URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 706
[ Назад ]
Исходное сообщение
"gre"
Отправлено TheNMinD , 23-Апр-13 12:06 
Доброго времени суток уважаемые форумчане. Хотелось бы расспросить по поводу данной железки. Задумали поставить перед "тырнетом" асу. Стоит она не слабо, а покупать кота в мешке не хочется. У кого она иметься? Есть ли от нее толк, да и вообще хотелось бы знать что она может.

з.ы.) И как быть с Gre туннелями, АСА не умеет их поднимать.

Содержание
Сообщения в этом обсуждении
"gre"
Отправлено Merridius , 23-Апр-13 12:26 
> Доброго времени суток уважаемые форумчане. Хотелось бы расспросить по поводу данной железки.
> Задумали поставить перед "тырнетом" асу. Стоит она не слабо, а покупать
> кота в мешке не хочется. У кого она иметься? Есть ли
> от нее толк, да и вообще хотелось бы знать что она
> может.
> з.ы.) И как быть с Gre туннелями, АСА не умеет их поднимать.

А вы для начала свои задачи определите, может она вам и не сильно нужна.
Но если так, чтоб было, то берите, железка надежная.


"gre"
Отправлено Seva , 23-Апр-13 12:59 

> з.ы.) И как быть с Gre туннелями, АСА не умеет их поднимать.

у ASA ограниченные возможности маршрутизации в том числе, это не её задачи

"gre"
Отправлено TheNMinD , 23-Апр-13 13:16 
А если после нее поставить например 1841 кошку... то удастся ли насквозную пропустить туннель. Как работает вообще этот фаерволл? Пропускает через себя трафик насквозь отсеевая ненужный или же прейдется поднимать нат и т.д. но это и маршрутизатор любой может. Вообще что в этой железяки, что переносит ее из разряда мардшрутизатор в разряд фаерволл


"gre"
Отправлено IZh , 23-Апр-13 13:21 
>удастся ли насквозную пропустить туннель

На асе нужно будет включить правило allow gre from ... to
Понятное дело, инквизиция внутри тоннеля не работает.

>Вообще что в этой железяки, что переносит ее из разряда мардшрутизатор в разряд фаерволл

отслеживание состояния соединений, обнаружение атак, антивирус

"gre"
Отправлено TheNMinD , 23-Апр-13 14:00 

> отслеживание состояния соединений, обнаружение атак, антивирус

Если АСА защищает от всевозможных троянов и еще антивирус. ТО я так понимаю в ней должна быть какая то база антивирусная? Или как это работает? Запрещает скачивание определенного по в момент запроса на него, обрывая соединение?


"gre"
Отправлено IZh , 23-Апр-13 14:22 
Подписка на антивирусы платная на год у всех вендоров и стоит ощутимо, если что.
Мелкие файлы накапливает, отдавая клиенту пустой ack, крупные файлы проверяет фрагментами.
Эффект такой же, как от установки локального антивируса, который перехватывает закачку на себя (в это время браузер показывает что ничего не качается, но соединение не рвётся), потом сразу отдаёт файл.
"gre"
Отправлено IZh , 23-Апр-13 13:19 
>И как быть с Gre туннелями, АСА не умеет их поднимать.

juniper srx100, например, ну или какая там необходима пропускная
stateful firewall, антивирусы/IPS/IDS поддерживаются, туннели поднимаются

и да, удваиваю вопрос про необходимость

"gre"
Отправлено antaeus , 23-Апр-13 15:41 
>>И как быть с Gre туннелями, АСА не умеет их поднимать.
> juniper srx100, например, ну или какая там необходима пропускная
> stateful firewall, антивирусы/IPS/IDS поддерживаются, туннели поднимаются
> и да, удваиваю вопрос про необходимость

Рекомендую к просмотру видео, "Как получить максимум от сетевого экрана Cisco ASA" : http://www.youtube.com/watch?v=S6px97pcf3g

"gre"
Отправлено anonymous , 23-Апр-13 19:05 
Полтора часа, многовато.
В новых прошивках появились туннели или есть какие-то скрытые команды?
"gre"
Отправлено eek , 24-Апр-13 06:56 
> Полтора часа, многовато.

Какая прелесть.

"gre"
Отправлено anonymous , 24-Апр-13 16:09 
Быстро читаю, поэтому не выношу смотреть подобные размазанные вещи, ещё и сделанные по долгу службы.
"gre"
Отправлено eek , 25-Апр-13 07:29 
http://www.cisco.com/en/US/docs/security/asa/asa91/configura...

Там же книги 2 и 3, более полного описания функционала вряд-ли найдете.