[LUGOS] Firewall

Marko Ivanuša mivanu at gmail.com
Sun Mar 25 10:13:14 CEST 2007


25.3.07 je Iztok Umek <iztok na si-con.com> napisal/-a:
> Marko Ivanuša wrote:
> > Se opravičujem, ampak zakaj ne ISS?
> 1. precej dragi $/port ali $/Mbps

se strinjam :)

> 2. "zero-day" zascita potrebuje rocno kreiranje podpisa in uploada na
> napravo.

ni res, je pa zaradi "stabilnosti mreže" priporočljivo! (govorim
predvsem v enterprise okoljih)

> 3. omejene detekcijske metode (primarno podpisi in protokolne anomalije)

ni res! Res pa je je, da so bolj konzervativne narave, nove metode
integrirajo bistveno pozneje kot drugi playerji. Zdaj bo še huje (IBM
lastnik)

> 4. dvomljive performance pod DoSom.

kot vsi playerji na tem področju!

> 5. nima anti-scaning metode.

Nmap itd ... blokira.

> 6. ni zascite proti SSL/HTTPS napadom.

res je !
> 7. Max 4 segmenti na skatlo.

res je, ko da par bibi več mrežnih segmentov na eno škatlo. (problem
sumarne propusnosti)

> 8. PC platforma (vprasljive performance)

IPS sistem. ISS, CISCO PC platforma. Ostali isto, razen kvazi HW
podpora s ASIC! Je res da izboljša performase ampak le za eno velikost
paketov.
> 9. Nima bandwidth management funkcije.
>
> 10. Ni podpore za tunelirane protokole (MPLS, L2TP, GTP, GRE)

ni res. Problem je le če uporabiš kriptiranje (GRE)

> 11. Vec modelov nima vgrajenih bypassov.

odlično, ker to zahtevajo stranke. Predvsem banke!

>
>
>
> _______________________________________________
> lugos-list mailing list
> lugos-list na lugos.si
> http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
>
Kot si napisal tudi ti. Nisem zaposlen v ISS, temveč pri integratorju
IT. Imam veliko izkušenj  predvsem z IPS prej pa IDS-i.
Zakaj ISS: Pustiva ceno. Glavna prednost ISS-a:

- podpora asimetric routing (per box)
- HA activ-activ (rabiš le dve škatli)
- stabilnost delovanje
- investticija je po 3 letih cenejša od katerega koli drugega plejerja
(seveda enterprise okolje- Žal le tukaj delam :(
- all-in-one manegment in IPS

VELIKA SLABOST:
- cena (
- sumarna propustnost, ampak to rešuje podobno kot CheckPoint z bladi
(Nokia, Crossbeem.

lp
Marko


More information about the lugos-list mailing list