День добрый, уважаемые специалисты! В нашей компании стоит win 2003 ent + isa 2004. По скольку продукты уже порядком в возрасте, передо мной поставили задачу собрать информацию о целесообразности перехода с данного программного продукта на ISA 2006 или ForeFront. У нас парк около 100 машин (2 офиса, связь по оптике).VPN подключения извне, домен с керберосом.Так же планируется предоставление доступа клиентов к одному из виртуальных серверов для демонстрации П.О.Как я понял, с технической точки зрения для перехода на TMG нужно обновить с 2004 на 2006 и + обновить платформу до 2008 64bit. Самих по себе отличий между 2004 и 2006 очень мало, скорее 2006 это доработанный 2004 с парочкой фич типа "уменьшения размера логов" и "http компрессия".Как я вижу смысл грейдиться до 2006 есть только при планировании последующего апргейда до ForeFronta.
Судя по ценникам микрософта это все влетит в много ноликов, приблизительно 150-300к (win 2008 + TMG). С точки зрения дирекции одно дело выделять деньги под НОВЫЙ рабочие станции НР + win7, другое выделить деньги под РАБОТАЮЩИЙ софт который и так работает.
По этому я изучаю так же вопрос о переходе на linux-based решение. Я уже поднял сервер с Меркуриалом и Nagios, и подумал что неплохо было бы на нем же реализовать проксю + мониторить можно было не отходя от кассы.Конечно, не будет приятных мелочей вроде firewall client, но главное чтобы это окупалось производительностью, стабильностью и гибкостью.
Как я понял, Squid стабильно работает в связке с iptables или squidguard в качестве фаервола, openvpn для vpn-доступа и SAMS в качестве веб.интерфейса. так же на freebsd вариант с pfsence тоже на мой взгляд подходящий, хотя досконально я еще не изучил.
Есть еще варианты, стоящие внимания?
У меня по Squid'у несколько вопросов:
1.есть возможность squid3 подружить с керберосом?)
2если в компании есть второй офис и там сейчас к примеру стоит дочерний isa. можно ли сделать такой же дочерний сервер на squid3?По возможности хотелось бы максимально упростить переход с продукта от МС и от его составляющих типа firewall client, на которых завязаны многие рабочие станции. Вобщем чтобы можно было перейти без сильных потерь и все было максимально централизованно к серверу.
Если без них то необходимо будет везде вручную прописывать для каждой программы настройки? или на уровне AD можно будет указать дефолтные настройки шлюза, чтобы все запросы шли на него а там он уже спрашивал "Who are u? o_O"
У одного мужика с рождения в пупке был винтик. И он всю жизнь думал: "зачем мне винтик в пупке?". И однажды он взял и открутил его. И у него отвалилась задница. Так выпьем же за то, чтобы никогда не искать приключений на свою задницу.А если серьезно, то squid прекрасный продукт с массой достоинств. Недостатков у него тоже хватает. Сквид давно дружит с керберосом, но подружить его с доменом задачка не всегда тривиальная. Насчет дочерних прокси дело темное, цепочки проксей на сквиде делать можно.
PS
SquidGuard это ни разу не фаерволл.
PPS
На SAMS не стоит сильно рассчитывать, конфиги придется редактировать руками
>[оверквотинг удален]
> и открутил его. И у него отвалилась задница. Так выпьем же
> за то, чтобы никогда не искать приключений на свою задницу.
> А если серьезно, то squid прекрасный продукт с массой достоинств. Недостатков у
> него тоже хватает. Сквид давно дружит с керберосом, но подружить его
> с доменом задачка не всегда тривиальная. Насчет дочерних прокси дело темное,
> цепочки проксей на сквиде делать можно.
> PS
> SquidGuard это ни разу не фаерволл.
> PPS
> На SAMS не стоит сильно рассчитывать, конфиги придется редактировать рукамиспасибо за странный в какомто роде ответ.
по поводу связок squida с другими программмаи для получения желаемого функционала будут какие нибудь комментарии?
да SquidGuard чтото не туда я пихнул)З.Ы. наша компания как разраобтчик сертифицируется по мелкософту и если бы не принудительное желание лицензироваться руководством я бы вообще ничего не трогал.
>[оверквотинг удален]
>> PS
>> SquidGuard это ни разу не фаерволл.
>> PPS
>> На SAMS не стоит сильно рассчитывать, конфиги придется редактировать руками
> спасибо за странный в какомто роде ответ.
> по поводу связок squida с другими программмаи для получения желаемого функционала будут
> какие нибудь комментарии?
> да SquidGuard чтото не туда я пихнул)
> З.Ы. наша компания как разраобтчик сертифицируется по мелкософту и если бы не
> принудительное желание лицензироваться руководством я бы вообще ничего не трогал.Squid прекрасно работает с AD, можно и эмулировать AD и обойтись вообще без AD. только как правильно замечено если все работает и уже за все заплачено зачем ?
>[оверквотинг удален]
> 2если в компании есть второй офис и там сейчас к примеру стоит
> дочерний isa. можно ли сделать такой же дочерний сервер на squid3?
> По возможности хотелось бы максимально упростить переход с продукта от МС и
> от его составляющих типа firewall client, на которых завязаны многие рабочие
> станции. Вобщем чтобы можно было перейти без сильных потерь и все
> было максимально централизованно к серверу.
> Если без них то необходимо будет везде вручную прописывать для каждой программы
> настройки? или на уровне AD можно будет указать дефолтные настройки шлюза,
> чтобы все запросы шли на него а там он уже спрашивал
> "Who are u? o_O"1. Можно. Как - в поиск, на этом сайте это уже описывалось не раз.
2. Что понимается под дочерним сервером?Что касается перехода - он оправдан. В отличие от неудачного продукта МS под названием ISA, разобравшись с документацией вы удивитесь насколько проще делать брендмауеры на базе OpenSource... Кроме того, эти решения обладают тремя особенностями:
- почти бесплатны
- работают
- не требуют для работы пользователей установки какого-нить софта на станции пользователейУспехов!
>[оверквотинг удален]
> 1. Можно. Как - в поиск, на этом сайте это уже описывалось
> не раз.
> 2. Что понимается под дочерним сервером?
> Что касается перехода - он оправдан. В отличие от неудачного продукта МS
> под названием ISA, разобравшись с документацией вы удивитесь насколько проще делать
> брендмауеры на базе OpenSource... Кроме того, эти решения обладают тремя особенностями:
> - почти бесплатны
> - работают
> - не требуют для работы пользователей установки какого-нить софта на станции пользователей
> Успехов!Ну тут все относительно, как выпускать пользователей с терминального сервера с хитрым трафиком который будет работать только через нат? Тут только ISA+клиент разрулит иначе (или всех выпустишь или никого).
Но все решается. И сам я обхожусь хорошо и без Исы ).
>[оверквотинг удален]
>> под названием ISA, разобравшись с документацией вы удивитесь насколько проще делать
>> брендмауеры на базе OpenSource... Кроме того, эти решения обладают тремя особенностями:
>> - почти бесплатны
>> - работают
>> - не требуют для работы пользователей установки какого-нить софта на станции пользователей
>> Успехов!
> Ну тут все относительно, как выпускать пользователей с терминального сервера с хитрым
> трафиком который будет работать только через нат? Тут только ISA+клиент разрулит
> иначе (или всех выпустишь или никого).
> Но все решается. И сам я обхожусь хорошо и без Исы ).вот кстати у нас удаленно сотрудники работают с тремя терминальными серверами. Траффик и авторизацию при подключении к серверу как можно будет организовать?
подкиньте пару книг достойных по iptables)
>[оверквотинг удален]
>>> - работают
>>> - не требуют для работы пользователей установки какого-нить софта на станции пользователей
>>> Успехов!
>> Ну тут все относительно, как выпускать пользователей с терминального сервера с хитрым
>> трафиком который будет работать только через нат? Тут только ISA+клиент разрулит
>> иначе (или всех выпустишь или никого).
>> Но все решается. И сам я обхожусь хорошо и без Исы ).
> вот кстати у нас удаленно сотрудники работают с тремя терминальными серверами. Траффик
> и авторизацию при подключении к серверу как можно будет организовать?
> подкиньте пару книг достойных по iptables)http://www.opennet.me/docs/RUS/iptables/
По подключению к серверу MS конечно продукты MS, сейчас выглядят привлекательно. И директ аксесс и форефронт.
Подключение можно организовать прямое, если подключаемый имеет белый адрес, тупо разрешив соединение по порту 3389 с определённого адреса и перебросив соединение на терминальный сервер. Конечно не безопасно.
Можно через vpn, чел будет попадать в dmz для которой будет чтото разрешено.
Момент авторизации лучше сразу продумать. Если будет база с пользователями, например LDAP то нужно сразу "прокачать" софт который планируется использовать на возможность связки с базой.
Samba+Ldap эмулятор pdc
Qmail+Ldap MTA
Squid+Ldap Прокси сервер
Где одни и те же пользователи с своими паролями.
>[оверквотинг удален]
> 1. Можно. Как - в поиск, на этом сайте это уже описывалось
> не раз.
> 2. Что понимается под дочерним сервером?
> Что касается перехода - он оправдан. В отличие от неудачного продукта МS
> под названием ISA, разобравшись с документацией вы удивитесь насколько проще делать
> брендмауеры на базе OpenSource... Кроме того, эти решения обладают тремя особенностями:
> - почти бесплатны
> - работают
> - не требуют для работы пользователей установки какого-нить софта на станции пользователей
> Успехов!благодарю за ответ.
У нас в данный момент два офиса.Они соединены оптикой между собой. Инет идет в первый офис, из него в проксю, дальше в коммутатор, далее по оптике во второй офис в коммутатор, оттуда в комп с ISA. Под дочерним сервером я подразумевал сервер с ISA во втором офисе, который выполняет в данный момент просто функцию фаервола)Было бы удобно чтобы он частично снял нагрузку с основного прокси-сервера, так же с него удобно было бы мониторить сеть агентами нагиоса)
Надеюсь действительно будет лучше) ISA подкупил руководителя простотой в установке и окошками, но я то знаю что все это от лукавого=)
> Как я понял, Squid стабильно работает в связке с iptables или squidguard
> в качестве фаервола, openvpn для vpn-доступа и SAMS в качестве веб.интерфейса.
> так же на freebsd вариант с pfsence тоже на мой взгляд
> подходящий, хотя досконально я еще не изучил.squid - прокси сервер никакого отношения к фаерволу не имеет, смотрите iptables
> Есть еще варианты, стоящие внимания?
> У меня по Squid'у несколько вопросов:
> 1.есть возможность squid3 подружить с керберосом?)
> 2если в компании есть второй офис и там сейчас к примеру стоит
> дочерний isa. можно ли сделать такой же дочерний сервер на squid3?сиотрите sams+squid+NTML\LDAP, про дочерний сервер смотрите иерархию squid.
> По возможности хотелось бы максимально упростить переход с продукта от МС и
> от его составляющих типа firewall client, на которых завязаны многие рабочие
> станции. Вобщем чтобы можно было перейти без сильных потерь и все
> было максимально централизованно к серверу.
> Если без них то необходимо будет везде вручную прописывать для каждой программы
> настройки? или на уровне AD можно будет указать дефолтные настройки шлюза,
> чтобы все запросы шли на него а там он уже спрашивал
> "Who are u? o_O"