【問題】請幫我推薦一台防火牆

請問：
我公司有一部防火牆，HGiga 的 PS3040
現在它突然壞了，我想要找一部可以使用的防火牆，預算當然是不要太貴，能用就好，希望在兩萬以內，還請有經驗的人推薦一下

我目前的環境如下：
1.同時上網人數大約20-30人
2.對外頻寬只有一條線路，中華電信的 VDSL 雙向 1M
3.伺服器有 DNS、Web、FTP、Exchange Mail、Exchange 的WebMail、MS SQL

是否考慮Hinet 資安艦隊10M/2M 固三所送的Fortigate 60B (如果沒記錯的話)? 每月月租費將近三千

[QUOTE=FYI;1039682]是否考慮Hinet 資安艦隊10M/2M 固三所送的Fortigate 60B (如果沒記錯的話)? 每月月租費將近三千[/QUOTE]

謝謝回覆，我會去找一下這款機器的相關資料，來列為參考對象。

其實已樓主的需求應該用居易的2910就可以了,花不到5000,同時可以解決頻寬管理,公司內上網頻寬,sessions管哩,還有im和P2P管理的功能,而且將來如果要擴充到2條線路的話2910也支援.

如果以"防火牆"來說
Hinet 10M/2M 固三就有附那個有點難用的[HiNet入侵防護服務]
如果只是單純要弄個IP分享器充當簡易防火牆
單WAN的隨便一台都可勝任
2WAN的IP分享器需不需要
就看貴公司狀況及未來需求了

我有試過之前搭中華電信送的3com的無線ip分享器3CRWE554G72
但是它無法讓對外多個的實體IP轉到對內的多部伺服器
現在是朋友有借一部Netscreen 5gt 借我擋一下，我還是得買一部

小弟上面推薦是用VIGOR2910並不是因為他2wan,而是就企業管理面,他有很多中小企業會用到的內部管理功能,價格功能比還不錯,會用1M對稱光纖給20-30人用需要一定層度的管理.

而防火牆部分,VIGOR的機器採用的作業系統dray os核心是有多款產品通過icsa實驗室防火牆認證的,一般的分享器採用的linux核心並不把安全性當重點,往往linux本身核心發佈更新,分享器也不會有相對應的韌體,一旦遇到有一點層度的駭客將很有可能對公司的資料安全造成危害.

ps:VIGOR2910可支援最大八個外部固定ip對應八個內部ip.如果有兩個不同網段的wan最大可支援到16個.

我會找找2910的相關資料來瞭解一下，謝謝 cheerx 的解說

再請問一下 cheerx
如果我的 VDSL 對外有16個IP
我有那一種型號可以選擇?
價格大約多少?

[QUOTE=ycyeagle;1039520]請問：
我公司有一部防火牆，HGiga 的 PS3040
[/QUOTE]

是HGiga的PS 3400嗎？如果是的話，那……我想以2910來說，你需要的可能要更高階一點！

推薦你 aboway BM550 吧... (逃)

ycyeagle兄,如果只是要１６個ＩＰ的ＭＵＬＴＩ　ＮＡＴ的話，ＱＮＯ的設定比較簡單，也有ＳＥＳＳＩＯＮＳ和頻寬管理，不過他是自己精簡的ＬＩＮＵＸ核心喔！

阿彬兄，小弟會建議他２９１０是因為他１Ｍ架設這麼多服務居然夠用的話，那公司的網路用量應該２９１０就可以負擔了。

喔?小峰大竟然會推薦QNO................................................

不好意思,QNO我反推薦...
與其用QNO,我寧願推薦用居易的...

[url]http://web2.hgiga.com/tw/product/?number=7&class=3&modules=product_view&det=specific[/url]
看起來也沒啥特別的
不然就是Y拍上買台一樣的 XD
[url]http://tw.search.bid.yahoo.com/search/ac?p=hgiga&cat=&ysm_pat=hgiga&s=curprice[/url]
最多18K而已....................................................................................

[QUOTE=tvirus;1039856]喔?小峰大竟然會推薦QNO................................................

不好意思,QNO我反推薦...
與其用QNO,我寧願推薦用居易的...

[url]http://web2.hgiga.com/tw/product/?number=7&class=3&modules=product_view&det=specific[/url]
看起來也沒啥特別的
不然就是Y拍上買台一樣的 XD
[url]http://tw.search.bid.yahoo.com/search/ac?p=hgiga&cat=&ysm_pat=hgiga&s=curprice[/url]
最多18K而已....................................................................................[/QUOTE]

真的沒啥特別的嗎？沒用過，我不知它的效能如何，就規格而言我倒是覺得功能超強的！以兩萬元的價位來說，我想不到有可以跟它比的？

至於QNO，我個人的使用經驗也是蠻不錯的，就功能和報表方面是比不上新軟系列，不過就效能、穩定性和客服回應方面，我想是還不錯的！

至於居易的，某些產品推薦，某些就不是很建議！另外，前幾年還不錯，最近除了小峰和門神很熱心和積極外，幾次跟原廠的溝通都不是很滿意。

以樓主提的需求來說,QNO的QVM-330應該就足以負擔,所以我才沒有推其他的產品,小弟好像很愛幫人家省錢:P

bm或是mh就比較兩極化,有的人覺得很穩,有的人覺得品質實在有待加強,小弟倉庫好像還有一台放N年的MH-550,有考慮的話應該可以翻出來先給樓主測試看看.

QVM330.......................................
QNO便宜的系列不要用...
但是QNO貴的又不好用................................................................
穩定性?講實在話,我覺得Dlink都比它強...
不知道mis339用的是哪台?
改個軔體東拖拖西拖拖,QVM330的upnp竟然會給開到80port去,這個bug到現在都沒修
只想弄那個賺錢的"高階"系列
繁體中文介面也是眾使用者要求了很久才開始有,不然一開始還只有簡中跟英文
還號稱台灣廠商咧,整個包裝都是簡體中文字...
靜音?對啦,真的很安靜,靜到連個"散熱片"都沒有...

這個只是我的建議
看發問者吧

每個產品都有它的優缺點，就看你怎麼應用！

QNO在300以下的產品，我也不喜歡用。不過以小型的環境用300、330，個人覺得還算不錯！預算夠的話，用更高階的肯定更好。呵～

拉回主題好了，我是建議樓主先了解公司的需求，如果都只是基本要求，那也許2910或是330就很足夠了！但如果是需要某些特殊的需求，例如：HA、Inbound LB、VPN LB……之類的，就建議要嘛找符合需求的產品，要嘛就乾脆去買一台二手的同型產品。

[QUOTE=cheerx;1039783]而防火牆部分,VIGOR的機器採用的作業系統dray os核心是有多款產品通過icsa實驗室防火牆認證的,一般的分享器採用的linux核心並不把安全性當重點,往往linux本身核心發佈更新,分享器也不會有相對應的韌體,一旦遇到有一點層度的駭客將很有可能對公司的資料安全造成危害.[/QUOTE]
Vigor2900 系列並未出現於ICSA 4.1 版防火牆認證名單之中, 此外小弟認為一般分享器也許易於遭受攻擊而癱瘓, 但還不至於被入侵, 遑論入侵到公司內部, 會出問題多半是由內而外, 而這點恐怕Vigor2900 系列也好不了多少, 反而D-Link 和ZyXEL 還比較積極和用心, 名單中雖然未出現FortiGate-60B (先前誤植為60A), 但50A 和60 都有上榜, 相信60B 應該也不差, 此外50A 和60 都被歸類於Corporate, 而ZyWALL 卻只能算SMB, 顯然等級有區分

但說真的, 小弟公司也有一台FortiGate-60B UTM, 裝了兩三個月, 沒看任何人去動它, 不知道病毒碼有無更新, 也不知道擋掉多少入侵, 反正是射後不理, 看起來好像只是裝心安的, 小弟沒機會玩, 所以一無所知

FYI 大,沒出現在名單上不代表沒辦法通過阿!只是重點在於$,居易目前的目標市場不需要的話,就不會去花那錢申請那個認證.FG的頻寬管理是by group而非IP,把一群人共用一個頻寬的結果往往是整個部門一起塞車,大家都還以為是正常.

tvirus兄,您說的沒有錯,不過他們大老闆就是一心想要搞大大陸市場,然後作高階的SSL VPN等等功能,而且把所有的人力都花在上面了.

不過小弟以實用面來說330的韌體已經發展的很成熟,而且便宜,可以滿足樓主需要.雖然小弟自己沒什麼在賣QNO很久了,不過他們客服的專業跟態度都還漫不錯的.小弟認為以這個CASE還是可以用阿!

^^

各派高手都出現了 !!

[QUOTE=cheerx;1039900]FYI 大,沒出現在名單上不代表沒辦法通過阿!只是重點在於$,居易目前的目標市場不需要的話,就不會去花那錢申請那個認證.FG的頻寬管理是by group而非IP,把一群人共用一個頻寬的結果往往是整個部門一起塞車,大家都還以為是正常.

tvirus兄,您說的沒有錯,不過他們大老闆就是一心想要搞大大陸市場,然後作高階的SSL VPN等等功能,而且把所有的人力都花在上面了.

不過小弟以實用面來說330的韌體已經發展的很成熟,而且便宜,可以滿足樓主需要.雖然小弟自己沒什麼在賣QNO很久了,不過他們客服的專業跟態度都還漫不錯的.小弟認為以這個CASE還是可以用阿![/QUOTE]
真的
您賣這東西的看法
跟使用者用這東西的看法
不一定會有交集
專業?根本就不足.
有專業的話,修Bug修了半年
號稱寂莫會死掉的兔子
沒啥流量,就在半夜莫明噴掉...MIB又不交出來,每次只會要求開個遠端連線讓它進去看,看?看鵰啊.
每次看了都看不出所以然,甚至送回公司,還是搞不出個所以然
FVR300,QVM330,QVM660都有過
再加上upnp超級不穩定
要求個Packets Byte Count能超過4G,到現在一點影都沒有.
這叫專業?

您推薦用QNO,我寧願推薦用您賣的居易
就算在某些問題上還是有Bug...不過至少有看到在處理啦 :eye:

小弟推薦Vigor 3300B+
會想推薦的原因是東部的員工宿舍就是使用這一台接三條8m/640k的網路
到目前為止還迷有聽說過有不穩的情況，宿舍約有100~150人住，
但不是每個人都有用網路就是了~
很可惜小弟都在台北，迷有下去出差所以一直沒有玩到這一台的功能
裡面其中有一個功能，小弟覺得還蠻不錯的就是
內建靜態路由指向功能
這個對一般公司同時有16個IP來說可能會抓其中的一二個IP來當MAIL SERVER
這時就派的上用埸了~
Mail 1號機 走 某個IP的25PORT出去(設定反解析就可以走到對的路出去了)
Mail 2號機 走 某個IP的25PORT出去(設定反解析就可以走到對的路出去了)
可以自由調整~
再來就是未來若是有再新增頻寬可以有多的2個WAN可以備源使用
但小弟想請教 門神學長或小峰學長 這一台單WAN最多支援幾個IP呢
申請企業用頻寬大都有16或32ip可以用
如果他可以設定16或更高的話我想會更適合樓主使用
若是真的要省錢，把二萬都給省下來，可以參考一下小弟下面所說的建議~
小弟猜測樓主的 FTTB 1M/1M 應該會有16個IP
若是小弟所說的這種頻寬沒有錯的話
應該可以免費拿到(但要簽約二年，這個應該沒有差吧本來就一直在用也沒要打算要退租的話)
[SIZE="4"]Fortinet FG60B UTM[/SIZE]
機型介紹如下
[url]http://www.hib2b.com.tw/product/utm.php[/url]
下午看到這一篇就有點雞婆打電話去0800080128去詢問這方面的問題
他傳了申請書給我如附件，UTM資安設備小弟剛說的那一台
申請書如下
[IMG]http://www.pczone.com.tw/attachment.php?attachmentid=16683&stc=1&d=1229425297[/IMG]
以上二個建議部份，給樓主參考~

tvirus兄,其實他們客服人員真的很不錯,專業度比起台灣幾間更大的網通廠也都算好的多,不過改bug的是rd不是客服,而QNO的RD是在另一間公司由老闆直接掌控的,對於您的某些要求如果老闆不認為是BUG的話,客服恐怕也是愛莫能助.

不過您會覺得他的機器不好用,其實是有內幕的,現在小弟沒代理它們的東西,不方便放炮,只能說那也是為了省錢造成的韌體問題.

因為QNO的機器小弟有的客戶還是喜歡找我買,偶爾我還是會請朋友跟它們目前的代理商出一些小機器給客人,我用的330沒碰過您那樣的問題,一般還應下客戶反應都還挺不錯的.

mis_waiszli您好,3300B+最大可以三個WAN,一個WAN可以設定32組IP做DMZ,不過除了SESSIONS和頻寬管理之外,2910的一些適合中小企業的的管理功能他並沒有,小弟個人士認為他比較適合當作社區寬頻使用啦!

1Wan Mapping 32個

已向廠商借到一部2910，在測試中....

穩定性來說找Vigor 29xx 絕對沒錯、我用Vigor防火牆已經好幾年、我自己那2部2900幾年來從不關機、其他在外的2900也一樣、這樣的穩定性已經值回票價、最近還喜歡上2930..

VIGOR 2900 和3300V都是非常非常穩定的機器
我們公司很多台都可以跑到超過3000小時
2910我就不敢恭維
是多了很多的功能沒錯
但是voip音質不佳，還有很多其他怪怪的bug（例如設定畫面偶爾會出現不該出現的畫面）一直都沒有修正，2910設定時也會卡卡的，不像2900那樣順暢
總之，2900要不是軔體塞滿了，我相信他稱得上經典機。

防火牆的選購的重點
首先一定要選擇穩定的機種
再來一定要有優秀的客服
因為防火牆能不能發揮作用
90％以上是取決於使用者的『功力』
撇開穩定性，各家防火牆的差別就是在控制設定部分，能設定的越細的，一般價格越高。
如果設定的邏輯和功力不夠，很貴的防火牆反而會很難用，設定很複雜又綁手綁腳。
所以先看看自己要控制的是什麼，p2p、skype......
再來選擇合適的機器

MasterHu兄,VOIP您是在怎樣的環境運作,小弟對這一塊的處理還算蠻有經驗的,應該可以幫您解決.

說到設定很複雜的防火牆，手那台netscreen 25 我還真不知道該怎麼去搞定他:jump2:

[QUOTE=cheerx;1040237]MasterHu兄,VOIP您是在怎樣的環境運作,小弟對這一塊的處理還算蠻有經驗的,應該可以幫您解決.[/QUOTE]

小峰哥：
哈哈～我們很熟啦！！我們已經認識超過10年了！
猜猜看我是誰～之前拿Seed-Net 3300v去你那邊研究破解的......:p

居易voip音質不夠好，應該是我耳朵很挑剔。
同樣是G.711 DrayTek的音質就是比較差:king:
我在猜可能是VOIP晶片不夠好
Linksys、福億的音質就不錯!!

我覺得東西好就好～
不好就不好～
誠心推薦好貨也是小峰在網路界10幾年還屹立不搖的原因
小峰哥的服務一定是沒話說的

draytek比較新的機器，我用過PR0 100 PRO 5500 2910
還是老的2900 3300v穩
draytek的機器越來越貴
也打退了我嘗試新機的動力
好懷念有2014 2300 便宜又穩定的機器的年代

QNO 9208我有兩台
也是跟小峰哥買的
機器也是穩的沒話說
功能是比較陽春點
只能說設計和定位不同

[QUOTE=supermaxfight;1040269]說到設定很複雜的防火牆，手那台netscreen 25 我還真不知道該怎麼去搞定他:jump2:[/QUOTE]

哈哈～拿來送我！我幫你搞定

開玩笑的～IT的東西本來就是這樣，有需要的再去學一下，沒需要的就擺著吧，不然永遠也學不玩。
我的經驗是根本沒有全方位的高手，聞道有先後 術業有專攻 如此而已。

不信你去問那些CISCO高手，沒用到的功能還是要查手冊，誰記得住那麼多！

MasterHu兄,我知道您是誰啦!您這是挖洞給我跳阿,您這樣全世界都知道我這邊有破3300V鎖碼機的服務了.G711因為非壓縮協定,小弟個人猜測音質應該跟電容比較有關係啦!不過如果是耳朵挑這個小弟就真的治不好了,因為這樣的音質認定就很主觀了,小弟是沒碰過甚麼客戶用711在通話,因為考慮台灣網路問題,大概G.723還是最順,G.729次之.

福億的音質是真的很棒,不過實在是太貴了,推廣到一般用戶真的比較不容易.LINKSYS是比較小氣啦,以NA版的PAP2來說,G729的CODEC就只給一路,第二路就會自己跳711,以台灣的網路頻寬狀況來說,幾乎一定被客人打槍,而且PAP2沒有PPPOE,推廣上真的也有些困難.

[QUOTE=MasterHu;1040343]不信你去問那些CISCO高手，沒用到的功能還是要查手冊，誰記得住那麼多！[/QUOTE]

我不能同意你更多. :fd: