From: Deniz CEVIK (deniz@intellect.com.tr)
Date: Tue 16 Dec 2003 - 03:26:45 EST
CheckPoint ile IP tables'I karşılaştırmak doğru olmaz. IP tables ücretsiz
bir ürün olarak firewall işlevini oldukça rahat görebilecek bir sistemdir.
IP tables statefull inspection mekanizmasına sahip olduğu belirtiliyor,
CheckPoint'in ise Multi Layer Satefull inspection yaptığı söylenebilir.
Özetle source, destination, service bazlı filtrelemeler yapabilirken, HTTP
paketi ni GET PUT vs komutlara karşıda filtreleyebilirsiniz ve bunu herhangi
bir perfromans kaybı yaşamadan gerçekleştirirsiniz. CheckPoint complex bir
networkun isteyebileceği her türlü gereksinimi karşılayabilecek şekilde
tasarlanmıştır.
Ek olarak pek çok firewall üreticisi statefull inspection yaptığını
belirtiyor ama herkesin yaptığı statefull inspection aynı mı. Statefull
inspection'ın sadece paketlerin durumunu bir bellek parçasına aktarmak
olmadığı aşikardır.
Fiyat konusuna gelince değişik alternatifler mevcut, bence ürünü satın
aldığınız firma ile konuşup alternatifler sunmasını isteyebilirsiniz.
-----Original Message-----
From: linux-network-bounce@liste.linux.org.tr
[mailto:linux-network-bounce@liste.linux.org.tr]On Behalf Of Baris Metin
Sent: Monday, December 15, 2003 9:49 PM
To: linux-network@liste.linux.org.tr
Subject: [linux-network] Re: [linux-baslangic] checkpoint ng vs.iptables
Selamlar,
On Pzt, 2003-12-15 at 21:01, Aytan KIZILTAN wrote:
> ip tables statefull packet filtering yapamiyor diye biliyorum.Bu yüzden
> güvenlik kriterleri düsük.
www.netfilter.org'dan bir alıntı:
Main Features
* stateful packet filtering (connection tracking)
* all kinds of network address translation
* flexible and extensible infrastructure
* large number of additional features as patches
> Checkpointin yeni modülü aplication layer da
> filtering yapabiliyor.
http://l7-filter.sourceforge.net/L7-HOWTO-Netfilter.html
iyi çalışmalar,
-- Baris Metin www.metin.org