URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 5599
[ Назад ]

Исходное сообщение
"Выбор:Cisco или Linux????!!!!! "
Отправлено denbu , 23-Июн-04 11:24

Здравствуйте все!!!
К вам за советом!!!
У меня стоит шлюз на Linux (dns, proxy, mail, firewall). Хочется (очень хочется поучится!!!!!!!)поставить на вход PIX. Но от начальника сразу же получил встречный вопрос : "А чем он лучше iptables, snort, vpn-сервера на Linux-е????". Вот так вопросец!!! У меня пока только один аргумент: нет винчестера. Само железо мощное на сервере. Потянет даже если поднять VPN с криптографией.
Заранее спасибо за советы!!!!
P.S. Достоинства типа: "Cisco-это круто!!!" и ему подобные, не прокатят!!! И ещё: канал не широкий, трафик не большой, так что производительность особой роли не играет.
Денис.

Содержание

Выбор:Cisco или Linux????!!!!! ,kran, 18:28 , 23-Июн-04
- Выбор:Cisco или Linux????!!!!! ,A Clockwork Orange, 05:46 , 24-Июн-04
  - Выбор:Cisco или Linux????!!!!! ,djal, 07:39 , 24-Июн-04
    - Выбор:Cisco или Linux????!!!!! ,Sonne, 10:34 , 24-Июн-04
      - Выбор:Cisco или Linux????!!!!! ,denbu, 05:26 , 25-Июн-04
        
        Выбор:Cisco или Linux????!!!!! ,Sonne, 16:09 , 05-Июл-04
Выбор:Cisco или Linux????!!!!! ,Michael, 12:49 , 04-Июл-04
- Выбор:Cisco или Linux????!!!!! ,dbis, 14:56 , 04-Июл-04
  - Выбор:Cisco или Linux????!!!!! ,dbis, 15:02 , 04-Июл-04
    - Выбор:Cisco или Linux????!!!!! ,v1z0r, 20:38 , 04-Июл-04

Сообщения в этом обсуждении

"Выбор:Cisco или Linux????!!!!! "
Отправлено kran , 23-Июн-04 18:28

Преимущество CISCO PIX в контроле за сосянием сессий. Этим она и отличается от FireWall на Linux и от access-list на роутерах CISCO

"Выбор:Cisco или Linux????!!!!! "
Отправлено A Clockwork Orange , 24-Июн-04 05:46

PIX ферволит не только по адресам но и по контенту, iptables тоже это может, но все же PIX шире. Если поможет.

"Выбор:Cisco или Linux????!!!!! "
Отправлено djal , 24-Июн-04 07:39

>PIX ферволит не только по адресам но и по контенту, iptables тоже
>это может, но все же PIX шире. Если поможет.
в iptables теперь уже stateless в отличие от аксксс листов. Файерволить по контенту тоже умеет (но ПИКС конечно делает это лучше)...

"Выбор:Cisco или Linux????!!!!! "
Отправлено Sonne , 24-Июн-04 10:34

Linux есть линукс с регулярными эксплойтами, ддосам, заменами ядер и библиотек и т.д.
А пикс это гораздо более стабильная система с закрытой операционкой м малым количеством уязвимостей. Конечно гигбкости в нем гораздо меньше, чем в универсальном писюке, зато свой сектор работы - защищать интернет соединения он делает лучше всех.
Да и настраивать его проще IMHO.

"Выбор:Cisco или Linux????!!!!! "
Отправлено denbu , 25-Июн-04 05:26

>Linux есть линукс с регулярными эксплойтами, ддосам, заменами ядер и библиотек и
Так и в Cisco-вской OS дыр на мой взгляд не меньше, как и в любой операционной системе, а в свете событий с кражей исходников , так и вообще надёги меньше стало.
>Да и настраивать его проще IMHO.
Не совсем понял?? Cisco -проще??
С уважением, Денис.

"Выбор:Cisco или Linux????!!!!! "
Отправлено Sonne , 05-Июл-04 16:09

>>Linux есть линукс с регулярными эксплойтами, ддосам, заменами ядер и библиотек и
>Так и в Cisco-вской OS дыр на мой взгляд не меньше, как
>и в любой операционной системе, а в свете событий с кражей
>исходников , так и вообще надёги меньше стало.
Что тут спорить? man bugtraq
>>Да и настраивать его проще IMHO.
>Не совсем понял?? Cisco -проще??
Конечно проще, а иначе за что платить деньги, не за усложнение же собственной жизни!

"Выбор:Cisco или Linux????!!!!! "
Отправлено Michael , 04-Июл-04 12:49

единственное преимущество Циски над Линуксом (точнее - над грамотно настроенным Линуксом на качественном железе), которе я знаю - это наличие для Циски разных аппартных интерфейсов, типа V.35 или E1, которые являются экзотикой для компов.
если таковые интерфейсы не требуются, то это преимущество пропадет, а Линукс намного более функционален при не меньшей надежности.
например, функциональность iptables сейчас очень велика, особенно с учетом patch-o-matic.

"Выбор:Cisco или Linux????!!!!! "
Отправлено dbis , 04-Июл-04 14:56

>наличие для Циски разных
>аппартных интерфейсов, типа V.35 или E1
на ПИКС-е таковых нет как класс. с точки зрения железа это обычная ПиСи-шка, с Finesse операционной системой
ПИКС однозначно проще настраивать (если под простой настройки понимать количество команд, необходимых для достижения цели, а не время, которое уйдет у админа на обучение)
на ПИКС-а сложнее сделать ошибку, которая скомпрометирует сеть за ним
на ПИКС-ах намного проще делать конфигураци с несколькими зонами безопасности (например, outside, DMZ, inside, extranet)
VPN можно делать, но тунелями он не оперирует (например, нельзя запустить OSPF поверх VPN, хотя OSPF как таковой ПИКС понимает)
может чего в версии 7.0 изменится, которую обещают сделать похожей на IOS

"Выбор:Cisco или Linux????!!!!! "
Отправлено dbis , 04-Июл-04 15:02

ПИКС еще умеет прятать нетривиальные протоколы за NAT-ом, как-то: ftp (который использует вторичное соединение для передачи данных), H.323, который передает ip адрес устройств внутри пакетов 4-го уровня и т.д.
все это управляется одной командой fixup protocol... не уверен, что такая простота достижима в ipfw, iptables (не знаю, что там актуально на текущий момент...), если это вообще там возможно встроенными средствами

"Выбор:Cisco или Linux????!!!!! "
Отправлено v1z0r , 04-Июл-04 20:38

Более продвинутый stateful inspection по сравнению с iptables ,и хоть мало функциональный но тем немение присутствующий deep packet inspection.

Довольно интересные файерволы предлагает watchguard http://www.watchguard.com/products/fireboxx.asp но и цена на них от 1500$