survivor Опубликовано 25 июля, 2011 Доброго времени суток! Посоветуйте, пожалуйста, девайс под ТЗ: нужен прозрачный firewall, который бы не был next hop'ом в роутинге, позволял фильтровать трафик по самым разнообразным критериям (торренты, skype, web, всякие там deposit files и т.д., "одноклассники" и т.п.) и самое главное имел дружелюбный и простой для не специалиста веб.интерфейс. Траффика - несколько мегабит. Если есть что-то из личного опыта - буду премного благодарен :) Спасибо заранее! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexmern Опубликовано 25 июля, 2011 mikrotik -> bridge filters Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 25 июля, 2011 mikrotik -> bridge filters не подскажете что бы почитать на эту тему... Если б можно было взглянуть на скриншот с интерфейса (касательно сабжа), а то у микротика очень плохо дела обстоят с документацией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 25 июля, 2011 может какой-нибудь аппаратный firewall посоветуете? Cisco ASA наверное хорошее решение, но cli... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 25 июля, 2011 Неужели никто не сталкивался ни с чем подобным?! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 25 июля, 2011 Firebox от WatchGuard. http://www.rnbo.ru/catalog/2/ Для тех у кого бабла навалом, а самому разобраться в линухе желания нет. ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 25 июля, 2011 Реальная штука, только по описанию непонятно - она прозрачная или все-таки будет next hop'ом... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 25 июля, 2011 (изменено) Нужно именно девайс, через который проходит трафик? Для подобных задач можно ставить железку в стороне. Из тех, что используем, webSense так может работать. Умеет все, что указано, в нашей схеме получая зеркалированный трафик. Из плюсов схемы - если упал - не фильтрует и все. Трафик идет все равно. Умеет работать как прокси, а вот как прозрачный фильтр - не знаю. Cisco ASA может работать как прозрачный Firewall, но будет ли адекватно фильтровать контент - не могу сказать. Для таких задач надо можно недавнее приобретение Cisco IronPort. Умеет ли он быть прозрачным - тоже не знаю. Изменено 25 июля, 2011 пользователем SergeiK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 25 июля, 2011 Нужно именно девайс, через который проходит трафик? Именно так - есть сеть, в которой ничего нельзя менять, доступа к оборудованию и серверам нет, но нужно закрывать/открывать выход на те или иные ресурсы (соц.сети, качалки и т.д.) для локальных пользователей. Соответственно железка должна быть полностью прозрачна и с интуитивным web управлением, так как сисадмина они под это дело нанимать не будут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexmern Опубликовано 25 июля, 2011 у микротика очень плохо дела обстоят с документацией. Нормальная там документация - http://wiki.mikrotik.com RouterOS можно попробовать в виде демо на любом PC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 25 июля, 2011 Реальная штука, только по описанию непонятно - она прозрачная или все-таки будет next hop'ом... Bridge/router настраивается исходя из задачи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 25 июля, 2011 L2+ коммутатор с ACL. У PC based есть фишка: они могут пропускать сквозь себя весь не IP трафик без возможности фильтрования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 25 июля, 2011 L2+ коммутатор с ACL. Сказки и голая теория. На практике же не хватит TCAM'а как только начнёте писать ACL, в которых будут все 100500 порносайтов и вконтактов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shefys Опубликовано 25 июля, 2011 может какой-нибудь аппаратный firewall посоветуете? Cisco ASA наверное хорошее решение, но cli... у ASA есть ASDM ( Adaptive Security Device Manager): http://www.cisco.com/en/US/products/ps6121/index.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voicemaster Опубликовано 25 июля, 2011 Linux. eb_tables. Гуя нет. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 26 июля, 2011 Cisco SCE все это делает и имеет GUI. Вот только на таком объеме трафика врядли пройдет по деньгами, но GUI... :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 26 июля, 2011 Я сам честно говоря склоняюсь к cisco ASA или mikrotik'у... но все же ни по документации и скиншотам точно не уверен подходят ли они под мою задачу: гибкая фильтрация на L3-L7 в режиме прозрачного firewall'а да еще и через GUI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 26 июля, 2011 (изменено) Я так понимаю мне нужно как минимум cisco ASA 5510: http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range так как только там появляется "Anti-spam, anti-phishing, URL filtering", кстати а что такое: "Content Security (Anti-virus, Anti-Spyware, File Blocking)" --- Yes (with CSC SSM) Это как... антивирус прямо в циске всего проходящего траффика? На лету? А как он апдейтится? или я чего-то не так понимаю? Насчет ASDM... мне всегда страшно не нравился обычный SDM, какой-то он ограниченный по сравнению с cli. ASDM получше будет? Изменено 26 июля, 2011 пользователем survivor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 26 июля, 2011 Если есть денег и надо сертификат поищите ССПТ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 26 июля, 2011 Если есть денег и надо сертификат поищите ССПТ. Сертификат вообще не нужен, но железка понравилась. Только вот мой опыт общения с крониксом и натексом говорит о том, что с большой долей вероятности это какой-то невыговариваемый китайский бренд, с налепленным поверх логотипом российской компании, а в нем - ужасно глючный, ограниченный по функционалу и неудобный софт, абсолютно не поддерживаемый и не развиваемый... Обжегшись на молоке ДВАЖДЫ - воду обходишь стороной... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 26 июля, 2011 Я сам честно говоря склоняюсь к cisco ASA или mikrotik'у... но все же ни по документации и скиншотам точно не уверен подходят ли они под мою задачу: гибкая фильтрация на L3-L7 в режиме прозрачного firewall'а да еще и через GUI. http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall http://wiki.mikrotik.com/wiki/L7 Без скриншотов, но если разберётесь в CLI, то разберётесь и в WinBox'e. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 26 июля, 2011 (изменено) А что скажете про такую штуку: http://www.checkpoint.com/products/firewall-software-blade/index.html# и вот эта тоже очень даже ничего: http://www.fortinet.com/solutions/firewall.html Изменено 26 июля, 2011 пользователем survivor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DenKZ Опубликовано 26 июля, 2011 Я так понимаю мне нужно как минимум cisco ASA 5510: http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range так как только там появляется "Anti-spam, anti-phishing, URL filtering", кстати а что такое: "Content Security (Anti-virus, Anti-Spyware, File Blocking)" --- Yes (with CSC SSM) Это как... антивирус прямо в циске всего проходящего траффика? На лету? А как он апдейтится? или я чего-то не так понимаю? Насчет ASDM... мне всегда страшно не нравился обычный SDM, какой-то он ограниченный по сравнению с cli. ASDM получше будет? Ну ASDM дает на выходе CLI - неудобочитаемый, а так в принципе работает... но я им не пользуюсь... CLI приятнее... в принципе можно создать базовый конфиг посредством ASDM, затем причесать ручками (понятные имена ACL, политик), а затем уже управлятся ASDM... Модуль SSM-AIM - это фактически отдельный писюк со своим ПО (линуксом), вставляемый в корпус ASA... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
