SCRoll Posted June 26, 2014 Posted June 26, 2014 Привет всем! Имеется задача заменить Microsoft ISA на железное решение. условия: -поддержка AD -шейпер (по пользователям/группам пользователей AD) -NAT -собственно файервол -Цена решения не очень критична. Имеется в наличии ASA5510, используемая ранее для VPN. Так как в данном классе оборудования я не спец, то настроить шейпер по policy не получилось (он работал, но не так гибко как требовалось). Завязать ASA и AD с горем пополам получилось через LDAP. Вопрос собственно в том, какие реализации вообще уместны при данных условиях? Может посоветуете железку которая все это умеет без "танцев с бубном"? Есть ли решения, включающие сторонний шейпер до ASA (или иного файера) которое будет работать при данных условиях? Может подскажете иные схемы реализации? Спасибо за внимание, жду вашей помощи. Вставить ник Quote
dr Tr0jan Posted June 26, 2014 Posted June 26, 2014 У нас сейчас стоит практически аналогичная задача: найти замену Microsoft TMG. ASA рассматривали, но, к сожалению, нам она не подошла по нескольким причинам. Во-первых, уже имеем печальный опыт подвязки цисок к AD, так что хоть такая возможность и присутствует, всё же есть большие сомнения на этот счёт этой функциональности. Во-вторых, хотелось бы администрировать веб-доступ на основе категорий, как это сделано в TMG. Хоть подобная возможность в ASA - SSM с websence, - реализованно это не очень убедительно и удобно. Пока склоняемся к софтварному фаерволу, а конкретно - решениям от Checkpoint или Fortinet. Вставить ник Quote
uxcr Posted June 26, 2014 Posted June 26, 2014 Авторизацию в ldap на asa делал с кастомными фильтрами для групп, насчёт возможности настройки шейпера не буду ручаться. на основе категорий В терминах ldap это ou/o? Если да, то настраиваемо. Вставить ник Quote
myst Posted June 26, 2014 Posted June 26, 2014 (edited) Fortigate, Checkpoint (это к слову "цена не критична") Edited June 26, 2014 by myst Вставить ник Quote
dr Tr0jan Posted June 26, 2014 Posted June 26, 2014 В терминах ldap это ou/o? Если да, то настраиваемо. Нет, LDAP к категориям не имеет никакого отношения. "Категории" это сущность фаервола, которая позволяет вместо разграничения доступа к конкретным адресам заниматься администрированием на уровне контента сайта. Иными словами, мы хотим запретить всем пользователям доступ в соцсети, например. И мы прописываем правило именно таким образом: блокируем доступ к категории "Социальные сети". После этого фаервол с помощью служб категоризации будет проверять адреса, на которые хочет пойти пользователь. Если запрашиваемый ресурс будет подходить под эту категорию, доступ к нему будет заблокирован. Вставить ник Quote
Ivan_83 Posted June 26, 2014 Posted June 26, 2014 Это уже обсуждалось тут не раз и не два. Парится с такой системой имеет смысл только на режимных объектах, где нельзя свой смартфон/планшет приносить, в остальных случаях это борьба с ветряными мельницами. Вставить ник Quote
vv11 Posted July 1, 2014 Posted July 1, 2014 Если с деньгами небогато тогда Ideco ICS, если немного поболее денег тогда Kerio, если совсем есть тогда Checkpoint и Fortigate. Имейте в виду контентная фильтрация требует подписки у всего вышеперечисленного. У некоторых (не буду называть) может доходить в год до 5К USD и выше.. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.