The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Разделение одного физического Cisco PIX на несколь..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Разделение одного физического Cisco PIX на несколь..."  
Сообщение от opennews on 23-Янв-08, 21:39 
Misha Volodko <a href="http://techoover.blogspot.com/2008/01/blog-post.html">подготовил документ/a> с описанием методики разделения одного физического Cisco PIX/ASA firewall на несколько виртуальных.

URL: http://techoover.blogspot.com/2008/01/blog-post.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=13804

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от пся on 23-Янв-08, 21:42 
а нафига оно? - пиксы даже по мнению сиськи уже устарели.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от pablo email(ok) on 23-Янв-08, 23:13 
>а нафига оно? - пиксы даже по мнению сиськи уже устарели.

Это применимо к PIX/ASA appliance, не уверен насчет FWSM.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от yard on 24-Янв-08, 00:23 
>> а нафига оно? - пиксы даже по мнению сиськи уже устарели.

при чем здесь то, что пиксы устарели? Что бы узнать нафига, нужно почитать хотя бы subj.

> Это применимо к PIX/ASA appliance, не уверен насчет FWSM.

И для FWSM.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от Аноним email on 24-Янв-08, 00:26 
Так она в ентом режиме не поддерживает VPN так что не полноценная виртуализация получается однако
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от Аноним on 24-Янв-08, 09:58 
Ссылку не читал, но подозреваю, что это секьюрити-контексты. Офигительно нужная вещь)) Если сдавать пиксы в аренду с повременной оплатой их услуг. :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от chocholl email(??) on 24-Янв-08, 10:17 
>Ссылку не читал, но подозреваю, что это секьюрити-контексты. Офигительно нужная вещь)) Если
>сдавать пиксы в аренду с повременной оплатой их услуг. :)

штука удобная, особенно если одну железку пользует много организаций.
но реализация говеная, vpn, дин. маршр., qos, и что-то еще не работает как класс.
так что не все так хорошо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от pablo email(ok) on 24-Янв-08, 10:46 
>>Ссылку не читал, но подозреваю, что это секьюрити-контексты. Офигительно нужная вещь)) Если
>>сдавать пиксы в аренду с повременной оплатой их услуг. :)
>
>штука удобная, особенно если одну железку пользует много организаций.
>но реализация говеная, vpn, дин. маршр., qos, и что-то еще не работает
>как класс.
>так что не все так хорошо.

Кстати, что интересно у checkpoint'a при использовании vsx (контексты по сути его аналог) vpn и динамика работает прекрасно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от anton_lva (ok) on 24-Янв-08, 12:53 
А вы у себя действительно используете эти возможности? Мне всегда казалось, что у нас найти хостера, который фаерволит сервисы пиксами/асами днем с огнем не найти =))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от ak (??) on 24-Янв-08, 14:31 
не обязательно раздавать их в качестве решения для хостинга. Можно использовать и для своих нужд, вместо 10 железок стоит всего одна, экономия налицо.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от ak (??) on 24-Янв-08, 14:28 
с лицензированием туго, если еще и av, web анализ делать надо, надо лишнюю денежку за эту лицензию платить, у того же Fortigate даже в самой младшей модели 10 виртуальных доменов в комплекте.
Еще проблема в том что эти все виртуальные контексты нельзя связать нативно с MPLS/VRF, приходиться сводить все vrf в один и его вытаскивать на таком файрволе вручную.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от pablo email(ok) on 24-Янв-08, 15:07 
>с лицензированием туго, если еще и av, web анализ делать надо, надо
>лишнюю денежку за эту лицензию платить, у того же Fortigate даже
>в самой младшей модели 10 виртуальных доменов в комплекте.
>Еще проблема в том что эти все виртуальные контексты нельзя связать нативно
>с MPLS/VRF, приходиться сводить все vrf в один и его вытаскивать
>на таком файрволе вручную.

Заитересовал Fortigate, однако на сайте ничего кроме маркетинговых материалов не нашел, не поделитесь ли информацией? В частности интересует:
1. На какой он платформе? Линух?
2. Какой движок используется для антивирусной проверки?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от ak (??) on 24-Янв-08, 15:41 
Вроде достаточно подробно: http://www.fortinet.com/products/
Платформа может когда-то и был линух но сказать сейчас трудно. Хороший веб интерфейс и консоль, цена на антивирус и веб фильтеринг ниже чем у Ц. Чей движок антивируса честно говоря не знаю. Весьма добротный продукт есть свои плюсы свои минусы.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от pablo email(ok) on 24-Янв-08, 16:18 
>Вроде достаточно подробно: http://www.fortinet.com/products/
>Платформа может когда-то и был линух но сказать сейчас трудно. Хороший веб
>интерфейс и консоль, цена на антивирус и веб фильтеринг ниже чем
>у Ц. Чей движок антивируса честно говоря не знаю. Весьма добротный
>продукт есть свои плюсы свои минусы.

Нашел на сайте форму для скачивания Solution Brief, уже что-то...
1. Ядро таки линуховое. Сами они это скрывают, но товарищи с gpl-violations.org раскопали -
http://gpl-violations.org/news/20050414-fortinet-injunction....
2. Антивирусный движок похоже свой - www.fortiguardcenter.com

Интересная штуковина, как оно в продакшене? Если не сложно, расскажите в каких условиях оно у вас работает?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от ak (??) on 24-Янв-08, 17:13 
2 Fg 500A, раздается клиентам в виде услуги вируальный firewall с защитой от вирусов, с резервированием друг друга. На каждое  подключение создается mpls/vrf который затем таргетится в общий vrf роуты которого по bgp отдаются на fortigate там NATом выходят наружу. С точки зрения провижининга конфигурация проста, само устройство также просто в обслуживании и эксплуатации, небольшие минусы в виде непересекающешося адресного пространства и слабоватого qos, плюс по мелочам. Во время вирусных эпидемий реально выручал. Для анализа и репортов еще используем fortianalyzer. В плане изоляции доменов друг от друга, то можно делать практически все независимо от других доменов, т.е. давать услуги virtual managed firewall. Можно потыркать живое демо отдельного виртуального домена www.fortigate.com, юзер demo, пароль fortigate
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от pablo email(ok) on 25-Янв-08, 11:07 
>[оверквотинг удален]
>от вирусов, с резервированием друг друга. На каждое  подключение создается
>mpls/vrf который затем таргетится в общий vrf роуты которого по bgp
>отдаются на fortigate там NATом выходят наружу. С точки зрения провижининга
>конфигурация проста, само устройство также просто в обслуживании и эксплуатации, небольшие
>минусы в виде непересекающешося адресного пространства и слабоватого qos, плюс по
>мелочам. Во время вирусных эпидемий реально выручал. Для анализа и репортов
>еще используем fortianalyzer. В плане изоляции доменов друг от друга, то
>можно делать практически все независимо от других доменов, т.е. давать услуги
>virtual managed firewall. Можно потыркать живое демо отдельного виртуального домена www.fortigate.com,
>юзер demo, пароль fortigate

За ссылку на демку отдельное спасибо. Крайне интересная штуковина, да и монопольное положение циски начинает напрягать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от Аноним on 25-Янв-08, 11:08 
>1. Ядро таки линуховое. Сами они это скрывают, но товарищи с gpl-violations.org
>раскопали -
>http://gpl-violations.org/news/20050414-fortinet-injunction....

В новых ASA на базе >PIXOS 8.0 ядро тоже Linux-овое.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от Аноним on 24-Янв-08, 15:06 
у пиксов и так с пропускной способностью туго, производительность в результате кто-нибудь мерял?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Разделение одного физического Cisco PIX на несколько виртуал..."  
Сообщение от pablo email(ok) on 24-Янв-08, 15:24 
>у пиксов и так с пропускной способностью туго, производительность в результате кто-нибудь
>мерял?

В каком месте вам не хватает пропускной способности?
FYI: http://www.cisco.com/en/US/products/ps6120/prod_models_compa...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "OpenNews: Разделение одного физического Cisco PIX на несколь..."  
Сообщение от chocholl email(??) on 01-Фев-08, 23:48 

автор забыл указать, что в режиме мульти контекстности не доступны еще и косы.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру