ファイヤウォール箱はなにがいい？

青箱、赤箱、ＰＩＸにＮＯＫＩＡも入れておすすめはなに？
おれは青箱が好きだがどうも最近サポートが悪い。

【不幸のレス】

　　 このレスを見た人間は七日以内に死にます。


　　　　　　　※あなたに訪れる死を回避する方法が一つだけあります。
　　　　　それはこのコピペを一時間以内に７つ、別のスレに貼り付ける事です。
　　

【不幸な２】

　　 >>２のレスを見た人間は１００歳までに死にます。


　　　　　　　※あなたに訪れる死を回避する方法が一つだけあります。
　　　　　それは>>2に無空波をぶちかます事です。

>>2
何信じてるの？（ﾜﾗ

で、本題はどうなったんだゴぉら。
ウォッチガードと、ソニックの特徴をおしえて下さい。

納豆 BOXってどうだろう？

>>6
いや、X−BOXだろ。

青箱ってユニセフ募金でしょ。
赤箱は、、何？
赤い羽根共同募金？
・・・不景気で世知辛いから、今年の暮れは大変だね。

蒼い巨星と赤い彗星

>>ウォッチガードと、ソニックの特徴をおしえて下さい。
価格はソニックが少し安い。
機能では断然ウォッチガード

ウォッチガードと、ソニックは
管理者のレベルによるよ
>価格はソニックが少し安い
管理者のスキルが高ければ　○
管理者のスキルが低ければ　△
>機能では断然ウォッチガード
管理者のスキルが高ければ　◎
管理者のスキルが低ければ　×

KnightStarﾏﾝｾｰ

PDSマンセイ

solitonのGB-1000 マンセー。
使ったこと無いけど。

http://www.soliton.co.jp/product/etc/gnatbox/gb1000.html

ip

↑うざ

あぐねすでじたる。

RapidStreamはどうなんよ？

>>18

結構熱持つらしいよ。

>> 19

ほう〜。そうなんだ。
んぢゃ、使い心地なんかはどう？
NetScreen なんかと大してかわんない？

SONICは、ホームユース向きだね。安いし。企業で使っていると後々後悔するよ。
最近あまり大手SIベンダーでは、使わないようにしているよね。

ソニックは、ぜんぜん駄目だね！使えない。
細かいポリシーの設定が出来ない！

>>20

忙しくてまだ触ったこと無いのでインプレできん。
スマン！
熱は実際に置いてあるヤツ触ってみたらアチチだったし、
設定してた人に聞いても同じこといってたんで熱に関しては間違いないだろうと。

ところでnetscreenのTrust側がクロスになっている理由誰か知らない？

>>23

誰でも、持っているストレート・ケーブルで初期設定が出来るからじゃない
ですか？

先日NokiaIPを納品したのだが、Router感覚で使えないのがイタい。
shutdownしないで電源断するとfsck走るし…LANポートはオートネゴ非対応だし…
この2点以外はそれなりに気に入ってるんだが。FireWall-1内蔵なので、商売しやすいし（笑）

NokiaのIPシリーズは、内容を考えると値段が高すぎ。単なるAT互換機でしょ。
よく障害があるし。それにCPUのスペックが悪すぎる。似たような製品で、もっと
安価なものがあるよ。

すんません、来月ルーターとハブ等を買い換えて組替える上申書出すんですけど。
ルーターで、IDSみたいに「あるIPアドレスからやたらとアクセスがあるとブロックする（DOS攻撃をブロック）」するような機能付きのって、あるんでしょうか。またお値段はどんくらいなんでしょうか。

下級管理者なんで、ハードウェアの相場、さっぱりわかりません。
下らない質問ですんません。

専用線は何をお使いかな？あと端末数は?

>>28
レスどうも。
ISDN引いてます。ノードは百台ちょっとです。

>>26
自分がユーザの時は激しく同意。
ただ、ブランドイメージつうものがあって、自分が売り手になるときはコレが結構効くんだわさ。

よく考えたら、FireWallのスレにルーターの質問を書くのは著しくスレ違いだと、今更気付きました。
すまんっす。

上申書には、「セッティング料金含めて50万」と吹っかけて書いておきます（どうせ漏れの一つ上の管理者も、ハードウェアの価格相場はわからんし）。

>>24

それだと反転スイッチつけりゃ済むような気がする・・・
実際組み込むときうっとおしい。

けどあの値段でワイヤースピード出るFWってあんまりないよね。

>>26

IP440とかボッタクリ。

>31
isdnゆうても1.5MやDA128Kもありますしフレッツ64Kもあります。
BフレッツなどPPPoEだとファイヤウォール箱に直結です。
ルーター使いません。
FireBOXだと定価45万円くらいかな。でもイーサ口だよ。
ファイアウォール機能つきルーターはAR720　￥128000+isdnのボード代。

設定料高いよ。設計料+設定料で30万以上取るね。
100万にしとけば？センドバック保守だと目も当てれんぞ。保守料+15万円
自分でやって50万かな。

>>33
おお、どうもです。
WatchGuard Firebox III 、今googleで調べたら素敵ですね。漏れ的には惚れました。

とりあえず100万と書いときます（笑

いやそれは古い。いまはラインナップが変わっている。
俺の言ったのはこれ　WatchGuard Firebox 700
http://www.watchguard.com/products/firebox700.asp
値段は2490ドル
ttp://www.watchguard.com/sales/pricelist.asp
日本だと35万円から45万円
これより上だとNetscreen25のほうがいいかもね。698000円だけどね。
http://www.nsh.co.jp/security/ns/index.html

今、IP330 弄ってます。

FireWall-1 をいじる機会が多かったので、
特に問題ありませんが導入に対する説明に
不備がある様な気が・・・。

Network Voyager 動かしてから、FireWall-1 の
設定に入るまでに時間が少しかかった。1H 位。

他のプラットフォームで、OS インストールして
パッチ当てて、要塞化して・・・。

という手間に比べればはるかに短時間なんだろうし
次からはハマらないけど、マニュアル見落としたかな。
英語だったし。^^;

>>23
たしか25は全ポートいっしょだよ

>>26
ポリシーがめちゃめちゃ多い場合や、多機能を求めるのなら、
IPシリーズがいいんじゃない？

ま、ネットワーク機器じゃなくてサーバとして管理したほうがいい機器だね

ブリッジモードで使えるいいFWないかな？
いつもFW仕事で使ってるけど、個人向け安い製品はわからん
個人でも買える数万のやつで

>>37
IPシリーズ以外の箱物って、ポリシーが多いと問題
あったりするんでしょうか？

そういえばCheckPoint社のSOHO向けFireWall-1SmallOffice搭載した
Intrusion社のPDSシリーズって使い勝手どうなんでしょうか？
使った人いますか？

最近触ることがありましたがなんか余り良くないと思いますよ
ちょっと特殊らしくて・・・OSのバージョンをあげておいて
アナウンスが無かったり設定の互換性がなかったり・・・

>>41　
ご意見ありがとうございます。
以前にフォーバルクリエイティブの無料講習で見たことがあったもので
気になっていました。なんでもRedHatLinuxベースのOSを使用しているとか？

とりあえず様子見ですね。

ソニックウォールだめかい？？？

なんか、つかってて、変な仕様というか癖があるんだ・・・・

あと、DMZ→LANの通信の許可ってできないのか？？

やっぱ、LAN側のIPとグローバルのNATかまさないとだめ？？

>>41,42

Filewall-1は色々なOS向けがあるけど、実はLinux版が
一番スループットが良い。

しかし自分でソフトだけ買って来ていれると、OSの
パッチをあてたり、セキュリティを高めるための設定
(Firewallが止まっている時にポート空きまくりじゃ
ヤバイ)をしたりするのは素人にはお勧めできない。

プロに頼めない場合は、アプライアンスサーバが吉。

>>43
NATモードでの話だとおもうけど、「許可ができない」というより
「ルーティングができない」だね。
DMZ（とWAN）から見てSONICにゲートウエイがないから
やりようがない。あれはたしかに変わってるけどだめという
わけでは無いとおもうよ。
今のバージョンなら中小規模で一般的な使い方をする分には悪くない
とおもう。
PPPoEのMTU問題で対応が遅れたのはイタイけどね。
最近気になるのはシマンテックのやつなんだけどだれかレポート
してほしい。

Netscreen5XT売れそうな気配・・・

たばこの箱。
煙に巻く。

SONICって幾らぐらい？
トレンドマイクロのは２５０００円だけど

>>48
14万くらいしなかったっけ？

ソニックウォール、職場で導入したけどADSLには対応していないから、
ルーター買ってMTU調整してくれって。説明会行って、PPPoEのMTU問題
つっこんだら、NTT側の問題ですって。他社のADSLでは問題有りません
でしたとのこと

PPPoEのフレームサイズの問題だろ？？？？？ソニックウォールって
ネットワークのこと分かっているのか　おい！

マジ切れしそうになった

>>46
ベンダーから、NetScreen提案されているんだけど。どうなの？
情報持っている人いる？

＞＞４９　違うよ。家庭用の奴だからね。
でも結構良いよ。ファイアウォールとIDS機能に
よって多分合うとバウンド、とインバウンド両方
監視してるみたいだし、ダウンロードするファイル意外は
全てウイルススキャンかけてるみたいだし。
だけどアンチウイルス機能に関してはいまいちなところが
あるからノートンとかういるすばすたー等を入れた方が
良いって。検出出来るウイルスに制限があるみたい
メールだと2M以下のようりょうとかさ。検出率は
ウイルスバスターと同じかと

>>50
日本の代理店じゃなんもいじれないからね
PPPoE 対応したっていったってunnumberedに対応してないから
へんな事しなくちゃいけなくなる（別途ルータいれることね)
専用線か、１IPでのPPPoEで使う限りは問題無い＜SonicWall
開発元の向いてる方向が専用線だけなんじゃないのかね
おまけのPPPoE って考えたほうが吉
参考 ttp://www.smisoft.com/supp/ss/wsst4031.html

>>45
SonicWallでDMZ<=>LANの通信できてますよ。
IP割り当て1個では苦しいかもしれないですけど、8個割り当てならLAN内の
通信したいマシンに対して1対1NATをかまして通信できてます。
で、DMZからそのマシンにだけ決められたPort番号だけ通信許可設定してます。
元々DMZからLAN内のマシン全部に容易に通信させるのってコワイですし。。。

>>45
やー、SONICWALLユーザ結構いるんですねー。
全然いないんじゃないかと心配してたんですが、
そういえばこの価格レンジってSONICWALLがリーディングですよね。

NetScreenのエントリーモデルは管理画面のWebが遅い。
CLIコンソールは使いにくいし。(あるだけマシだけど)
あとVPN設定はSONICWALLのが楽。
だけど、異機種間接続は逆に設定がわからなくなる罠。
しかも旧PROだから3DES使うと全然速度でない。

うちはPIX。ユーザ数、約1万。
ユーザ区のわがままに押され、ついにACLは2000行を越えた。
もう、誰も全体像を把握することができない。

>>52
家庭用って SonicWALL TELE3 TZ の事かな？
こいつまだ日本での発売時期不明のはずだよね。
US$545 ってことで微妙だな...

現在、日本で売ってる奴で一番安いのは 14万ちょいのTELE3。

やっぱり箱の方がソフトより性能が良いんだよね

>>51

価格と速度がウリです。
FW-1と比べるとログまわりが弱いけど、VPNのログは結構細かいところまで出力してくれるのでトラブルシューティングには役立つ。
コストパフォーマンスは高いと思うよ。
故障の話もほとんど聞かないし。

ノキアのIPシリーズは、同じマシンに「CheckPoint社 Firewall-1」と
「ISS社 RealSecure」って同居できるの？？
知っている方教えてください。

>>59
thanx そうですか、ソニックと合い見積もり取っているんだけど。
ログビューアーも合わせて買おうと思っているんだ、
LANの内部のユーザーがどんなところにアクセスしているか
監視もしたい物で・・

ログビューアーってしっかりしている？

再質問でスマン

>>59
NetScreenの速度はいいらしいですね。
3DESで6〜7割出るんでしたっけ。
VPNのログって普通のEventLogですか？今度見てみよう。
Debug出力はSonicWALLと大差無かった気がします。

>>61
SonicWALLはデフォルトだとサイトのランキングが出る。
「誰が」までいくと外でSyslog取らないと駄目。
ほぼ全コネクションのSyslog飛んでくる。
UNIXのsyslogdで取ってgrepかけたりすると興味深い。

>>62
tahnx　FreeBSDでProxyを立てたりしているんだけど、
まだまだかけだして、上手く管理できていない。
syslogサーバ立ち上げなければだめかな？

>>63
おまい、syslogってなんだか分かってます？

>>64
・・・・なに？

>>65
ネットワーク機器のログを、一つのパソで集中管理するたものものです。

>>65
人に聞く前にmanすれ

>>63-67
ほのぼのﾜﾛﾀ

>>66
つーより、文字通りシステムのログだな。
UNIX系OSの場合は、カーネルやデーモンの吐くログを記録するのもsyslog。
箱ものFirewallは記憶装置が貧弱（ない、と言っても過言ではない）ので、いきおい
syslog専用サーバを立ててネットワーク越しに投げることになる。

>>63
サーバのパフォーマンス次第だけど、数十人程度のネットワーク規模ならサーバ自体で
proxyのsyslog取ってもいいんじゃないかな、コンベンショナルなOSベースなんだし。

塚、侵入されてログ消されないよう。専用鯖立てる。

どもども、自分で書き込みながら、恥ずかしいのは分かっているんだけど（笑）
職場でどうしてもやらなくてはならなくてね・・・

>>69
親切に、助かります。それほどネットワークが必要な職種ではないのですが、
少しでも社員が便利になるようにと、ボランティア的にやっています。

>>56 それはご愁傷さまです。 ACLの把握が難しいファイアーウォールとしては逝って良しです

>>56
ＡＣＬ把握してないって、ファイアーウォールの意味ないやん。。。

>>63
69も言ってますが、WebだけでいいならProxyのログのほうが
いいかも。Webアクセスを強制的にProxyに振ったりもできるんで。

>>69
ぷち勉強になりました、多謝。

>>74
どもども、勉強になります。そうですか、FreeBSDだと、透過式ができ
ないような気がします。まあ、すべてのクライアントを私が管理して
いますので、設定すれば良いだけなんだけどね

LOGをCGI使って上手く表示できたりするんでしたっけ？

>>76
＞どもども、勉強になります。そうですか、FreeBSDだと、透過式ができ
＞ないような気がします。

ipnat のリダイレクトを使えば出来るような気がするんだがどうだろうか・・
自分ではまだ試したことないけど。

とぼけた質問で場を和ませた>>63が意外にスキル高いｶﾓという罠（ｗ

■箱モノふうFirewallの作り方
１．インターフェイスは4つ持たせる
２．一つは外、一つはDMZ、一つは内、一つはsyslog
３．外→内の直接通信はすべて却下、必ずDMZを中継させる
４．内→外の直接通信は原則却下、基本的に内（またはDMZ）のproxy／socks経由
５．データ量が多くなるsyslogには専用インターフェイスを割り当て

まーここは箱モノ語る場なので、ipchainやsquidネタの続きはUNIX板でね。

アプリケーションだといろいろおもしろそうなのがあるね。
まあ、企業で買って使うとなるとあまり選択肢はないんだが。

http://garuda.medinfo.m.ehime-u.ac.jp/2001/firewall/
http://www.tldp.org/HOWTO/mini/TransparentProxy-2.html

ｽﾚ違いなのでsage

>>72-73
俺だけは把握している。


























…つもり（ｗ
GUIのないFirewallをまともに動かすには、文字列から通信の流れをイメージする想像力が大事。

>>78
スキルはまったく高くありません。全くの素人なので、
闇雲にやっているだけです。（笑）

>まーここは箱モノ語る場なので、ipchainやsquidネタの続きはUNIX板でね。
おっと、詳しい方がたくさんいらっしゃるので、範囲を越してしまいました。
失礼。

でも、そろそろ業者を呼んで、NetScreenにするか、SonicWALLにするか、
決めなくては。ログビューアーも合わせて購入するつもりなので、使いや
すい方を決めるつもりです。現在すでにSonicWALLは使っているんだけど
値段が高くて。

購入したら報告に来ますね。

>>76
Proxyは透過である必要があるのでしょうか。
LAN内にsquidおいて、SONIC壁の設定でWebアクセスは
Proxy経由以外はProxyに振るように設定しておけば良いかと。
てなことができたような気がします。(その機能使ったことないんで)
squidのLOGビューアはいろいろCGIがあったような。

>>80
SONIC箱、保守契約高いよ...契約しないと
スポットも駄目だってんで契約してますけど。
SONIC壁のログビューアってWindows版だったような気が。
Windowsマシンを1台常時立ち上げてSyslogマシンにしないと
駄目なような気が。(使ったことないんで違ったらｺﾞﾒｿ)

>>81
丁寧にありがとうございます。非常に助かります。
Sonicのマニュアル（PDFファイル）をすべてプリントアウトしました。
ベンダー任せにしていましたので、よく読んでみます。

保守契約ですか・・・確か結んでいると思います。今度導入するときも
よく検討しなくてはなりませんね。ログビューアーもベンダーとよく相
談してみます。

２chは色々事例をもっている方がいらっしゃるんですね。
非常に参考になります。今後ともよろしくお願いいたします。

>>60

入れられない

って言うか入れたらRealSecureの意味がないだろ・・・

構成上は

外━┳━━IP330━┳━━中
　 　 ┻━━ RS　━┻

こんな感じにして外向きのRSのポートをステルスにする
こんな感じだろ
　 　

Netscreen使ってます。
3拠点との接続を専用線からVPNに変更したよ。速くなった！！とまずまずの評価。
今のところ順調かな？でも、PPPoEのunnumberedは悩まされた。。。
VPN装置としてはいいと思う。

SBOX使ったことある人いる？
安いのはいいけど、イマイチこれといったウリが見あたらない。
集中管理が楽らしいんだけど・・・

そろそろCheckPointも斜陽の時期に来たのか？

web-dbサーバーの上に置くFirewall箱探してるんだけど、
15万くらいまでのいわゆるfor SOHO と50万以上クラスって
基本的にどう違うの？

WEBサーバーをDMZ、DBサーバーをLAN側において、ポート絞って、sshなんかはIP指定して
通すくらいのことしかしない。URLフィルタリングなんかも必要ない。
回線自体がせいぜい１０Ｍ程度までだからスループットも贅沢言わない。

細かい設定ができないってのはあるかも知んないけど、最近のSOHO向け製品は
結構細かいことできるよね。DoSとかIPスプーフィング検出もできるし。

セキュリティは専門じゃないので、甘すぎるかな？

>>86
まずSOHO用買って試してみれ
と言ってみる（以下略

一応２０万ぐらいが限界なんだけど
そのくらいのファイアウォール箱で
シマンテックで見つけたんだがファイアウォール箱より
IDS箱の方が性能がいいって聞いたから悩んでるん
だけどそのくらいの値段でIDS箱ある？

>>88
20万以下だと、思い当たらない。
LinuxBox+snortにするべし。

>>88

Netscreenとかはどうよ。
１０万少々でかえるから２年目からの保守もらくらく入れる。

AlphaShieldでどう？

GB-1000って全く評判を聞かないんですが
どんなもんなんでしょう？
値段もスペックもそこそこいいし、検討してるんですが。

>>2
みちまった　どうしよう

（＾＾）

（＾＾）

（＾＾）

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

fortigateどうよ。

>>91　検索してもほとんど出てきてないんだけど。なんで？
ハッキングコンテストを開いたらしいけれど

>>98
漏れも気になってる。
でも別ｽﾚで"LZHで圧縮されたファイルを検査しない"とか
"HDD非搭載モデルだとスルーしまくそ"とか言われてるYO

あと、やっぱり赤とか黄とかとちがって、パターンの更新が
ちょっと遅い（仕組み的に面倒）らしい。
カタログスペック通りなら、最終的にこれの一人勝ちになりそう
なんだが、F/W箱はベンダーのサポートとかも大事なポイント
だから、その辺りが今後のポイントですかね

>>100
別スレってどこですか？　ちと気になってるのでのぞいてみたい。
LZHは未対応らしいっすな。zipとかなら大丈夫らしい。
HDDってログ専用らしーから、ウィルスチェック関係ないと思われ・・・

パターン更新はどうだろ、そのへんはまだ未調査。
誰か使ってる人おらんかのぅ

>>101

Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

>>102

さんくす。いてみます

　　　 　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾ ） ＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉

ﾋﾟｭ.ｰ　(　　＾＾ ）
　　＝〔~∪￣￣〕
　　＝ ◎――◎

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

>>101
新しいファームでLZHに対応したみたいだね

ルーターでブロックしてりゃあ　それほど深刻な問題はないだろう

？

あぼーん

あぼーん

あぼーん