SCRoll Posted June 26, 2014 · Report post Привет всем! Имеется задача заменить Microsoft ISA на железное решение. условия: -поддержка AD -шейпер (по пользователям/группам пользователей AD) -NAT -собственно файервол -Цена решения не очень критична. Имеется в наличии ASA5510, используемая ранее для VPN. Так как в данном классе оборудования я не спец, то настроить шейпер по policy не получилось (он работал, но не так гибко как требовалось). Завязать ASA и AD с горем пополам получилось через LDAP. Вопрос собственно в том, какие реализации вообще уместны при данных условиях? Может посоветуете железку которая все это умеет без "танцев с бубном"? Есть ли решения, включающие сторонний шейпер до ASA (или иного файера) которое будет работать при данных условиях? Может подскажете иные схемы реализации? Спасибо за внимание, жду вашей помощи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted June 26, 2014 · Report post У нас сейчас стоит практически аналогичная задача: найти замену Microsoft TMG. ASA рассматривали, но, к сожалению, нам она не подошла по нескольким причинам. Во-первых, уже имеем печальный опыт подвязки цисок к AD, так что хоть такая возможность и присутствует, всё же есть большие сомнения на этот счёт этой функциональности. Во-вторых, хотелось бы администрировать веб-доступ на основе категорий, как это сделано в TMG. Хоть подобная возможность в ASA - SSM с websence, - реализованно это не очень убедительно и удобно. Пока склоняемся к софтварному фаерволу, а конкретно - решениям от Checkpoint или Fortinet. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uxcr Posted June 26, 2014 · Report post Авторизацию в ldap на asa делал с кастомными фильтрами для групп, насчёт возможности настройки шейпера не буду ручаться. на основе категорий В терминах ldap это ou/o? Если да, то настраиваемо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted June 26, 2014 (edited) · Report post Fortigate, Checkpoint (это к слову "цена не критична") Edited June 26, 2014 by myst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dr Tr0jan Posted June 26, 2014 · Report post В терминах ldap это ou/o? Если да, то настраиваемо. Нет, LDAP к категориям не имеет никакого отношения. "Категории" это сущность фаервола, которая позволяет вместо разграничения доступа к конкретным адресам заниматься администрированием на уровне контента сайта. Иными словами, мы хотим запретить всем пользователям доступ в соцсети, например. И мы прописываем правило именно таким образом: блокируем доступ к категории "Социальные сети". После этого фаервол с помощью служб категоризации будет проверять адреса, на которые хочет пойти пользователь. Если запрашиваемый ресурс будет подходить под эту категорию, доступ к нему будет заблокирован. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted June 26, 2014 · Report post Это уже обсуждалось тут не раз и не два. Парится с такой системой имеет смысл только на режимных объектах, где нельзя свой смартфон/планшет приносить, в остальных случаях это борьба с ветряными мельницами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vv11 Posted July 1, 2014 · Report post Если с деньгами небогато тогда Ideco ICS, если немного поболее денег тогда Kerio, если совсем есть тогда Checkpoint и Fortigate. Имейте в виду контентная фильтрация требует подписки у всего вышеперечисленного. У некоторых (не буду называть) может доходить в год до 5К USD и выше.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...