Какой аппаратный межсетевой экран выбрать?

Question

[Snort]

Посоветуйте какой ни будь межсетевой экран аппаратный, раньше работал только с программными вот сейчас решил попробовать такой поставить. Из функционала пока интересует учет трафика, ограничение трафика(traffic shaper), фильтрация контента.

Answer 1

[Archangel]

Никакой. Слишком много геморроя вы себе приобретете. Не зависимо от того, что выберете. Для того, чтобы получить учет трафика и логирование придется разворачивать полноценный биллинг, с RADIUS-ом, NetFlow, инспекцией трафика и прочими заморочками, которые не прибавят производительности устройству, между прочим. Для фильтрации урлов на основе категорий, придется ставить внешний сервер, а не редко и платить за подписку на эти самые базы (это если мы, например про Cisco). К тому же еще и куча ручной работы, для парсинга логов.
Железных решений "все-в-одном" я не встречал.
Тут стоит конкретизировать задачу. Почему именно аппаратное решение. Но в любом случаи, мне кажется - оно того не стоит, если конечно нет какого-нибудь мега-аргумента.

Comments

[Salavat Sharapov]

Солидарен!

[Snort]

Есть опыт или просто набор теории, я просто за много лет работы первый раз слышу что для учета трафика нужен радиус, а для черных/белых листов доступа подписка на внешнее базы!

[Archangel]

Опыт есть. И он подсказывает, что не стоит.
Что касается RADIUS-а, то для подсчета статистики он сам по себе не нужен, он нужен для авторизации пользователей, хотя для акаунтинга его тоже можно (и по-хорошему нужно) использовать. Без него статистика безусловно соберется, но в ней будут фигурировать только IP-адреса. Ну максимум, в случаи плоской сети, еще и mac-адреса. Для того, чтобы иметь статистику по пользователям, придется использовать aaa, и скорее всего это будет именно радиус, т.к. остальные решения так или иначе проприетарны и вендорозависимы, либо локальная БД самого устройства, что тоже не придаст удобства.
Фильтрация URL-ов тоже возможна на самом устройстве, по крайней мере на некоторых. Но во-первых управлять и сопровождать это - сущий ад. Во-вторых, при отсутствии категоризации и политик на основе категорий, защита получается "от честных людей", либо придется ОЧЕНЬ большие списки делать, а интерфейс абсолютного большинства устройств к этому совершенно не располагает (просто посмотрите, например, как в ASA class-map-ами фильтровать URL-ы без внешнего сервера).
Т.е. решить вашу задачу "аппаратными" решениями безусловно можно, даже с полноценным логированием, Го и поэтессами, но это во-первых не будет решением "в одной коробке", а во-вторых наплодит кучу лишних сущностей, что в свою очередь увеличит нагрузку на вас и усложнит траблшутинг, если вдруг что-то пойдет не так.
Т.е. при любом раскладе это будет сложнее во внедрении и поддержке, чем коробочный программный продукт, тем более, что вам нужен в общем-то не столько межсетевой экран, сколько биллинг.

Конечно я не знаком со всеми решениями, и не исключаю, что такие решения могут быть (правда скорее всего они будут все таки программными, просто идти в комплекте с сервером). Если вы найдете таковые, я на них с радостью посмотрю, ибо после отказа MS от TMG - этот вопрос стал довольно остро.

Answer 2

[Salavat Sharapov]

А как насчет сертификации? - если нужна - то уже смотреть из этого списка. Тут возможно не все аппараты*( docsystem.ru/ru/node/100

Comments

[Snort]

Сертификация ненужна, т.к. делается для реальной защиты а не для прохождения проверки))

Answer 3

[Дмитрий Лебедев]

Мы на работе используем решения от Zyxel Zywall. В основном это USG 100 и вот сейчас купили USG 1000
Вкупе с ПО Vantage Report (бесплатная лицензия только на 1 аппарат) можно удовлетворить большинство Ваших потребностей.
Вполне неплохая база знаний на родном сайте и адекватная поддержка.

Фильтрацию тоже можно настроить, только к сожалению так и не могут добавить фильтрацию по https. Там тоже есть подписки всякие bluecoat и commotoach. Но я сделал просто, зарубил весь траффик и сделал выход только на доверенные.

Comments

[Archangel]

А как у вас авторизация выполняется?

P.S. С ZyWALL последний раз общался лет 6 назад, на тот момент оставили крайне негативное впечатление, особенно маршрутизаторная часть. Dual-WAN вообще тогда был фикцией. Шейпера не было. l2l VPN был на столько убог, что хотелось на стену лезть. Мы тогда быстро свинтили на DFL, которые конечно тоже не сахар, но тогда, после ZyWALL-ов они показались просто сказкой. В каком оно сейчас состоянии не знаю, надеюсь довели до ума.

[Дмитрий Лебедев]

@Archangel авторизацию я сделал на самой железке, пробовал через AD, но вот с русским у них проблемы, поэтому забросил.

Мы его используем так, VPN, немного Content Filter ну и статистика по посещениям и нагрузке (Vantage+Ежедневные логи).
Балансировка есть (пока не игрался, так как ТТК не хочет делится еще одним внешним IPv4).
Интересные устройства, но нужно подобрать под нужды. Наш USG 100 не сильно справляется с нагрузкой в 30 голов+FTP сервер+SEPM и порой тяжко ему но он трудится без перезагруза.
Вот старые Zywall 5 или Zywall 35 это да... авно редкостное. За сутки раза 2-3 приходилось ребутать. Вот сейчас один USG 1000 пришел, жду еще один, чтоб в офис поставить.