Dmitridr Posted May 3, 2005 Posted May 3, 2005 Есть канал в инет 1 МБит. Всего в сети почтовый сервер, веб сервер, два сервера баз данных , пара маршрутизаторов и 200 машин. Нужен фаервол Необходимо: - проверять входящий веб и фтп трафик на вирусы - проверять почтовый трафик на спам и вырусы - все стандартные функции фаервола по фильтрации исходящего и входящего трафика по адресам - наличие возможности построения DMZ зоны. Было бы не плохо: - проверять трафик проходящий по POP и SMTP на вирусы. - входящие и исходящие письма содержащие определенные слова, дублировать на какойлибо внутренний адрес. - наличие в фаерволе впн клиента и впн сервера для органиации шифрованных соединений с удаленными офисами. Вопрос: хватит ли наличии денег на фаервол в размере 3-4 т $, какой фаервол выбрать аппаратный или програмный, или вообще изза нехватки средств поставить линукс и настроить все самому на OpenSource продуктах, желательно безотказная работа фаервола, и легкость конфигурирования. Вставить ник Quote
A l e x Posted May 3, 2005 Posted May 3, 2005 С мегабитом и фревая тачка справится, если больше, думаю стоит подумать о чем то более серьезном. Вставить ник Quote
repa Posted May 4, 2005 Posted May 4, 2005 Только что говорил с специлистом по безопасности. В кратце: Комерческое решение по сумме не укладывается. Возможный путь OpenSource + решение антиспам. Если интересует решение установлено и сданное под ключ, то напишите предложение в личку и я дам его контактную информацию. Вставить ник Quote
Nailer Posted May 4, 2005 Posted May 4, 2005 Dmitridr, разнесите задачи на аппаратный файрволл + тачка на FreeBSD, получится лучше, чем на одной. И тогда в эти деньги вписывается 515-й PIX и тачка на FreeBSD, на которой поднимете антиспам и вообще любые извраты. А PIX обеспечит легкость конфигурации и безотказную работу файрвола. Вставить ник Quote
Солнечный КОТ Posted May 4, 2005 Posted May 4, 2005 1 МБит Я думаю что однозначно тачка под фрями, один раз все настроил - поставил упс и забыл. Только тачку надо покупать на достойном железе, чтоб не висло. Вставить ник Quote
Guest Posted May 4, 2005 Posted May 4, 2005 А через год на тачке со фрями сгоринт винт если это ИДЕ и что тогда делать? Рэйд покупать тогда сервер в 2 штуки встанет. И софт на него комерческий который нормальный еще штука две минимум. Неужели за 3-4 штуки нельзякупить нормальный фаервол на 200 человек который все это будет делать Вставить ник Quote
Солнечный КОТ Posted May 4, 2005 Posted May 4, 2005 сгоринт винт Бред какой-то. У меня стоит файр поставленный еще в годы безнадежной молодости на редхате 4.2 билтмор - это примерно около 8 лет назат. Машинка П100/96/850 - вот как то до сих пор работает. Боишься сгорания ИДЕ - купи скайзик на мамке с интегрированным контроллером. Стоить будет дешего достаточно. Баксов в 800 уложишься. Вставить ник Quote
Guest Posted May 4, 2005 Posted May 4, 2005 Если так рассуждать то можно и циски не покупать а ставить на линуксе маршрутизаторы и фаерволы. К томуж фаервол на твоеред хате как часто винт использует? раз в неделю? А сквид постоянно и сендмэйл будет постоянно к нему обращяться. года три винт проживет в такихх условиях. Вставить ник Quote
Солнечный КОТ Posted May 4, 2005 Posted May 4, 2005 можно и циски не покупать а ставить на линуксе маршрутизаторы и фаерволы Можно и не покупать. Для организации, которая имеет канал в 1Мбит монопенисуально стоит там циска или софт-роутер. Разницы в необходимом функционале нет. на твоеред хате как часто винт использует Да, примерно в раз в неделю. А сквид постоянно и сендмэйл будет постоянно к нему обращяться. года три винт проживет в такихх условиях. Вопрос был про роутер с файром, а не про сервер доступа. И ответ был про роутер с файром, а не про сервер ТМС. Вставить ник Quote
desperado Posted May 4, 2005 Posted May 4, 2005 А IDE раиды с хотсвапом кто-то отменил?? стоимость 2-го винта + контролллер + 2 корзины = около 350 баксов. Вставить ник Quote
Солнечный КОТ Posted May 4, 2005 Posted May 4, 2005 раиды с хотсвапом На роутер с файром??? Вставить ник Quote
desperado Posted May 4, 2005 Posted May 4, 2005 1 МБит Я думаю что однозначно тачка под фрями, один раз все настроил - поставил упс и забыл. Только тачку надо покупать на достойном железе, чтоб не висло. Стоит еще почитывать новости по секьюрити, к аппаратному фаерволу, кстати, тоже относится! Вставить ник Quote
desperado Posted May 4, 2005 Posted May 4, 2005 раиды с хотсвапом На роутер с файром??? на роутер с фаером - бутовую флешку. раид на проксю и почту. в первом сообщении автора темы они перечислены. ИДЕ без РАИД я бы не ставил. Хотя контора на 1 Мбите, ИМХО, часик-другой подождет. Вставить ник Quote
Kuzmich Posted May 4, 2005 Posted May 4, 2005 раиды с хотсвапом На роутер с файром??? Не хочешь - не надо. Тут была длииииннная тема про загрузку с CD, с Flash-drive, с сети, с дискеты... Другое дело, что антивирусный софт при этом пролетает - ему обновления нужны... впрочем, если машинка будет "падать" не чаще раза в квартал, то можно вирусные базы и на ramdrive держать - это просто удлинит время перезагрузки машины на 1 минуту, требуемую для скачивания антивирусной базы с производителя на ram-drive. Кстати, приведенным требованиям вполне отвечает, как ни странно, Microsoft ISA Server со сторонними антивирусными модулями... если, конечно, по цене влезет. Вставить ник Quote
Солнечный КОТ Posted May 4, 2005 Posted May 4, 2005 РОУТЕР С ФАЙРВОЛЛОМ - а не ПРОКСИ, НЕ ПОЧТОВИК с АНТИСПАМом. Т.е. фактически устройство ПД а не ТМС. Вставить ник Quote
Guest Posted May 4, 2005 Posted May 4, 2005 вопрос был про фаервол который фильтрует почту и на вирусы и спам может фильтровать веб трафик на вирусы, может впн, который бы могу авторизовывать пользователей при выходе в сеть. ПРИ ЧЕМ ТУТ РОУТЕР И ФЕРВОЛ. Вставить ник Quote
Guest Posted May 4, 2005 Posted May 4, 2005 В вопросе ясно написано что ищется фаервол фильтрующий почту веб трафик на вирусы и спам что является основной задачей его. Если бы был нужен фаервол и роутер не парился бы и купил бы PIX. Во вторых контора занимается оптовыми продажами косметики. Переписка почтовая немеренная. Час - два простоя порядка 100 штук потерь. Если бы так пофигу было на время работников то не тратился бы никто борьбу с спамом не на антивирусы. Вставить ник Quote
desperado Posted May 4, 2005 Posted May 4, 2005 Во вторых контора занимается оптовыми продажами косметики. Переписка почтовая немеренная. Час - два простоя порядка 100 штук потерь. Тогда почему 1 канал в инет? При определенном физическом повреждении кабеля будет не час а минимум сутки простоя. А вообще правильно писали - то что можно сделат аппаратно, делается аппаратно, остальное на софте, по возможности с дублированием. По крайней мере продублировать к примеру VPN - плевое дело. От указанной суммы после покупки не очень крутого аппаратного роутера останется приличная сумма на железо, на котором можно поднять пару достаточно надежных серверов... Еще раз повторюсь - ломается абсолютно все, просто с разной вероятностью! Вставить ник Quote
Guest Posted May 4, 2005 Posted May 4, 2005 Канал не один, есть еще вайфай выход но он используется только как резервный. В случае чего вся почта пойдет по нему Вставить ник Quote
MaXToP Posted May 4, 2005 Posted May 4, 2005 Час - два простоя порядка 100 штук потерь. если так серьезно, то и решение надо соответственное. Например http://www.fortinet.com/products/telesoho.html являеется одновременно и рутером, и фаирволом, и антиспамом и антивирусом (все онлаин). Настройка наипростейшая, эксплуатация тоже. Тестировали FortiGate-60 -пропускал до 2Мбит трафика. Вставить ник Quote
Guest Posted May 4, 2005 Posted May 4, 2005 для межсетевого экрана вполне достаточно p3 600 под управлением ОС FreeBSD и небольшим винтом... если к этому прибавить squid, sendmail, antivirus и antispam то желательно чтобы scsi винты, ибо это и увеличит скорость работы как прокси так и почты, и надёжность у них гораздо выше чем у IDE, и при большом полличесве обращений к файловой системе они небудут нагружать сам сервер... по проверенным данным p3 100 x 2 + scsi выпалнял подобные работы 3,5 года без перезагрузки под ос RedHat Linux 7.0, kernel 2.4.2 после чего был убран за не надобностью... то можно вирусные базы и на ramdrive держать - это просто удлинит время перезагрузки машины на 1 минуту, требуемую для скачивания антивирусной базы с производителя на ram-drive. незнаю как представители мелкомягких... но нормальные (UNIX и им подобные) операционные системы невыкачивают ничего в процессе загрузки Вставить ник Quote
Солнечный КОТ Posted May 4, 2005 Posted May 4, 2005 Тьфу - сорри - туплю на редкость. Приношу извинения, лечу сегодня. Час - два простоя порядка 100 штук потерь. Ну вот с этого и надо было начинать - тогда надо бюджет расчитывать из дублирующей схемы, чтоб на подмену было оборудование. Так что 1500 бачей на рутер. Так что скорее всего bsd-сервера и вперед. Причем так, чтобы если сломался один - вопрос решался просто перетыканием патч-корда. Я думаю можно придумать и как почту в этом случае спасти. Могу погрузить теорией про кластер :-). Вставить ник Quote
Guest Posted May 5, 2005 Posted May 5, 2005 а где же простота и удобство адмиистрирования в бсд сервере Вставить ник Quote
Guest Posted May 5, 2005 Posted May 5, 2005 Час - два простоя порядка 100 штук потерь. если так серьезно, то и решение надо соответственное. Например http://www.fortinet.com/products/telesoho.html являеется одновременно и рутером, и фаирволом, и антиспамом и антивирусом (все онлаин). Настройка наипростейшая, эксплуатация тоже. Тестировали FortiGate-60 -пропускал до 2Мбит трафика. FortiGate-100 очень даже подходит под эти задачи. Как у него с ВПНом? Сколько стоит? Какая техподдержка? Естьли аналоги? Вставить ник Quote
Guest Posted May 5, 2005 Posted May 5, 2005 2 Kuzmich Большой ИМХО это риск на Microsoft'e что-то строить ... Замахаешся патчи/обновления/заплатки ставить .... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.