https://ssl.opennet.dev/openforum/vsluhforumID6/22694.html Добрый день. Посоветуйте плз железку с требованиями:<br>1. агрегация минимум 2x1Gb на входе<br>2. агрегация 2x1 Gb на выходе<br>3. построение централизованых правил фильтрации транзитного трафика по адресам-портам<br>4. фильтрация application level уязвимостей - sql injection и т.д. - это больше пожелание<br>Задача в целом - централизовано строить правила фильтрации на ферму виртуальных серверов, без необходимости построения фильтров на каждой виртуалке.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/22694.html#11 Mon, 20 Jun 2011 13:20:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 1. агрегация минимум 2x1Gb на входе <br>&gt;&gt; 2. агрегация 2x1 Gb на выходе <br>&gt;&gt; 3. построение централизованых правил фильтрации транзитного трафика по адресам-портам <br>&gt;&gt; 4. фильтрация application level уязвимостей - sql injection и т.д. - это <br>&gt;&gt; больше пожелание <br>&gt;&gt; Задача в целом - централизовано строить правила фильтрации на ферму виртуальных серверов, <br>&gt;&gt; без необходимости построения фильтров на каждой виртуалке.<br>&gt; Cisco SCE <br>&gt; http://cisco.com/go/servicecontrol <br>&gt; Это не стенка в обычном понимании, но application level отфильтрует 100% <br><br>Ставте свежую (6.2) Vyatta на какой-нибуть HP ProLiant DL360 G7<br>и не будете знать с траффом проблем.<br><br>BTW есть хорошая статься про настройку отказоустойчивой Vyatta:<br>http://www.vyatta4people.org/highly-available-openvpn-connection-between-two-offices/<br><br>Всех благ!<br> https://ssl.opennet.dev/openforum/vsluhforumID6/22694.html#10 Thu, 16 Jun 2011 07:41:46 GMT &gt; Добрый день. Посоветуйте плз железку с требованиями: <br>&gt; 1. агрегация минимум 2x1Gb на входе <br>&gt; 2. агрегация 2x1 Gb на выходе <br>&gt; 3. построение централизованых правил фильтрации транзитного трафика по адресам-портам <br>&gt; 4. фильтрация application level уязвимостей - sql injection и т.д. - это <br>&gt; больше пожелание <br>&gt; Задача в целом - централизовано строить правила фильтрации на ферму виртуальных серверов, <br>&gt; без необходимости построения фильтров на каждой виртуалке.<br><br>Cisco SCE<br>http://cisco.com/go/servicecontrol<br>Это не стенка в обычном понимании, но application level отфильтрует 100%<br> https://ssl.opennet.dev/openforum/vsluhforumID6/22694.html#9 Fri, 03 Jun 2011 10:30:27 GMT <br>&gt; Можно например рассмотреть дизайн - по одному виртуальномы файерволу на гипервизор) <br>&gt; Тогда все красиво получается) И отказоустойчиво.<br><br>Фигню написал, не подумав) ерунда получится, т.к. для миграции виртуалок на гипервизорах должны быть общие L2 подсети.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/22694.html#8 Fri, 03 Jun 2011 09:17:51 GMT &gt; 1. ASA в последней версии софта умеет агрегировать.<br>&gt; 2. Официальной контент-фильтрации на ASA нет. Можно фильтровать по регулярным выражениям <br>&gt; - но это громостко и коряво.<br>&gt; 3. Vyatta имеет функционал контент фильтрациию ,если не ошибась. <br>&gt; Можно например рассмотреть дизайн - по одному виртуальномы файерволу на гипервизор) <br>&gt; Тогда все красиво получается) И отказоустойчиво.<br><br>контент-фильтрацию в ASA по-моему можно настроить для фильтрации ActiveX и Java. для URL-фильтрации используется сторонний продукт Websense или Smartgrid. И то и другое не очень дешевая вещь<br> https://ssl.opennet.dev/openforum/vsluhforumID6/22694.html#7 Fri, 03 Jun 2011 06:19:51 GMT 1. ASA в последней версии софта умеет агрегировать.<br>2. Официальной контент-фильтрации на ASA нет. Можно фильтровать по регулярным выражениям - но это громостко и коряво.<br>3. Vyatta имеет функционал контент фильтрациию ,если не ошибась. Можно например рассмотреть дизайн - по одному виртуальномы файерволу на гипервизор) Тогда все красиво получается) И отказоустойчиво.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/22694.html#6 Thu, 02 Jun 2011 07:34:37 GMT &gt; А может попробовать сотверный файерволл прямо на виртуалке на базе какой-нибудь Vyatta <br>&gt; например?<br><br>Софтовый конечно можно тем же iptables, но не хочется пропускать трафик через одну из виртуалок - зависеть от работы её и ноды. Также непонятно на чём делать напр. контент-фильтрацию.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/22694.html#5 Thu, 02 Jun 2011 07:32:46 GMT &gt;&gt;&gt; Добрый день. Посоветуйте плз железку с требованиями: <br>&gt;&gt;&gt; 1. агрегация минимум 2x1Gb на входе <br>&gt;&gt;&gt; 2. агрегация 2x1 Gb на выходе <br>&gt;&gt; Пару крякнутых asa5510 Active/Active.<br>&gt; У данной железки сил явно не хватит. Да и зачем крякать - <br>&gt; не понятно.<br>&gt; Инфа по производительности модельного ряда ASA легко доступна на найте Cisco.<br><br>Про ASA я в курсе - только не видел агрегации. В общем конечно как вариант, присматриваюсь<br> https://ssl.opennet.dev/openforum/vsluhforumID6/22694.html#4 Thu, 02 Jun 2011 07:22:53 GMT &gt;&gt;&gt; Добрый день. Посоветуйте плз железку с требованиями: <br>&gt;&gt;&gt; 1. агрегация минимум 2x1Gb на входе <br>&gt;&gt;&gt; 2. агрегация 2x1 Gb на выходе <br>&gt;&gt; Пару крякнутых asa5510 Active/Active.<br>&gt; У данной железки сил явно не хватит. Да и зачем крякать - <br>&gt; не понятно.<br>&gt; Инфа по производительности модельного ряда ASA легко доступна на найте Cisco.<br><br>А может попробовать сотверный файерволл прямо на виртуалке на базе какой-нибудь Vyatta например?<br> https://ssl.opennet.dev/openforum/vsluhforumID6/22694.html#3 Thu, 02 Jun 2011 07:21:27 GMT &gt;&gt; Добрый день. Посоветуйте плз железку с требованиями: <br>&gt;&gt; 1. агрегация минимум 2x1Gb на входе <br>&gt;&gt; 2. агрегация 2x1 Gb на выходе <br>&gt; Пару крякнутых asa5510 Active/Active.<br><br>У данной железки сил явно не хватит. Да и зачем крякать - не понятно.<br>Инфа по производительности модельного ряда ASA легко доступна на найте Cisco.<br><br>