Монитор и автоматический фаервол сети IPTABLES, Cisco, Juniper

а какой бюджет проекта?

>а какой бюджет проекта?

Вроде хохол, а вопросы как у москаля.

А по делу: в таком виде выбора нет, потому как "человеческие" netscreen'ы, которые isg, благополучно EOL и EOS со всеми вытекающими, остались только тяжелые во всех измерениях 5к. Juniper просрал все полимеры.

Богдан, идите в Talks.

>пинг внутри сети увеличивается в десять раз

>Полоса WAN - 50 Мб\сек.

эти два утверждения меня смущают
вам железку куда ставить надо?
на аплинк или внутрь сети?

и да, начинать надо с бюджета :)

Ставить на аплинк, бюджет 2000 -3000 у.енотов.

А что за железо сейчас, может стоить ядро линукса покрутить? памяти оперативной больше поставить, правила подправить

за 3000 уе и циско несовместимы как arm и виндось

хм, 50 килопакетов это ещё ни о чём не говорит, но, имхо, не особая нагрузка. Я видел как тачки на гигабитном линке работали, там сотни килопакетов, куча правил в фаерволе и при этом они ещё клиентов обслуживать умудрялись, сотни запросов в секунду.

Хотя, понятное дело, разные модули iptables грузят тачку по-разному.

Имхо стоит начать с сетевых карточек от интеля за 100$/порт и вменяемого админа. 1000 юзеров и 50 мегабит это вообще не нагрузка. Тормозить там может только кривая конфигурация таблесов.

на 3000 уе из доступного и поддерживающего все требования вот
1) ASA5510-AIP10-K9
2) SSG-140-SH

второе, на мой взгляд более предпочтительно.

Я вот тоже смотрю больше в сторону Juniper , нашел по нормальной цене SSG-520 , без модулей дополнительных, вот инетерсно может кто работал обеспечит ли он защиту от DDOS, флуда, SYN , а также мониторинг и ограничения полос на айпишники в сети без доп модулей ?
С Виду и по параметрам машинка очень грозная и мощная, но вот документация на сайте очень скудная, не совсем понятно, и со ScreenOS думаю разберусь, никогда не работал.

от доса мало что защитить может, и это точно не железка данной ценовой категории.
а вы хостер чтоли?

у жунипера кстати хорошая документация
http://www.juniper.net/us/en/local/pdf/datasheets/1000143-en.pdf
http://www.juniper.net/customers/support/products/netscreenssg520.jsp

> на каждый айпи из сети (их около 1000), > большого количества пакетов, иногда достигает 50000 в сек > Полоса WAN - 50 Мб\сек.

Это вообще не нагрузка. Что за машина, где всё это крутится?

Я не хостер но работаю в небольшом ДЦ, поетому постоянно боремся с DDOS, флуд, и прочей гадостью сил никаких уже нет и iptables не справляется.... вернее справляется но пинг повышается очень сильно.

To chocholl я так понимаю вы работали с Юнипером, поделитесь впечатлением, стоит ли он своих денег и стоит ли вообще его ставить....

ну как тебе сказать...

этот вендор очень редко меня разочаровывает, почти все заявленные возможности оборудования работают так как написано.

но не стоит забывать, что одно устройство не панацея. Тем более в таком щепетильном вопросе, как досы. Реализация системы защиты от досов очень сильно зависит от топологии сети, если задача просто обеспечить нормальное прохождение полезного трафика и загасить флуд,так как iptables затыкались, то эта модель жунипера подойдет. Если к тому же еще внешний канал забивается, то нужно смотреть в сторону более тяжелых/дорогих решений.