Защита и статистика сети. Железка или софт! - Безопасность

Brainiacs · 05.09.2007, 17:42

Доброго времени!!!

Исходные данные:

Офис на 10 компьютеров с одним сервером.

1. Microsoft Windows Server 2003 Enterprise Edition SP1
2. На всех остальных компьютерах Microsoft Windows XP SP2
3. Интернет: Модем - Роутер - Пользователи

Задача:

Поставить железку/софт* перед или после роутера, для контроля
(как можно более расширенного) входящего/исходящего трафика
и защита от вирусов/вторжений (Firewall)

* Наверное все-таки нужно ставить железку, т.к. для софта нужен компьютер, насколько я это понимаю!!!

Бюджет:

Деньги есть!))

Вопрос:

Подскажите решение задачи любые варианты приветствуются,
буть то железка или софт!!!

With Best Regards
Brainiacs

Псих · 06.09.2007, 01:59

Помоему проще поставить компьютер, который одеть в usergate + необходимые приложения, чем гадать в поисках железяки на вcе случаи жизни.

ЗЫ. Роутер не умеет быть прокси и стенкой?

Borland · 06.09.2007, 11:34

Цитата:

Сообщение от Псих

Роутер не умеет быть прокси и стенкой?

Стенкой, как правило, умеет. _http://www.cisco.com/en/US/products/ps6120/index.html
Для своих роутеров Cisco делает также proxy-модули (content engines) _http://www.cisco.com/en/US/products/hw/contnetw/ps761/prod_bulletin09186a008014b5d2.html
Только вот стоимость такого аппаратного решения будет существенно выше, чем приличного сервера доступа под FreeBSD с не меньшей функциональностью...

SinClaus · 06.09.2007, 15:41

Не обязательно сразу на Киску кидаться

У меня на бОльшее количество компов стоит Асус WL500 gP с Олеговой прошивкой. Файерволл любой сложности можно накрутить (практически линукс внутри). Учет видимо тоже, но такая задача передо мной не стояла.
Он же гейт и NAT кстати.
_http://wl500g.info/forumdisplay.php?f=86

Brainiacs · 07.09.2007, 15:58

To All

Цитата:

Сообщение от Псих

Помоему проще поставить компьютер...

Цитата:

Сообщение от Borland

...приличного сервера доступа под FreeBSD...

Да не сильно хочется городить еще что-то там, есть же проще варианты.
Наверняка же должна быть железка, которая решает эти вопросы??????

Cisco ASA 5500 Series и ECDN по ссылкам от Borland'а это конечно круто,
но не совсем, то что нужно, да и за такие деньги, такие задачи,
которые у большинства стоят, я уверен, решать не разумно!

Если делать через компьютер, там прокси ставить и статистику какую-нибуть
то соответственно уменьшится канал и скорость инета упадет или я не прав???

To Псих

Прокси он и так по умолчанию, а стенка там никакая, сам знаешь, он же
не заточен под это, обычный роутер!!!
Я конечно посмотрю, что там он умеет, модель не помню сейчас, но не
думаю что он что-то решит!

To SinClaus

Что-то я почитал тот форум, столько вопросов, что у кого-то, что-то
не получается, чтобы этот Asus настроить, я конечно готов с ним
разобратся, но только если он реально решит мои задачи.
А если там еще что-то надо писать к нему дополнительное, то это
того не стоит, ты так не считаешь?

To All

Раскажите кто как решает эти (см. первый пост) задачи, неужели все
ставят компьютер и прокси и только так и никак по другому????

With Best Regards
Brainiacs

07.09.2007, 16:10

Вариант повесить прокси на существующий сервер рассматривается?

Borland · 07.09.2007, 16:53

Вообще говоря, решить задачу комплексно на уровне железки затруднительно. Все IDS/IPS, как правило, включают в себя софтовую составляющую. И никуда от этого не деться...
Ну, глянь ещё "полуаппаратное" решение... _http://www.factor-ts.ru/dionis/server/

Brainiacs · 07.09.2007, 16:54

To Ghost Shadow

Цитата:

Сообщение от Ghost Shadow

Вариант повесить прокси на существующий сервер рассматривается?

я же говорил:

Цитата:

Сообщение от Brainiacs

Если делать через компьютер, там прокси ставить и статистику какую-нибуть
то соответственно уменьшится канал и скорость инета упадет или я не прав???

и тем более:

Цитата:

Сообщение от Brainiacs

неужели все
ставят компьютер и прокси и только так и никак по другому????

With Best Regards
Brainiacs

SinClaus · 07.09.2007, 18:07

К Асусу ничего дописывать не нужно, возможно, только небольшой скрипт под себя заточить. К нему громадный репозитарий программ, легко настраиваются автообновления (через cron).
А насчет кто-то чего-то не может настроить - глянь в ветки по винде на этом форуме - не захочешь ставить если не пробовал в ней работать

modest · 08.09.2007, 13:31

Не Cisco Asa 5500 это конечно хорошо, работает жалоб нет

Но до этого стояла железка Zyxel ZyWall. Тоже ничего. С функцией стенки справлялась достаточно хорошо...

FantomIL · 09.09.2007, 11:27

Цитата:

Сообщение от Brainiacs

Если делать через компьютер, там прокси ставить и статистику какую-нибуть
то соответственно уменьшится канал и скорость инета упадет или я не прав???

В принципе, любая приблуда, анализирующая траф, служащая файрволом, служащая прокси, ведущая статистику будет оказывать влияние на скорость. Будь то "железка" или комп с софтом.
В остальном, поддержу мнение Borland-а -

Цитата:

Сообщение от Borland

Только вот стоимость такого аппаратного решения будет существенно выше, чем приличного сервера доступа под FreeBSD с не меньшей функциональностью...

.
Как вариант, можно поставить ISA от Мелкомягких. Там все в одном флаконе и прокси, и стенка, и контроль приложений и пользователей. Вот только для подробных отчетов надо будет что-нибудь стороннее ставить.

Elph · 21.09.2007, 16:24

Цитата:

Сообщение от Brainiacs

Задача:

Поставить железку/софт* перед или после роутера, для контроля
(как можно более расширенного) входящего/исходящего трафика
и защита от вирусов/вторжений (Firewall)

Сформулируй конкретнее задачу. Что именно надо.
Если контролировать юзеров и собирать по ним статистику, поппутна зарубая ххх и прочую лабудень - То это одно.
А если проверять весь входящий трафик на наличие вирусов троянов и прочего злонамеренного кода, то это другое.

ZyWALL от Zyxel посмотри как вариант.
http://zyxel.ru/content/catalogue/smb/security/

Brainiacs · 15.10.2007, 12:40

To SinClaus

Цитата:

А насчет кто-то чего-то не может настроить - глянь в ветки по винде на этом форуме - не захочешь ставить если не пробовал в ней работать

Да это все понятно, только сравнение не правильное!!
я же не могу покупать каждый девайс,
который возможно подойдет, правильно?

To modest

Цитата:

Сообщение от modest

С функцией стенки справлялась достаточно хорошо..

А мне ещё нужна статистика посещения того или иного сайта.
(хотябы как у usergate, круче не нужно).

FantomIL

Цитата:

Сообщение от FantomIL

В принципе, любая приблуда, анализирующая траф...

Ну я тоже так думаю, но согласись, что если будет стоять железка
(10 портовая для примера), в нее будет воткнут инет и все компы и
она будет все разруливать намного быстрее, чем ежели все будет ходить
через один комп, через прокси!!!

To Elph

Цитата:

Сообщение от Elph

Сформулируй конкретнее задачу.

По-моему задача стоит конкретная:

1. Статистика посещения сайтов (url, IP и когда это было).
1.1. Трафик входящий/исходящий (сколько и когда).
2. Какой-нубуть простенький файрвол, от стандартных и широко
распространненых угроз/атак/свое.

Цитата:

Сообщение от Elph

ZyWALL от Zyxel посмотри как вариант.

Да это хороший вариант, для решения пункта "2." (см. выше), но
нужна еще статистика.

P.S.

Я просто не могу поверить/найти, что нет реализации моей задачи
в одной бюджетной железке, не укладывается у меня это в голове!!!

With Best Regards
Brainiacs

Borland · 15.10.2007, 13:08

Цитата:

Сообщение от Brainiacs

в одной бюджетной железке

В бюджетной - нет, что, в общем-то, неудивительно. Даже то, что есть небюджетное - это, по большому счёту, специализированный компьютер. Весьма сложный, поскольку решает сложные задачи. Весьма дорогой, т.к. не массовое производство.
Решение на обычном компе потому и стОит дешевле, что стандартный ПК - устройство, производимое массово, и к тому же с меньшими ограничениями на габариты устройства и систему охлаждения по сравнению со стоечными железками.

TURNSKIN · 15.03.2008, 01:26

Цитата:

Сообщение от FantomIL

В принципе, любая приблуда, анализирующая траф, служащая файрволом, служащая прокси, ведущая статистику будет оказывать влияние на скорость. Будь то "железка" или комп с софтом.
В остальном, поддержу мнение Borland-а - .
Как вариант, можно поставить ISA от Мелкомягких. Там все в одном флаконе и прокси, и стенка, и контроль приложений и пользователей. Вот только для подробных отчетов надо будет что-нибудь стороннее ставить.

я конечно согласен что любая приблуда добовляет задержки, но задержка исчесляеться долями милисекунду, и по сравнению с десятками а то и сотнями милисикундными задержками вне лана, принебрегаються
лишний метр кабеля, который ты оставил прозопас у компа, на случие его(компа) передвижения тебе тоже добавит задержки.....

Цитата:

Сообщение от Brainiacs

Ну я тоже так думаю, но согласись, что если будет стоять железка
(10 портовая для примера), в нее будет воткнут инет и все компы и
она будет все разруливать намного быстрее, чем ежели все будет ходить
через один комп, через прокси!!!

намного быстрее это сколько в вашем понимании?

конечно мои познанию в сетях находяться на уровне общего компьютерного образования, но в "железяку" запихнут процесор максимум 500Мхц(и то думаю, в редкую железаку, т.к. для такого проца пасивное охлаждение может не справиться), когда на бюджетные деньги можно собрать х-гигагерцный комп. и надеюсь не надо напоминать что вся нагрузка по общету/блокировке/и т.д. трафика и в том и в другом случае лежит на процесоре?

да, и улыбает, то что от вас услышал слово "бюджетный", хотя в первом посту, даже с восклицательным знаком было написано

Цитата:

Бюджет:

Деньги есть!))

05.09.2007, 17:42	# 1
Brainiacs Member Регистрация: 28.02.2004 Адрес: Москва Пол: Male Сообщения: 352	Защита и статистика сети. Железка или софт! Доброго времени!!! Исходные данные: Офис на 10 компьютеров с одним сервером. 1. Microsoft Windows Server 2003 Enterprise Edition SP1 2. На всех остальных компьютерах Microsoft Windows XP SP2 3. Интернет: Модем - Роутер - Пользователи Задача: Поставить железку/софт* перед или после роутера, для контроля (как можно более расширенного) входящего/исходящего трафика и защита от вирусов/вторжений (Firewall) * Наверное все-таки нужно ставить железку, т.к. для софта нужен компьютер, насколько я это понимаю!!! Бюджет: Деньги есть!)) Вопрос: Подскажите решение задачи любые варианты приветствуются, буть то железка или софт!!! With Best Regards Brainiacs __________________ Лучше не знать вкуса сахара, чтобы потом не мучатся от недостатка сладкого!

06.09.2007, 01:59	# 2
Псих ::VIP:: Guinness Liker Понаехало тут Регистрация: 26.01.2003 Адрес: В нейроне Пол: Male Сообщения: 2 848	Помоему проще поставить компьютер, который одеть в usergate + необходимые приложения, чем гадать в поисках железяки на вcе случаи жизни. ЗЫ. Роутер не умеет быть прокси и стенкой? __________________ меня не вылечат Последний раз редактировалось Псих; 06.09.2007 в 11:49.

06.09.2007, 15:41	# 4
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 339	Не обязательно сразу на Киску кидаться У меня на бОльшее количество компов стоит Асус WL500 gP с Олеговой прошивкой. Файерволл любой сложности можно накрутить (практически линукс внутри). Учет видимо тоже, но такая задача передо мной не стояла. Он же гейт и NAT кстати. _http://wl500g.info/forumdisplay.php?f=86 __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

07.09.2007, 16:53	# 7
Borland СуперМод IMHO Консультант 2005-2009 Регистрация: 14.08.2002 Адрес: Московская ПЛ, ракетный отс Пол: Male Сообщения: 14 525	Вообще говоря, решить задачу комплексно на уровне железки затруднительно. Все IDS/IPS, как правило, включают в себя софтовую составляющую. И никуда от этого не деться... Ну, глянь ещё "полуаппаратное" решение... _http://www.factor-ts.ru/dionis/server/ __________________ Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий Московская ПЛ IMHO - отдых в Анапе

07.09.2007, 18:07	# 9
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 339	К Асусу ничего дописывать не нужно, возможно, только небольшой скрипт под себя заточить. К нему громадный репозитарий программ, легко настраиваются автообновления (через cron). А насчет кто-то чего-то не может настроить - глянь в ветки по винде на этом форуме - не захочешь ставить если не пробовал в ней работать __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

07.09.2007, 16:10	# 6
Ghost Shadow Guest Сообщения: n/a	Вариант повесить прокси на существующий сервер рассматривается?

08.09.2007, 13:31	# 10
modest Junior Member Регистрация: 10.05.2003 Адрес: S-Petersburg Russia Пол: Male Сообщения: 92	Не Cisco Asa 5500 это конечно хорошо, работает жалоб нет Но до этого стояла железка Zyxel ZyWall. Тоже ничего. С функцией стенки справлялась достаточно хорошо...