отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Посоветуйте пожалуйста аппаратный фаервол

Добрый день.

Посоветуйте пожалуйста аппаратный фаервол Cisco.

Задача.

Фаервол;

Проброс портов,

Аппаратный антивирус (мб с возможностью покупки или в случае не оплаты лицензии, просто не использовании его);

VPN;

Контроль, ограничение скорости интернета соединения по айпи или мак адресу,

запрет определенного контента, сайтов.

Будет устанавливаться в двух офисах в одном интернет ADSL, в другом заходит по витой паре.

Колличество пользователей до 50-ти.

По возможности бюджетный вариант, не дорогой.

Спасибо.

10 ОТВЕТ.

Посоветуйте пожалуйста аппаратный

Добрый день, Алексей!

Я не эксперт по фаерволам и скорее посоветовал бы вам роутер (ну вот за исключением пункта с антивирусом), но  даже для этого пары уточнений в вашем ТЗ явно не хватает:

1) VPN нужен между офисами или для удалённого подключения клиентов к офису ?

2) Шифрование в VPN-туннеле нужно, или только сам VPN ?

3) Ширина канала интернет какая в обоих точках ?

New Member

Посоветуйте пожалуйста аппаратный

Уточнение:

1) VPN нужен между офисами

2) Шифрование в VPN-туннеле нужно

3) Ширина канала: в одном 9/1 Мбит (ADSL), в втором 100/10 Мбит  (входящий/исходящий трафик соответсвенно)


Посоветуйте пожалуйста аппаратный

1) Моё (и не только моё) мнение заключается в том, что ASA может хорошо работать как выделенный firewall или как VPN концентратор для Remote Access VPN (т.е. для подключения к сети удалённых клиентов). Но использовать ASA для построения Site-2-Site VPN (т.е. для объединения офисов) я бы вобще не рекомендовал, ибо роутеры подходят для этого куда лучше. Это моё ИМХО. Спорить не буду, тут у всех свой опыт. Но дальнейшие рекомендации касаются именно роутеров.

2) Там где у вас канал 9 Мбит\с - воплне достаточно будет роутера cisco1921.

А вот там где присутствует цифра в 100Мбит\с всё сложнее. На сколько мне известно, елси вы задействуете на роутере ZBFW+IPSEC+GRE+QoS то роутер способный выдать при таком функционале более 100Мбит (я говорю более, потому что по хорошему необходимо иметь запас в производительности) это 3925Е или 3945Е. А они совсем не дешёвые.

Но если вы точно знаете, что у вас по VPN будут работать только эти два офиса и ничего более, то логично будет предположить, что на второй точке(там где канал 100Мбит\с) никогда не будет VPN-трафика более 9Мбит\с, так как другая сторона болше просто не утянет. В этом случае Вы вполне можете обойтись роутером серии 29хх. Я бы конечно посоветовал 2951, но если бюджет скромный, то в принципе можно и 2911.

3) Отдельный вопрос про Шифрование.

Ввоз криптосредств на територию РФ на данный момент вопрос не такой уж и простой - см.FAQ

Скажу в двух словах - вы сначала покупаете маршрутизатор без поддержки шифрования, потом получаете разрешение на это шифрование в ФСБ, и только потом получаете возможность приобрести ПО для вашей cisco с возможностью шифрования. Как-то так, да

4) И ещё.

Имейте ввиду, что для многих дополнительных функций, например того же шифрования, вам необходимо приобрести не только роутеры, но и лицензии для IOS на соответствующий функционал.

На эту тему см. фиче-навигатор.

P.S. на пункты 3 и 4 можно наплевать, если Вы воспользуетесь так называемой "технологической лицензией", но как Вы понимаете это не совсем законно и может иметь соответствующие последствия.

New Member

Посоветуйте пожалуйста аппаратный

Спасибо, а что Вы скажите о модели

L-ASA5512-AW1Y-PR=

Посоветуйте пожалуйста аппаратный

Видимо речь идёт по ASA 5512-X.

Ну судя по заявленным параметрам  - штука крутая, должна потянуть всё, что вам нужно, я вот только не уверен на счёт Антивируса. Ну и что-там по лицензиям тоже не скажу (вы скореее всего тоже не отделаетесь покупкой одной железки, и прийдётся докупать ещё лицензии).

А больше ничего не скажу, я не спец по ASA.

New Member

Посоветуйте пожалуйста аппаратный

К сожалению роутером всех задачи не получится перекрыть.

Т.к. важным фактором является.

Учёт/ контроль/ ограничение трафика

Запрет по портам/ сайтам/ расширению и т.д.

Толковая реализация VPN - IPSec

Мб как доп. функция, контроль посещаемых ресурсов по юзерам.

Ну и мощный фаервол с хорошим функционалом, мб с возможностью контроллировать передаваемые пакеты в нутри сети.

На данный момент это всё сделано на ISA 2006, + дополнительно куча стороннего софта, мне кажется лучшим выбором будет покупка и замена на аппратный фаервол, в одном железе.

Посоветуйте пожалуйста аппаратный

Толковая реализация VPN - IPSec

1) ИМХО в роутерах-то оно как раз таки толковее будет.

2) Функционал Zone-based firewall в роутерах ни чем не хуже, чем на ASA.

3) Content-filtering тоже есть.

4) А что касается контроля посещаемых ресурсов, то насколько я знаю идеальный вариант для этого - использование прозрачной (или не прозрачной) прокси. Как правило на linux. Причём если посмотреть теже аппаратые рещения вроде CheckPoint, то там по сути дела этаже прокся на том же Linux+Squid, только вид сбоку.

Я что-то не слышал, что бы для этого хоть кто-то использовал ASA, обычо ставят наружу ASA, а внутри всё равно прокся, не важно аппаратная или на базе сервера под линухом.

Так что я бы на вашем месте не был бы так уверен во всемогуществе ASA.

P.S. Мне уже интересно - тут кто-нибудь выстпит в поддержку ASA, или все солидарны ?

New Member

Посоветуйте пожалуйста аппаратный

Тогда, какой смысл менять одно на другое? и платить ещё за это деньги, преемущества, должны ж быть у этих систем.

Посоветуйте пожалуйста аппаратный

А никто и не говорил, что они взаимозаменяемы. ASA традиционно всё же используется именно как фаерволл, и например поднимать там QoS это как раз  нестандарт. 

В крупной корпоративной среде функционал обычно разделяют, и каждая железка занимается чем-то своим, например:

- роутеры WAN-сегмента, на них крутиться только BGP, как вариант ещё QoS

- далее идёт DMZ-сегмент, в котором могут быть отдельные роутеры выполняющие функционал VPN-концентратора, но это могыт быть и ASA

- в этом же DMZ-сегменте могут стоять маршрутизаторы выполняющие роль голосового шлюза, или собственно голосовые шлюзы серии VG

- далее на границе локалки и DMZ-сегмента стоят фаерволлы, вот тут как првило только ASA

- более того весь интернет трафик может уходить с ASA на прокси-сервер, который тоже подключен к DMZ-сегменту

- далее идёт локалка, в которой традиционно используются L3-коммутаторы.

А у вас я так понимаю небольшая организация и нет нужды в таком парке телеком-оборудования, соответственно вам нужен универсальный комбайн всё в одном. Я лишь говорю о том, что роутер на мой взгляд гораздо лучше подходит под эту роль, чем фаервол, но я думаю ни то ни другое изначально не претендует на эту роль, специализируясь на более узких задачах.

New Member

Посоветуйте пожалуйста аппаратный

По поводу шифрования не совсем верно. Сейчас все таможенные и фсбшные проблемы на себя берут продавцы, если это, конечно, не "купи-продай" конторка. Конечному пользователю уже не нужно об этом думать, как было раньше.

2028
Просмотры
0
Полезный материал
10
Ответы