Ionut Boldizsar wrote: >>-----Original Message----- >>From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On >>Behalf Of Tiberiu ATUDOREI >>Sent: Wednesday, April 13, 2005 9:55 AM >>To: [email protected] >>Subject: [rlug] Re: security maybe offtopic >> >>Eu am avut in exploatare un Netscreen (chiar inainte de a fi >>achizitionati de Juniper, deci cam acum 1 an). >>Beton jucaria, de tipul fire and forget. >>Cu antivirus pe ea (TrendMicro, taticul lui PCCillin), cu >>actualizare automata, scanare POP3, IMAP, HTTP si FTP parca. >>Plus tunelare criptata, NAT, DMZ si alte chestii la care te >>astepti de la o asemenea jucarie. >>In principiu toate astea le poti face pe o scula Linux de >>cateva ori mai ieftina daca stai sa o configurezi cam o zi. >>Dar daca lucrezi la o multinationala si mai ai si o alta >>scula de genul asta cu care discuta in partea cealalta e >>aproape oblige. >> >> > >Sa nu chiar trivializam. Mai astept un pic pana implementarea de >firewall din Linux (iptables, that is) sa fie constienta de layere >superioare layer 3-4-5. >Pentru cine nu stie despre ce vorbesc, Netscreen a patentat o tehnologie >numita 'Deep Inspection', care in teorie (si in practica, din ce stiu >eu) e capabila sa analizeze si layere 5-6-7, si sa impuna decizii la >acele nivele. So far, cel mai bun lucru in open source care sa se >*apropie* de asa ceva ar fi l7, dar experientele mele personale cu el >sunt limitate, si nu ma simt capabil (inca) sa fac o comparatie >pertinenta. > > momentan versiunea l7 1.1 2 "mici" buguri peste care am dat eu - are un memory leak care da rapid de pamint masinile cu trafic mare - din motive pe care nu le-am identificat, nu merge in vmware. exact acelasi kernel pe o masina fizica merge. A iesit acum 2 zile versiunea 1.2, o sa testez si om mai vedea ca obs: l7 e atit de bun pe cit e baza de date de semnaturi. din cite am testat eu, mai are un picutz pina la a deveni comparabil cu jucariile celor mari.
in alta ordine de idei; stiati ca se poate deja face failover la conexiunile netfilter ? sau altfel spus, 2 masini (master + slave) vazute din exterior ca o singura entitate (router); daca una dintre ele ( aka masterul ) pica in citeva secunde traficul se continua _de_unde_era_ prin slave. nice, nu ? --- Detalii despre listele noastre de mail: http://www.lug.ro/
