So was kann man in wenigen Minuten mit irgendeiner Linux Distri (z.B. Debian) selber stricken, oder fertige Sachen wie IP-Cop verwenden.
Genau tut sich imho ein fast unüberschaubares Feld von Sicherheitslücken auf.
Wenn Herr und Frau Heimwerker mal eben eine FireWall zusammenbastelt, kann dabei nur eine Laien-Bastel-Lösung entstehen.
Ein ISA Server wäre mir für solch eine Aufgabe nicht zu "frickelig" sondern schlicht zu unsicher bzw. weniger geeignet.
Ich würde auch niemals einen ISA als Frontend-FW einsetzen wollen. Als Subnetz-Verteiler und Proxy (in einem NTDS-Umfeld) tun die wunderbar ihren Dienst.
BTW: Ich hab' mich hier schon mehrfach über die ASTAROs geärgert. "Zugenagelt" bis zum Abwinken und trotzdem zickt das Teil ständig herum - "security by obscurity" ist einfach der falsche Weg.
Da kämpfe ich dann lieber mit einem ISA.
Was auch noch eine Alternative wäre die ich leider bisher nur zweimal in Betrieb genommen habe wäre dies hier:
[*]
http://www.watchguard.com --> Firebox SSL
Naja.
AES fehlt, nur 128/168-Bit, ESP hab' ich auch nicht gesehen.
D-Kanal (ISDN) Trigger und ID gibt's sowieso nicht.
... und - last but not least - die VPN-Lizenzen gibt's wieder mal nur gegen Aufpreis.
Es wäre mal interessant zu wissen das Firewalltechnisch in der Kiste steckt (IDS, NAT-Regeln usw.).
Das ist alles "well-documented" und sehr präzise einstellbar.
Selbst die Defaults sehen recht brauchbar aus ... bis auf die Packetfilter und Protokoll-Definitionen - die darf man erst mal selber machen.
Ohne grundlegende Kenntnisse des IP-Traffics sollte man die Finger davon lassen - das gilt eigentlich für alle FireWalls.
Im Gegensatz zu Cisco ist aber die Management-Oberfläche wenigstens auch für Normalsterbliche verständlich.
Eine pfiffige Idee ist, den ID-Port nur für das angesprochene Mailrelay und nur für eine kurze Zeit sichtbar zu machen. Ansonsten ist das Ding einfach "tot".
mfg, Thomas