Content, application and web filtering

[dszyling]

Przed dwoma laty kupowałem do firmy urządzenie zabezpieczające, które działa jako brama do internetu. Chodziło też, aby można było ograniczyć zagrożenie ze strony samych użytkowników Myślałem o ASA 5505 z Sec+ lic. ale zaproponowano mi Cyberoam UTM, który miał firewall, Content filter, application filter, web filter, IPS, VPN, antispam, QOS, AV i swietne narzędzia do raportowania. Najfajniejszą sprawą była jednak możliwość autoryzacji na urządzeniu (np za pomocą zewnętrznego serwera AD), gdzie każdy użytkownik jest sprofilowany i widać co robi. Po prostu bajka - jestem bardzo zadowolony.

Obecnie mam klienta, u którego również potrzebna jest podobna funkcjonalność (firewall, VPN, content, application i web filter, QOS oraz najlepiej, żeby można było utworzyć grupy użytkowników i ich logować. Wypisz-wymaluj Cyberoam

Przed wakacjami na kursie w akademii Cisco dowiedziałem się, że wyszło coś takiego jak ASA CS (jeśli się nie mylę), która robi podobne rzeczy. Niestety nie miałem możliwości, żeby tego dotknąć.

Czy możecie coś w tym temacie napisać, bądź wskazać, gdzie można się temu przyjrzeć?

[lbromirs]

Cisco ASA CX.

Jak dodasz do tego ISE oraz infrastrukturę na Cisco Catalyst uzyskujesz rozwiązanie end-to-end, a nie punktowe - w przeciwieństwie do całej konkurencji.

[dszyling]

Cisco ASA CX.

Jak dodasz do tego ISE oraz infrastrukturę na Cisco Catalyst uzyskujesz rozwiązanie end-to-end, a nie punktowe - w przeciwieństwie do całej konkurencji.

Rozwiązań o których piszę potrzebuję do firmy z 20 stanowiskami, a więc bardzo mało + max. do 20 jako goście z dodatkowymi ograniczeniami.
Zatem rozwiązania, które chcę wdrożyć (nie mówię, że będą tej samej jakości co na Cisco) będą tańsze od Cyberoam, bo rozwiązania end-to-end nie mają w tym przypadku zastosowania.
Cisco dość wyraźnie rozgranicza small business i taką technologie rezerwuje głównie dla przedsiębiorstw posiadających oddziały i zdalnych pracowników.
Dzięki więc

[wookasch]

rozwiązania end-to-end nie mają w tym przypadku zastosowania.

Czy w firmie istnieje jakakolwiek polityka bezpieczenstwa? Czy jest robiony proof of concept, ktory pomoze w wyborze odpowiedniego rozwiazania?
Postawienie pudelka, ktore bedzie rysowalo kolorowe wykresy to nie jest rozwiazanie problemu.
Lub, jak to swego czasu kktm ladnie ujal na forum,

same ficzery security na pudelkach nic nie dają bez pewnej wizji.

Uzupelniajac powyzsze, z konkretnych produktow zainteresuj sie tez Palo Alto.

[lbromirs]

Rozwiązań o których piszę potrzebuję do firmy z 20 stanowiskami, a więc bardzo mało + max. do 20 jako goście z dodatkowymi ograniczeniami.
Zatem rozwiązania, które chcę wdrożyć (nie mówię, że będą tej samej jakości co na Cisco) będą tańsze od Cyberoam, bo rozwiązania end-to-end nie mają w tym przypadku zastosowania.

Ależ mają. Ilość użytkowników nie jest ważna, ważny jest poziom bezpieczeństwa, który chcesz im zapewnić.

Napisz po prostu, jaki masz budżet a nie zajmuj się bajaniem o tym, że to będzie 'small business' albo cokolwiek innego. Być może po prostu dane tej firmy (ich utrata bądź wykradzenie) kosztuje wg. Ciebie 0zł a wtedy zarówno Twoja praca jak i rozwiązanie które budujesz, również powinny sumować się do kosztu 0zł żeby być możliwa do uzasadnienia. Wtedy absolutnie masz rację.

Przemyśl to sobie.

[dszyling]

Rozwiązań o których piszę potrzebuję do firmy z 20 stanowiskami, a więc bardzo mało + max. do 20 jako goście z dodatkowymi ograniczeniami.
Zatem rozwiązania, które chcę wdrożyć (nie mówię, że będą tej samej jakości co na Cisco) będą tańsze od Cyberoam, bo rozwiązania end-to-end nie mają w tym przypadku zastosowania.

Ależ mają. Ilość użytkowników nie jest ważna, ważny jest poziom bezpieczeństwa, który chcesz im zapewnić.

Napisz po prostu, jaki masz budżet a nie zajmuj się bajaniem o tym, że to będzie 'small business' albo cokolwiek innego. Być może po prostu dane tej firmy (ich utrata bądź wykradzenie) kosztuje wg. Ciebie 0zł a wtedy zarówno Twoja praca jak i rozwiązanie które budujesz, również powinny sumować się do kosztu 0zł żeby być możliwa do uzasadnienia. Wtedy absolutnie masz rację.

Przemyśl to sobie.

Masz racje, jednak mam max 3500 na urządzenie, które ma stać jako brama do Internetu, ale również pilnować użytkowników wewnątrz (a filtrowanie treści dlatego, że taka jest polityka firmy, aby pewnego rodzaju treści i serwisy nie były dostępne). Z urządzeń zabezpieczających znam (w jakimś stopniu) i używam w różnych miejscach Cyberoam 25ia, który taką funkcjonalność posiada oraz ASA 5505 Sec+, którą wykorzystuję jako firewall i bramkę VPN, pozostałe rozwiązania jak polecany powyżej paloalto znam tylko z prasy, dlatego pytam o radę.

[balam]

Zobacz tez Fortigate, bo moze byc odpowiednio dla Twojego budzetu.

[dszyling]

Zobacz tez Fortigate, bo moze byc odpowiednio dla Twojego budzetu.

Tak, budżet jest żaden, dlatego nie chciałem rozmawiać o poważnych rozwiązaniach. Rozejrzałem się troszkę i zaczerpnąłem wiedzy na temat ISA500. W dokumencie: http://www.cisco.com/c/en/us/td/docs/se ... #wp1180533
znalazłem coś takiego:
The security appliance authenticates all users when they attempt to access your network resources in different zones. Users on the VLANs perform only local tasks, and are not required to be authenticated by the security appliance.

Przy pomocy jakiego mechanizmu jest autoryzowany użytkownik sieci lokalnej (czy w ogóle jest) jeśli chce skorzystać z zasobów sieci zewnętrznej (www, poczta...)?

Dla mnie istotne jest, aby każdy, kto chce wyjść do Internetu musiał być zalogowany na urządzeniu, które przypisuje dla niego polisy bezpieczeństwa.