Используете ли Вы аппаратный файрвол в организации?

Question

[IrkDesigner]

Сам вопрос: Используете ли Вы аппаратный файрвол в организации? Какого вендора? Насколько большая организация? Выявленные плюсы и минусы.
И главное: имеет ли смысл заменять MS TMG на какое-либо аппаратное решение?

Answer 1

[JDima]

Конечно да.
Cisco.
Приличных размеров (сколько-то тысяч сотрудников).
Да никаких минусов. Работает стабильно.
TMG уже end of life. Это уже причина в скором времени менять его на что-нибудь. О других причинах сказать ничего нельзя, потому что вы не озвучили требования.

Comments

[IrkDesigner]

Спасибо!
По требованиям: необходима поддержка VPN (думаю, это есть уже везде), шустрая работа для 500 клиентов, желательно встроенный антивирус и IDS. И фильтрация удаленынх клиентов не только по IP.
И желательно быстрое и простое внедрение.
А почему TMG end of life? Что пришло ему на смену?

[JDima]

blogs.technet.com/b/server-cloud/archive/2012/09/12/important-changes-to-forefront-product-roadmaps.aspx
На смену TMG нет ничего (у Microsoft). Просто они забросили свой файрвол.

На тему простоты внедрения. Cisco ASA подходит под все ваши требования (хотя как понимать «до 500 клиентов»? В зависимости от задач нагрузка может меняться на порядки в расчете на одного клиента, потому лучше говорить в терминах pps и cps). Вот только «быстрое и простое внедрение» в случае файрвола — несколько странно. Обычно так не бывает.

Короче. TMG всем устраивает? Тогда пока не суетитесь.

Answer 2

[polyakstar]

Juniper SRX
www.juniper.net/ru/ru/products-services/security/srx-series/
Умеют VPN\IPS\UTM\антивирус

Answer 3

[KEKSOV]

Интересно, что практически все организации, которые подключены к интернету через тот или иной аппаратный роутер, автоматически используют встроенный в него фаервол. В прочем, и большинство домашних пользователей тоже.

У любого вендора есть модели практичски под любые требования. В свое время довелось поэксплуатировать DFL-200, с непривычки было сложно его запустить, но потом все стало хорошо, нареканий к стабильности не было. Все зависит от потребностей и размера подключаемой организации. Если я правильно понимаю, то TMG будет достаточно сложно заменить, если он глубоко интегрирован в AD. Скажем, тот же DFL совершенно не умеет общаться с AD, т.е. единого пульта управления пользователями с его участием сделать не получится.

Возможно, есть какие-то модели, которые умеют более тесно дружить в Виндой. Но я считаю, что аппаратный фаервол должен использоваться для управления трафиком не выше уровня TCP/IP. Все остальные права доступа и прочие прокси уровня приложений нужно выносить в софт, который крутится на сервере.

Comments

[JDima]

практически все организации, которые подключены к интернету через тот или иной аппаратный роутер, автоматически используют встроенный в него фаервол.

Возражаю. Обычно мухи (BGP с провайдерами) отдельно, котлеты (файрволы) отдельно.

Скажем, тот же DFL совершенно не умеет общаться с AD, т.е. единого пульта управления пользователями с его участием сделать не получится.

ASA умеет. Правда, с небольшим костылем. Но в итоге можно в ACL аж учетки пользователей указывать.
И для высокоуровневого инспектирования в те самые файрволы ставятся специальные блейды. По сути, те же сервера.

Answer 4

[rogalsky]

На нашем предприятии используется Cisco ASA.
Который четко контролируют люди из СБУ

Comments

[kocto4ka]

Коллеги — давайте все же определимся — Cisco ASA — прекрасный FW, но если нужно фильтровать контент, то это решение не подходит. Функционал ASA нацелен на фильтрацию вплоть до 4 уровня. Если нужно дальше и все еще есть желание воспользоваться cisco — купите ASA-SX. Но не пытайтесь фильтровать контент с помощью ASA — не выйдет.

[JDima]

но если нужно фильтровать контент, то это решение не подходит.

Да ну? Есть CSC-SSM блейды. Фактически получаем all-in-one решение для небольшой фирмы.

А что такое ASA-SX?

[kocto4ka]

Опечатался — ASA-CX.
Специальное решение для контекстной фильтрации. Модуль, который вставляется или в ASA 5585-X и младше, или в шеститонники. Модули CSC-SSM сложно назвать блейдами. Вы же модули для роутеров не называете блейдами :) Но да — это решение и да, как вы правильно сказали — для маленькой фирмы. В реальности, если контора 500 человек и нет жестких ограничений по трафику (кто скайп юзает, кто торренты), этот модуль загнется от привалившего трафика очень быстро. Проще за эту цену купить какой-нибудь керио FW.

[JDima]

Модули CSC-SSM сложно назвать блейдами.

По всем признакам блейд :)
У роутеров есть SM модули. Тоже блейды. На них ESX может крутиться.

если контора 500 человек и нет жестких ограничений по трафику (кто скайп юзает, кто торренты)

Скайп и тем более торренты передавать на инспектирование csc-ssm вовсе необязательно…

Answer 5

[Sergey]

Для такой задачи (FW+IPS+VPN+AV+WEB-Filter) подойдет любое UTM-решение. Checkpoint, Stonesoft, Fortinet, PaloAlto, WatchGuard, тысячи их.
Из опыта работы рекомендую Stonesoft, правда по цене для таких небольших внедрений будет не лучшим вариантом. Но что касается функционала и удобства управления — вне конкуренции, на мой взгляд.

Comments

[ragus]

А что вообще такое «аппаратный фаерволл»?

[Sergey]

Чаще всего противопоставляют «программный» и «аппаратный», хотя во втором случае правильно называть ПАК, программно-аппаратный комплекс. В некоторых случаях это просто какие-то серверы общего назначения, но чаще всего это специализированная платформа, со специально подобранной под задачу backplane, подключаемыми модулями расширений (например на выбор порты под медь, оптику SL/LR и т.п.), встроенными крипто-аккселераторами, модулями IPS на FPGA-вентилях и т.п.

[ragus]

>модулями IPS на FPGA-вентилях и т.п

можно пример такой железки? а то железный максимум, что я видел — это cisco csg2, в котором стоят интеловские ixp28xx network processor'ы.

Answer 6

[Amurchikus]

Я использую аппаратный фаервол Cisco как базовый а для URL использую web proxy TMG.
Правда на нем мне не сильно нравиться как он работает с HTTPS трафиком, но частичное решение нашел so4net.com/index.php/ru/blog/89-firewall-forefront...