none
Implementação ISA ou hardware? RRS feed

  • Pergunta

  • Bom dia pessoal,
    Acabei de entrar em uma nova empresa e a estrutura dela está meio "bagunçada".
    Estou implementando o AD, DHCP e outros serviços basicos...
    nas unidades já existe um equipamento de firewall o CHECKPOINT safe@office, é pago licensas para a quantidade de usuários que acessam ele.. existe 3 desses instalados, não sei qual custo isso esta gerando.
    Estava pensando em remover esses equipamentos e montar a rede da seguinte forma:
    1 link de internet de 1mb full chega na unidade 1 que é a matriz;
    2 links's MPLS de 512kb interligam as 2 filias com a matriz;
    A internet é distribuida da matriz para as filias, então pensei em remover todos estes equipamentos e colocar um servidor ISA na matriz filtrando o conteudo para toda a rede interna.
    acham que ficaria melhor ou pior?
    Agradeço as sugestões.
    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 03:10 (De:ISA Server 2004)
    terça-feira, 31 de março de 2009 13:49

Respostas

  • Brother, A solução onde venha a cortar custos é sempre bom. Passe este tipo de solução para seus encarregados, e portanto passe para eles o porque devem trocar. No meu caso, eu trocaria sim, ao invés de firewall em Hardware, fazer a implementação do ISA, por ser mais simples em configurar regras, VPN, etc... Espero ter ajudado... OBS: Se útil, não esqueça de marcar como resposta.
    Diogo Ramos - IT Security
    • Marcado como Resposta Rafael.Ribeiro domingo, 26 de abril de 2009 15:09
    terça-feira, 31 de março de 2009 14:32
  • Rafael,

    Com o cenario que vc passou realmente nao faz sentido ao menos que existam coisas mto importantes.
    Se fosse uma empresa maior eu ia falar para vc trabalhar em conjunto com o checkpoint...

    Mas acredito que o ISA nesse caso te atenda tranquilamente, ainda economizando um bom dinheiro e solicitando um aumento...rsss

    forte abraço
    Luiz Fernando Dias - MVP
    • Marcado como Resposta Rafael.Ribeiro domingo, 26 de abril de 2009 15:09
    terça-feira, 31 de março de 2009 17:26
    Moderador
  • Rafael,

    Linux clients?
    Acredito que vc nao tenha problema nao é só ajustar congis de proxy e gateway e meter bronca.

    Abraços
    Luiz Fernando Dias - MVP
    • Marcado como Resposta Rafael.Ribeiro domingo, 26 de abril de 2009 15:09
    terça-feira, 31 de março de 2009 18:21
    Moderador

Todas as Respostas

  • Brother, A solução onde venha a cortar custos é sempre bom. Passe este tipo de solução para seus encarregados, e portanto passe para eles o porque devem trocar. No meu caso, eu trocaria sim, ao invés de firewall em Hardware, fazer a implementação do ISA, por ser mais simples em configurar regras, VPN, etc... Espero ter ajudado... OBS: Se útil, não esqueça de marcar como resposta.
    Diogo Ramos - IT Security
    • Marcado como Resposta Rafael.Ribeiro domingo, 26 de abril de 2009 15:09
    terça-feira, 31 de março de 2009 14:32
  • Obrigado cara, a intenção é esta mesmo, cortar custos.
    Hoje pagamos um contrato com uma empresa que administra a rede da empresa + as licenças desse firewall.
    Quando perguntei a empresa sobre esta troca o mesmo retrucou falando que o checkpoint era muito mais seguro e funcional que um ISA server.
    • Marcado como Resposta Rafael.Ribeiro domingo, 26 de abril de 2009 15:09
    • Não Marcado como Resposta Rafael.Ribeiro domingo, 26 de abril de 2009 15:09
    terça-feira, 31 de março de 2009 14:42
  • é akele negocio..o checkpoint bem configurado o negocio é bemmmmmmmmmmmmmmmmmmmm robusto...Nao depende de SO...etc etc etc
    Luiz Fernando Dias - MVP
    terça-feira, 31 de março de 2009 15:45
    Moderador
  • Mas Luiz, eu trabalho em um centro educacional... temos 3 unidades, a empresa é de pequeno porte. Temos menos de 50 computadores rodando no momento. Você não acha meio desnecessário? por não conter informações tão importantes assim trafegando na rede. Pelo que vi esse checkpoint é um equipamento bem solido msm, mas acredito que um ISA se tornaria muito mais flexivel e facil de administrar. Obrigado pela opnião.
    terça-feira, 31 de março de 2009 16:52
  • Rafael,

    Com o cenario que vc passou realmente nao faz sentido ao menos que existam coisas mto importantes.
    Se fosse uma empresa maior eu ia falar para vc trabalhar em conjunto com o checkpoint...

    Mas acredito que o ISA nesse caso te atenda tranquilamente, ainda economizando um bom dinheiro e solicitando um aumento...rsss

    forte abraço
    Luiz Fernando Dias - MVP
    • Marcado como Resposta Rafael.Ribeiro domingo, 26 de abril de 2009 15:09
    terça-feira, 31 de março de 2009 17:26
    Moderador
  • Pois é Luiz, estarei implantando AD DNS DHCP WSUS e acesso remoto, apenas para ficar mais facil de gerenciar.
    Mas sabe se há muita dificuldade em instalar alguns pc  com linux? estava pensando em uma distribuição mais parecida com windows possivel ubuntu ou kurumin...
    A intenção é exatamente corte de custos, estou precisando de um investimento em TI e oque conseguir cortar me ajuda bastante.
    Obrigado.
    terça-feira, 31 de março de 2009 17:47
  • Rafael,

    Linux clients?
    Acredito que vc nao tenha problema nao é só ajustar congis de proxy e gateway e meter bronca.

    Abraços
    Luiz Fernando Dias - MVP
    • Marcado como Resposta Rafael.Ribeiro domingo, 26 de abril de 2009 15:09
    terça-feira, 31 de março de 2009 18:21
    Moderador
  • Pois é Luiz,
    tenho algumas estações que roda o sistema administrativo da empresa, que é feito em coldfusion entao roda tranquilo no firefox.
    A maior utilidade dela é esta, vo instalar o Broffice e vo reduzir ai mais algumas licenças do windows...
    Tive uma reunião agora atarde com os caras dessa empresa que administra a rede, e não vi nada que me empresionasse, temos uma rede MPLS da embratel e os tais checkbox, que pretendo substituir por ISA server standart.
    Será que o essas maquinas linux irão se comunicar com o windows xp?
    vo instalar o kubuntu amanha em uma maquina virtual, acredito que vo usar essa distro.
    valeu pela força ae.
    terça-feira, 31 de março de 2009 23:17
  • Essa maquina linux será maquina cliente?

    Abraços
    Luiz Fernando Dias - MVP
    quarta-feira, 1 de abril de 2009 14:02
    Moderador
  • sim Luiz, essas estações são clientes do setor administrativo, entao trabalham so com o nosso sistema que roda via web, e pacote office.
    quarta-feira, 1 de abril de 2009 16:12
  • 99% de certeza q nao terás problema.
    Mete bronca..

    se rolar fazer um lab antes, seri abem legal..

    Forte abraço

    PS: nao esquece de classifica ro post util
    Luiz Fernando Dias - MVP
    quarta-feira, 1 de abril de 2009 16:15
    Moderador
  • Blz,
    Já estou providenciando uma maquina aqui pra instalar e ver como vai ficar...
    tenho até o final de maio pra acertar isso que é quando termina meu contrato de licença da MS, ai vo ter que renovar.
    Por enquanto muito obrigado.
    Assim que consegui rodar aqui posto como foi.
    quarta-feira, 1 de abril de 2009 16:27
  • Se precisar de ajuda da um toque bele?

    Abraços
    Luiz Fernando Dias - MVP
    quarta-feira, 1 de abril de 2009 16:34
    Moderador
  • Conclui nesse fim de semana a configuração do UBUNTU e estou ja criando a imagem para ser distribuida para as maquinas que serão migradas.
    Amanhã tenho uma reunião com o pessoal da Microsoft já sobre lincesiamento, pois encerra no final do mes.
    A proposta do ISA como firewall e Proxy não foi muito aceita pela empresa de que ira implementar o projeto, que hoje gerencia os checkpoint, a mesma afirmou que o ISA não deve ser considerado como solução de segurança e firewall, o que achei um absurdo.
    Nas filias temos uma com 5 e outra com 8 computadores e cada uma com um link de 512kbps full com a matriz, também não foi mt bem aceita a ideia de deixar apenas 1 servidor de AD na rede, questionaram a questão da velocidade e indicaram instalar um AD em cada unidade, o que geraria mais custo com equipamento e licensas.
    Bom, pretendo fazer essas 2 modificações no projeto, mas gostaria da opnião de voces.
    terça-feira, 14 de abril de 2009 19:05
  • Rafael,

    Cara um AD só na rede eu tb sou meio suspeito para aceitar, eu preferiria mais de um, isso diminui trafego na WAN. Ao menos que a localidade seja mto pequena ai nao tem necessidade mesmo desse investimento.

    Sobre eles nao considerarem o ISA firewall, cara isso vai de cada um né...O lance deles é que eles nao dependem de um SO para gerenciar uma aplicação com essa caracteristica, diminuindo assim a area de ataques.
    Eu uso o ISA como firewall e desde que bem implementado a parada funciona perfeitamente.
    É aquele negocio se eles preferem ficar gastando, deizem gastar, ao meu ver ta sendo um tiro de 12 para matar uma formiga....

    Abraços
    Luiz Fernando Dias - MVP
    quarta-feira, 15 de abril de 2009 03:06
    Moderador
  • Fernando,
    Fiz mais uma atualização no projeto...
    A intenção antes era deixar um ISA server em  cada unidade e 2 ad's na matriz, só que recebi uma informação que não tinha, o link que interconecta as unidades é MPLS e segundo o consultor da embratel essa conexão é tão segura quanto uma VPN, ele falou que nenhum cliente dele que utiliza esse serviço adiciona um firewall, o firewall só seria necessario na unidade que tem saida pra internet que é a matriz, as outras filiais não necessita de firewall pois seria uma rede interna segura. Portanto resolvi alterar deixando 1 AD em cada unidade e 1 de redundância na matriz + o ISA server na matriz filtrando todo conteudo de internet.
    domingo, 26 de abril de 2009 15:08
  • Rafael,

    Maravilha, link ponto a ponto assim realmente é seguro.
    Caso vc tenha problemas com ataques entre as localidades ai sim vc pode implementar um firewall em uma das bordas. ( Esses ataques podem ser de virus por ex).

    Show de bola...se precisar de alguma coisa é só dar um toque.

    Forte abraço e boa sorte..
    Luiz Fernando Dias - MVP
    domingo, 26 de abril de 2009 15:39
    Moderador