[SCRoll]

Привет всем!

Имеется задача заменить Microsoft ISA на железное решение.

условия:

-поддержка AD

-шейпер (по пользователям/группам пользователей AD)

-NAT

-собственно файервол

-Цена решения не очень критична.

 

Имеется в наличии ASA5510, используемая ранее для VPN. Так как в данном классе оборудования я не спец, то настроить шейпер по policy не получилось (он работал, но не так гибко как требовалось). Завязать ASA и AD с горем пополам получилось через LDAP.

Вопрос собственно в том, какие реализации вообще уместны при данных условиях?

Может посоветуете железку которая все это умеет без "танцев с бубном"?

Есть ли решения, включающие сторонний шейпер до ASA (или иного файера) которое будет работать при данных условиях?

Может подскажете иные схемы реализации?

 

Спасибо за внимание, жду вашей помощи.

[dr Tr0jan]

У нас сейчас стоит практически аналогичная задача: найти замену Microsoft TMG. ASA рассматривали, но, к сожалению, нам она не подошла по нескольким причинам. Во-первых, уже имеем печальный опыт подвязки цисок к AD, так что хоть такая возможность и присутствует, всё же есть большие сомнения на этот счёт этой функциональности. Во-вторых, хотелось бы администрировать веб-доступ на основе категорий, как это сделано в TMG. Хоть подобная возможность в ASA - SSM с websence, - реализованно это не очень убедительно и удобно. Пока склоняемся к софтварному фаерволу, а конкретно - решениям от Checkpoint или Fortinet.

[uxcr]

Авторизацию в ldap на asa делал с кастомными фильтрами для групп, насчёт возможности настройки шейпера не буду ручаться.

 

на основе категорий

 

В терминах ldap это ou/o? Если да, то настраиваемо.

[myst]

Fortigate, Checkpoint (это к слову "цена не критична")

Изменено 26 июня, 2014 пользователем myst

[dr Tr0jan]

В терминах ldap это ou/o? Если да, то настраиваемо.

Нет, LDAP к категориям не имеет никакого отношения. "Категории" это сущность фаервола, которая позволяет вместо разграничения доступа к конкретным адресам заниматься администрированием на уровне контента сайта. Иными словами, мы хотим запретить всем пользователям доступ в соцсети, например. И мы прописываем правило именно таким образом: блокируем доступ к категории "Социальные сети". После этого фаервол с помощью служб категоризации будет проверять адреса, на которые хочет пойти пользователь. Если запрашиваемый ресурс будет подходить под эту категорию, доступ к нему будет заблокирован.

[Ivan_83]

Это уже обсуждалось тут не раз и не два.

Парится с такой системой имеет смысл только на режимных объектах, где нельзя свой смартфон/планшет приносить, в остальных случаях это борьба с ветряными мельницами.

[vv11]

Если с деньгами небогато тогда Ideco ICS, если немного поболее денег тогда Kerio, если совсем есть тогда Checkpoint и Fortigate.

Имейте в виду контентная фильтрация требует подписки у всего вышеперечисленного. У некоторых (не буду называть) может доходить в год до 5К USD и выше..