|
ru.networks
- RU.NETWORKS ------------------------------------------------------------------
From : Alexander Gusak 2:5020/175.2 25 Sep 2001 20:13:29
To : Andrey Dashkiev
Subject : Сравните функции безопастности коммутаторов от Enterasys Networks, Cisc
--------------------------------------------------------------------------------
AD>>> Есть вот такая задача:
AD>>> Выбираю я комплект коммутаторов для нового офиса (~50 машин + 6
AD>>> Enterasys Networks серия X-Pedition- система Secure Harbour;
AD>>> Nortel Networks Passport 8000 - система BaySecure Secure LAN
AD>>> Access;
AG>> Все это не сильно далеко ушло от аксесс-листов.
AD> А куда ушло?
Так те же аксесс-листы. То бишь статические пакетные фильтры, постепенно
развивающиеся в части возможностей по классификации пакетов.
AG>> Это не совсем как бы системы безопасности.
AD> Поясните пожалуста. (Конечно я понимаю что можно сказать что это
AD> только составная часть системы безопастности, но мне кожится вы имели
AD> в виду нечто большее.)
Просто реально полезная в такой ситуации система должна использовать
динамический stateful-inspection firewall (то есть классифицировать пакет не
сам по себе, а с учетом состояния того потока данных, в рамках которого он
идет), (не)разрешать соединения не только исходя из статических правил, но и
по результатам аутентификации кучей разных способов, вести журнал, иметь
средства его анализа, показывать список текущих соединений и их состояние и
тп. Все это в чипы пока засовывать не научились. Из наиболее близкого по духу.
Когда-то, еще до покупки Marconi, у Fore Systems появилось желание поиграть не
только в ATM, но и в Ethernet, прикупили они кого-то и выпустили коммутаторы
серии ESX-4000, у которых внутри крутилась Windows NT с CheckPoint Firewall-1
на ней. Круть :-)))
AG>> Это делается так. Берется Cajun P334T, в слот расширения добивается еще
AG>> 16 портов, итого 64*100TX, к одному из них подключается AccessPoint 300
AG>> или даже VPN Firewall Brick 20, в конфигурации "однорукий бандит".
AG>> Каждый порт - в своей VLAN, общение исключительно через специально для
AG>> того предназначенное устройство. В ценовый диапазон укладывается с
AG>> большим запасом, ближе к нижней границе.
AD> Я знаком с Cajun P334T, но незнаком с AccessPoint 300 и
AD> VPN Firewall Brick 20.
AccessPoint - маршрутизатор класса "операторского", с SecureConnect Firewall
внутри. Hе чекпойнт, конечно, но в сочетании с софтовой платформой Navis
кое-что может. VPN Firewall - закрытая платформа на базе Intel-процессора, со
специально под нее написанной и более нигде не используемой операционкой, вещь
абсолютно непрошибаемая, она и ее софт умеет все перечисленное и гораздо
больше перечисленного, продукт года в своей классе. Производительность обоих
на уровне сотен мегабитс, стоимость - раза в два меньше чекпойнта с
неограниченной лицензией.
AD> Hо мне кажется что в данной конфигурации проподает главное
AD> преймущество Cajun330 серии - быстрая шина стека.
Стека-то тут и не будет, я же говорю - один свитч, поэтому несущественно.
AD> Имеет ли этот вариант преймущества перед решением на Cajun 330R.
Hа 333R это будет две штуки в стеке, но по Octaplane пойдут пакеты от 24
портов по 100, так что его пропускная способность не будет использована даже
на треть. Два миллиона пакетов в секунду - конечно неплохо, но управление
доступом будет все-таки сильно ограничено по гибкости и возможностям по
сравнению с предложенным. Я бы, из описания задачи, предпочел функционал
абстрактной производительности, которая еще не факт что понадобится.
AD> Дополнение: я планирую для особо "ценных" серверов ограничивать
AD> доступ для лишних протоколов. Поэтому производительность маршрутизации
AD> (точнее фильтрации) должна быть достаточно высокой. Hапример, через год
AD> хотелось бы подключить сервера через гигабит.
К сожалению, файрволлить на гигабитных скоростях пока еще только учатся.
Hаличие, например, у Cisco PIX гигабитного порта еще ничего не значит -
внутренняя скорость обработки существенно ниже. С другой стороны, я бы
прикинул арифметику - 50 пользователей по сотке при всем желании не создадут
гигабитных потоков в реальной жизни.
С уважением
Александр Гусак
--- ifmail v.2.15
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/175.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Сравните функции безопастности коммутаторов от Enterasys Networks, Cisc |
Andrey Dashkiev |
24 Sep 2001 20:43:41 |
 Re: Сравните функции безопастности коммутаторов от Enterasys Networks, |
andrei beliaev |
25 Sep 2001 00:34:10 |
  Re: Сравните функции безопастности коммутаторов от Enterasys Networks, |
Andrey Dashkiev |
25 Sep 2001 17:55:39 |
 Re: Сравните функции безопастности коммутаторов от Enterasys Networks, |
andrei beliaev |
26 Sep 2001 21:44:36 |
|
Re: Сравните функции безопастности коммутаторов от Enterasys Networks, |
Mark Gorovenko |
27 Sep 2001 00:52:13 |
|
Re: Сравните функции безопастности коммутаторов от Enterasys Networks, |
andrei beliaev |
27 Sep 2001 23:29:33 |
|
Сравните функции безопастности коммутаторов от Enterasys Networks, Cisc |
Alexander Gusak |
25 Sep 2001 10:46:12 |
|
Сравните функции безопастности коммутаторов от Enterasys Networks, Cisc |
Andrey Dashkiev |
25 Sep 2001 15:19:15 |
|
Сравните функции безопастности коммутаторов от Enterasys Networks, Cisc |
Andrey Dashkiev |
25 Sep 2001 15:19:16 |
|
Сравните функции безопастности коммутаторов от Enterasys Networks, Cisc |
Alexander Gusak |
25 Sep 2001 20:13:29 |
|
Сравните функции безопастности коммутаторов от Enterasys Networks, Cisc |
Andrey Dashkiev |
26 Sep 2001 11:28:40 |
|
Сравните функции безопастности коммутаторов от Enterasys Networks, Cisc |
Alexander Gusak |
26 Sep 2001 14:43:24 |
|
Re: Сравните функции безопастности коммутаторов от Enterasys Networks, |
Andrew Wereshchaka |
27 Sep 2001 18:10:50 |
|
Re: Сравните функции безопастности коммутаторов от Enterasys Networks, |
Alexander Gusak |
27 Sep 2001 18:44:03 |
|
|
