No trabalho, instalei recentemente um Cisco ASA 5505, em uma função de firewall de pequeno escritório, ponto de extremidade VPN site2site e ponto de extremidade VPN roadwarrior. É sólido e confiável. Ciscos web GUI é limitado, sabendo que o seu caminho em torno da linha de comando da Cisco é praticamente necessário.
A Cisco está dividindo seu software cliente VPN, o antigo cliente baseado em IPSec está lentamente desaparecendo, e o novo SSL está ganhando força. Um exemplo disso é que nenhuma versão de 64 bits está planejada para o cliente IPSec antigo. Más notícias para você, o SSL é licenciado separadamente e muito mais caro.
Devo configurar novamente a VPN 'roadwarrior', insisto na integração do Active Directory. Nossos usuários estão constantemente esquecendo as senhas da VPN, já que são separadas da AD, que usam diariamente no escritório. Mudar as senhas não é muito trabalhoso, mas uma boa parte da produtividade é perdida. Nossos usuários frequentemente tentam sua VPN de casa na noite anterior a um prazo ...
O uPnP seria surpreendentemente bom. Muitos de nossos usuários fazem uso do Skype ou de qualquer outra coisa que precise de tráfego passado pelo firewall para funcionar de maneira ideal. Sim, há um strong argumento de segurança a ser feito contra a uPnP; a escolha é sua para fazer.
E último - estatísticas. O Cisco ASA tem uma boa seção de estatísticas e pode ajudá-lo a solucionar certos tipos de problemas de rede. Eu não quero um firewall (ou muito equipamento de TI em geral) que não possa me fornecer uma visão do que está acontecendo, nos raros dias em que há um problema ilusório na rede.
O Kerio WinRoute Firewall tem integração AD, uPnP, se você quiser, e uma seção de estatísticas muito sólida. A Kerio tem um bom histórico em firewalls, seu firewall de estação de trabalho era líder de mercado por anos até que eles o venderam. Eu não trabalhei com o Kerio WinRoute, mas devo configurar um firewall de pequenas empresas novamente, eu iria escolher o Kerio WinRoute ou o Windows 2008 R2.
O 2008 R2 tem uma implementação de VPN realmente sólida e se integra perfeitamente ao Windows 7. A desvantagem é que o Windows 7 é necessário nos PCs clientes. Nós poderíamos aceitar isso, eu duvido que muitos outros possam agora.
Conheço o pfSense e muitas outras distribuições de firewall de código aberto. Eles são muito, muito legais. Para minhas necessidades de pequeno escritório, o desempenho adicional do pfSense no hardware de classe de PC não importa, já que estamos em uma linha de 10/10 mbit. E o preço de um pequeno ASA ou Juniper SSG não é proibitivo. Assim, um pfSense acaba competindo contra o ASA ou o Juniper SSG, e eu prefiro a simplicidade e pouco tempo para a implementação da versão pronta. Mas o pfSense é muito bom, para outras necessidades pode ser ótimo.
Então, para mim, seria:
- Uma configuração "DMZ" de dois firewalls, com um appliance de firewall bastante simples na frente e um firewall de software baseado em PC (Kerio, Windows 2008 R2) por trás para VPNs roadwarrior com integração AD.
- Uma configuração de firewall única, com um firewall baseado em PC (Kerio, Win 2008 R2) com 2 NICs (sem dúvida um pouco menos segura, mas duvido que seja um grande problema hoje em dia).
Agora, eu compraria o Kerio WinRoute (novamente, apenas olhando para o site deles, eu ainda não trabalhei pessoalmente com o Kerio WinRoute). Daqui a um ano, eu usaria o Windows 2008 R2, se você for uma loja apenas do Windows.