[kapydan]

40 минут назад, dr Tr0jan сказал:

Cisco ASA и Huawei какой-то - отказать однозначно.

С чем связано?

[EShirokiy]

@dr Tr0jan под ваши задачи даже микротик RB750Gr3 подойдет, а так я бы лучше циску взял, что бы зоопарк не плодить 

[dr Tr0jan]

13 hours ago, kapydan said:

С чем связано?

Huawei не поддерживает пароли длиной более 12-ти символов.

 

ASA, к сожалению - увеличение зоопарка. С Cisco IOS она не имеет ничего общего, а под смежные задачи она не подходит (рассматриваем туда Juniper, Palo Alto или Fortigate). Хотя, непосредственно под сабжевую задачу, наверное, ASA подойдёт.

[kapydan]

8 часов назад, dr Tr0jan сказал:

Huawei не поддерживает пароли длиной более 12-ти символов.

а так же шифрование как помню не поддерживается в последних моделях.

 

[dr_geg]

Cisco сейчас не рекомендует брать "железные" ASA. По многим моделям 5500-Х серии уже больше года назад вышел "End-of-Sale and End-of-Life Announcement".

На смену активно предлагает Firepower 2100, 4100 Series, на которых в качестве альтернативы основному софту Cisco FTD, можно развернуть софт Cisco ASA.

 

У меня задача похожая, только производительность нужна поболее  2-3 Gbps и не только FW, но и потоковый антивирус + HTTPS Inspection.

 

 

 

 

 

[dvb2000]

On ‎14‎/‎05‎/‎2018 at 4:40 PM, dr Tr0jan said:

Cisco ASA и Huawei какой-то - отказать однозначно.

Bluecoat - неплохо, но очень дорого.

У Stormshield всё очень плохо с саппортом.

На самом деле, на тестирование нужно время, очень много времени. По факту, инженер минимум на месяц с основной работы вылетает.

 

У нас на ДВ с этим всё очень плохо. Найти человека на никсы практически невозможно. Из всего IT-отдела в 30 человек я один свободно в никсах работаю. Остальным - GUI подавай.

 

Пара сотен мегабит. В pps'ах не очень много.

Начинать надо с осознавания простых вещей. Таких например как то что все эти VLANs должны терминироваться и маршрутизироваться только на центральном L3 свиче так как это происходит сейчас. Так трафик между VLANs идёт через backbone этого Switch со скоростью wirespeed routing. Никакой внешний маршрутизатор этого не сделает. Теперь по поводу того что должен делать этот самый внешний маршрутизатор. Он должен делать NAT, служить пограничным фаерволом, DPI/SPI, сервером VPN, анонсировать через BGP ваши белые IP адреса и максимум на нём ещё можно развернуть такие сервисы как RADIUS например, для авторизации на управление свичами, для защищённого подключения к WI-FI и для использования port-based Network Access Control 802.1X. К центральному коммутатору, этот маршрутизатор должен подключаться через отдельный routing vlan, на который будет направлен default route из центрального коммутатора.

Про такие ужасные вещи как fortigate или как chekpoint надо забыть как про страшный сон, а распространителей этого надо гнать поганой метлой.  А теперь по поводу никсов. Никсы это не только ужасная чёрная пречёрная командная строка вселяющая в эникейщиков представивших себя IT инженерами непреодолимый страх. Для этих самых никсов существует и масса GUI обёрток, дающих возможность эникейщикам контактировать с этими никсами, обёртки защищающие от того что эникейщики смогли бы похерить всю сеть. Например можно взять бесплатный PFSense базирующийся на FreeBSD. Он превосходит любой chekpoint или любой fortigate, даёт возможности немыслимые для них и устанавливается на любое железо.

[Ivan_83]

В 14.05.2018 в 16:40, dr Tr0jan сказал:

У нас на ДВ с этим всё очень плохо. Найти человека на никсы практически невозможно. Из всего IT-отдела в 30 человек я один свободно в никсах работаю. Остальным - GUI подавай.

PFSence и прочие фаирволы для чайников.

[dr Tr0jan]

7 hours ago, dvb2000 said:

все эти VLANs должны терминироваться и маршрутизироваться только на центральном L3 свиче так как это происходит сейчас. Так трафик между VLANs идёт через backbone этого Switch со скоростью wirespeed routing.

Но мне не нужен (нет необходимости) wirespeed. Пара десятков камер (в лучшем случае) + СКУД + всякая мелочь типа телеграфа.

 

7 hours ago, dvb2000 said:

анонсировать через BGP ваши белые IP адреса

Какие ещё белые IP-адреса в сетях безопасности? Для решения таких задач есть или ищется совершенно другое железо.

 

PFSense гляну конечно. Но 10 лет назад он был жалкой поделкой.

[dvb2000]

2 hours ago, dr Tr0jan said:

Но мне не нужен (нет необходимости) wirespeed. Пара десятков камер (в лучшем случае) + СКУД + всякая мелочь типа телеграфа.

 

Какие ещё белые IP-адреса в сетях безопасности? Для решения таких задач есть или ищется совершенно другое железо.

 

PFSense гляну конечно. Но 10 лет назад он был жалкой поделкой.

Насколько я помню речь шла о том что: "есть корпоративная сетка, состоящая из нескольких десятков юзверских виланов (отделы, здания и т.п.)" и что: "Сейчас все виланы терминируются на Catalyst 6509". Так вот, эти все нескольких десятков юзверских виланов (отделы, здания и т.п.) это и есть десятки гигабайтов трафика который надо бы маршрутизировать и именно для этого и нужен этот пресловутый wirespeed. Конечно можно и поизвращаться и тянуть во внешний маршрутизатор только VLANs сетей безопасности, а всё остальное оставить в коммутаторе, но это будет еще тот бред.

 

Теперь о том, какие ещё белые IP-адреса. Сейчас Cisco 3845 терминирует  белые IP-адреса, насколько это можно понять из рассказа. Если же планируется его заменить на то что будет заниматься всем этим фаервольством, то новый прибор должен будет делать и это. А если же речь идёт о том что хочется добавить ещё один маршрутизатор помимо того 3845, который кстати уже с 2010 года восемь лет как End-of-Life, то это вообще нонсенс какой-то.

 

А PFSense это и сегодня как и десять лет назад, это модульная система которая служит базой для множества опциональных сервисов которые каждый может подогнать под свои нужды, а потом любой эникейщик может управлять этой системой через GUI, только разрешёнными для него функциями. Но для этого вначале нужен Человек который настроит эту систему.

[dr Tr0jan]

5 hours ago, dvb2000 said:

Так вот, эти все нескольких десятков юзверских виланов (отделы, здания и т.п.) это и есть десятки гигабайтов трафика который надо бы маршрутизировать и именно для этого и нужен этот пресловутый wirespeed.

Да, 6509 прекрасно справляется в десятками юзверских виланов на wirespeed. С этим проблем нет.

Проблема в том, чтобы аккуратно фаерволлить доступ юзверей к сетям безопасности - здесь 6509 вообще не помощник (и здесь wirespeed уже не нужен).

 

5 hours ago, dvb2000 said:

Конечно можно и поизвращаться и тянуть во внешний маршрутизатор только VLANs сетей безопасности, а всё остальное оставить в коммутаторе, но это будет еще тот бред.

Это собственно и есть главный вопрос этой темы. Я не хочу тянуть во внешний маршрутизатор. Я хочу отдельный маршрутизатор/фаерволл для этих целей (не 6509) и спрашиваю совета, как и на чём это грамотно организовать?

 

5 hours ago, dvb2000 said:

Теперь о том, какие ещё белые IP-адреса. Сейчас Cisco 3845 терминирует  белые IP-адреса

В принципе, 3845 терминирует белые IP-адреса только для десятков юзверских виланов (и всего один адрес для технологической сетки, которую я хочу фаерволлить отдельной железкой). Но замена 3845 (над которой я сейчас также работаю) - это совершенно отдельная тема, которую здесь имеет смысл обсуждать только в рамках юзабилити (чтобы зоопарк не разводить).

 

5 hours ago, dvb2000 said:

А PFSense это и сегодня как и десять лет назад, это модульная система которая служит базой для множества опциональных сервисов которые каждый может подогнать под свои нужды, а потом любой эникейщик может управлять этой системой через GUI, только разрешёнными для него функциями. Но для этого вначале нужен Человек который настроит эту систему.

Хм, спасибо за совет. Но что-то я боюсь, что человеко-часов для настройки этой системы требуется огромное количество.

[dvb2000]

7 hours ago, dr Tr0jan said:

Это собственно и есть главный вопрос этой темы. Я не хочу тянуть во внешний маршрутизатор. Я хочу отдельный маршрутизатор/фаерволл для этих целей (не 6509) и спрашиваю совета, как и на чём это грамотно организовать?

 

В принципе, 3845 терминирует белые IP-адреса только для десятков юзверских виланов (и всего один адрес для технологической сетки, которую я хочу фаерволлить отдельной железкой). Но замена 3845 (над которой я сейчас также работаю) - это совершенно отдельная тема, которую здесь имеет смысл обсуждать только в рамках юзабилити (чтобы зоопарк не разводить).

 

Хм, спасибо за совет. Но что-то я боюсь, что человеко-часов для настройки этой системы требуется огромное количество.

Отдельный маршрутизатор/фаерволл для этих целей (не 6509) это и будет внешний маршрутизатор. При этом получается ещё один дополнительный маршрутизатор который не заменяет 3845, который уже 10 лет как EoL, а в IT сфере, 10 лет это как 100 лет в механике например. Так что вопрос в том что если речь идёт о том что если уже модернизировать оборудование это одна песня, а если вдобавок к старью параллельно добавлять ещё дополнительное оборудование которое кроме того не как не добавит безопасности юзерским VLANs, так это совсем другая. Например, тот же PFSense может полностью заменить и этот 3845 и при этом ещё и контролировать весь трафик между всем LANом и между интернетом. Так не будет разрозненных островков, а общая сетевая логика и стратегия.

 

 Количество человеко-часов затраченное специалистом для проектирования и настройки этой системы будет на порядок обратно пропорционально количеству человеко-часов стада эникейщиков затрачиваемым оными в последствии для поддержания системы. 

 

[dr Tr0jan]

On 5/15/2018 at 12:08 AM, vvertexx said:

@dr Tr0jan 

Что по Джуну? Готовы ли они ввезти в белую? 

А вот тут всё очень печально:

Quote

...линейка SRX не имеет нотификаций и с ввозом оборудования на территорию Российской Федерации есть некоторые сложности, необходим ряд дополнительных документов для ЦЛСЗ ФСБ и Минпромторга России.

Помимо сложностей со ввозом, есть некоторые ограничения связанные с гарантией на это оборудование на территории России.

Будем думать, как выкручиваться. Но из всего вышеперечисленного, мне SRX понравился больше всего. Закрывает все мои (в т.ч. и смежные) хотелки.

[ShyLion]

ASR 1000 серии имеет ZBFW. Скорость работы у нее приличная чтобы роутить и между виланами. На борту IOS XE, на 99% похож на винильный IOS.

[SyJet]

Из того, что я прочитал - я бы тупо купил модуль старый фаервола в 6509 и мозг не парил.  

 

https://shop.nag.ru/catalog/02392.Cisco/06753.Moduli-6500-6800/14606.WS-SVC-FWM-1-K9

[vvertexx]

@dr Tr0jan 

А что по траффику? На что из железок рассчитываешь? Можно было бы по цене прикинуть

Нас тоже в своё время остановили проблемы с официальным ввозом SRX, хотели на кластер srx1400 уходить. Сравнимая cisco ASA стоила примерно в два раза больше