Здравствуйте! Хочу купить какой либо аппаратный фаервол, для домашних экспериментов, с последующим его использованием по назначению, опять же дома. Есть на примете несколько: D-Link DFL-800, ZyXEL ZyWALL 5, CISCO PIX 501. Что посоветуете по этому поводу? Какие еще варианты есть?
Если выбирать между dfl и zywall, то что выбрать лучше? К zywall идет еще turbocard (сзади есть разъем для неё) для активации антивирусной защиты, если использовать ее, будет ли возможность проверять современными антивирусными сигнатурными базами или только теми, что были выпущены на момент создания этой карты/устройства?
Сергей Горностаев, Мне просто интересно поюзать аппаратные фаерволы дома. Я понимаю, что это реально как из пушки по воробьям, но прикольно же. Сам я работаю совсем не в IT, для меня это все просто хобби так сказать )))
Наверное будете разочарованы в поисках аппаратного файервола за маленькие деньги, ибо без платной подписки он разве что на ВПН соединение будет годен. Антивирус, веб фильтры, проверка приложений - это все за деньги. Или я неправ?
lossyy, ну дак и в iptables тоже нет антивируса и прочих плюшек, но фаерволом он ведь не перестаёт быть) мне интересно, чтобы фаервола был именно аппаратный, а то что в нем ещё и vpn будет - ещё интереснее.
mhogolikii, а что значит именно аппаратный? Все равно что железка в которой есть линукс подобная система с программным комплексом. Вам просто нужна железка с веб интерфейсом? Я пошел путем изучения pfsense - много чего умеет и впн в нем есть и т.д.
Я бы посоветовал Mikrotik. ИМХО лучшее SOHO решение. Что в маленьких офисах, что у пользователей дома, что у себя, один раз настроил и он будет работать до скончания веков. Широчайший для аппаратного решения функционал по смешной для такого функционала и производительности цене.
P.S. Относительно цисек сказать ничего объективного не могу, но ранее я был вынужден обильно взаимодействовать с длинками и зюкселями. И если предо мною встанет выбор между первыми двумя и микротиком, я не буду колебаться ни секунды.
Belfigor, я так понял, что МикроТики можно настроить под практически любые нужды. В том числе и фаервол. Довольно компактные и мощные устройства, да еще и обновляются, т.е. актуальны. Так?
mhogolikii, Да. Более чем актуальны, ось обновляется регулярно. Мануалов миллион, всевозможных путей реализации необходимого - ещё больше. Например можно реализовать схему репликации лизов DHCP сервера с одного микротика на другой + фейловер, просто скриптами :). Короче бомба за свои деньги. Я себе такой же скоро буду домой покупать, у меня пока старая 100мбитная версия :(
Только вот микротик ничерта не аппаратный файрвол. Но все советуют...
Для дома пока лучше keenetic я лично ничего не видел. С микротиками работаю очень плотно, если что. И именно аппаратного в keenetic больше
Много встроенных функций, удобных для домашнего использования (хорошая поддержка USB-накопителей, torrent-клиент, серверы smb, ftp и webdav, различные VPN - wireguard, IPsec, PPTP, SSTP, L2TP, IPIP, EOIP, GRE - последние 4 в том числе и через IPsec, поддержка IPTV - IGMP proxy, UDP proxy, гибкая настройка DNS - поддерживается DNS over TLS и DNS over HTTPS)
Поддержка открытых пакетов позволяет расширять возможности KeenticOS (можно, к примеру, настроить обход блокировок через Tor, установить сервер ntp, поставить почтовый, web-сервер, настроить трансляцию аудиопотоков)
Поддержка большого числа USB-модемов, multi-WAN (каждый порт может быть портом провайдера или LAN, модем, USB-Ethernet, Keenetic DSL plus в том числе настраиваются как WAN) - балансировки нет, но можно настроить, чтобы провайдеры переключались при недоступности, плюс раскидывать устройства сети по разным провайдерам
С keenetic dect plus можно настроить IP-телефонию, сейчас мало востребовано, но все же есть
Гибкие настройки Wi-Fi, возможность построения Mesh-сети с несколькими keenetic, поддержка стандартов бесшовного роуминга 802.11k/v/r
Регулярные обновления с добавлениями функционала и хорошая техподдержка, в том числе возможность общаться с разработчиками.
Это все возможно на любом кинетик устройстве (роутере)?
Разумеется, нет. Самые дешевые идут без USB-портов, либо он там заточен только под USB-модемы, значит там автоматически отрубается всё, что касается USB-накопителей, а значит и открытых пакетов (entware, они ставятся на USB-диск), IP-телефонии. Но построение Mesh-сетей возможно даже для самых дешёвых моделей, а multi-WAN - для устройств с более чем двумя проводными интерфейсами (либо двумя проводными интерфейсами плюс модемом). Кстати, беспроводной интерфейс можно тоже сконфигурировать как WAN (WISP). Туннели IPsec будут слишком тяжелы для роутеров не на процессоре MT7621A (то есть тех, что ниже по цене, чем Keenetic Speedster - минимальная модель на этом процессоре). Некоторое ускорение IPsec возможно и на MT7628 (только AES).
Такие вот оговорки...
Если же вас все же интересуют функции именно файрвола, а всё перечисленное вторично, тогда лучше всё же взять mikrotik. Нет, keenetic не взломают, за счет деления сетей на зоны (public, private), но именно файрвол из коробки у него никудышный, хотя, его можно нарастить пакетами entware. То есть, если вы какой-либо домашний сервис объявили как public, пробросили к нему порт, закрыть его от китайцев будет проблематично, там до сих пор нет аналога ipset, как в mikrotik (address list), да и параметров в файрволе меньше. Для обхода этого придется ставить iptables+ipset из пакетов entware. Система постоянно обновляется, обрастает новыми функциями, но на файрвол разработчики откровенно забили. Возможно, в будущем ситуация изменится, но пока вот так...
Но и надо помнить, что в любом mikrotik не аппаратный, а программный firewall, каждое дополнительное правило съедает процессорное время на анализ соответствия ему пакета.
Средний
