Jump to content
Калькуляторы

Покритикуйте/посоветуйте девайс для реорганизации подключения к сети Интернет

Покритикуйте/посоветуйте девайс для реорганизации подключения к сети Интернет

 

Задачи.

1. Организовать новый канал подключения центрального офиса компании к сети Интернет.

2. Повысить отказоустойчивость за счет наличия аварийного канала подключения.

 

projectf.th.jpg

 

Пояснение к схеме.

1. Защита локальной сети построена на базе MS ISA Server 2006 SE, сервер будет иметь аппаратное зеркалирование HDD и отдельный HDD большого объема (750 - 1000 Gb) для логирования (исп. MSDE).

Данный сервер - существующий, после перехода на оптику планируется его серьезный апгрейд.

2. Внутри сети будет находиться сервер SERT, его задача - предоставление клиентам компании некой графической информации по запросам (сертификаты). На нем будет крутиться веб-приложение, которому требуется работа с двумя другими серверами баз данных внутри локальной сети, потому его сложно поместить в DMZ и он будет опубликован наружу.

3. Вне локальной сети но физически в серверной на территории предприятия находятся корпоративные сервера почты и веб (несколько сайтов).

4. В дополнение к существующему подключению (через "медь" и SHDSL модем) будет проведена новая ВОЛС - симметричный канал со скоростью подключения к сети Интернет 100 МБит/с (страна) и 2 МБит/с (мир).

5. ВОЛЗ представляет собой оптику, заведенную в медиаконвертер, т.е. с нашей стороны это обычный Ethernet.

 

Вопрос.

До сих пор колеблюсь в выборе устройства "промежуточного подключения" (на схеме обозначено знаком вопроса).

1. С одной стороны правильнее в его роли использовать аппаратный межсетевой экран вроде

http://dlink.ru/ru/products/6/572.html

(на циску денег точно не дадут, кризис...).

2. С другой - не менее логично использовать в таком качестве обычный ПК с несколькими сетевыми например под FreeBSD с ipfw & MRTG (для отображения загрузки каналов).

3. Есть еще вариант просто тупо воткнуть вместо знака вопроса какую-нибудь продвинутую "мыльницу вроде"

http://dlink.ru/ru/products/1/731_b.html

но тогда придется на серверах почты и веб подымать свои файерволлы, да и как-то "стремно" с точки зрения нагрузки.

 

Достоинства первого - "аппаратность" (т.е. в теории надежность), меньшая вероятность наличия уязвимостей (хотя подозреваю что внутри той коробки тот же острозаточенный линух).

Достоинства второго - относительная дешевизна решения, простота модификации/апгрейда.

 

По поводу балансировки нагрузки или автоматического переключения на резервный канал - для первого варианта она вроде уже есть "в коробке", для другого - также вполне решаема (вариантов масса).

 

Что скажете ?

Edited by Allan Stark

Share this post


Link to post
Share on other sites

А потянет ли иса2006 !?

Особенное если хттп кешируется на ней.

 

 

1. Есть веб эмулятор интерфейса дфлек, посмотрите, сможете ли вы настроить там переключение на бэкапный канал.

(на 210 или я не нашёл или никак не делается)

да, там линукс, есть доп функционал в виде подписки на IDS и ещё чего то, вроде лицензия апгрейдится чтобы оно больше могло.

2. Отказоустойчивость ниже, или делайте на флешке/ssd и RO.

 

 

Вы не написали цифры нагрузки каналов/сколько пользователей/сколько от вас контента идёт.

Share this post


Link to post
Share on other sites

Купите DES-3028 и радуйтесь наличию аппаратного L2/L4 фаервола

По мне так фаеры лучше всего строить именно на тахих свичах.

 

1. Защита локальной сети построена на базе MS ISA Server 2006 SE, сервер будет иметь аппаратное зеркалирование HDD и отдельный HDD большого объема (750 - 1000 Gb) для логирования (исп. MSDE)..
Это не защита

 

Самая нормальная защита - на уровне ethernet

Share this post


Link to post
Share on other sites

Предлагаю реализовать типовую конфигурацию "DMZ с двумя файрволами". http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)

В качестве внешнего файрвола нужно поставить машину с FreeBSD и PF (или Linux, по вкусу), с гигабитными сетевухами Intel или Broadcom. Внутренний файрвол (ISA) у вас уже есть. Для соединений внутри DMZ (между файрволами и серверами) лучше поставить какой-либо необремененный интеллектом коммутатор.

 

С одной стороны правильнее в его роли использовать аппаратный межсетевой экран вроде http://dlink.ru/ru/products/6/572.html
Это решение не более аппаратное, чем обычный PC, там скорее всего стоит специализированная версия Linux.

 

Купите DES-3028 и радуйтесь наличию аппаратного L2/L4 фаервола
В придачу к этому мы получаем гемор с синтаксисом ACL и ограничением их количества на порт. Кроме того, в ASIC реализован лишь stateless filtering, который не предотвращает ряд атак на TCP.

 

Самая нормальная защита - на уровне ethernet
Это глупо. Большинство сетевых атак направлено на прикладные сервисы. Самая надежная, она же самая ресурсоемкая -- это проверка трафика на прикладном уровне с помощью IDS/IPS-систем. Коммутаторы этого делать по определению не умеют.
Edited by photon

Share this post


Link to post
Share on other sites
Купите DES-3028 и радуйтесь наличию аппаратного L2/L4 фаервола
В придачу к этому мы получаем гемор с синтаксисом ACL и ограничением их количества на порт. Кроме того, в ASIC реализован лишь stateless filtering, который не предотвращает ряд атак на TCP.
не путайте 3028 и 3526. В 3526 действительно ограничение на порт, на 3028 этого нет, поэтому и посоветовал.

По поводу синтаксиса - дело привычки.

 

Самая нормальная защита - на уровне ethernet
Это глупо. Большинство сетевых атак направлено на прикладные сервисы. Самая надежная, она же самая ресурсоемкая -- это проверка трафика на прикладном уровне с помощью IDS/IPS-систем. Коммутаторы этого делать по определению не умеют.

У человека стоит иса, не будем её обсуждать. Если же так, то почему бы не сделать разрешение на доступ к сервисам только определённым IP адресам на определённые сервисы, при том на уровне коммутации?

Из-вне такое врятли вообще можно обойти.

 

photon, ну если вообще всё рулезно сделать - cisco ip intercept + access-list автору в руки.

Share this post


Link to post
Share on other sites

не путайте 3028 и 3526. В 3526 действительно ограничение на порт, на 3028 этого нет

а теперь напишите на 3028 ряд PCM ACL правил на порт и убедитесь что граничение таки есть ... ЕМНИМС там > 5 нельзя, а ведь Вас же дети читать могут

Share this post


Link to post
Share on other sites

кто то нынче атакует TCP?

TCP атакуют, но значительно меньше, чем раньше. Сейчас самое слабое место -- это глупые юзеры, а также веб-приложения и сервисы, написанные криворукими программистами. Вот эти цели чаще всего и атакуют. Атаки на TCP сейчас менее актуальны также и потому что админы массово отказываются от plain text протоколов и переходят на SSH, SMTP over SSL и т.п., активно используют файрволы со stateful inspection.

Edited by photon

Share this post


Link to post
Share on other sites
У человека стоит иса, не будем её обсуждать. Если же так, то почему бы не сделать разрешение на доступ к сервисам только определённым IP адресам на определённые сервисы, при том на уровне коммутации?

Из-вне такое врятли вообще можно обойти.

В модели сетевого взаимодействия нет никакого "уровня коммутации", есть data link layer, он же layer 2. Прочитайте на досуге книгу Таненбаума или Олиферов. Вся надежность этого решения держится только на том, что свич с неведомой бинарной прошивкой якобы труднее атаковать, чем открытые ОС FreeBSD или Linux, которые у всех есть. Корпоративный файрвол должен быть файрволом с нормальным синтаксисом правил, со stateful inspection, контролем скорости установки соединений и поддержкой таблиц IP-адресов. А DES-3028 вы лучше ставьте пользователям на чердаках подъездов (или парадных, как угодно), им там самое место.
Edited by photon

Share this post


Link to post
Share on other sites

Разъясняю по-порядку.

 

Используется схема "двойного забора".

ИСА - справится, т.к. она стоит именно для контроля прыжков юзеров за пределы сети локальной офиса (на клиентах стоит агент исы, в логи пишется все, вплоть до то, какое приложение на стороне клиента и куда лезло).

Во всяком случае кол-во пользователей остается прежним и в данный момент иса на сервере довольно не первой свежести прекрасно справляется (> 100 пользователей) с нагрузкой, половина может работать только с почтой, трафик шейпится bandwith-сплиттером по полмегабита в одни руки.

 

Внешнее устройство (знак вопроса) планируется использовать для отрезки всего незапрошенного трафика снаружи трафика (дабы не напрягать логи исы), для аварийного переключения всей системы на резервный канал и для шейпинга трафика.

С офиса вполне будет достаточным ограничить общую скорость 10-20 мегабит, остальное - на почтовый и веб-сервера и в потенциальный резерв.

Share this post


Link to post
Share on other sites
Разъясняю по-порядку.

 

Внешнее устройство (знак вопроса) планируется использовать для отрезки всего незапрошенного трафика снаружи трафика (дабы не напрягать логи исы), для аварийного переключения всей системы на резервный канал и для шейпинга трафика.

С офиса вполне будет достаточным ограничить общую скорость 10-20 мегабит, остальное - на почтовый и веб-сервера и в потенциальный резерв.

все это, кроме шейпинга - Cisco ASA и ей подобные, всякие д-линки на этот функционал ставить ну разве что для любителей безвыигрышных лотерей:-) если есть величайшее желание спичечной экономии, то *nix на обычном PC, однако надо понимать, что делаете и делать правильно

Share this post


Link to post
Share on other sites

Сегодня лазал на сайт длинка за прошивкой к дфл210, там как раз есть доки со скриншотами как настраивать переключение на резервный канал и как разные сервисы на разные каналы пускать.

На русском и на иглише на их фтп.

Share this post


Link to post
Share on other sites

все это, кроме шейпинга - Cisco ASA и ей подобные, всякие д-линки на этот функционал ставить ну разве что для любителей безвыигрышных лотерей:-) если есть величайшее желание спичечной экономии, то *nix на обычном PC, однако надо понимать, что делаете и делать правильно

Cisco ASA, как и PIX, сделаны на PC-шном железе. Смешно платить сумму около $10000, например, за ASA 5550, в котором стоит Pentium 4. Это для больших корпораций хорошо, они денег не считают, им просто нужны готовые решения. Если собирать самому на базе Linux или FreeBSD, экономия получится весьма не спичечная.

Edited by photon

Share this post


Link to post
Share on other sites
все это, кроме шейпинга - Cisco ASA и ей подобные, всякие д-линки на этот функционал ставить ну разве что для любителей безвыигрышных лотерей:-) если есть величайшее желание спичечной экономии, то *nix на обычном PC, однако надо понимать, что делаете и делать правильно
Cisco ASA, как и PIX, сделаны на PC-шном железе. Смешно платить сумму около $10000, например, за ASA 5550, в котором стоит Pentium 4. Это для больших корпораций хорошо, они денег не считают, им просто нужны готовые решения. Если собирать самому на базе Linux или FreeBSD, экономия получится весьма не спичечная.

есть на этот счет скажем так более одного мнения

покупается железо как раз теми, кто очень хорошо умеет считать деньги и кто уже наигрался в софтофаерволы и в софтороутеры, хоть и не отрицаю - требуемого функционала добиться от *nix решений можно и не ахти сложно, но спать по ночам спокойно уже труднее с такой инфраструктурой

Share this post


Link to post
Share on other sites
есть на этот счет скажем так более одного мнения

покупается железо как раз теми, кто очень хорошо умеет считать деньги и кто уже наигрался в софтофаерволы и в софтороутеры, хоть и не отрицаю - требуемого функционала добиться от *nix решений можно и не ахти сложно, но спать по ночам спокойно уже труднее с такой инфраструктурой

Вы так говорите, как будто в ASA не PC-шное железо и софт, в котором еще ни разу не находили уязвимостей. В младших моделях ASA используются сетевухи с чипами Marvell, такие же как и в обычных десктопных материнках, а также процессоры Pentium 4 и даже менее мощные. Многопроцессорные конфигурации с AMD Opteron -- только в топовых моделях, которые стоят несколько десятков тысяч. При этом в Интернете полно сообщений об уязвимостях в ASA и PIX. Смысл ставить ASA есть, когда у вас вся корпоративная сеть построена на оборудовании Cisco. Тогда нужно поставить и файрволы Cisco, чтобы можно было управлять всем хозяйством через CiscoWorks. А в небольших конторах одиноко стоящая ASA не дает каких-либо преимуществ перед хорошо настроенным файрволом на *nix и нормальном серверном железе.
Edited by photon

Share this post


Link to post
Share on other sites
Вы так говорите, как будто в ASA не PC-шное железо и софт, в котором еще ни разу не находили уязвимостей. В младших моделях ASA используются сетевухи с чипами Marvell, такие же как и в обычных десктопных материнках, а также процессоры Pentium 4 и даже менее мощные. Многопроцессорные конфигурации с AMD Opteron -- только в топовых моделях, которые стоят несколько десятков тысяч. При этом в Интернете полно сообщений об уязвимостях в ASA и PIX. Смысл ставить ASA есть, когда у вас вся корпоративная сеть построена на оборудовании Cisco. Тогда нужно поставить и файрволы Cisco, чтобы можно было управлять всем хозяйством через CiscoWorks. А в небольших конторах одиноко стоящая ASA не дает каких-либо преимуществ перед хорошо настроенным файрволом на *nix и нормальном серверном железе.

есть у меня устойчивое мнение, что я сейчас разговариваю о вкусе апельсинов с человеком, который их никогда не ел:-))) начитавшись обзоров в сети и настроив парочку никс-роутеров, пусть даже и качественно, сидеть рассуждать о том, что имея ASA на пень-4 и простой сервант общего назначения на том же пень-4 и получить одинаковую производительность хотя бы в NAT, может только человек, который железа толкового в руках не держал

все сугубо IMHO :-)

Edited by White_Alex

Share this post


Link to post
Share on other sites

Тогда давайте сравним по стоимости решения. ASA 5550 стоит около $11000. Примерно за 2-3 тысячи можно купить современный сервер с Xeon 5500. Неужели ASA со своим Pentium 4 сделает NAT при большем пакетрейте, чем Linux или FreeBSD на Xeon 5500? Не верю.

 

Именно с ASA я не работал, да, но насмотрелся на Cisco 7200 и даже на 7600 без Sup 720, умиравшие при включении NAT на потоке, с которым справлялись FreeBSD или Linux. Без аппаратного NAT не самые отсталые маршрутизаторы уступают PC-шным решениям только из-за того, что в них стоят дохлые CPU.

Edited by photon

Share this post


Link to post
Share on other sites
Именно с ASA я не работал, да, но насмотрелся на Cisco 7200 и даже на 7600 без Sup 720

Предчувствия меня не обманули:-)

 

Share this post


Link to post
Share on other sites
Предчувствия меня не обманули:-)

Озвучьте, сколько в долларах 2гигабита in+out NAT средними пакетами на 300-400k states получается ? Вместе посмеемся ;-)

Share this post


Link to post
Share on other sites
Озвучьте, сколько в долларах 2гигабита in+out NAT средними пакетами на 300-400k states получается ? Вместе посмеемся ;-)

стоимость инженеров-гастарбайтеров с таттуина нивелирует нафик все профиты от экономии на софторутерах:-)

Share this post


Link to post
Share on other sites

стоимость инженеров-гастарбайтеров с таттуина нивелирует нафик все профиты от экономии на софторутерах:-)

Вот поэтому не надо нанимать узких специалистов, которые кроме Cisco ничего не знают и знать не хотят. По сути, *nix сложнее поддерживать, чем IOS только из-за нетривиального шелла и построенной на нем системы инициализации, а также из-за чрезмерного разнообразия в форматах конфигурационных файлов. Тем не менее, существуют вполне удачные попытки избавить *nix от этих недостатков: JunOS и Vyatta. Подозреваю, что и в ASA стоит какой-то допиленный Linux с шеллом в стиле IOS и с фирменными разработками для IPS и content filtering.

Edited by photon

Share this post


Link to post
Share on other sites
Озвучьте, сколько в долларах 2гигабита in+out NAT средними пакетами на 300-400k states получается ? Вместе посмеемся ;-)

стоимость инженеров-гастарбайтеров с таттуина нивелирует нафик все профиты от экономии на софторутерах:-)

Ну-ну, поучите нас бизнесу... кхе...

Share this post


Link to post
Share on other sites

jab

Ну-ну, поучите нас бизнесу... кхе..

и не думал даже пытаться, каждый сам себе дорогу выбирает (я не про кокс:-))

 

photon

Вот поэтому не надо нанимать узких специалистов, которые кроме Cisco ничего не знают и знать не хотят.

Вы сейчас про кого-то конкретно?:-)

Share this post


Link to post
Share on other sites

Вы сейчас про кого-то конкретно?:-)

Нет. Это к вопросу о причинах "безальтернативности" Cisco.

Edited by photon

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this