wg mnie Juniper NetScreen to dobry wybor - rowniez przyjazny dla admina -> oczywiscie wiadomo ze z jakas wiedza/doswiadczeniem w konfigurowaniu tych urzadzen. ale to sie odnosi do wszystkich tego typu rozwiazan.

Na dziś chyba lepszym rozwiązaniem niż Netscreen jest SSG, tego samego producenta.
Jest to trochę bardziej UTM niż ASA i Netscreen. Konfiguracja nie jest wcale taka skomplikowana, ale wypada zajrzeć w dokumentacje, bo idee są nieco inne niż w zabezpieczeniach PIX/ASA.

Co do Cisco i ASA w obszarze zapór sieciowych, to określenie "cienki" na tym forum może się skończyć jakimś linczem

Raport Gartnera w tej kwestii z dugiego kwartału tego roku:
http://mediaproducts.gart...5/article5.html

PS
Kamillis: na miłość boską: JUNIPER a nie jupiter.

Najpierw odpowiem na ostatnie pytanie. Nie nie możesz połączyć się z portem konsoli wykorzystując kartę sieciową swojego laptopa. Potrzebujesz przejściówkę usb -> rs-232 i kabel rollover.

Możesz podłączyć się w ten sposób do portu ethernet0/0. Domyślnie adres ip tego interfejsu będzie miał wartość 192.168.1.1/24. Następnie do połączenia się z firewallem wykorzystujesz ssh lub przeglądarkę internetową.

Jeżeli Twój Juniper był wcześniej konfigurowany to proponuję przywrócić go do ustawień fabrycznych przez zalogowanie się wykorzystując jako nazwę użytkownika i hasło numer seryjny lub wciśnięcie przez 4s przycisku reset odczekanie 2s i kolejny raz wsiśnięcie reset na 4s. Domyślna nazwa użytkownika na konto root admin to netscreen/netscreen.

Odnośnie konfiguracji to najprościej będzie zrobić natowanie na Juniperze. Konfiguracja rutera ograniczy się do nadania odpowiednich adresów IP i dodania domyślnej trasy:

Przyjmijmy takie adresy IP:
Komputer - 172.27.38.2/24
Ruter (do kompa) - 172.27.38.1/24
Ruter (do firewalla) - 10.0.0.1/24
Frirewall (do rutera) - 10.0.0.2/24
Firewall (do internetu) - DHCP?

Na ruterze

ip route 0.0.0.0 0.0.0.0 10.0.0.x
plus nadanie ipek.

Na juniperze musisz nadać adresy ip, zrobić nat źródłowy i wskazać domyślną trasę.
Ruter podpinasz do eth0/0 a internet do eth0/2. Eth0/0 domyślnie jest w zone trust a Eth0/2 w zone untrust. Żeby nadać ip na eth0/0 robisz:


set int e0/0 ip 10.0.0.2/24
Nie wiem czy nat jest domyślny

get int e0/0
jak będzie napisane mode nat to nie musisz nic robić jak mode route to

set int e0/0 nat

W zależności od tego czy od strony internetu masz DHCP czy nie to albo nic nie musisz robić albo nadać ip i trasę domyślną

set route 0.0.0.0 0.0.0.0 172.27.31.x

Odnośnie junipera to proponuję przejrzeć:ssg 140 user guide. Odnośnie cisco no to robisz CCNA więc jakieś tam pojęcie już masz.

Ksiazek nie mam ale tak sie wlasnie zastanawiam ktory z producentow firewalli ma dobra dokumentacje i sporo ksiazek o swoich produktach... Cisco i Juniper - to chyba beda dwa wieksze jesli nie najwieksze... obie firmy robia outery i firewalle w sumie ;)

Cisco ma swoje certyfikacje (CCNA, itp) - w materialach znajdziesz mase informacji o szczegolach konfiguracji, co mozna zrobic, czego nie...

Juniper - dwie linie systemow JunOS na routery i ScreenOS na firewalle. Pelna dokumentacje do Junipera mozna za free on-line sciagnac i to do konkretnej wersji softu wiec jest rewelka. Opisane bardzo przystepnym jezykiem (osobiscie wole dokumentacje Junipera niz Cisco ale to moje prywatne odczucie).

Te dwie firmy to imho standard jest. Ludzie uzywaja bardzo roznych rozwiazan od roznych producentow itd. Np Juniper nie pozwala mieszac L2 z L3 ale w L3 pozwala robic NAT, prosty load-balancing, itd. Cisco nie pamietam, nie konfigurowalem sam, poza tym Cisco ma rozne produkty ktore sa mniej lub bardziej zgodne ze soba (musisz zapytac kogos kto zna Cisco), Sonicwall pozwala miksowac L2 i L3 w jednym urzadzeniu (wskazujesz ktore porty jaki tryb maja miec), to prawie kompletny UTM jest, Mikrotik potrafi robisz ogromnie wiele, ale konfiguracja staje sie z czasem bardzo skomplikowana ale znowu jest zdecydowanie najtanszy, Draytek to z tego co widzialem/uzywalem glownie routerki do domow - na ADSL, ISDN, itd, rozbudowane, VoIP, WiFi, VLAN'y, VPN'y, SPI, blokowanie P2P i HTTP wg contentu... cenowo dosc przystepny.

Kazdy z tych produktow realizuje podobne lub te same funkcje ale na swoj sposob. Jeden bedzie analizowal pakiety uzywajac engine'u do obroki pakietow, drugi bedzie mial osobny proces do obslugi tego jeszcze inny bedzie uzywal zewnetrznego systemu (np Mikrotik - ustawiasz http proxy na zewnetrznej maszynie, mikrotik przekierowuje na proxy, proxy robi filtracje). Ile producentow tyle rozwiazan - kazde ma swoje wady i zalety.

... no i do tego dochodzi cala seria firewalli programowych, czy to Linux czy *BSD czy Solaris czy nawet windowsowy firewall (jesli ktos ma serwery na windowsie). One maja swoje zasady i swoje mozliwosci (czesto wynikajace z dodatkowych funkcji zaimplementowanych w kernelu - poza firewallem), generalnie sa L2/L3 i nie siegaja wyzej, chyba ze przez zewnetrzne aplikacje. Jesli o tym mowa to netfilter ma mase dodatkow ktore mozna dokompilowac do kernela - wtedy zaczyna sie fajna zabawa :P

UPDATE
Mam jednak jakies ksiazki...
- Linux firewalls (pamietam ze mam ale zostala w Polsce)
- ... manuale produktow ktore uzywam :-)

Co moze byc ciekawe (tytuly wziete z Amazon.com)?
- Configuring Juniper Networks NetScreen & SSG Firewalls
- ScreenOS Cookbook
- Cisco ASA, PIX, and FWSM Firewall Handbook
- Building Firewalls with OpenBSD and PF