The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выбор аппаратного firewall"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Выбор аппаратного firewall"  +/
Сообщение от Forwork email on 31-Май-11, 18:16 
Добрый день. Посоветуйте плз железку с требованиями:
1. агрегация минимум 2x1Gb на входе
2. агрегация 2x1 Gb на выходе
3. построение централизованых правил фильтрации транзитного трафика по адресам-портам
4. фильтрация application level уязвимостей - sql injection и т.д. - это больше пожелание
Задача в целом - централизовано строить правила фильтрации на ферму виртуальных серверов, без необходимости построения фильтров на каждой виртуалке.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выбор аппаратного firewall"  +/
Сообщение от cant email on 01-Июн-11, 22:33 
> Добрый день. Посоветуйте плз железку с требованиями:
> 1. агрегация минимум 2x1Gb на входе
> 2. агрегация 2x1 Gb на выходе

Пару крякнутых asa5510 Active/Active.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выбор аппаратного firewall"  +/
Сообщение от Forwork email on 02-Июн-11, 10:01 
>> Добрый день. Посоветуйте плз железку с требованиями:
>> 1. агрегация минимум 2x1Gb на входе
>> 2. агрегация 2x1 Gb на выходе
> Пару крякнутых asa5510 Active/Active.

А железок с 2 портами на вход и двумя на выход умеющих агрегацию в природе нет?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выбор аппаратного firewall"  +/
Сообщение от Pve1 (ok) on 02-Июн-11, 11:21 
>> Добрый день. Посоветуйте плз железку с требованиями:
>> 1. агрегация минимум 2x1Gb на входе
>> 2. агрегация 2x1 Gb на выходе
> Пару крякнутых asa5510 Active/Active.

У данной железки сил явно не хватит. Да и зачем крякать - не понятно.
Инфа по производительности модельного ряда ASA легко доступна на найте Cisco.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Выбор аппаратного firewall"  +/
Сообщение от Pve1 (ok) on 02-Июн-11, 11:22 
>>> Добрый день. Посоветуйте плз железку с требованиями:
>>> 1. агрегация минимум 2x1Gb на входе
>>> 2. агрегация 2x1 Gb на выходе
>> Пару крякнутых asa5510 Active/Active.
> У данной железки сил явно не хватит. Да и зачем крякать -
> не понятно.
> Инфа по производительности модельного ряда ASA легко доступна на найте Cisco.

А может попробовать сотверный файерволл прямо на виртуалке на базе какой-нибудь Vyatta например?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Выбор аппаратного firewall"  +/
Сообщение от Forwork email on 02-Июн-11, 11:34 
> А может попробовать сотверный файерволл прямо на виртуалке на базе какой-нибудь Vyatta
> например?

Софтовый конечно можно тем же iptables, но не хочется пропускать трафик через одну из виртуалок - зависеть от работы её и ноды. Также непонятно на чём делать напр. контент-фильтрацию.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Выбор аппаратного firewall"  +/
Сообщение от Forwork email on 02-Июн-11, 11:32 
>>> Добрый день. Посоветуйте плз железку с требованиями:
>>> 1. агрегация минимум 2x1Gb на входе
>>> 2. агрегация 2x1 Gb на выходе
>> Пару крякнутых asa5510 Active/Active.
> У данной железки сил явно не хватит. Да и зачем крякать -
> не понятно.
> Инфа по производительности модельного ряда ASA легко доступна на найте Cisco.

Про ASA я в курсе - только не видел агрегации. В общем конечно как вариант, присматриваюсь

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Выбор аппаратного firewall"  +/
Сообщение от Pve1 (ok) on 03-Июн-11, 10:19 
1. ASA в последней версии софта умеет агрегировать.
2. Официальной контент-фильтрации на ASA нет. Можно фильтровать по регулярным выражениям - но это громостко и коряво.
3. Vyatta имеет функционал контент фильтрациию ,если не ошибась.    Можно например рассмотреть дизайн - по одному виртуальномы файерволу на гипервизор) Тогда все красиво получается) И отказоустойчиво.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Выбор аппаратного firewall"  +/
Сообщение от Aleks305 (ok) on 03-Июн-11, 13:17 
> 1. ASA в последней версии софта умеет агрегировать.
> 2. Официальной контент-фильтрации на ASA нет. Можно фильтровать по регулярным выражениям
> - но это громостко и коряво.
> 3. Vyatta имеет функционал контент фильтрациию ,если не ошибась.    
> Можно например рассмотреть дизайн - по одному виртуальномы файерволу на гипервизор)
> Тогда все красиво получается) И отказоустойчиво.

контент-фильтрацию в ASA по-моему можно настроить для фильтрации ActiveX и Java. для URL-фильтрации используется сторонний продукт Websense или Smartgrid. И то и другое не очень дешевая вещь

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Выбор аппаратного firewall"  +/
Сообщение от Pve1 (ok) on 03-Июн-11, 14:30 

> Можно например рассмотреть дизайн - по одному виртуальномы файерволу на гипервизор)
> Тогда все красиво получается) И отказоустойчиво.

Фигню написал, не подумав)    ерунда получится, т.к. для миграции виртуалок на гипервизорах должны быть общие L2 подсети.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Выбор аппаратного firewall"  +/
Сообщение от Аноним (??) on 16-Июн-11, 11:41 
> Добрый день. Посоветуйте плз железку с требованиями:
> 1. агрегация минимум 2x1Gb на входе
> 2. агрегация 2x1 Gb на выходе
> 3. построение централизованых правил фильтрации транзитного трафика по адресам-портам
> 4. фильтрация application level уязвимостей - sql injection и т.д. - это
> больше пожелание
> Задача в целом - централизовано строить правила фильтрации на ферму виртуальных серверов,
> без необходимости построения фильтров на каждой виртуалке.

Cisco SCE
http://cisco.com/go/servicecontrol
Это не стенка в обычном понимании, но application level отфильтрует 100%

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Выбор аппаратного firewall"  +/
Сообщение от SuperCthulhu (ok) on 20-Июн-11, 17:20 
>[оверквотинг удален]
>> 1. агрегация минимум 2x1Gb на входе
>> 2. агрегация 2x1 Gb на выходе
>> 3. построение централизованых правил фильтрации транзитного трафика по адресам-портам
>> 4. фильтрация application level уязвимостей - sql injection и т.д. - это
>> больше пожелание
>> Задача в целом - централизовано строить правила фильтрации на ферму виртуальных серверов,
>> без необходимости построения фильтров на каждой виртуалке.
> Cisco SCE
> http://cisco.com/go/servicecontrol
> Это не стенка в обычном понимании, но application level отфильтрует 100%

Ставте свежую (6.2) Vyatta на какой-нибуть HP ProLiant DL360 G7
и не будете знать с траффом проблем.

BTW есть хорошая статься про настройку отказоустойчивой Vyatta:
http://www.vyatta4people.org/highly-available-openvpn-connec.../

Всех благ!

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру