Защита и статистика сети. Железка или софт!

[Brainiacs]

Доброго времени!!!



Исходные данные:

Офис на 10 компьютеров с одним сервером.

1. Microsoft Windows Server 2003 Enterprise Edition SP1
2. На всех остальных компьютерах Microsoft Windows XP SP2
3. Интернет: Модем - Роутер - Пользователи

Задача:

Поставить железку/софт* перед или после роутера, для контроля
(как можно более расширенного) входящего/исходящего трафика
и защита от вирусов/вторжений (Firewall)

* Наверное все-таки нужно ставить железку, т.к. для софта нужен компьютер, насколько я это понимаю!!!

Бюджет:

Деньги есть!))

Вопрос:

Подскажите решение задачи любые варианты приветствуются,
буть то железка или софт!!!

With Best Regards
Brainiacs

[Псих]

Помоему проще поставить компьютер, который одеть в usergate + необходимые приложения, чем гадать в поисках железяки на вcе случаи жизни.

ЗЫ. Роутер не умеет быть прокси и стенкой?

[Borland]

Цитата:

Сообщение от Псих

Роутер не умеет быть прокси и стенкой?

Стенкой, как правило, умеет. _http://www.cisco.com/en/US/products/ps6120/index.html
Для своих роутеров Cisco делает также proxy-модули (content engines) _http://www.cisco.com/en/US/products/hw/contnetw/ps761/prod_bulletin09186a008014b5d2.html
Только вот стоимость такого аппаратного решения будет существенно выше, чем приличного сервера доступа под FreeBSD с не меньшей функциональностью...

[SinClaus]

Не обязательно сразу на Киску кидаться
У меня на бОльшее количество компов стоит Асус WL500 gP с Олеговой прошивкой. Файерволл любой сложности можно накрутить (практически линукс внутри). Учет видимо тоже, но такая задача передо мной не стояла.
Он же гейт и NAT кстати.
_http://wl500g.info/forumdisplay.php?f=86

[Brainiacs]

To All

Цитата:

Сообщение от Псих

Помоему проще поставить компьютер...

Цитата:

Сообщение от Borland

...приличного сервера доступа под FreeBSD...

Да не сильно хочется городить еще что-то там, есть же проще варианты.
Наверняка же должна быть железка, которая решает эти вопросы??????

Cisco ASA 5500 Series и ECDN по ссылкам от Borland'а это конечно круто,
но не совсем, то что нужно, да и за такие деньги, такие задачи,
которые у большинства стоят, я уверен, решать не разумно!

Если делать через компьютер, там прокси ставить и статистику какую-нибуть
то соответственно уменьшится канал и скорость инета упадет или я не прав???

To Псих

Прокси он и так по умолчанию, а стенка там никакая, сам знаешь, он же
не заточен под это, обычный роутер!!!
Я конечно посмотрю, что там он умеет, модель не помню сейчас, но не
думаю что он что-то решит!

To SinClaus

Что-то я почитал тот форум, столько вопросов, что у кого-то, что-то
не получается, чтобы этот Asus настроить, я конечно готов с ним
разобратся, но только если он реально решит мои задачи.
А если там еще что-то надо писать к нему дополнительное, то это
того не стоит, ты так не считаешь?

To All

Раскажите кто как решает эти (см. первый пост) задачи, неужели все
ставят компьютер и прокси и только так и никак по другому????

With Best Regards
Brainiacs

Вариант повесить прокси на существующий сервер рассматривается?

[Borland]

Вообще говоря, решить задачу комплексно на уровне железки затруднительно. Все IDS/IPS, как правило, включают в себя софтовую составляющую. И никуда от этого не деться...
Ну, глянь ещё "полуаппаратное" решение... _http://www.factor-ts.ru/dionis/server/

[Brainiacs]

To Ghost Shadow

Цитата:

Сообщение от Ghost Shadow

Вариант повесить прокси на существующий сервер рассматривается?

я же говорил:

Цитата:

Сообщение от Brainiacs

Если делать через компьютер, там прокси ставить и статистику какую-нибуть
то соответственно уменьшится канал и скорость инета упадет или я не прав???

и тем более:

Цитата:

Сообщение от Brainiacs

неужели все
ставят компьютер и прокси и только так и никак по другому????

With Best Regards
Brainiacs

[SinClaus]

К Асусу ничего дописывать не нужно, возможно, только небольшой скрипт под себя заточить. К нему громадный репозитарий программ, легко настраиваются автообновления (через cron).
А насчет кто-то чего-то не может настроить - глянь в ветки по винде на этом форуме - не захочешь ставить если не пробовал в ней работать

[modest]

Не Cisco Asa 5500 это конечно хорошо, работает жалоб нет
Но до этого стояла железка Zyxel ZyWall. Тоже ничего. С функцией стенки справлялась достаточно хорошо...

[FantomIL]

Цитата:

Сообщение от Brainiacs

Если делать через компьютер, там прокси ставить и статистику какую-нибуть
то соответственно уменьшится канал и скорость инета упадет или я не прав???

В принципе, любая приблуда, анализирующая траф, служащая файрволом, служащая прокси, ведущая статистику будет оказывать влияние на скорость. Будь то "железка" или комп с софтом.
В остальном, поддержу мнение Borland-а -

Цитата:

Сообщение от Borland

Только вот стоимость такого аппаратного решения будет существенно выше, чем приличного сервера доступа под FreeBSD с не меньшей функциональностью...

.
Как вариант, можно поставить ISA от Мелкомягких. Там все в одном флаконе и прокси, и стенка, и контроль приложений и пользователей. Вот только для подробных отчетов надо будет что-нибудь стороннее ставить.

[Elph]

Цитата:

Сообщение от Brainiacs

Задача:

Поставить железку/софт* перед или после роутера, для контроля
(как можно более расширенного) входящего/исходящего трафика
и защита от вирусов/вторжений (Firewall)

Сформулируй конкретнее задачу. Что именно надо.
Если контролировать юзеров и собирать по ним статистику, поппутна зарубая ххх и прочую лабудень - То это одно.
А если проверять весь входящий трафик на наличие вирусов троянов и прочего злонамеренного кода, то это другое.

ZyWALL от Zyxel посмотри как вариант.
http://zyxel.ru/content/catalogue/smb/security/

[Brainiacs]

To SinClaus

Цитата:

А насчет кто-то чего-то не может настроить - глянь в ветки по винде на этом форуме - не захочешь ставить если не пробовал в ней работать

Да это все понятно, только сравнение не правильное!!
я же не могу покупать каждый девайс,
который возможно подойдет, правильно?

To modest

Цитата:

Сообщение от modest

С функцией стенки справлялась достаточно хорошо..

А мне ещё нужна статистика посещения того или иного сайта.
(хотябы как у usergate, круче не нужно).

FantomIL

Цитата:

Сообщение от FantomIL

В принципе, любая приблуда, анализирующая траф...

Ну я тоже так думаю, но согласись, что если будет стоять железка
(10 портовая для примера), в нее будет воткнут инет и все компы и
она будет все разруливать намного быстрее, чем ежели все будет ходить
через один комп, через прокси!!!

To Elph

Цитата:

Сообщение от Elph

Сформулируй конкретнее задачу.

По-моему задача стоит конкретная:

1. Статистика посещения сайтов (url, IP и когда это было).
1.1. Трафик входящий/исходящий (сколько и когда).
2. Какой-нубуть простенький файрвол, от стандартных и широко
распространненых угроз/атак/свое.

Цитата:

Сообщение от Elph

ZyWALL от Zyxel посмотри как вариант.

Да это хороший вариант, для решения пункта "2." (см. выше), но
нужна еще статистика.

P.S.

Я просто не могу поверить/найти, что нет реализации моей задачи
в одной бюджетной железке, не укладывается у меня это в голове!!!

With Best Regards
Brainiacs

[Borland]

Цитата:

Сообщение от Brainiacs

в одной бюджетной железке

В бюджетной - нет, что, в общем-то, неудивительно. Даже то, что есть небюджетное - это, по большому счёту, специализированный компьютер. Весьма сложный, поскольку решает сложные задачи. Весьма дорогой, т.к. не массовое производство.
Решение на обычном компе потому и стОит дешевле, что стандартный ПК - устройство, производимое массово, и к тому же с меньшими ограничениями на габариты устройства и систему охлаждения по сравнению со стоечными железками.

[TURNSKIN]

Цитата:

Сообщение от FantomIL

В принципе, любая приблуда, анализирующая траф, служащая файрволом, служащая прокси, ведущая статистику будет оказывать влияние на скорость. Будь то "железка" или комп с софтом.
В остальном, поддержу мнение Borland-а - .
Как вариант, можно поставить ISA от Мелкомягких. Там все в одном флаконе и прокси, и стенка, и контроль приложений и пользователей. Вот только для подробных отчетов надо будет что-нибудь стороннее ставить.

я конечно согласен что любая приблуда добовляет задержки, но задержка исчесляеться долями милисекунду, и по сравнению с десятками а то и сотнями милисикундными задержками вне лана, принебрегаються
лишний метр кабеля, который ты оставил прозопас у компа, на случие его(компа) передвижения тебе тоже добавит задержки.....

Цитата:

Сообщение от Brainiacs

Ну я тоже так думаю, но согласись, что если будет стоять железка
(10 портовая для примера), в нее будет воткнут инет и все компы и
она будет все разруливать намного быстрее, чем ежели все будет ходить
через один комп, через прокси!!!

намного быстрее это сколько в вашем понимании?
конечно мои познанию в сетях находяться на уровне общего компьютерного образования, но в "железяку" запихнут процесор максимум 500Мхц(и то думаю, в редкую железаку, т.к. для такого проца пасивное охлаждение может не справиться), когда на бюджетные деньги можно собрать х-гигагерцный комп. и надеюсь не надо напоминать что вся нагрузка по общету/блокировке/и т.д. трафика и в том и в другом случае лежит на процесоре?

да, и улыбает, то что от вас услышал слово "бюджетный", хотя в первом посту, даже с восклицательным знаком было написано

Цитата:

Бюджет:

Деньги есть!))