Jump to content
Калькуляторы

Посоветуйте оборудование/схему файервол/нат/шейпер/AD

Привет всем!

Имеется задача заменить Microsoft ISA на железное решение.

условия:

-поддержка AD

-шейпер (по пользователям/группам пользователей AD)

-NAT

-собственно файервол

-Цена решения не очень критична.

 

Имеется в наличии ASA5510, используемая ранее для VPN. Так как в данном классе оборудования я не спец, то настроить шейпер по policy не получилось (он работал, но не так гибко как требовалось). Завязать ASA и AD с горем пополам получилось через LDAP.

Вопрос собственно в том, какие реализации вообще уместны при данных условиях?

Может посоветуете железку которая все это умеет без "танцев с бубном"?

Есть ли решения, включающие сторонний шейпер до ASA (или иного файера) которое будет работать при данных условиях?

Может подскажете иные схемы реализации?

 

Спасибо за внимание, жду вашей помощи.

Share this post


Link to post
Share on other sites

У нас сейчас стоит практически аналогичная задача: найти замену Microsoft TMG. ASA рассматривали, но, к сожалению, нам она не подошла по нескольким причинам. Во-первых, уже имеем печальный опыт подвязки цисок к AD, так что хоть такая возможность и присутствует, всё же есть большие сомнения на этот счёт этой функциональности. Во-вторых, хотелось бы администрировать веб-доступ на основе категорий, как это сделано в TMG. Хоть подобная возможность в ASA - SSM с websence, - реализованно это не очень убедительно и удобно. Пока склоняемся к софтварному фаерволу, а конкретно - решениям от Checkpoint или Fortinet.

Share this post


Link to post
Share on other sites

Авторизацию в ldap на asa делал с кастомными фильтрами для групп, насчёт возможности настройки шейпера не буду ручаться.

 

на основе категорий

 

В терминах ldap это ou/o? Если да, то настраиваемо.

Share this post


Link to post
Share on other sites

Fortigate, Checkpoint (это к слову "цена не критична")

Edited by myst

Share this post


Link to post
Share on other sites

В терминах ldap это ou/o? Если да, то настраиваемо.

Нет, LDAP к категориям не имеет никакого отношения. "Категории" это сущность фаервола, которая позволяет вместо разграничения доступа к конкретным адресам заниматься администрированием на уровне контента сайта. Иными словами, мы хотим запретить всем пользователям доступ в соцсети, например. И мы прописываем правило именно таким образом: блокируем доступ к категории "Социальные сети". После этого фаервол с помощью служб категоризации будет проверять адреса, на которые хочет пойти пользователь. Если запрашиваемый ресурс будет подходить под эту категорию, доступ к нему будет заблокирован.

Share this post


Link to post
Share on other sites

Это уже обсуждалось тут не раз и не два.

Парится с такой системой имеет смысл только на режимных объектах, где нельзя свой смартфон/планшет приносить, в остальных случаях это борьба с ветряными мельницами.

Share this post


Link to post
Share on other sites

Если с деньгами небогато тогда Ideco ICS, если немного поболее денег тогда Kerio, если совсем есть тогда Checkpoint и Fortigate.

Имейте в виду контентная фильтрация требует подписки у всего вышеперечисленного. У некоторых (не буду называть) может доходить в год до 5К USD и выше..

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this