Firewall cihazları cok pahalı cihazlardır ve ucuz cihazlarda umduğunuzu bulamazsınınz .
Öncelikle Juniper serilerinden bahsetmek isterim. En gelişmiş serilerinde bile 300K connection per second limiti var 3 kademeli calısıyor sistemleri
NPC network kart
Policy ler - Network kartı ve sistem karışık çalışır offloading yapısına göre
SPC Sistem cpu sudur layer7 işlemlere girer

her bağlantıya bir session olustururlar ve boylece ack - syn takip eder 3way handshake yapar tcp yi temizler

ama udp de spoof detection yapılamaz bu yuzden udp yi kesemez .
1G civarı bier performans için min. SRX650 civarı bir şey gerekli 1G + derseniz
SRX3k cihazlara geçip min 1SPC + 1NPC + 10G moduller gerekir ki rakam 100binleri geçer.

2. seçenek Cisco serisi Arbor tipi modeller. Protocol Anomaly detection sistemi oldugu için UDP de kesebilirsiniz. Kendi blok kuralları geliştirir juniperde ki anlattıklarımın üzerine bunu ekler

Ayrıca juniperler de commit - commit confirmed yapııs oldugu için herhangi bir saldırı anında oto blok uygulanamaz juniperde ama cisco da bir takım ekler ile anında aktivasyon alabilirsiniz.

Bunların altındaki firewall lar ancak IPSEC vs gibi protokoller için ya da facebook girmesinler gibi işler için kullanılabilir.


Swithing cpu ile en iyi performans veren bir cihaz mikrotiktir. Firewall olarak ancak kural yazarak ya da üzerinde ugrasarak kullanabilirsiniz ama her zaman yarı yolda bırakma ihtimali vardır.

Citrix netscaler firewall diye geçer ama aslında load balancerdır. TCP de spoofu kesmesini sağlayan şey her bağlantıda once kendi üzerine alıp load balancer moduna geçmek adına karşıdaki ile bağlantı kurmaya calısmasıdır. Bu yüzden spoofu keser
AMA KESİNLİKLE FİREWALL DEĞİLDİR. ACK vs gibi ataklarda temiz trafik vermez sadece rate limit vs uygulayabilirsiniz ya da udp de atak anında kural yazabilirsiniz.


BU YÜZDEN FİREWALL ALMAK YERİNE FİREWALL YÖNETİMİNE HAKİM KURUMLARI TERCİH EDİN PARANIZI ÇÖPE ATARSINIZ

--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 15:27:45 -->-> Daha önceki mesaj 15:23:08 --

Ayrıca iyi bir firewall yapısı sadece firewall ile değil
Profesyonel bir router ile doğru network yonetimi / yonlendirmeler vs yapmayı gerektirir.

Tek başıma taktım çalışacak gibi bir umudunuz varsa beklenti içine girmemelisiniz.


Ayrıca after support da bu tür kritik cihazlarda cok onemli , switch hattı sature olmadığı sürece düşmez ama firewall 10G portta taksanız ufak bir hatadan tüm network'u kopartır 10mbit atak ile. Bu yüzden after support noktasıda onem teşkil ediyor ki tüm bu markalar aldığınız cihaz diyelim 2012 de satılmış 2 yıl support alınmamış o 2 yılı da aradığınız anda fatura eder.

Benim fikrim KESİNLİKLE bu yükü alan firmalar ile çalışın PARANIZI ÇÖPE ATMAYIN