【硬體】請問IPS機器的選擇!!

[dxchen]

最近公司機房的Server一直被DDoS攻擊
原本的PIX也無法對此類攻擊作防護 只能作policy控管
維護的SI公司推薦使用 威播 Broadweb的IPS產品
請問這家產品評價如何?? 因之前都沒接觸過這類~~
thanks~~

[cheerx]

小弟會建議您既然有預算用pix的話,可以考慮一下Juniper的產品,如果規模不大的話SSG系列應該就可以滿足您的需求.她們跟CISCO的IOS一樣是自己的作業系統,一般國產的入侵偵測還是以LINUX和SNORT為基礎,有較多先天上的不足.

[dxchen]

引用:

作者: cheerx

小弟會建議您既然有預算用pix的話,可以考慮一下Juniper的產品,如果規模不大的話SSG系列應該就可以滿足您的需求.她們跟CISCO的IOS一樣是自己的作業系統,伊般國產的入侵偵測還是以LINUX和SNORT為基礎,有較多先天上的不足.

嗯... cheerx大的意思是這家產品 soso 嗎??
因跟廠商借測過安裝後 還是很多DDoS攻擊穿過IPS直接到PIX上.....

其實公司機房設備花的錢還不少,PIX-525,F5 3DNS,BIG-IP,Cisco&3com switch等都有..... 但了NetKeeper的IPS這一台也要五六十萬....所以若換Juniper來試話不知差價會差多少,跟SI公司有沒辦法提供測試了~~

3Q!!

[cheerx]

沒有啦!你這樣講可能會有人去跟那間公司的老大參我一本.我只是說,我建議您參考自有OS的設備,會有一些先天上的優勢.

CISCO也有入侵偵測的機種,不過在這個領域上CISCO不是這麼有名氣,而且IOS上其實陸續有被一些駭客發現可攻擊的漏洞.所以小弟才建議您考慮看看JUNIPER的產品,畢竟資安類的產品它也是大宗.要借側的話主要是看你們的SI,因為這類的東西通常每間SI公司會有她們主力銷售的對象,才會有比較好的毛利.

不過你們機房花的真是多阿,F5,BIG-IP...都不是一般公司用的起的.

[dxchen]

引用:

作者: cheerx

沒有啦!你這樣講可能會有人去跟那間公司的老大參我一本.我只是說,我建議您參考自有OS的設備,會有一些先天上的優勢.

CISCO也有入侵偵測的機種,不過在這個領域上CISCO不是這麼有名氣,而且IOS上其實陸續有被一些駭客發現可攻擊的漏洞.所以小弟才建議您考慮看看JUNIPER的產品,畢竟資安類的產品它也是大宗.要借側的話主要是看你們的SI,因為這類的東西通常每間SI公司會有她們主力銷售的對象,才會有比較好的毛利.

不過你們機房花的真是多阿,F5,BIG-IP...都不是一般公司用的起的.

謝謝cheerx大 我也查看看juniper產品的資訊好了
東西雖然貴 但真的需要話還是可能得買~~

F5產品我之前也從沒接觸過 碰到後上網查才知道一台竟都上百萬...
看文件好像BIG-IP也可作些過濾功能 但也是用的霧煞煞 待trainning時再問看看~~ 不然好像花大錢疊的設備都沒什麼用處....

3Q!!

[cheerx]

以前我一個朋友的公司代理F5,那個時代F5的價格是天價,教育訓練還要到新加坡上課.然後我去他家發現居然他家中有一台F5在機架上,簡直是嚇死了.後來朋友才說那台是RMA備品的機器,拿回來格式化當成PC用.BIG-IP小弟沒有接觸幫不上忙,您那邊SERVER大概需要多少個SESSIONS,小弟幫您問問看最經濟的方案用甚麼可以搞定好了.

[dxchen]

引用:

作者: cheerx

以前我一個朋友的公司代理F5,那個時代F5的價格是天價,教育訓練還要到新加坡上課.然後我去他家發現居然他家中有一台F5在機架上,簡直是嚇死了.後來朋友才說那台是RMA備品的機器,拿回來格式化當成PC用.BIG-IP小弟沒有接觸幫不上忙,您那邊SERVER大概需要多少個SESSIONS,小弟幫您問問看最經濟的方案用甚麼可以搞定好了.

感謝cheerx大大
最近忙 忘記上來看板了

老實說Server Session多少 我也不是很清楚 因內容是其它部門管的
不過流量還不小就是了 因為有跟像中X 遠X 亞X 等電信商 和水果日報合作
所以蠻不能接受出錯的 如線路變動前半年多就得先昇請

目前對NK設備已是沒多大信心了
也想換其它產品試試 若有好推薦的就麻煩您了 再跟SI公司橋看看

3Q!!

[cheerx]

貴公司是媒體嗎?好大的陣仗阿!如果貴公司是二類電信業者的話還要注意防火牆LOG要留存半年喔!!

[bx2aa]

引用:

作者: dxchen

最近公司機房的Server一直被DDoS攻擊
原本的PIX也無法對此類攻擊作防護 只能作policy控管
thanks~~

設定最大連接數最大半連接數有沒有用?
Flood Defender
static (inside,outside) 210.210.210.210 192.168.1.1 netmask 255.255.255.255 1000 1500
允許到192.168.1.1 最大連接數 1000 , 允許到 192.168.1.1 最大半連接數 1500
PIX 先把 SYN 攔下, PIX 回應一個 SYN/ACK 給 Client , 然後把連接留著, 丟掉資料, 等到 Client 發回 ACK PIX 再發 SYN 給 Server.
TCP 三次交握的過程在 Server 和 PIX 間完成.
不是 Client 和 Server 完成三次交握.

[dxchen]

引用:

作者: cheerx

貴公司是媒體嗎?好大的陣仗阿!如果貴公司是二類電信業者的話還要注意防火牆LOG要留存半年喔!!

公司型態是出版跟多媒體都有~也有跟電信商合作如mms 圖鈴下載之類~
老大說那台主機產值有上千萬....所以絕不能出苞.....

老實說IDC買的很多設備如Cisco switch,router,F5設備等等都沒完全利用到
不過都買好幾年 也算了~~ 要變動話實在要改太多東西了

比較麻煩是卡在現在的狀況 想花錢買設備也還是無法解決
且就算把那些連線給踢掉 流量還是有進來...... 一樣爆頻寬....

攻擊來源查過後是某個大陸類似線上看電視電影的p2p網站
裡面的RSS訂閱跟toolbar會自己動把公司的那內部後台網站掛上....然後一直送sync....所以只要上過此站跟有裝軟體的 都會一直打..... 但原因不明...