Díváme se na PFSense jako na řešení
Momentálně máme Sophos
Když si koupím hardware, podporu, třetí stranu pro webové filtrování atd., náklady nejsou o tolik vyšší než u Watchguardu
Chybí mi něco? Proč bych používal PFSense pro byznys?
Můžete si stáhnout PFSense a spustit ho, bez omezení (nebo nákladů), a sami si prozkoumat jeho funkční sadu, a tak získat informovaný názor na jeho schopnosti a hodnotu.
Určitě můžete dělat webové filtrování bez zapojení třetí strany, ale to je jiná věc.
Nejzřetelnější je, že to vše můžete udělat bez skutečného nákupu produktu, na rozdíl od ostatních kandidátů na firewally.
PFSense není vždy správné řešení z důvodů, na které jste ani nenarazili, takže ano, něco vám chybí.
Nasazuji Watchguard pro klienty a doma používám PFsense. Jsem s PFSense komfortní, ale budu nechávat zodpovědnost za právní záležitosti na Watchguardu. Nechci stát tváří v tvář žalobě od pojišťovny, až klient podá cyber pojištění, nechám to na WatchGuard.
Nesouhlasím s názorem kphillips-netgate. Většinou nepotřebujete M590. Ano, na papíře má NetGate 8200 více funkcí než t45, ale v praxi Watchguard splní, co potřebujete. Srovnávat NetGate 8200 s M590 je nepraktické. Udržování supportu u Watchguardu umožňuje služby, aktualizace a výměnu hardware při selhání.
Nepoužívám gateway antivirus nebo DPI. Myslím, že DPI je příliš pracné a málo výhodné. Používám Weblocker, a určitě používám WatchGuard Cloud nebo Dimensions pro logování, a na místě nenechávám bez povolení DNSWatch. Měl jsem jediný problém s falešným pozitivem DNSWatch, což zabránilo nespočet problémů. Myslím, že DNSWatch je jedna z nejdůležitějších funkcí. Identita/MFA je nutná, pokud máte VPN/Přístup na dálku, což je v dnešních WFH podmínkách nezbytné. Existuje integrace DUO a dokumentace z obou stran. Jednoduchá integrace DUO s PFSense je téměř nemožná.
Co hledáte od firewallu? Pokud hledáte URL filtraci přes forward proxy, pak PFSense není pro vás. Pokud hledáte firewall s reverse proxy, VPN, URL filtrací přes DNS a další, můžete se podívat na PFSense.
Proč bych měl používat PFSense pro byznys?
Záleží na firmě. Velikost, počet lokalit, závažnost možných ztrát, pojištění atd.
Tento příspěvek je celkem málo srozumitelný, ale reakce zde jsou dobré. Zdá se to být troll, ale odpovědi jsou rozumné a upřímné.
Přidám další bod o PFSense. Není to produkt na klíč. Tyto srovnávací příspěvky se věnují řešení na klíč vs. manuální konfiguraci PFSense. S Palo Alto mám vestavěné reporty, netflow, prevence hrozeb, řízení pravidel od SOC. PFSense vyžaduje třetí strany pro reporting, netflow, Suricata je nutná hodně ruční práce (sám sobě jste SOC). To nejsou přímo negativa, ale pokud hledáte plnou funkcionalitu, musíte na PFSense více pracovat, což zvýší celkové náklady na nasazení.
To je překvapivé. Můžete ukázat nějaké výpočty?
Kromě ceny si cením vědět něco o tom, co běží na mém systému. Zastaralý kód není dobrý, Fortinet.
Proč kupujete ty věci? Zdá se, že ideální pro vás jsou hotové podnikové směrovací platformy. To není cílový trh PFSense, ani nikdy nebude.
Můžete zveřejnit rozpis zařízení / nákladů, které srovnáváte od každého výrobce? Pomohlo by nám to lépe pochopit, co přesně porovnáváme.
Není to přesné. Můžete to udělat stejně s Sophos XG.
Primárně komentoval funkční srovnání a cenu Watchguard versus Sophos. Souhlasím, že M590 nebo 8200 mohou být zbytečné pro jejich konfiguraci. Nevím, jak velká je jejich síť, protože neposkytli detaily.
Pro 2FA, pokud používáte RADIUS nebo LDAP (například Windows AD), můžete spustit Duo 2FA na pozadí, je to snadné. Použití freeRADIUS jako backend v pfSense vám umožní nastavit 2FA TOTP bez externí služby, ale není to vhodné pro všechny případy.
Souhlasím s vámi, zodpovědnost, riziko, shoda, podpora jsou často důvody, proč firmy volí komerční řešení (chtějí něco, na co mohou ukázat prstem, když selže). A ano, dostanete spoustu funkcí od komerčních výrobců v balíku (a závisí na výrobci, možná budete muset platit za každou). Proto jsou dražší, platíte za veškeré funkce (ačkoliv je nevyužíváte všechny), za podporu, hardware záruku atd.
Ne každý to ale potřebuje / chce. Záleží na případu / scénáři, PFSense nebo jiné open source řešení může být lepší. Potřebujete podporu? Kupujete hardware od PFSense (já například ne, často používám rackové servery s jejich zárukou). Potřebujete všechny tyto funkce, které vám nabízejí komerční firewally? Existují open source řešení? Pravděpodobně ano, ale je to složitější na nastavení.
Každá instalace je jiná a každý přistupuje s otevřenou myslí. I já jsem nasadil Ubiquiti (proti svému lepšímu uvážení), protože to dávalo smysl pro jejich prostředí / rozpočet.
Při srovnání se snažím porovnávat jablko s jablkem a nemyslím si, že OP to udělal. Neřekl nám ani, co přesně srovnává (modely, náklady atd.) Nedávno řekl, co je mu důležité (z čehož usuzovat, že to je spíš výřez z brožury než realita). Myslím, že by měl zůstat u komerčního řešení, protože mu to splní všechny kritické body (buzzwords).
VPN je téma, které stojí za diskusi. V mnoha případech je potřeba nejen uživatelská autentizace (jméno/heslo/MFA), ale i ověření zařízení (nepřipojujete se VPN ze svého domácího zařízení, pouze z firemně spravovaných / schválených zařízení). Nečekám, že to open source VPN klienti budou podporovat (ale můžeme snít), ale komerční řešení ano. Nepouštím WireGuard nebo OpenVPN v těchto případech.
Toto je poněkud složitá diskuze. Záleží na požadavcích a rozpočtu. Mluvme o bezpečnostním zařízení Palo Alto. Vím, kolik stojí. Realita je taková, že pro jedno datové centrum s vysokou dostupností musím koupit 2 firewall, například série 3200. To mě stojí přes 35 tisíc. Musíme přidat subskripce – prevence hrozeb, filtrování URL, A/V, a už jsem přes 70 tisíc. Násobte to třemi další lokalitami.
Ve srovnání můžu nasadit Netgate 8200 s TAC předplatným, stále pod 8 tisíc. Přidejte ET Pro pravidla pro Suricatu, to je asi 1 tisíc. To znamená, že je potřeba spousta práce s tréningem SOC na Suricata. Potřebuji server na zpracování dat toku, dva od Della za 5 tisíc každý. Protože pfSense neumí filtrovat URL a potřebuji endpoint security, mohu použít Zorus nebo Cisco Umbrella nebo zScaler. Množství licencí záleží na počtu uživatelů.
Stále jsem pod 70 tisíc, což je cena za Palo Alto pro jednu lokalitu. To neznamená, že jdu do pfSense. V prostředí, ve kterém jsem, musí řešit Vertr a jejich balíčky jsou skvělé. AIOps je super. To vše je však drahé.
pfSense je řešení, ne úplně ideální. Existuje scénář, kde je ideální – SMB, středovelikostní hranice, segment s jednoduchou NAT, VPN koncentrátor.
Porovnávání pfSense s velkými komerčními výrobc no není úplně fér. PAs, Fortigate, Cisco jsou komplet řešení na klíč, ale drahá. Total náklady na pfSense jsou pracovní hodiny na nastavení a doplňky. Není to negativum, ale je potřeba to zohlednit. Má technická omezení – podpora SAML/SSO, MFA na lokální účty atd. Není to vždy překážka, ale někdy ano. Musíte posoudit celý obraz. Cena je jen jeden aspekt.
UTM je marketingové buzzword. Většina UTM se snaží dělat „všechno“, ale nedělají nic excelentně. Některé zařízení označená jako „router“ mají stateful paketové filtry a bezpečnostní funkce okrajových zařízení. Správně by router měl být jen tím: směrovačem paketů, ale marketingové oddělení rádo hraje rychle a volně.
Pracoval jsem s téměř všemi firewally/UTM/router/Next-Gen výrobci za posledních 15 let. Nejvíc mám zkušeností s Cisco Meraki, Watchguard, Sonicwall, TNSR a pfSense Plus.
Většina značení zařízení je jako IT titulky: zbytečný balast. Důležité jsou:
- Je to stateful nebo stateless?
- Jaké funkce tvrdí, že umí?
- Snaží se dělat jednu nebo několik věcí dobře, nebo hodně věcí trochu špatně?
- Jakou propustnost zvládne?
pfSense Plus je stavový firewall, založený na open source technologiích FreeBSD s pf (packet filter). Podporuje IDS/IPS přes suricata/snort, geoIP přes pfBlockerNG, DNS filtry, HAProxy pro reverse proxy, VPN přes Wireguard, Tailscale, OpenVPN nebo IPSec atd. Tyto funkce nejsou příliš drahé, pokud vůbec.
Nemohu říct, že cena pfSense je „nebo o tolik vyšší“ než u Watchguard nebo Sophos, protože chybí data o požadavcích na šířku pásma, VPN, „UTM“ funkce apod. Například Netgate 8200 s tříletou zárukou stojí asi 1700 USD. Pokud máte hardware nebo virtualizaci, lze pfSense spustit na vlastním hardware za malý roční poplatek – to je unikátní vlastnost pfSense.
Cena srovnatelná s Watchguardem, například T45, která je velmi slabá v porovnání s 8200. Srovnání s M590 je rozdíl desetkrát nebo víc. Můžete koupit více 8200 za tu cenu.
Největší slabiny pfSense jsou možná webové filtrování a Gateway Antivirus. pfBlockerNG je dobrý základní DNS filtr, Gateway Antivirus je marnost. Všechno je šifrované, správa certifikátů je složitá.
Naopak, pfSense exceluje ve vše ostatním (IDS, IPS, VPN, filtrování, atd.)
Nechci tvrdit, že jsme nejlepší nebo nejhorší. Jsem zkušený technik, který nasazuje různé produkty. Watchguard, Cisco i ostatní jsou dobré, ale některé věci umíme lepší nebo levněji.
Pokud mi popíšete, co chcete dělat, rád poradím s pfSense Plus.