Замена BorderManager

Обсуждение технических вопросов по продуктам Novell

Замена BorderManager

Сообщение Михаил Цветаев » 21 мар 2018, 20:37

Андрей Добров писал(а):............

Могу предложить на замену FоrtiGаtе в исполнении - виртуальная машина. SSO с eDirectory работает.
Только я имею релиз под VMWare. Если виртуализация имеется в конторе .... то на 90% замена адектватна Бордюру.


Н....да странная вещь этот FortiGate. И есть вопросы
- как избежать систематического слетания лицензий
- как запустить запросы агента eDirectory для SSO через SSL
- как запустить агента eDirectory под Win x64 или может имеется другая версия.


Ищу замену Бордюру и наткнулся на прогу keyshieldsso.
Создали чешские товарищи. Ни кто не пробовал использовать в связке с SQUID. Имеется ли опыт работы и качество такой связки?
Михаил Цветаев
 
Сообщения: 165
Зарегистрирован: 28 авг 2008, 13:31

Re: Замена BorderManager

Сообщение skoltogyan » 22 мар 2018, 08:44

ищите такие, что покупать надо или free ?

из платных, можно попробовать керио.

фортик - не замечал, что-бы "слетала лицензия".
мне в нем не понравилось:
- не поддерживает openvpn
- через ssh не удобно им управлять
- меньшая гибкость в настройках, по сравнению с решениями на базе линукс.
skoltogyan
 
Сообщения: 1940
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: Замена BorderManager

Сообщение URRY » 22 мар 2018, 09:54

Мы используем McAfee Web Gateway , не совсем бесплатная , но работой довольны.
С eDir дружиться за 5 секунд
URRY
 
Сообщения: 177
Зарегистрирован: 13 май 2012, 22:40

Re: Замена BorderManager

Сообщение Сергей Дубров » 22 мар 2018, 09:57

skoltogyan писал(а):ищите такие, что покупать надо или free ?

из платных, можно попробовать керио.

фортик - не замечал, что-бы "слетала лицензия".
мне в нем не понравилось:
- не поддерживает openvpn
- через ssh не удобно им управлять
- меньшая гибкость в настройках, по сравнению с решениями на базе линукс.

А в чём неудобство управления через ssh для фортинета?

Мы сейчас находимся в процессе выбора/тестирования нескольких решений для граничного firewall-а (все NGFW). Текущее решение - Cisco ASA-X, перестала удовлетворять по некоторым критериям. Смотрим (или планируем):

    UserGate от entensys (наши, новосибирские импортозамещатели)
    PaloAlto (PA-5020)
    ASA+firepower
    Huawei (USG6350)

Не заказывали на тестирование, но немного посмотрел вживую FortiGate - пока понравился больше всех, хочу узнать про недостатки/проблемы. UserGate нам точно не подходит, т.к. нет API управлялки, cli через ssh крайне убог и малофункционален, snmp - только мониторинг, основная рулёжка подразумевается через web-морду - категорически не устраивает.

Наша текущая ASA-5525-X сейчас рулится (в основном) через cli (ssh-expect в скриптах), в гуи настраиваем только то, что в cli делается а) редко б) неудобно (н-р, создание объектов/групп, правила и т.п.). Из скриптов мы заливаем актуальные white/black/ban-листы, конфигурим biNAT - благо cli в цисках традиционно могуч и продвинут :). В fortigate понравился живой, умный мониторинг - в реалтайме видно кто-куда-откуда-И-КАКОЕ ПРИЛОЖЕНИЕ сейчас открыло соединения! Нас тут замордовали правобладатели, мол, раздаём нелегально контент в торрентах. С текущей ASA-ой ловить очередного торрентовода весьма не просто (нам хочется именно не тупо блокировать, а мониторить, и селективно и удобно управлять процессом).

Чуть в сторону, но близко к теме: у нас в сети возникало уже несколько случаев странного трафика, который я так и не смог опознать: хост открывает наружу несколько тысяч(!)(рекорд ~25000 states) TCP (не UDP, как торренты) соединений на port destination 8000 или 37777 (были варианты только на один из этих портов - чаще, - иногда на оба). Навскидку посмотрел, куда идут коннекты - обычно какие-то хостинги/облака. И, что откровенно удивило в крайний раз - в двух случаях такими хостами с тысячами TCP-коннектов были... принт-серверы (оба им.HP). Понять, что это было - не удалось. Блокировка на граничном fw таких хостов к видимым последствиям не приводила... Никто не сталкивался с подобным?
Аватара пользователя
Сергей Дубров
 
Сообщения: 2080
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Re: Замена BorderManager

Сообщение Андрей Добров » 22 мар 2018, 16:40

Михаил Цветаев писал(а):
Андрей Добров писал(а):............

Могу предложить на замену FоrtiGаtе в исполнении - виртуальная машина. SSO с eDirectory работает.
Только я имею релиз под VMWare. Если виртуализация имеется в конторе .... то на 90% замена адектватна Бордюру.


Н....да странная вещь этот FortiGate. И есть вопросы
- как избежать систематического слетания лицензий
- как запустить запросы агента eDirectory для SSO через SSL
- как запустить агента eDirectory под Win x64 или может имеется другая версия.


Ищу замену Бордюру и наткнулся на прогу keyshieldsso.
Создали чешские товарищи. Ни кто не пробовал использовать в связке с SQUID. Имеется ли опыт работы и качество такой связки?


- Если Вы используете, то что я Вам выкладывал, то там нет понятия лицензии как таковых. Это демо на 60 дней и если Вы всё правильно сделали - то у Вас должно быть время демо режима 10 лет.
- не знаю зачем Вам запросы агента eDirectory через SSL, я использую режим агента native, т.е. если стоит клиент от Novell то ни во что запросы заворачивать не надо.
- есть такой грех, на сервере Windоws 2008R2 агент уходит в аут, точнее не запускается как сервис. Но если запустить его на Win7(x64) - то всё работает без проблем. Я использую старый добрый Windоws2003R2 в минимальной конфигурации винды и не задумываюсь. В виртуальной среде минимум затрат. Работает годами без проблем.
Андрей Добров
 
Сообщения: 228
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Re: Замена BorderManager

Сообщение Сергей.М. » 23 мар 2018, 08:29

Сергей Дубров.

Тогда не ASA с Firepower лицензией, а непосредственно Firepower. У ASA перспектив нет.
Ну и готовьтесь к web управлению в Firepower. CLI в нем урезанный и предназначен для первоначального развертывания.
Аватара пользователя
Сергей.М.
 
Сообщения: 181
Зарегистрирован: 06 июн 2002, 08:14

Re: Замена BorderManager

Сообщение skoltogyan » 25 мар 2018, 12:00

а чем не подходит то, что дает iptables + iproute c qos на Linux ?
skoltogyan
 
Сообщения: 1940
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: Замена BorderManager

Сообщение Ковалев Артем » 26 мар 2018, 14:37

skoltogyan писал(а):а чем не подходит то, что дает iptables + iproute c qos на Linux ?

А как ЭТО вязать с eDir и управлять группами в дереве? :mrgreen:
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 919
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

Re: Замена BorderManager

Сообщение Михаил Цветаев » 02 апр 2018, 15:37

Андрей Добров писал(а):......
- Если Вы используете, то что я Вам выкладывал, то там нет понятия лицензии как таковых. Это демо на 60 дней и если Вы всё правильно сделали - то у Вас должно быть время демо режима 10 лет.
....

Лицензии "обнуляются" если виртуальной машине с FоrtiGаtе дать больше чем один процессор и добавить памяти.

Уже осознал, что прыгать в лево или право по ресурсам от того что есть при развертывании appliance от FоrtiGаtе - нельзя.
Михаил Цветаев
 
Сообщения: 165
Зарегистрирован: 28 авг 2008, 13:31

Re: Замена BorderManager

Сообщение Dimerson » 03 апр 2018, 08:27

Недавно тут вымирал ФортиГейт 90E в одном филальчике (напаянный флеш на маке сдох). Создали кейс. В течении 1 рабочего дня новый на замену был уже в МСК. Ну и транспортной 2 дня - новый тут а мертвый курьером тем же назад.

В целом с саппортом у Форти все ок.
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6

cron