Перейти к содержимому
Калькуляторы

Выбираю transparent firewall с дружелюбным GUI

Доброго времени суток!

 

Посоветуйте, пожалуйста, девайс под ТЗ:

нужен прозрачный firewall, который бы не был next hop'ом в роутинге, позволял фильтровать трафик по самым разнообразным критериям (торренты, skype, web, всякие там deposit files и т.д., "одноклассники" и т.п.) и самое главное имел дружелюбный и простой для не специалиста веб.интерфейс. Траффика - несколько мегабит.

Если есть что-то из личного опыта - буду премного благодарен :)

 

Спасибо заранее!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

mikrotik -> bridge filters

 

не подскажете что бы почитать на эту тему... Если б можно было взглянуть на скриншот с интерфейса (касательно сабжа), а то у микротика очень плохо дела обстоят с документацией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

может какой-нибудь аппаратный firewall посоветуете? Cisco ASA наверное хорошее решение, но cli...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Неужели никто не сталкивался ни с чем подобным?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Firebox от WatchGuard.

http://www.rnbo.ru/catalog/2/

Для тех у кого бабла навалом, а самому разобраться в линухе желания нет. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Реальная штука, только по описанию непонятно - она прозрачная или все-таки будет next hop'ом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нужно именно девайс, через который проходит трафик?

Для подобных задач можно ставить железку в стороне.

Из тех, что используем, webSense так может работать. Умеет все, что указано, в нашей схеме получая зеркалированный трафик.

Из плюсов схемы - если упал - не фильтрует и все. Трафик идет все равно.

 

Умеет работать как прокси, а вот как прозрачный фильтр - не знаю.

 

Cisco ASA может работать как прозрачный Firewall, но будет ли адекватно фильтровать контент - не могу сказать.

Для таких задач надо можно недавнее приобретение Cisco IronPort. Умеет ли он быть прозрачным - тоже не знаю.

Изменено пользователем SergeiK

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Нужно именно девайс, через который проходит трафик?

 

Именно так - есть сеть, в которой ничего нельзя менять, доступа к оборудованию и серверам нет, но нужно закрывать/открывать выход на те или иные ресурсы (соц.сети, качалки и т.д.) для локальных пользователей.

Соответственно железка должна быть полностью прозрачна и с интуитивным web управлением, так как сисадмина они под это дело нанимать не будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у микротика очень плохо дела обстоят с документацией.

Нормальная там документация - http://wiki.mikrotik.com

 

RouterOS можно попробовать в виде демо на любом PC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Реальная штука, только по описанию непонятно - она прозрачная или все-таки будет next hop'ом...

 

Bridge/router настраивается исходя из задачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2+ коммутатор с ACL.

 

У PC based есть фишка: они могут пропускать сквозь себя весь не IP трафик без возможности фильтрования.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2+ коммутатор с ACL.

 

Сказки и голая теория. На практике же не хватит TCAM'а как только начнёте писать ACL, в которых будут все 100500 порносайтов и вконтактов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

может какой-нибудь аппаратный firewall посоветуете? Cisco ASA наверное хорошее решение, но cli...

 

у ASA есть ASDM ( Adaptive Security Device Manager): http://www.cisco.com/en/US/products/ps6121/index.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco SCE все это делает и имеет GUI. Вот только на таком объеме трафика врядли пройдет по деньгами, но GUI... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я сам честно говоря склоняюсь к cisco ASA или mikrotik'у... но все же ни по документации и скиншотам точно не уверен подходят ли они под мою задачу: гибкая фильтрация на L3-L7 в режиме прозрачного firewall'а да еще и через GUI.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я так понимаю мне нужно как минимум cisco ASA 5510:

http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range

так как только там появляется "Anti-spam, anti-phishing, URL filtering", кстати а что такое:

"Content Security (Anti-virus, Anti-Spyware, File Blocking)" --- Yes (with CSC SSM)

Это как... антивирус прямо в циске всего проходящего траффика? На лету? А как он апдейтится? или я чего-то не так понимаю?

 

Насчет ASDM... мне всегда страшно не нравился обычный SDM, какой-то он ограниченный по сравнению с cli. ASDM получше будет?

Изменено пользователем survivor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если есть денег и надо сертификат поищите ССПТ.

 

Сертификат вообще не нужен, но железка понравилась. Только вот мой опыт общения с крониксом и натексом говорит о том, что с большой долей вероятности это какой-то невыговариваемый китайский бренд, с налепленным поверх логотипом российской компании, а в нем - ужасно глючный, ограниченный по функционалу и неудобный софт, абсолютно не поддерживаемый и не развиваемый... Обжегшись на молоке ДВАЖДЫ - воду обходишь стороной...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я сам честно говоря склоняюсь к cisco ASA или mikrotik'у... но все же ни по документации и скиншотам точно не уверен подходят ли они под мою задачу: гибкая фильтрация на L3-L7 в режиме прозрачного firewall'а да еще и через GUI.

http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall

http://wiki.mikrotik.com/wiki/L7

 

Без скриншотов, но если разберётесь в CLI, то разберётесь и в WinBox'e.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что скажете про такую штуку: http://www.checkpoint.com/products/firewall-software-blade/index.html#

и вот эта тоже очень даже ничего: http://www.fortinet.com/solutions/firewall.html

Изменено пользователем survivor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я так понимаю мне нужно как минимум cisco ASA 5510:

http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range

так как только там появляется "Anti-spam, anti-phishing, URL filtering", кстати а что такое:

"Content Security (Anti-virus, Anti-Spyware, File Blocking)" --- Yes (with CSC SSM)

Это как... антивирус прямо в циске всего проходящего траффика? На лету? А как он апдейтится? или я чего-то не так понимаю?

 

Насчет ASDM... мне всегда страшно не нравился обычный SDM, какой-то он ограниченный по сравнению с cli. ASDM получше будет?

Ну ASDM дает на выходе CLI - неудобочитаемый, а так в принципе работает... но я им не пользуюсь... CLI приятнее...

в принципе можно создать базовый конфиг посредством ASDM, затем причесать ручками (понятные имена ACL, политик), а затем уже управлятся ASDM...

Модуль SSM-AIM - это фактически отдельный писюк со своим ПО (линуксом), вставляемый в корпус ASA...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас