Аппаратно или программно (CISCO vs KERIO)
 

Добрый вечер, господа!
Поставлена задача разграничить доступ (скорость, порты, протоколы, сайты) к Интернету пользователям сети и организовать круглосуточный доступ к файловому серверу через VPN, распределение нагрузки на 2х провайдеров.
Я сейчас разрываюсь между вариантом поставить и настроить CISCO или купить KERIO.
Подскажите какой вариант Вы бы использовали.
Задача состоит в том чтобы пользователи
а. могли получать доступ только на разрешенные сайты
б. имели ограничение скорости после окончания выделенного объёма трафика.
в. могли заходить в сеть по VPN
г. имели ограничение по портам (для некоторых пользователей)
Ну и конечно же стоимость реализации при учете что в сети около 100 пользователей

с этим беда?

у нас было так:
- CISCO ASA как файрвол (том числе и портов), VPN сервер.
- squid как фильтр трафика
- около 400 пользователей
- ограничение скорости не было

Ну в смысле я имел ввиду что на каждого пользователя дать какой-то объём трафика, и если он его потратил, то "до свидания скорость".

под "с этим беда?" я имел ввиду, что у вас в организации лимитный трафик?

нет. это скорее в воспитательных целях и для выявления злостных бездельников

не те методы вы придумываете для воспитания. да и не ваша же эта забота?!

крайний всё-равно админ.
Когда начальство не может провести архиважную конференцию в skype потому-что кто-то из юзеров смотрит фильмы онлайн и качает музыку, по шапке получает админ

за то, что кто-то не делал свою работу?используйте QoS. блокируйте сайты с фильмами и музыкой.

вот я и думаю над вариантами пути. =) софт или железка

CentOS + Squid + AD + Layer7 + Snort + ipcad + lightsquid + OpenVPN
Cisco я бы не стал ставить основным шлюзом сети...

голая циска - нет.
керио - частично.
спорное утверждение.
10 десятка разных конфигов в разных местах.
для любителей костылей - отличный вариант.

Где тут костыли?
Или надо что бы все было с красивыми менюшками было и настраивалось одним щелчком мышки?
Везде где я работал и компании которые я знаю использовали в качестве шлюзов дистрибутивы на Linux/Unix.

в точку
Проще. PfSense стандартной сборки и больше ничего не нужно
Такая связка сама по себе сборник костылей, всё-равно что создавать свою сборку Linux под каждую задачу. Зачем когда уже есть прекрасные готовые решения.хотя бы WEB GUI
Не думаю что CISCO или Kerio настраиваются одним щелчком мыши. Разговор всё-же о них.

Ты это мне говоришь, ну-ну...
Pfsense - очень хорошая штука для новичков, но не более того. Я сам именно с нее начал активно изучать Linux/Unix.

Костыли будут у Вас в голове когда после обновления у Вас пакеты полетят и начнут не корректно работать.

Вот оно новое поколение...

Kerio багнутое ПО.
Циско хорошая железка, дальше думайте сами.

это ровным счётом ничего не означает, кроме самого факта.
костыли тут тотально и абсолютно везде, при каждом шаге.
нужно что бы был один конфиг.
см. железо или аппаенсы с FW, где тоже линукс, только (сюрпиз!) допиленный до ума.

Тогда и Windows server это костыль и вообще все костыли что содержит более одного конфиг файла, бред какой-то...

Rezor666, Может хватит препираться? Ваше решение действительно сборник костылей
Я ещё ни разу не умудрился так поставить обновления чтобы у меня всё слетело, и я знаю что такое backup
А Вы у нас, значит админите со времен Ануса Януса?
Что серьёзно? создавали наборы инструкций макрокоманд в текстовом редакторе? (большую часть текста удалил, чтобы не сильно обидеть).
Ну тогда не удивительно почему Вы так настаиваете на своём комплекте костылей. Вам конечно привычнее неделю долбаться через SSH и telnet вместо того чтобы за пару часов настроить полностью работоспособный сервер через WEB GUI.
И кстати, мы снова ушли от темы. Лично я больше склоняюсь в сторону CISCO
1. Она выйдет дешевле чем покупка KERIO
2. Её настройка не займет столько времени сколько нужно для конфигурирования KERIO с учетом всех требований
3. Мне кажется (ИМХО) что CISCO будет стабильнее чем Kerio установленный на WS. Как-то она у меня вызывает больше доверия, а на WS можно будет поставить Traffic Inspector

1) Циско, простите, что? У данной компании сотни типов (не моделей, именно типов) решений.
Если имеется в виду ASA55xx, то сравнивается еж с ужом, т.к. ASA это межсетевой экран (МЭ), а Kerio это прокси с элементами МЭ (по современной классификации - Web Gateway).
Если имеется в виду IronPort (Сейчас Cisco Web/Email Security), то это не ваш уровень, т.к. уровень решения где-то от 500 человек (и все равно понадобится ASA)

2) По поводу желаний и может ли это ASA:
а. могли получать доступ только на разрешенные сайты
Для включения такой функции требуется подписка на опцию.
Штука не дешевая, и самое главное, требуется ежегодные платежи.

б. имели ограничение скорости после окончания выделенного объёма трафика.
В чистом виде нет, т.к. требуется отдельный сервер биллинга, который может управлять МЭ.
Коммерческий сервер биллинга может стоить стоить как вся ваша контора скопом.

в. могли заходить в сеть по VPN
ДА.

г. имели ограничение по портам (для некоторых пользователей)
ДА
Так же хочу заметить, что современные МЭ - (NGFW), детектируют приложения по сигнатурам, а не портам (по портам так же можно).
К сожалению у Cisco это опция платная и выполнена как годовая подписка.

У кого из вендоров это решение более или менее доступно:
Бесплатная эта функция у PaloAlto, но сам вендор не дешевый.
У Fortinet Функция платная, но подписка стоит не дорого.

--------------
Что можно рекомендовать (для данных условий):
Пара Squid + ASA


Лично я бы рекомендовал попробовать решения от Fortinet:
- сама железяка дешевле раза в полтора;
- техподдержка дешевле и сразу включает подписку на все обновляемые базы.

Попробовать можно следующим образом: стянуть с сайта Fortinet полноценный виртуальный апплайнс, который будет "живым" две недели.

3) Если с деньгами совсем плохо, то лучше пробовать пару: Mikrotik + Squid

кстати, о биллинговой системе: NETAMS. Условно-бесплатный (т.е. платный только для определённых организаций: интернет провайдеров, ибо им так положено)
все интересующий вопросы можете задать у них на форуме. Если решите протестировать - рекомендую на Linux.

Да для Вас все костыль что имеет больше одного файла конфига :laugh:
Как он поможет от того что версии пакетов будут разные и соответственно файл конфигов тоже будет различаться :)
Или Вы делаете бэкап с помощью dd? :)
К тому же если Вы почитаете форум то поймете что Pfsense хороший, но не идеальный и с не малым количеством багов.
И все кто это понимают уходят на чистую FreeBSD или Linux.
А кто Вам сказал что у Cisco все будет через WEB GUI???
Я не профи в Cisco но насколько мне известно Вам сначала все таки придется использовать telnet или ssh.
И кстати настройка всего что я написал у меня занимает не более часа.
Не утруждайтесь, не сможете.
Почитал я ваши темы и "оценил" Ваши знания.

И заметьте, не я один Вам предлагаю костыли.
Тоже самое, только чуть в другой оберточке, или все дураки а Вы умный?

А Вы видели сколько конфиг файлов у Asterisk и заметьте что никто не жалуется что он "костыль" так что не несите пургу.

есть дистрибутив NETAMS для Windows, который я не рекомендую. я имел ввиду это.

для всех: давайте прекратим холивар. Автор просит прокомментировать Циску или Керио. Ответ получен. Предлагаю тему закрыть.
С вопросами подбора о возможностях Циски или Керио McLotos создаст новую тему.

Rezor666, я предложил вариант, а не отстаивал какой-то один.

Ща, всем раздам! "... И никто не уйдет обиженный!" :)

Готовые решения, в большинстве своем, хороши, либо для новичков, либо для какого-то узкого сегмента задач. Их достоинства в простоте, недостатки являются продолжениями достоинств (Хорошим примером является "поветрие" сносить с домашнего роутера фирменную прошивку и "натягивать" DD-WRT)
Как только стартап готового решения перерастал вышеизложенное правило, он тут же, увы и ах, становился коммерческим. Вспомним, например, Vyatta, или Backula.

Да, это верно.
Если для выполнения узкого функционала, нужно перелопатить хренову тучу настроек (не важно, в одном файле или нескольких) - это явный косяк.
Вспомните sendmail, гогда-то был "царь горы", а сейчас часто его ставят?

Или взять упомянутый Iron Port. Когда такие девайсы появляются на рынке, то реально они представляют из себя ОС общего назначения, где прикручены, пачка сервисов (потому что так быстрее разрабатывать).
И потом, все время жизни серии фирма "огнем и мечом" вырезает всю эту хрень и сводит функционал воедино (потому что так оно быстрее работает, проще поддерживать и отлаживать сбои).

Гм, главное такое не ляпнуть на форуме AVAYA - запинают досмерти (Это я вам как сертифайт пресейл инженер AVAYA - говорю :)

В чем главные проблемы таких связок:
а) ни кто не даст ни каких гарантий, ни по производительности, ни по безопасности.
Только "русские самородки" умудряются "лабать" из таких кубиков "решения", а потом сертифицировать, аж до охраны гостайны.
В том же IBM Redbook, или мануалах покойной SUN, явно говрилось: Да, наши серваки, самые сервачные серваки в мире, но для задач ИБ (маршрутизации, коммутации - не нужное вычеркнуть) используйте узкоспециализированное устройство - поставте Cisco или Juniper.

б) примитивность реализации некоторых функций.
Ну возьмем например межсетевой экран:
- если сравнивать реализацию с командной строкой, то Juniper уделает всех их скопом.
Как по функционалу (сложные правила с пред/пост-условиями), так и по интерфейсу (commit, отложенный commit, версионность)

- если сравнивать встроенный GUI (CheckPoint, Palo Alto), то все уже ооочень печально. Про управление распределенной системой я даже и не заикаюсь.

- или например кластеризация. Вот например, на основе StoneGate распределенный 32х узловой кластер собирается за пол дня. И гарантированно работает.
Сколько это займет на CentOS? Точно, все перечисленные сервисы умеют кластеризоваться Active-Active? Обычно, нет. У многих, многопоточность толком не реализована.

в) Обучение. Тут совсем беспросветно. Сразу скажу, что считаю, что учиться по "мануалам" нельзя.
Все "гайды" предназначены для уже обученных людей и представляют собой, по сути, справочник.

меня лично CLI ScreenOS никак не устраивала, а GUI работал не во всех браузерах...
А чем отличается ScreenOS (или JUNOS) от BSD системы, на которой основана? тем что запиленная под конкретные задачи.
При желании и наличии времени можно пилить самому. А так как обычно это "нужно было вчера", поэтому готовое решение +плюшки = стоит денег.

и всё-таки давайте остановимся. вариант предложенный Rezor666 был в рамках ТС:
городить ради 100 пользователь 32-ух узловой кластер? ну давайте тогда пользователям на компьютеры установим raid-10 из SSD - быстрее работать работу будут, да и надёжнее.

сколько людей - столько мнений, а также столько и разного опыта. По сути, "Букварь" - тот ж гайд. Со своей функцией, я думаю, он справляется.
Я лично считаю, что учиться надо на всех доступных компетентных источниках информации, а не выделять кого-то из них.

под разные задачи следует использовать соответствующие инструменты и учитывать многие факторы: производительность, безопасность, обслуживание, финансовый фактор и т.д. и т.п.
Утверждать что что-то лучше чего-то (холиварить) - бессмысленно. Особенно без конкретного контекста.
Всё равно каждый останется при своём мнении и будет использовать то ПО и то железо, которое лучше знает и уже не раз проверял на своём опыте. Но навязывать его другим...

Давайте не забывать что каждый отдельный пакет это практически разное ПО.
И у каждого ПО есть свой конфигурационный файл.
Если человек лентяй то ничего ему не мешает поставить WEB GUI и работать с помощью него.
Для особо тугодумов есть zentyal, ClearOS, но давайте не забывать что все они используют все то же ядро Linux.

Вот только человек использующий командную строку будет знать как оно работает.
А вот через WEB GUI остается только гадать об изменениях в конфиг файле

Так везде :)

Если кому-то не нравятся бесплатные решения то есть Red Hat и SUSE Linux Enterprise Server, можно делать на них.

По поводу безопасности, не надо тут говорить что Junipper безопасней он как и все остальное имеет дыры и от этого не куда не деться, Cisco туда же.

И exo прав, я предлагал вариант для шлюза сети на менее 1000 хостов, а не кластер серверов.

1) Вот именно, поэтому они и безопасней. Есть тесты лабораторий (на конкретные железяки и прошивки). Есть перечень найденных уязвимостей и рекомендаций по борьбе с ними.
Вы можете привести перечень тестов и уязвимостей связки которую вы рекомендуете?
Если следовать Вашей аргументации, то Запорожец безопаснее Volvo, т. к. к Volvo, y Euro NCAP, претензии есть, а вот к Запорожцу - нет.

2) Вы, простите, понятия путаете. В ИБ, под определением "информационная безопасность" нигде не говорится о "100% гарантиях" или "серебрянной пуле".

Вы хотите что бы я Вам привел ссылки на bugtraq пакетов где ясно и понятно все расписано? На cvedetails так же есть полное описание узявимостей.
Да и вообще в инете инфы и советов целая куча, читай и изучай сколько влезет.

сравните кол-во эксплойтов
http://www.cvedetails.com/vendor/25/Redhat.html
http://www.cvedetails.com/vendor/23/Debian.html

ОС общего назначения всегда проиграют узкоспециализованным.

начнём с того, что за 1000 хостов в одном броадкаст домене нужно если не уволить, то сильно поднапрячь человека - например поломав пальцы.
Далее - колво хостов никак, подчёркиваю - никак не коррелирует с непрерывностью предоставления услуги.
;)
о господстве линупса?
окай.
lool

не знаю куда вы нас послали, но похоже вы правы и мы это заслужили, ибо рейтинг красноглазия тут зашкаливает.

exo,
ии?...
"менее 1000" это любое число, например 1 или 999 - оба меньше 1000.
Давайте использовать реалии ;)

:up

Не могу, ибо список не корректен.
Для того что бы это понять достаточно просто взглянуть на CVE указанные там, именно по этому я и не приводил их как аргумент в данном обсуждении.
Если счиатаете что я не прав то взгляните сюда.
Не путайте уязвимости системы и различных пакетов.
Для автора достаточно Linux + squid, насчитайте количество cve для определенного ядра и пакетов и сравните.

Я вот где-то об этом говорил? :)
Что Вы тему передергиваете?

О настройка пакетов.

Вообщем заканчиваю тут писать, ни одного дельного аргумента я не услышал.

exo,
100 меньше 1000 ;)
но если это трейдеры (есть такие люди), то они и 32 каналда в интернет купят и кластер АА.
и поверьте, у них не будет никакого "совсем бесплатного линукса, вот только 100500 пакетов+зависимости разгребу".
ещё раз, для лучшего понимания:
операционная система общего назначения всегде проиграет узкоспециализированной.
чем же вдруг список некорректен? я даю сслыку на ваш источник информации, по двум самым распространённым сборкам линукса.
центика там нет, ну... значит центика нет в том спике, но раз там есть опёнок, которого днём с огнём не найти в продакшене, то центика там вообще нет.
неа. перечитайте ТЗ.
хватит уже тупую http-proxy выдавать за решение всех проблем.
хотите оспорить - примите туннель PPTP в squid.

я не передёргиваю.
вы озвучили цифру - менее 1000, я уже уточнила про значение слова "менее".
определитесь - для сети из одного хоста? или 999?

pkg_add ;)

лучше бы да, вы правы.

что вам плохого сделал squid, Linux?

А почитать CVE, не? Не судьба? Я Вам привел список CVE на debian и там еще не все пакеты.
Я вот что-то почитал насчет Juniper и понял что это хорошая железка за бешеные бабки и для большой конторы самое оно.

Все больше и больше подтверждаете мои слова. Это что?

В чем проблема поднять VPN сервер на Linux? Религия не позволяет?
И конечно же извините что забыл его добавить в список.

man package

А ничего что оборот денег у Red hat явно выше чем у Juniper и они входят в список S&P500 :lol:

лично мне - ничего. Меня веселят люди, которые прикрываются мантрой Linux+squid и утверждают что всё можно решить с помощью ядра и http-proxy.
Linux - это ядро, а squid - http proxy.
ну и? я поглядела список эксплойтов.
Абстрактный список уязвимостей меня мало интересует.
не стоит читать про джунипер, если для вас он дорог.
Но, с другой стороны, тогда всё что циска - для вас табу.
я искала по Linux. Надёргать линков про почти мёртвые форки аля сайнтифик или драгонфлай? или объяснить почему по ним нет экплойтов? :)
итого вы не обойдётесь linux+squid. а ваш первый писок из 7-8 пакетов был правилен, так? ;)
обойдусь

а это то тут причём?..
оборот NSN не сравним с MS или Oracle.
а внедрения edir c AD.
и что?
вы сравниваете ос общего назначения с железным вендором (к слову у джунипер не только джунос), у которого узкоспециализированная.
можете посравнивать RH с QNX, например..
не важно что именно сравнивать, главное господство абстрактного бесплатного линукса во всех сферах.
я верно поняла? :)

Linux вполне походит для решения многих задач.
А если в компании есть штат программистов то практически для любой.
И не надо тут сказок про костыли, каждый использует что хочет.

Это Вам решать что мне читать, а что нет? Что за бред?

Нет, он был не совсем корректен, но это легко решаеться включением мозга и командой yum search vpn

И правильно.

Rezor666
хотите я вас удивлю, очень-очень сильно? :)
у одного из самых крутых вендоров СХД - EMC, используется сильно кастомная Windows XP в их хранилищах Clarion.
а у джунипер BSD всего лишь лоадер.
в X-box - перепиленная вин2к (мы же помним что МСу не впервой работать с не х86 архитектурой)..
это всё - специализация ОС.
так вот - кларионы не ломают ;)

это я не оспаривала ни разу.
вы явно не знаете что такое ТСО =(
разговор глухого со слепым.
никто, подчёркиваю- никто в интерпрайзе не использует то, что он хочет.
в СОХО - wrt54gl, который "Linux inside" - достаточно.

Тема закрыта из-за попытки конкурировать с ЛОРом и полной утраты полезности в связи с этим.