Выбор firewall для корпоративной сети.

[me4huk]

Добрый день!

Имеется сеточка на полсотни машин в домене Windows 2003. Имеется интернет по оптике, который юзеры используют. Имеются сервера внутри корпоративной сети, которые тоже лезут в интернет (DNS, NTP, обновления и т.п.), плюс почтовый сервер по SMTP/HTTPS/IMAPS, плюс сервер VPN, плюс антивирус с централизованным обновлением.

Есть ли какая-либо железка, которая сможет а) взять на себя функцию корпоративного файерволла/прокси, б) быть не слишком заумной в управлении и в) желательно, сможет замонтироваться в стандартную 19'' стойку? Я сейчас подумываю в сторону какой-нибудь Cisco, но не знаю, на что именно нужно обращать внимание...

[diz]

Какая нужна скорость? Требуется работа в кластере? Прокси не бывает в железках.

[and3008]

Бюджет сперва огласите. После этого будут внятные советы.

[me4huk]

Скорость... не думаю, что актуально больше 100Мбит. У нас сейчас канал 10 и этого вполне хватает. А что подразумевается под "работой в кластере"? Несколько аналогичных устройств, объединённых в кластер для распределения нагрузки между собой? Такого точно не нужно. "Прокси не бывает в железках" — думаю, что прокси впоследствии будем организовывать софтовое, на юниховой виртуалке, от железа нужен только НАТ. Кстати, ещё крайне желательно, чтобы оно умело быть VPN-сервером (по первости планируются только подключения персональных Windows-систем для доступа к ресурсам корпоративной сети). Чтобы заменить внутрисетевой VPN-сервер и избавиться от той машины вообще.

Бюджет... Хотелось бы уложиться в 20000р., и уж точно не вылезать за 35000р.

[diz]

При таком бюджете только D-LINK DFL-800. Еще можно CISCO ASA-5505/sec+, но смотрите по кол-ву VPN пользователей и она в стойку не монтируется.

[me4huk]

Для 5505 вроде бы есть Rack Mounting Kit?

Цены на 5510, конечно, кусаются... Думаю, нам сначала нужно понять, нужна ли нам десятка вообще.

[diz]

Точно, есть кит. Понимайте

[me4huk]

А не подскажете, где можно посмотреть цены на различные варианты поставок ASA? Интересуют, конечно, 5505 и 5510...

[exLH]

Интересуют, конечно, 5505 и 5510...

5510 в бюджет не пролезет, как ни смотрите..
Позвоните в офис.

[Kot-II]

Скорость... не думаю, что актуально больше 100Мбит. У нас сейчас канал 10 и этого вполне хватает.

Для таких скоростей и 35 пользователей ASA 5510 явно избыточна, 5505 хватит за глаза.
Нужна ли вам 5505 security+ - зависит в главным образом от конфигурации вашей сети. Основное существенное для вас отличие sec+ (с учетом того, что кластер вам не нужен, а лимиты по количеству connection вряд-ли будут актуальны) - это количество поддерживаемых VLAN (фактически, сетей, которые разделяет железка). Для sec+ их 20, а для просто 5505 - 2.5 Если вас устроит стандартная схема internet + локальная сеть + DMZ, то sec+ вам не нужна. В этом варианте вы уложитесь в сумму, близкую к 20000.
Что касается количества лицензий на VPN - то для ASA есть AnyConnect Essentials - неограниченное количество SSL VPN клиентов за скромную денюжку.

[me4huk]

Для таких скоростей и 35 пользователей ASA 5510 явно избыточна, 5505 хватит за глаза.
Нужна ли вам 5505 security+ - зависит в главным образом от конфигурации вашей сети. Основное существенное для вас отличие sec+ (с учетом того, что кластер вам не нужен, а лимиты по количеству connection вряд-ли будут актуальны) - это количество поддерживаемых VLAN (фактически, сетей, которые разделяет железка). Для sec+ их 20, а для просто 5505 - 2.5 Если вас устроит стандартная схема internet + локальная сеть + DMZ, то sec+ вам не нужна. В этом варианте вы уложитесь в сумму, близкую к 20000.
Что касается количества лицензий на VPN - то для ASA есть AnyConnect Essentials - неограниченное количество SSL VPN клиентов за скромную денюжку.

Пользователей у нас, скорее, 50, а с учётом серверов, которые тоже лезут в инет по разным нуждам, и все 55. Если я правильно понимаю, 5505 в стандартной комплектации может держать не более полусотни юзеров, это-то меня и беспокоит больше всего...
И ещё вопрос. Некоторым пользователям нужно разрешить только некоторые внешние URL, а некоторым — наоборот, только некоторые запретить. Насколько я успел понять, это умеют делать все ASA, но у 5510 и выше появляются возможности фильтровать URL, классифицируя их по признакам? Аналогично тому, как это делает Orange Filter у Kerio?

[Kot-II]

Пользователей у нас, скорее, 50, а с учётом серверов, которые тоже лезут в инет по разным нуждам, и все 55. Если я правильно понимаю, 5505 в стандартной комплектации может держать не более полусотни юзеров, это-то меня и беспокоит больше всего...

5505 базовая продается в трех вариантах - на 10, 50 и анлимитед клиентов. Security plus уже включает анлимитед.

И ещё вопрос. Некоторым пользователям нужно разрешить только некоторые внешние URL, а некоторым — наоборот, только некоторые запретить. Насколько я успел понять, это умеют делать все ASA, но у 5510 и выше появляются возможности фильтровать URL, классифицируя их по признакам? Аналогично тому, как это делает Orange Filter у Kerio?

Это да, CSC SSM доступен от 5510 и выше. Но минимальная 5510 с минимальным по лицензиям CSC SSM (куда, кстати, url filtering и content filtering не входят, для них нужно будет еще докупать лицензию) будет стоить в несколько раз дороже верхней планки вашего бюджета (>100 т.р.).
Если вам нужны эти фичи - то варианты:
- существенно (в разы) увеличить бюджет
- обратить внимание на других, менее легендарных вендоров
- поделить обязанности - т.е. использовать ASA как файрвол, а для смарт фильтрации - что-то еще (другую железку/софт)

[me4huk]

ОК, спасибо! Думаю, пока ограничимся запретом URL по списку, который можно задать и на 5505, а затем, если понадобится, фильтрацию по содержанию наверняка можно будет прикрутить к прокси...