Chinaunix

标题: 大型企业的网管讨论下，各位的企业，都在用什么网络防护墙？ [打印本页]

作者: 枫影 时间: 2007-08-16 15:50
标题: 大型企业的网管讨论下，各位的企业，都在用什么网络防护墙？
目前我企业是我负责做这个方案改造，全部进行一次大规模的整改，网络防火墙软件现在多如牛毛，时间问题不能一一测试，因此想借鉴一下各位网管的建议，现在那些类似的策略类统一规划管理软件还不错呢？
希望不惜赐教，如果能把自己企业的大概规划和部署告诉我好让我参考，那就更加感激了

作者: proxima888 时间: 2007-08-16 17:23
你企业的计算机规模以及你想达到的预期效果？这个不说大家不好给建议！

作者: wskyygydx 时间: 2007-08-16 17:58
是啊，先把你的情况说清楚啊，要不然人家怎么给你评论呢。

作者: xieweihua 时间: 2007-08-18 21:32
规模多大？

要达到什么效果？

作者: hust888 时间: 2007-08-20 23:11
我们都在用优强UTM防火墙，真的好墙！

http://www.trustcomputing.com.cn

作者: chinese_ys 时间: 2007-08-21 10:42
我觉的pix就不错，515e便宜还好用。
但如果你熟悉freebsd，用他来假设防火墙也不错的。

作者: hust888 时间: 2007-08-21 22:58
PIX515e停产了，有卖的都是二手的，不要贸然选购。
另外与其买防火墙不如买UTM。

参考UTM选购指南：
http://www.trustcomputing.com.cn/ch/index.php/content/view/11/25/

作者: 枫影 时间: 2007-08-22 08:53

原帖由 proxima888 于 2007-8-16 17:23 发表
你企业的计算机规模以及你想达到的预期效果？这个不说大家不好给建议！

规模500台。
效果：
1、下面客户端中毒，不至于影响整个网络。（比如伪造网管，ARP等）
2、下面客户端用恶意软件比如网络执法官，危害不了整个网络。（带报警）
3、可以控制客户端的程序是否允许进出网络。

基本这些，要求不算高，但据我了解，很难实现。。。。

作者: 枫影 时间: 2007-08-22 08:55
另外，准备采购的产品是针对内部局域网络的。
对外部net，我们有防火墙产品。

作者: 天下布武 时间: 2007-08-22 10:57
你的要求，现在像几大厂商，cisco，juniper，Checkpoint，CA等都有产品的，内网安全产品，你可以去找一下他们的代理商问一下，不过价格都不便宜的。

作者: ns208 时间: 2007-08-22 16:17
防火墙netscreen，内网病毒什么防火墙都会有一定影响，还有arp欺骗这种病毒更可怕，防火墙没事，客户端有问题啊。
内网管理要用内网管理的软件，比如百络网警，websense，这些不用装客户端，好实施，但管理上有漏洞。landesk、vrv什么的，需要装客服端，控制效果好，但是没有安装的或自己卸载的又是问题。
我们现在是这些全都上了，但是还是会有病毒的问题，symantec也上了，但是一些新病毒都会在我们公司先爆发，然后病毒库才更新。
其实，我觉得内网管理不要总是被动的，要主动的把隐患扼杀在摇篮里，哈哈!

作者: candychang 时间: 2007-08-27 11:06
您好！我公司是专业的高科技网络保全公司，在业界以拥有专业的安全技术团队与优质安全服务见长，主要服务内容为网络安全系统之规划、整合、建置与安全顾问，提供的安全产品项目包括『超级防火墙(Firewall)、漏洞扫描系统(SecurityScanner)、入侵侦测系统(IDS)、网络认证系统、网络安控系统…』等,并与SURFCONTROL,CHECKPOINT、NOKIA、CA、SONICWALL、ISS、天融信…等世界知名的安全公司合作，与普通的安全公司不同，我公司还从事骨干路由、骨干交换机等与网络安全系统相关的广域网络、本地核心网络等系统集成。

联系方式：120687383@qq.com
QQ：120687383

作者: ftlonger 时间: 2007-08-27 15:14
俺们坚决躲在Linux里的怀抱里，用iptables……

作者: zhangshoug 时间: 2007-08-28 08:11

原帖由枫影于 2007-8-22 08:53 发表

规模500台。
效果：
1、下面客户端中毒，不至于影响整个网络。（比如伪造网管，ARP等）
2、下面客户端用恶意软件比如网络执法官，危害不了整个网络。（带报警）
3、可以控制客户端的程序是否允许进出网络 ...

1、arp可以用好点的交换机，在交换机上绑定端口。
2、还是交换机，每个客户一个vlan，他就不能危害整个网络。
3、这个可以用linux的iptables了

作者: wentaowtwt 时间: 2007-08-28 10:23
就是，这么要求高，还说不高啊

作者: 我 时间: 2007-08-29 09:00
现在内部的威胁远比外部来得更狠，五百用户规模的网络最重要的是交换机。认为只在中心交换机或防火墙投入的简直是业余的想法。
不管成本的话，建议全换成cisco 的3560或更高。

起码二三级的都是需要带管理的交换机。当然，你想偷懒或者领导想收huigou 的话也可以配置各种管理软件，但交换机才是最根本解决之道。

作者: elephant52 时间: 2007-08-29 09:34
标题: 可以达到你所要求的，还可以帮你进一步的管理
按照你的要求，软件就可以帮你达到这个管理功能，还可以帮你进一步管理你想要管理的计算机，让你知道哪台计算机出了问题，对网络的管理，网络中的计算机的接入管理，补丁的强制分发，文件的强制分发，计算机的资产管理（软件。硬件）移动存储的管理，文件的审计等，如果有需求可以给你个软件帮你测试。告诉我邮件，可以给你发个技术白皮书，你看下。
QQ：497667302
MSN：haidongshao@hotmail.com

作者: puluto 时间: 2007-08-29 16:55
1、下面客户端中毒，不至于影响整个网络。（比如伪造网管，ARP等）划10个VLAN（防止风暴）MAC地址双向绑定（防止欺骗）
2、下面客户端用恶意软件比如网络执法官，危害不了整个网络。（带报警）（上面那样设置网络执法官这类就没办法了，带报警比较困难，用网管软件检测异常流量，自己判断。）
3、可以控制客户端的程序是否允许进出网络。（iptables自己写，想怎么写怎么写。）
应该投资不大，主要投资是三层交换机~1台应该够吧~不过下面的二层交换机性能要好点的。
病毒监控还是用企业的诺顿或者NOD32统一部署管理系统~~（不过最好在网关前面加一个病毒防火墙用来过滤WEB病毒，现在最可恨就是这种东西~~不好查~一般中了才知道~~）

作者: 82210000 时间: 2007-08-30 16:55
标题: 我是总代
我是做chekpoint的...
深圳地区总代....如果你看上了check point,,,可以联系我看看..QQ-276108570

作者: drobeer 时间: 2007-09-02 23:09
500台机器,应该不用高性能的软件也可以解决问题了吧

作者: supengnest 时间: 2007-09-04 10:59
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)