Jump to content

Выбираю transparent firewall

survivor
 Share

Recommended Posts

survivor

survivor

Posted
Posted

Доброго времени суток!

 

Посоветуйте, пожалуйста, девайс под ТЗ:

нужен прозрачный firewall, который бы не был next hop'ом в роутинге, позволял фильтровать трафик по самым разнообразным критериям (торренты, skype, web, всякие там deposit files и т.д., "одноклассники" и т.п.) и самое главное имел дружелюбный и простой для не специалиста веб.интерфейс. Траффика - несколько мегабит.

Если есть что-то из личного опыта - буду премного благодарен :)

 

Спасибо заранее!

survivor

survivor

Posted
  • Author
Posted

mikrotik -> bridge filters

 

не подскажете что бы почитать на эту тему... Если б можно было взглянуть на скриншот с интерфейса (касательно сабжа), а то у микротика очень плохо дела обстоят с документацией.

SergeiK

SergeiK

Posted
Posted (edited)

Нужно именно девайс, через который проходит трафик?

Для подобных задач можно ставить железку в стороне.

Из тех, что используем, webSense так может работать. Умеет все, что указано, в нашей схеме получая зеркалированный трафик.

Из плюсов схемы - если упал - не фильтрует и все. Трафик идет все равно.

 

Умеет работать как прокси, а вот как прозрачный фильтр - не знаю.

 

Cisco ASA может работать как прозрачный Firewall, но будет ли адекватно фильтровать контент - не могу сказать.

Для таких задач надо можно недавнее приобретение Cisco IronPort. Умеет ли он быть прозрачным - тоже не знаю.

Edited by SergeiK
survivor

survivor

Posted
  • Author
Posted
Нужно именно девайс, через который проходит трафик?

 

Именно так - есть сеть, в которой ничего нельзя менять, доступа к оборудованию и серверам нет, но нужно закрывать/открывать выход на те или иные ресурсы (соц.сети, качалки и т.д.) для локальных пользователей.

Соответственно железка должна быть полностью прозрачна и с интуитивным web управлением, так как сисадмина они под это дело нанимать не будут.

Deac

Deac

Posted
Posted

Реальная штука, только по описанию непонятно - она прозрачная или все-таки будет next hop'ом...

 

Bridge/router настраивается исходя из задачи.

Ivan_83

Ivan_83

Posted
Posted

L2+ коммутатор с ACL.

 

У PC based есть фишка: они могут пропускать сквозь себя весь не IP трафик без возможности фильтрования.

 

 

s.lobanov

s.lobanov

Posted
Posted

L2+ коммутатор с ACL.

 

Сказки и голая теория. На практике же не хватит TCAM'а как только начнёте писать ACL, в которых будут все 100500 порносайтов и вконтактов.

joesm

joesm

Posted
Posted

Cisco SCE все это делает и имеет GUI. Вот только на таком объеме трафика врядли пройдет по деньгами, но GUI... :)

survivor

survivor

Posted
  • Author
Posted

Я сам честно говоря склоняюсь к cisco ASA или mikrotik'у... но все же ни по документации и скиншотам точно не уверен подходят ли они под мою задачу: гибкая фильтрация на L3-L7 в режиме прозрачного firewall'а да еще и через GUI.

survivor

survivor

Posted
  • Author
Posted (edited)

Я так понимаю мне нужно как минимум cisco ASA 5510:

http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range

так как только там появляется "Anti-spam, anti-phishing, URL filtering", кстати а что такое:

"Content Security (Anti-virus, Anti-Spyware, File Blocking)" --- Yes (with CSC SSM)

Это как... антивирус прямо в циске всего проходящего траффика? На лету? А как он апдейтится? или я чего-то не так понимаю?

 

Насчет ASDM... мне всегда страшно не нравился обычный SDM, какой-то он ограниченный по сравнению с cli. ASDM получше будет?

Edited by survivor
survivor

survivor

Posted
  • Author
Posted

Если есть денег и надо сертификат поищите ССПТ.

 

Сертификат вообще не нужен, но железка понравилась. Только вот мой опыт общения с крониксом и натексом говорит о том, что с большой долей вероятности это какой-то невыговариваемый китайский бренд, с налепленным поверх логотипом российской компании, а в нем - ужасно глючный, ограниченный по функционалу и неудобный софт, абсолютно не поддерживаемый и не развиваемый... Обжегшись на молоке ДВАЖДЫ - воду обходишь стороной...

Ilya Evseev

Ilya Evseev

Posted
Posted

Я сам честно говоря склоняюсь к cisco ASA или mikrotik'у... но все же ни по документации и скиншотам точно не уверен подходят ли они под мою задачу: гибкая фильтрация на L3-L7 в режиме прозрачного firewall'а да еще и через GUI.

http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall

http://wiki.mikrotik.com/wiki/L7

 

Без скриншотов, но если разберётесь в CLI, то разберётесь и в WinBox'e.

DenKZ

DenKZ

Posted
Posted

Я так понимаю мне нужно как минимум cisco ASA 5510:

http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range

так как только там появляется "Anti-spam, anti-phishing, URL filtering", кстати а что такое:

"Content Security (Anti-virus, Anti-Spyware, File Blocking)" --- Yes (with CSC SSM)

Это как... антивирус прямо в циске всего проходящего траффика? На лету? А как он апдейтится? или я чего-то не так понимаю?

 

Насчет ASDM... мне всегда страшно не нравился обычный SDM, какой-то он ограниченный по сравнению с cli. ASDM получше будет?

Ну ASDM дает на выходе CLI - неудобочитаемый, а так в принципе работает... но я им не пользуюсь... CLI приятнее...

в принципе можно создать базовый конфиг посредством ASDM, затем причесать ручками (понятные имена ACL, политик), а затем уже управлятся ASDM...

Модуль SSM-AIM - это фактически отдельный писюк со своим ПО (линуксом), вставляемый в корпус ASA...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.