Выбор firewall для корпоративной сети.
Модераторы: Trinity admin`s, Free-lance moderator`s
Выбор firewall для корпоративной сети.
Добрый день!
Имеется сеточка на полсотни машин в домене Windows 2003. Имеется интернет по оптике, который юзеры используют. Имеются сервера внутри корпоративной сети, которые тоже лезут в интернет (DNS, NTP, обновления и т.п.), плюс почтовый сервер по SMTP/HTTPS/IMAPS, плюс сервер VPN, плюс антивирус с централизованным обновлением.
Есть ли какая-либо железка, которая сможет а) взять на себя функцию корпоративного файерволла/прокси, б) быть не слишком заумной в управлении и в) желательно, сможет замонтироваться в стандартную 19'' стойку? Я сейчас подумываю в сторону какой-нибудь Cisco, но не знаю, на что именно нужно обращать внимание...
Имеется сеточка на полсотни машин в домене Windows 2003. Имеется интернет по оптике, который юзеры используют. Имеются сервера внутри корпоративной сети, которые тоже лезут в интернет (DNS, NTP, обновления и т.п.), плюс почтовый сервер по SMTP/HTTPS/IMAPS, плюс сервер VPN, плюс антивирус с централизованным обновлением.
Есть ли какая-либо железка, которая сможет а) взять на себя функцию корпоративного файерволла/прокси, б) быть не слишком заумной в управлении и в) желательно, сможет замонтироваться в стандартную 19'' стойку? Я сейчас подумываю в сторону какой-нибудь Cisco, но не знаю, на что именно нужно обращать внимание...
Re: Выбор firewall для корпоративной сети.
Какая нужна скорость? Требуется работа в кластере? Прокси не бывает в железках.
Re: Выбор firewall для корпоративной сети.
Бюджет сперва огласите. После этого будут внятные советы.
Re: Выбор firewall для корпоративной сети.
Скорость... не думаю, что актуально больше 100Мбит. У нас сейчас канал 10 и этого вполне хватает. А что подразумевается под "работой в кластере"? Несколько аналогичных устройств, объединённых в кластер для распределения нагрузки между собой? Такого точно не нужно. "Прокси не бывает в железках" — думаю, что прокси впоследствии будем организовывать софтовое, на юниховой виртуалке, от железа нужен только НАТ. Кстати, ещё крайне желательно, чтобы оно умело быть VPN-сервером (по первости планируются только подключения персональных Windows-систем для доступа к ресурсам корпоративной сети). Чтобы заменить внутрисетевой VPN-сервер и избавиться от той машины вообще.
Бюджет... Хотелось бы уложиться в 20000р., и уж точно не вылезать за 35000р.
Бюджет... Хотелось бы уложиться в 20000р., и уж точно не вылезать за 35000р.
Re: Выбор firewall для корпоративной сети.
При таком бюджете только D-LINK DFL-800. Еще можно CISCO ASA-5505/sec+, но смотрите по кол-ву VPN пользователей и она в стойку не монтируется.
Re: Выбор firewall для корпоративной сети.
Для 5505 вроде бы есть Rack Mounting Kit?
Цены на 5510, конечно, кусаются... Думаю, нам сначала нужно понять, нужна ли нам десятка вообще.
Цены на 5510, конечно, кусаются... Думаю, нам сначала нужно понять, нужна ли нам десятка вообще.
Re: Выбор firewall для корпоративной сети.
Точно, есть кит. Понимайте
Re: Выбор firewall для корпоративной сети.
А не подскажете, где можно посмотреть цены на различные варианты поставок ASA? Интересуют, конечно, 5505 и 5510...
- exLH
- Сотрудник Тринити
- Сообщения: 5061
- Зарегистрирован: 11 фев 2004, 15:49
- Откуда: Москва
- Контактная информация:
Re: Выбор firewall для корпоративной сети.
5510 в бюджет не пролезет, как ни смотрите..me4huk писал(а):Интересуют, конечно, 5505 и 5510...
Позвоните в офис.
Почтовый адрес для связи: a.ivanov@trinitygroup.ru | ICQ: 112586598
Re: Выбор firewall для корпоративной сети.
Для таких скоростей и 35 пользователей ASA 5510 явно избыточна, 5505 хватит за глаза.me4huk писал(а):Скорость... не думаю, что актуально больше 100Мбит. У нас сейчас канал 10 и этого вполне хватает.
Нужна ли вам 5505 security+ - зависит в главным образом от конфигурации вашей сети. Основное существенное для вас отличие sec+ (с учетом того, что кластер вам не нужен, а лимиты по количеству connection вряд-ли будут актуальны) - это количество поддерживаемых VLAN (фактически, сетей, которые разделяет железка). Для sec+ их 20, а для просто 5505 - 2.5 Если вас устроит стандартная схема internet + локальная сеть + DMZ, то sec+ вам не нужна. В этом варианте вы уложитесь в сумму, близкую к 20000.
Что касается количества лицензий на VPN - то для ASA есть AnyConnect Essentials - неограниченное количество SSL VPN клиентов за скромную денюжку.
Re: Выбор firewall для корпоративной сети.
Пользователей у нас, скорее, 50, а с учётом серверов, которые тоже лезут в инет по разным нуждам, и все 55. Если я правильно понимаю, 5505 в стандартной комплектации может держать не более полусотни юзеров, это-то меня и беспокоит больше всего...Kot-II писал(а):Для таких скоростей и 35 пользователей ASA 5510 явно избыточна, 5505 хватит за глаза.
Нужна ли вам 5505 security+ - зависит в главным образом от конфигурации вашей сети. Основное существенное для вас отличие sec+ (с учетом того, что кластер вам не нужен, а лимиты по количеству connection вряд-ли будут актуальны) - это количество поддерживаемых VLAN (фактически, сетей, которые разделяет железка). Для sec+ их 20, а для просто 5505 - 2.5 Если вас устроит стандартная схема internet + локальная сеть + DMZ, то sec+ вам не нужна. В этом варианте вы уложитесь в сумму, близкую к 20000.
Что касается количества лицензий на VPN - то для ASA есть AnyConnect Essentials - неограниченное количество SSL VPN клиентов за скромную денюжку.
И ещё вопрос. Некоторым пользователям нужно разрешить только некоторые внешние URL, а некоторым — наоборот, только некоторые запретить. Насколько я успел понять, это умеют делать все ASA, но у 5510 и выше появляются возможности фильтровать URL, классифицируя их по признакам? Аналогично тому, как это делает Orange Filter у Kerio?
Re: Выбор firewall для корпоративной сети.
5505 базовая продается в трех вариантах - на 10, 50 и анлимитед клиентов. Security plus уже включает анлимитед.me4huk писал(а): Пользователей у нас, скорее, 50, а с учётом серверов, которые тоже лезут в инет по разным нуждам, и все 55. Если я правильно понимаю, 5505 в стандартной комплектации может держать не более полусотни юзеров, это-то меня и беспокоит больше всего...
Это да, CSC SSM доступен от 5510 и выше. Но минимальная 5510 с минимальным по лицензиям CSC SSM (куда, кстати, url filtering и content filtering не входят, для них нужно будет еще докупать лицензию) будет стоить в несколько раз дороже верхней планки вашего бюджета (>100 т.р.).me4huk писал(а): И ещё вопрос. Некоторым пользователям нужно разрешить только некоторые внешние URL, а некоторым — наоборот, только некоторые запретить. Насколько я успел понять, это умеют делать все ASA, но у 5510 и выше появляются возможности фильтровать URL, классифицируя их по признакам? Аналогично тому, как это делает Orange Filter у Kerio?
Если вам нужны эти фичи - то варианты:
- существенно (в разы) увеличить бюджет
- обратить внимание на других, менее легендарных вендоров
- поделить обязанности - т.е. использовать ASA как файрвол, а для смарт фильтрации - что-то еще (другую железку/софт)
Re: Выбор firewall для корпоративной сети.
ОК, спасибо! Думаю, пока ограничимся запретом URL по списку, который можно задать и на 5505, а затем, если понадобится, фильтрацию по содержанию наверняка можно будет прикрутить к прокси...
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 14 гостей