Jump to content
Калькуляторы

Посоветуйте оборудование/схему файервол/нат/шейпер/AD

Привет всем!

Имеется задача заменить Microsoft ISA на железное решение.

условия:

-поддержка AD

-шейпер (по пользователям/группам пользователей AD)

-NAT

-собственно файервол

-Цена решения не очень критична.

 

Имеется в наличии ASA5510, используемая ранее для VPN. Так как в данном классе оборудования я не спец, то настроить шейпер по policy не получилось (он работал, но не так гибко как требовалось). Завязать ASA и AD с горем пополам получилось через LDAP.

Вопрос собственно в том, какие реализации вообще уместны при данных условиях?

Может посоветуете железку которая все это умеет без "танцев с бубном"?

Есть ли решения, включающие сторонний шейпер до ASA (или иного файера) которое будет работать при данных условиях?

Может подскажете иные схемы реализации?

 

Спасибо за внимание, жду вашей помощи.

Share this post


Link to post
Share on other sites

У нас сейчас стоит практически аналогичная задача: найти замену Microsoft TMG. ASA рассматривали, но, к сожалению, нам она не подошла по нескольким причинам. Во-первых, уже имеем печальный опыт подвязки цисок к AD, так что хоть такая возможность и присутствует, всё же есть большие сомнения на этот счёт этой функциональности. Во-вторых, хотелось бы администрировать веб-доступ на основе категорий, как это сделано в TMG. Хоть подобная возможность в ASA - SSM с websence, - реализованно это не очень убедительно и удобно. Пока склоняемся к софтварному фаерволу, а конкретно - решениям от Checkpoint или Fortinet.

Share this post


Link to post
Share on other sites

Авторизацию в ldap на asa делал с кастомными фильтрами для групп, насчёт возможности настройки шейпера не буду ручаться.

 

на основе категорий

 

В терминах ldap это ou/o? Если да, то настраиваемо.

Share this post


Link to post
Share on other sites

В терминах ldap это ou/o? Если да, то настраиваемо.

Нет, LDAP к категориям не имеет никакого отношения. "Категории" это сущность фаервола, которая позволяет вместо разграничения доступа к конкретным адресам заниматься администрированием на уровне контента сайта. Иными словами, мы хотим запретить всем пользователям доступ в соцсети, например. И мы прописываем правило именно таким образом: блокируем доступ к категории "Социальные сети". После этого фаервол с помощью служб категоризации будет проверять адреса, на которые хочет пойти пользователь. Если запрашиваемый ресурс будет подходить под эту категорию, доступ к нему будет заблокирован.

Share this post


Link to post
Share on other sites

Это уже обсуждалось тут не раз и не два.

Парится с такой системой имеет смысл только на режимных объектах, где нельзя свой смартфон/планшет приносить, в остальных случаях это борьба с ветряными мельницами.

Share this post


Link to post
Share on other sites

Если с деньгами небогато тогда Ideco ICS, если немного поболее денег тогда Kerio, если совсем есть тогда Checkpoint и Fortigate.

Имейте в виду контентная фильтрация требует подписки у всего вышеперечисленного. У некоторых (не буду называть) может доходить в год до 5К USD и выше..

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.