cisco pix 515e

[Nurmukhamed]

Добрый день.

в офисе происходят перемены. вот стоит у нас сервер а на нем иса сервер. пришли умные ребята и попросили легализоваться, купить лицензии на все. ну вообщем вышло в районе 2500. за эту же цену предлагают циску пикс 515е с ВПН картой.

PIX-515E-FO-BUN

PIX 515E-FO Bundle (Chas, Failover SW, 128MB, 2 FE, VAC+)

 

вот я подумываю о переходе на циско. но думаю справится ли данное устройство и что еше кроме этого оно может.

а теперь цифры

канал в инет 384 кбит/с без ограничений

пользователей 120

постоянных впн соединений около 45.

иса вроде работает но вот бывает подвисает иногда. а так там на сервере еще есть сервисы то немного раздражает.

 

хотелось бы от пикса чтобы не только как прокси и файервол работал но еще бы лез внутрь протокола и вырезал бы например вирусы, сип-сигнатуры, аську и торенты. ну чтобы ничего не отвлекало нащих сотрудников от работы.

[PommeFritz]

Справится легко. Как фаервол будет работать очень даже ничего. Как кэширующий прокси оно не работает в принципе. Вообще, проксей это можно назвать с большой натяжкой. Имеет встроенную CBAC и IDS, но не представляю, как их можно приспособить для "вырезания" вирусов и других icq. Довольно непросто и крайне неудобно настраивается из cli, имеет глючную уеб-морду на жабе.

ЗЫ

Я бы на вашем месте смотрел в сторону решений opensource, *bsd - gnu/linux.

Хинт: m0n0wall, pfsence

Edited June 14, 2007 by PommeFritz

[Nurmukhamed]

а вот мне интересно а тогда CISCO1841-SEC/K9 1841 Security Bundle,Adv.Security,64FL/256DR WIC-2T который есть в офисе чем будет заниматся?

[PommeFritz]

а вот мне интересно а тогда CISCO1841-SEC/K9 1841 Security Bundle,Adv.Security,64FL/256DR WIC-2T который есть в офисе чем будет заниматся?

Ну это уже на ваше усмотрение, можете использовать, например, как подставку для кадки с фикусом.

[Nurmukhamed]

так чето раньше в моей голове было следующее 1841 ето роутер а пикс ето прокси с наворотами. а теперь выходит что он блин просто навороченный роутер? разьясните плз.

[SergeiK]

PIX теперь не модно, модна ASA 5500. Это для безопасности.

Firewall, NAT, IPSEC, IPS и далее, по вкусу. Роутинг - ну постольку, поскольку надо.

 

1841 - это роутер. IPSEC и FireWall - до кучу, чтоб все в одном.

Производительность ее в этих вещах заметно меньше, чем у ASA, но зато роутер и NetFlow и QoS и модули.

 

Это конечно грубое описание.

 

Прокси - это прокси, про биллинг для офиса как раз в соседней теме обсуждалось. Можно поставить squid под Linux-ом и будет работать, но к линуксу нужны еще ручки и для статистики потом напильник.

[PommeFritz]

так чето раньше в моей голове было следующее 1841 ето роутер а пикс ето прокси с наворотами. а теперь выходит что он блин просто навороченный роутер? разьясните плз.

Роутер из него примерно такой-же, как из виндовса с включенным packet forward'ингом, даже имхо похуже. Фаервол это банальный.

[Nurmukhamed]

так чето раньше в моей голове было следующее 1841 ето роутер а пикс ето прокси с наворотами. а теперь выходит что он блин просто навороченный роутер? разьясните плз.

Роутер из него примерно такой-же, как из виндовса с включенным packet forward'ингом, даже имхо похуже. Фаервол это банальный.

так значит схема подключения будет следующей

1. инет --- 1841 ---- пикс --- 1. ДМЗ 2. внутр. сервера ДМЗ 3. пользователи.

или как то по другому?

[SergeiK]

Для задач, типа:

канал в инет 384 кбит/с без ограничений

пользователей 120 постоянных

впн соединений около 45.

1841 более чем хватит. Если софт секурный стоит.

45 мегабит 3DES на него заявленно, без доп. модуля, на 384К хватит с запасом.

Да, интерфейсов на ней можно развести сколько угодно (в пределах сотен, и с учетом общей производительности, конечно) через управляемый свич и 802.1q.

 

PIX - это не банальный firewall, а производительный, плюс VPN. Но надо смотреть на ASA.

ASA5505, самая мелкая, за примерно штуку баксов, общает 150 мегабит firewall-а.

http://www.cisco.com/en/US/products/ps6120...comparison.html