UTM + IPSec Site to Site для малых филиалов

Question

[ruslanmatrix]

Здравствуйте, коллеги.
Имею обычную задачу.



Нужно:
авторизовать через AD пользователей домена;
авторизовать через локальную базу устройства (телефоны, планшеты, ноутбуки, гости), работающие через Wi-Fi$
раздавать Интернет;
обеспечивать балансировку нагрузки между 2 каналами, переключение при отказе одного из них;
фильтрация URL адресов по группам, не пускать группы пользователей на определенные группы сайтов;
фильтрация приложений без установки агентов на устройства;
предотвращать вторжений (IPS);
проверка трафика на вирусы;
VPN Server для IPSec Site to Site и подключения мобильных сотрудников к офису;
быстрое обнаружение «узких мест» в сети и случаев злоупотребления Интернетом;
повышение производительности сервисов, требующих широкой полосы пропускания, таких как VoIP и видеоконференции;
QoS;
шейпинг трафика — чтобы один сотрудник не мог занять канал когда возникает очередь, но мог использовать весь канал когда, например, он один в офисе или когда канал не полностью занят и нет очереди.

Требования к производительности.
В центральном офисе маршрутизация до 100 мегабит, IPSec до 50 мегабит, до 3000 одновременных сессий, до 100 000 сессий в час.
В регионах маршрутизация до 40 мегабит, IPSec до 10 мегабит, до 1000 одновременных сессий, до 20 000 сессий в час.

Что уже проверял и не совсем устраивает?
Брал на тестирование Fortigate 100D и 40С — устройства отличные, но мало специалистов, а продавцы просят астрономические суммы за настройку.
CheckPoint — как межсетевой экран хорош, но опять же проблема со специалистами.
Cisco — ASA и ISR не реализует все функции.
Интересно решение Cisco для малого бизнеса — ISA500 но по нему мало инфы. Может кто-нибудь даст обратную связь.
Также тестировал решение на D-Link DFL, Zyxel, Microtik — еще меньшее соответствие требованиям.

Коллеги, прошу поделиться идеями как можно реализовать мою задачу?
У кого есть опыт эксплуатации ISA500-й серии?
Каким программным продуктом (триал, бесплатное решение, виртуальное приложение) можно заменить оборудование на время ожидания поставки и настройки?

Comments

[ruslanmatrix]

Еще интересует информация по продуктам:
check point Safe@Office
check point UTM-1 Edge

Answer 1

[paralon]

Мне кажется у вас очень завышенные требования и очень широкий спектр задач для одной «коробки».
Тут нужно целую систему собирать из разных средств.

Что конкретно здесь не реализует Cisco ASA за исключением уж точно не её функций типа «авторизация AD-пользователей» и wifi?

Comments

[ruslanmatrix]

Антивирусная фильтрация трафика, обновляемая база URL.
Самое интересное, что ISA500 и авторизует и фильтрует.
Аналогичные решения (все в одной коробке) есть и у check point и fortinet — cisco не в лидерах магического квадрата (UTM, Firewall) Gartner.

Answer 2

[JDima]

Cisco — ASA и ISR не реализует все функции.

Аса, понятно, бесполезна в этом сценарии, но вот ISR чем не устроили?

Локальная аутентификация wi-fi есть (зачем?)

Балансировка есть, причем весьма интеллектуальная — PfR, эта штука способна спасти качество сервиса для определенных (указанных) классов трафика при деградации связи, а не только при полном падении связи. Иначе — костыли на базе EEM с массой ограничений и минимумом интеллекта. В самом простом случае тупо ECMP.

Фильтрации по URL, IPS и прочие — к SM модулям.

VPN — не проблема. DMVPN для site-to-site и anyconnect для RA. Можно Flex настроить.

«быстрое обнаружение «узких мест»» — не понял вопрос. Но PfR вместе с QoS способны на многое в автоматическом режиме.

«повышение производительности сервисов, требующих широкой полосы пропускания, таких как VoIP и видеоконференции;»
Легко. Опять же, PfR, позволяющий указывать требования для разных классов трафика и автоматически выбирающий маршрут в зависимости от удовлетворения требований, плюс QoS на выходе.

«QoS;»
Запросто. Вдобавок, у ISR есть, насколько мне известно, уникальная фича «per-tunnel QoS». Суть: центральный офис будет знать про ширину канала у каждого из регионов, и сможет динамически применять политики QoS для каждого региона.

«шейпинг трафика — чтобы один сотрудник не мог занять канал когда возникает очередь, но мог использовать весь канал когда, например, он один в офисе или когда канал не полностью занят и нет очереди.»
Вы назвали это шейпингом, но на самом деле это как раз принцип работы приоритезации QoS, не имеющий к шейпингу никакого отношения.
Или подразумевается, что вешается шейпер, соответствующий ширине провайдерского канала, и в нем уже классические очереди? Это стандартная практика.

То есть по сути, ваш таргет — ISR G2, удовлетворяющий всем требованиям. Это бранчи. В центр, на терминацию VPN каналов лучше ASR1k поставить, благо они относительно недорогие — пиров многовато для ISR. Весь указанный выше функционал (кроме фильтрации URL и вирусов, который без проблем реализуется отдельной железкой) на них тоже есть.

Comments

[ruslanmatrix]

вот ISR чем не устроили?

Не функциональная (на сколько я смог разобраться) Cisco AAA — можно применять правила Firewall к группам из AD?
Как на счет антивирусной фильтрации трафика?
Отбивание атак?
Для офиса в 20-40 человек и канала 20 мегабит оборудование стоит менее 1000$?

Локальная аутентификация wi-fi есть (зачем?)

Выпускать в Интернет только авторизованных пользователей. Например, ситуация. Занят весь канал Интернет. Максимум знаем какой-то IP. Как узнать чей он? Может ген. директор с планшета групповой митинг делает и его отключение совсем не желательно. А может кто-то с ноутбука что-то качает.

Фильтрации по URL, IPS и прочие — к SM модулям.

Это конечно хорошо что модули есть, но цена и сложность настройки делают не доступными эти решения для малого бизнеса.

VPN — не проблема. DMVPN для site-to-site и anyconnect для RA. Можно Flex настроить.

Тут вопросов практически нет — технология давно отработана. У меня сеть из 26 филиалов на D-Link DFL по сей день работает. При этом оборудование в разы дешевле.

«быстрое обнаружение «узких мест»» — не понял вопрос. Но PfR вместе с QoS способны на многое в автоматическом режиме.

Типичная ситуация. Занят канал, или что-то медленно открывается, работает. Нужно оперативно найти причину — найти (не IP адрес) сотрудника (или нескольких), занявшего весь канал; найти причину очередей и т.п.

В центр, на терминацию VPN каналов лучше ASR1k поставить

Сколько будет стоить ASR1k?

[JDima]

«можно применять правила Firewall к группам из AD?
Как на счет антивирусной фильтрации трафика?
Отбивание атак?»
www.cisco.com/en/US/prod/collateral/vpndevc/ps6525/ps6538/ps6540/qa_c67-662214.html

«Для офиса в 20-40 человек и канала 20 мегабит оборудование стоит менее 1000$?»
Можно и дешевле. 1941-й держит весь этот функционал и стоит около $1k (не по GPL, а в магазине). Лицензии — надо смотреть.

«Выпускать в Интернет только авторизованных пользователей.»
Ставлю вопрос по-другому.
Зачем локальная аутентификация?

«цена и сложность настройки делают не доступными эти решения для малого бизнеса.»
В требованиях был указан средне-крупный бизнес. И по объемам трафика (в моей конторе много тысяч сотрудников, трафика меньше), и по количеству IPSec пиров.

«Занят канал, или что-то медленно открывается, работает. Нужно оперативно найти причину — найти (не IP адрес) сотрудника (или нескольких), занявшего весь канал; найти причину очередей и т.п.»
Во-первых, QoS + PfR позволит в автоматическом режиме выбрать оптимальный выход для важного трафика. Ведь проблема может быть не только в загруженности канала, а и в потерях на сети провайдера, или в выросшей в 10 раз задержки из-за аварии и перемаршрутизации через спутник… Такое бывает, причем чаще, чем хотелось бы.
Получить логин — это к netflow с привязкой к AD.

«Сколько будет стоить ASR1k?»
Смотря какой. Тысяч 70 в минимуме, без резервирования супов (всегда помножаем на два).

Вы требования переформулируйте. У вас написано: «IPSec до 50 мегабит, до 3000 одновременных сессий». Это — довольно много IPSec сессий, не считаете?

Answer 3

[ruslanmatrix]

Как на Cisco настроить фильтрацию приложений?

Comments

[JDima]

Вопрос непонятен. Какого рода фильтрация, каких приложений?

Answer 4

[ruslanmatrix]

Хочу апнуть тему.
Прочитал кучу мануалов пришел к выводу, что Cisco ISR/ISR G2 для меня.
Но не нашел ответа на некоторые вопросы.
1. авторизация пользователей через AD — не хочу выпускать не авторизованный трафик, не хочу управлять несколькими базами пользователей.
2. весьма желательно блокировать трафик от всех приложений, кроме разрешенных.
3. отчетность и аналитика — видеть в общем виде, что люди в основной на соц. сети ходят, кто больше всего качает, какой тип трафика и т.п.
4. отбивание атак — поставил софтовое решение, которое показало что меня реально пытаются взломать, подбирают пароли и т.п. Но у Cisco этот сервис стоит огромных денег (относительно моего бюджета).
Может быть рассмотреть вариант ASA + ISR?