Hardware аналог ISA Server 2006?

Question

[Геннадий]

Подскажите сравнительно бюджетный (от 30к до 50к деревянных) hardware аналог ISA Server 2006 с возможностями firewall, VPN (на 30 человек), NAT, публикацией сервисов в интернете. Спасибо.

Answer 1

[Golden]

Может быть роутер на базе обычного ПК с рейдом, парой качественных сетевых карт и freebsd или другим *nix'ом на борту, подойдет? Инструкций как это настроить полно, да и специалисты тоже есть, в суммарный бюджет уложитесь.

Comments

[Геннадий]

Спасибо, видимо к этому все и идет. Как-то давно присматривался к железкам от Checkpoint. Но никогда с ними не работал, нет уверенности, что закроют весь необходимый мне функционал, да и с ценой неясно

[Golden]

Ну железных решений много, насколько я помню джуниперы есть с подобным функционалом, но как факт на практике сталкивался с тем что они отлично работают как хардварные фаерволы скажем и ужасны в роли VPN серверов, или наоборот, потому и считаю что в качестве некого малого-офисного решения подойдет именно *nix-based «поделака» на обычном PC железе.

[Геннадий]

Спасибо за ответ

Answer 2

[amc]

Хардверных аналогов Исы быть не может, особенно с агентом на клиентской машине.
А вот шлюзы с VPN…
Можете попробовать Zyxell ZyWall, вроде отзывы хорошие.
А если самосбором, то любой младший сервер от HP/DELL/SuperMicro и ставьте туда pfSense, только следите чтобы была поддерживаемая сетевая карта.

Comments

[Golden]

Да про pfSense совсем забыл, это freebsd-based опенсорсный продукт, умеет быть роутером, фаерволом, vpn-сервером, проксиком, и насколько я помню к нему можно прикрутить snort. Есть веб интерфейс и красивые графики на rrd-tools.

[amc]

Надо только учитывать, что у всех железных роутеров есть один недостаток — они не умеют считать трафик по пользователям.
Т, е. по IP — в зависимости от реализации — пожалуйста, по пользователям — нет.
У самоделок (pfSense и всё остальное, на что можно поставить Squid) могут считать по пользователям HTTP трафик, но это связанно с прикручиванием авторизации в том или ином виде, что тоже добавляет геммороя.

[Archangel]

У D-Link-а (прости господи) есть линейка DFL. Конечно полным аналогом Исы он не является, да и вряд ли есть таковые вообще есть, по крайней мере в бюджетном сегменте (я про прозрачную AD-шную авторизацию, например, зато Иса не умеет работать с несколькими каналами в интернет).
DFL умеет многое. FireWall, VPN (PPTP/L2TP/IPSec), без плясок с бубнами к нему коннектиться все, что поддерживает стандартные протоколы, от Windows до Android. Он умеет авторизовывать пользователей по http(s) в том числе и из AD и считать для них статистику. Понимает RADIUS и много еще всяких фаервольно-маршрутизаторных фентифлюшек (IDS/IPS/SLA/балансировка/испекторы для большинства протоколов ну и все что есть у больших), управление фирменными коммутаторами и т.д и т.п. В общем, даром что D-Link, вполне годная железка за свои деньги (младшие модели вполне влезут в ваш бюджет). Я бы на вашем месте смотрел в их сторону (дома стоит DFL-800). Свежие модели вроде как понимают USB-3G-модемы, но не уверен, врать не буду. В общем гугл вам в помощь.
Из аппаратных решений, за такие деньги вы вряд ли найдете лучше, и уж точно не рекомендую Zyxel и NetGear — ОЧЕНЬ гемморойные железяки, и функционально даже рядом не валялись.

Есть еще вариант: б/у циска, но она тоже нихрена не аналог ISA-сервера.

Answer 3

[strib]

Посмотртие juniper, серию ssg, та что со ScreenOS. Недорого и умеет все вышеперечисленное.
И Fortigate, тоже достойные железки есть.

Answer 4

[Archangel]

Сори, промахнулся ответил не туда. См. выше.

Answer 5

[Геннадий]

Спасибо всем за ответы! Рассматриваем варианты. Вот еще присматриваемся к такой вещи.

Comments

[Archangel]

После длительного и тесного общения с АПКШ Континент (Код Безопасности), я бы вам крайне не рекомендовал связываться с подобного рода поделками, а тем более за деньги. А если разработчик где-нибудь на своем сайте упоминает ФСТЭК, то валить надо так, чтоб пятки сверкали, исключение конечно, когда нужно сертифицированное ФСТЭКом решение (ибо ФЗ 152), но тогда остается только посочувствовать.

Кстати не упоминали тут решения Mikrotik. Сам не юзал, а отзывов слушал поровну и хороших и плохих.

[Геннадий]

Большое спасибо за совет