vastineeseen nähden ovat enintään 4 ytimen ja 6 GB muistin tuki ja toki se, että tuote on lisensoitu vain kotikäyttöön. Ominaisuudet näyttäisivät olevan Sophoksessa sellaisenaan PfSenseä laajemmat. Toki PfSenseen saa kaikenlaisia laajennuksia, mutta sellaisen etsiminen ja viritteleminen ei ole kovin hyvää ajankäyttöä.

Se, että jokin on Open Sourcea ei mielestäni ole itsessään mikään etu.

Tuo Fitlet2 vastaa teholtaan suunnilleen Sophoksen XG 135:sta, jonka läpäisykyky pitäisi riittää speksien mukaan gigan liittymälle jopa Web-liikenteen filtterit päällä.
 
Viimeksi muokattu:
Nuo PfSense-appliancet ovat todella kalliita. Tuo Fitlet2:sta teholtaan vastaava SG-4860 maksaa noin $800, kun Fitlet2:sia saa tuolla kustannuksella kaksi.

Tilasin tuollaisen Fitletin ja kokeilen siinä nyt ensiksi tätä Sophoksen XG Home Editionia - se on ilmainen. Kyseessä on täysin kaupallinen tuote, jonka ainoat rajoitukset maksulliseen vastineeseen nähden ovat enintään 4 ytimen ja 6 GB muistin tuki ja toki se, että tuote on lisensoitu vain kotikäyttöön. Ominaisuudet näyttäisivät olevan Sophoksessa sellaisenaan PfSenseä laajemmat. Toki PfSenseen saa kaikenlaisia laajennuksia, mutta sellaisen etsiminen ja viritteleminen ei ole kovin hyvää ajankäyttöä.

Se, että jokin on Open Sourcea ei mielestäni ole itsessään mikään etu.

Tuo Fitlet2 vastaa teholtaan suunnilleen Sophoksen XG 135:sta, jonka läpäisykyky pitäisi riittää speksien mukaan gigan liittymälle jopa Web-liikenteen filtterit päällä.

Kiinnostaisi tietää miten tuo Fitlet2 on gigan kuituliittymän kanssa pelannut?
Itsellä sama tilanne, pitäisi saada palomuuri moisen liittymän kanssa käyttöön, nykyinen rauta ei kestä edes 500Mb/s liikennettä.
 
Itseltäni löytyy myös Fitlet2. Ihan gigabitin nopeuksiin sillä ei pääse Suricatan (tai muun IDS:n) kanssa. Tässä hieman iperf-tuloksia:

Ilman Suricataa
Koodi:
[ ID] Interval       Transfer     Bandwidth
[  3]  0.0-10.0 sec  1.09 GBytes   939 Mbits/sec

Suricatan kanssa
Koodi:
[ ID] Interval       Transfer     Bandwidth
[  3]  0.0-10.0 sec   994 MBytes   834 Mbits/sec
 
Juniper SRX300 ainakin käytettynä irtoaa noihin hintoihin, passiivinen laite ja perus palomuuriläpäisy just sen 1Gbit. GUI on melkoisen kökkö kai vieläkin, joten sen kanssa pitää osata vähän Juniperin omaa komentorivilogiikkaa.
 
Heitetääs jokerina Ubnt:n EdgeMax linjasto vaikkei nyt ehkä suoraan "Firewall appliance" kategoriaan istukaan.

Uusi ER-4 malli tullut vuoden vaihteen paikkeilla saataville. Hintaluokka 200$/~180-200€ ja vääntöä kuin pienessä kylässä.
Ubiquiti Networks - EdgeRouter™ 4
Itse tuli hankittua Unifi malliston Security Gateway USG, joka ei ihan tehossa tuolle pärjää, mutta on jonkin verran myös halvempi. 115€ Amazonista.
 
Itse tuli hankittua Unifi malliston Security Gateway USG, joka ei ihan tehossa tuolle pärjää, mutta on jonkin verran myös halvempi. 115€ Amazonista.

Näin niinkuin sivuhuomiona voisin nyt tähän mainita:
USG on raudaltaan sama kuin Edgerouter Lite. Ja eihän nämä väännössä pärjää ER-4:lle mutta on niissä ihan tarpeeksi sitä vääntöä kuitenkin. Eli symmetrinen gigabitti onnistuu kun taas Edgerouter X:llä tulee ne rajat vastaan ~ 500/500 (tai 600/400 jne), eli ei siis onnistu gigabitti ylös ja alas yhtäaikaa.
Toisaalta taas ER-X on parempi (kuin ERL) jos halutaan käyttää esim. QoS:ää (tai jotain joka kytkee offloadauksen pois päältä) jollekin ~200-300Mbps yhteydelle, ERL:ssä kun on heikompi CPU kuin ER-X:ssä.
Jos taas on nopeamman yhteyden kanssa tarvetta esim. QoS:lle niin sitten pitää suunnata katse tuohon ER-4:seen.
Toki ER-Prokin on suorituskykyisempi kuin ER-X/ERL mutta se on vanha ja samassa hintaluokassa kuin paljon suorituskykyisempi ER-4 niin en näe järkeä ostaa tuota Pro:ta.​
 
Kiinnostaisi tietää miten tuo Fitlet2 on gigan kuituliittymän kanssa pelannut?
Itsellä sama tilanne, pitäisi saada palomuuri moisen liittymän kanssa käyttöön, nykyinen rauta ei kestä edes 500Mb/s liikennettä.
Fitlet2-pohjainen Sophos XG Home-palomuuri on nyt ollut käytössä jonkin aikaa. Läppäri kiinni suoraan muuriin ja Chrome-selaimella speedtest-mittaus antaa nopeudeksi luokkaa 850 Mb/s. Todennäköisesti natiivilla Speedtest-sovelluksella tulisi vielä parempi tulos, jos jaksaisi testata.

En huomaa nopeudessa mitään eroa Web-virusskannaus päällä tai ei, mutta täytyy tehdä jossain vaiheessa vielä paremmat testit kun ehtii.

Fitlet2 on laitteena loistavasti tähän käyttöön sopiva - pieni, ei lämpene paljoa ja ei tarpeetonta tuuletinta. Laite on asennettu itsellä suoraan telekaappiin, jossa sen perässä LAN-puolella on Xyzelin edullinen pikkukytkin. Fitletissä on sisällä 8 Gt muistikampa (josta Sophos XG Home käyttää enintään 6 Gt) sekä 60 Gigan SSD-levy.

Sophos XG ei tue UEFI-boottausta, joten Fitletissä on pistettävä legacy-boottitila päälle. Mutta kun sen tekee, niin asennus menee ongelmitta.

Sophox XG Home on helppoa asentaa ja ei tarvitse ihmeellisemmin viritystä käyttöönoton yhteydessä. Ja kun tuote on itsessään kotikäytössä ilmainen, niin hinta-laatusuhde on erinomainen.
 
Tässä vielä testidataa:

Fitlet2 J3455 + Sophos XG Home (viimeisin versio) mitattuna LAN-portista i7-pohjaisella Thinkpädillä Chromen Speedtest-laajennuksella ja Web-sisällön AV-suodatus päällä:

http://beta.speedtest.net/result/7314627623

Sama, mutta AV-suodatus pois päältä:
http://beta.speedtest.net/result/7314623324

Hajonta mittauksesta toiseen on sen verran suurta, että käytännössä voi sanoa AV-skannauksen vaikutuksen olevan merkityksetön. Testien aikana prosessorin maksimikuormitus oli 34.7%.

Olen tämän yhdistelmän suorituskykyyn oikein tyytyväinen.

Liittymänä muuten on Telian Avoin kuitu 1000/100.
 
Viimeksi muokattu:
Jos ei linuxpurkkia tai pfsenseä halua joka on mielestäni se paras vaihtoehto niin mikrotikiltä löytyy myös oikein hyviä ratkaisuja. Heiltä tuli juuri ulos uusi reititin joka vaikutta oikein hyvältä.

MikroTik
 

Statistiikka

Viestiketjuista
258 402
Viestejä
4 489 882
Jäsenet
74 154
Uusin jäsen
Almedin

Hinta.fi

Back
Ylös Bottom