URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22694
[ Назад ]
Исходное сообщение
"Выбор аппаратного firewall"
Отправлено Forwork , 31-Май-11 18:16 
Добрый день. Посоветуйте плз железку с требованиями:
1. агрегация минимум 2x1Gb на входе
2. агрегация 2x1 Gb на выходе
3. построение централизованых правил фильтрации транзитного трафика по адресам-портам
4. фильтрация application level уязвимостей - sql injection и т.д. - это больше пожелание
Задача в целом - централизовано строить правила фильтрации на ферму виртуальных серверов, без необходимости построения фильтров на каждой виртуалке.
Содержание
Сообщения в этом обсуждении
"Выбор аппаратного firewall"
Отправлено cant , 01-Июн-11 22:33 
> Добрый день. Посоветуйте плз железку с требованиями:
> 1. агрегация минимум 2x1Gb на входе
> 2. агрегация 2x1 Gb на выходе

Пару крякнутых asa5510 Active/Active.

"Выбор аппаратного firewall"
Отправлено Forwork , 02-Июн-11 10:01 
>> Добрый день. Посоветуйте плз железку с требованиями:
>> 1. агрегация минимум 2x1Gb на входе
>> 2. агрегация 2x1 Gb на выходе
> Пару крякнутых asa5510 Active/Active.

А железок с 2 портами на вход и двумя на выход умеющих агрегацию в природе нет?

"Выбор аппаратного firewall"
Отправлено Pve1 , 02-Июн-11 11:21 
>> Добрый день. Посоветуйте плз железку с требованиями:
>> 1. агрегация минимум 2x1Gb на входе
>> 2. агрегация 2x1 Gb на выходе
> Пару крякнутых asa5510 Active/Active.

У данной железки сил явно не хватит. Да и зачем крякать - не понятно.
Инфа по производительности модельного ряда ASA легко доступна на найте Cisco.

"Выбор аппаратного firewall"
Отправлено Pve1 , 02-Июн-11 11:22 
>>> Добрый день. Посоветуйте плз железку с требованиями:
>>> 1. агрегация минимум 2x1Gb на входе
>>> 2. агрегация 2x1 Gb на выходе
>> Пару крякнутых asa5510 Active/Active.
> У данной железки сил явно не хватит. Да и зачем крякать -
> не понятно.
> Инфа по производительности модельного ряда ASA легко доступна на найте Cisco.

А может попробовать сотверный файерволл прямо на виртуалке на базе какой-нибудь Vyatta например?

"Выбор аппаратного firewall"
Отправлено Forwork , 02-Июн-11 11:34 
> А может попробовать сотверный файерволл прямо на виртуалке на базе какой-нибудь Vyatta
> например?

Софтовый конечно можно тем же iptables, но не хочется пропускать трафик через одну из виртуалок - зависеть от работы её и ноды. Также непонятно на чём делать напр. контент-фильтрацию.

"Выбор аппаратного firewall"
Отправлено Forwork , 02-Июн-11 11:32 
>>> Добрый день. Посоветуйте плз железку с требованиями:
>>> 1. агрегация минимум 2x1Gb на входе
>>> 2. агрегация 2x1 Gb на выходе
>> Пару крякнутых asa5510 Active/Active.
> У данной железки сил явно не хватит. Да и зачем крякать -
> не понятно.
> Инфа по производительности модельного ряда ASA легко доступна на найте Cisco.

Про ASA я в курсе - только не видел агрегации. В общем конечно как вариант, присматриваюсь

"Выбор аппаратного firewall"
Отправлено Pve1 , 03-Июн-11 10:19 
1. ASA в последней версии софта умеет агрегировать.
2. Официальной контент-фильтрации на ASA нет. Можно фильтровать по регулярным выражениям - но это громостко и коряво.
3. Vyatta имеет функционал контент фильтрациию ,если не ошибась.    Можно например рассмотреть дизайн - по одному виртуальномы файерволу на гипервизор) Тогда все красиво получается) И отказоустойчиво.
"Выбор аппаратного firewall"
Отправлено Aleks305 , 03-Июн-11 13:17 
> 1. ASA в последней версии софта умеет агрегировать.
> 2. Официальной контент-фильтрации на ASA нет. Можно фильтровать по регулярным выражениям
> - но это громостко и коряво.
> 3. Vyatta имеет функционал контент фильтрациию ,если не ошибась.    
> Можно например рассмотреть дизайн - по одному виртуальномы файерволу на гипервизор)
> Тогда все красиво получается) И отказоустойчиво.

контент-фильтрацию в ASA по-моему можно настроить для фильтрации ActiveX и Java. для URL-фильтрации используется сторонний продукт Websense или Smartgrid. И то и другое не очень дешевая вещь

"Выбор аппаратного firewall"
Отправлено Pve1 , 03-Июн-11 14:30 

> Можно например рассмотреть дизайн - по одному виртуальномы файерволу на гипервизор)
> Тогда все красиво получается) И отказоустойчиво.

Фигню написал, не подумав)    ерунда получится, т.к. для миграции виртуалок на гипервизорах должны быть общие L2 подсети.

"Выбор аппаратного firewall"
Отправлено Аноним , 16-Июн-11 11:41 
> Добрый день. Посоветуйте плз железку с требованиями:
> 1. агрегация минимум 2x1Gb на входе
> 2. агрегация 2x1 Gb на выходе
> 3. построение централизованых правил фильтрации транзитного трафика по адресам-портам
> 4. фильтрация application level уязвимостей - sql injection и т.д. - это
> больше пожелание
> Задача в целом - централизовано строить правила фильтрации на ферму виртуальных серверов,
> без необходимости построения фильтров на каждой виртуалке.

Cisco SCE
http://cisco.com/go/servicecontrol
Это не стенка в обычном понимании, но application level отфильтрует 100%

"Выбор аппаратного firewall"
Отправлено SuperCthulhu , 20-Июн-11 17:20 
>[оверквотинг удален]
>> 1. агрегация минимум 2x1Gb на входе
>> 2. агрегация 2x1 Gb на выходе
>> 3. построение централизованых правил фильтрации транзитного трафика по адресам-портам
>> 4. фильтрация application level уязвимостей - sql injection и т.д. - это
>> больше пожелание
>> Задача в целом - централизовано строить правила фильтрации на ферму виртуальных серверов,
>> без необходимости построения фильтров на каждой виртуалке.
> Cisco SCE
> http://cisco.com/go/servicecontrol
> Это не стенка в обычном понимании, но application level отфильтрует 100%

Ставте свежую (6.2) Vyatta на какой-нибуть HP ProLiant DL360 G7
и не будете знать с траффом проблем.

BTW есть хорошая статься про настройку отказоустойчивой Vyatta:
http://www.vyatta4people.org/highly-available-openvpn-connec.../

Всех благ!