O que é uma configuração comum de gateway / proxy / filtragem de internet corporativa?

Navegue suas respostas
2

Quais são algumas configurações "típicas" de gateway da Internet para empresas corporativas, digamos, de 500 a 5000 usuários? por exemplo.

  • Firewall - algum dispositivo de hardware?
  • Web Proxy - squid ou outro software / dispositivo proxy?
  • Filtragem / bloqueio de conteúdo - Barracuda ou Websense ou outro software?

Estou interessado em alguns exemplos do que as empresas estão realmente usando. Eu também posso ter minha terminologia maluca.

    
por Rory 02.12.2010 / 04:29

3 respostas

3

Nesse tamanho de rede, esperaria encontrar:

  • Roteadores de borda redundante (hospedagem múltipla com ISPs diferentes na extremidade maior do tamanho de rede proposto)

  • Firewalls redundantes (dispositivos de hardware criados especificamente ou computadores com servidores de commodity que executam software de firewall - houve discussões espirituosas aqui sobre ambos)

  • Filtragem de conteúdo e proxy da web - Usando ofertas comerciais ou de código aberto (e, novamente, hardware de finalidade específica ou computadores servidores de commodity, com os mesmos argumentos ativos)

Acho que sua pergunta já tem algumas das respostas que você está procurando. Não há nada "mágico" em fornecer esses serviços para uma rede maior versus uma menor, além de ser mais deliberada sobre redundância, planejamento de capacidade e testes.

Veja alguns detalhes sobre alguns ambientes em que trabalhei:

Trabalhei um contrato em uma empresa da Fortune 1000 com aproximadamente 4.000 clientes atendidos por duas conexões à Internet baseadas em DS3. Os firewalls de ponta eram dispositivos Cisco ASA-5520 configurados em uma configuração ativa / passiva. Dois roteadores Cisco da série 3600 (não lembram o modelo) forneceram conectividade de ponta aos ISPs. A maioria das sub-redes da empresa tinha seu acesso à Internet filtrado por meio dos dispositivos de filtragem de conteúdo da Websense. Eu não estou ciente de qualquer cache sendo presente, mas é certamente possível que houve algum cache transparente que eu não estava ciente.

Eu faço algum trabalho com um consórcio sem fins lucrativos que fornece acesso à Internet e serviços de hospedagem de aplicativos para várias escolas públicas (com mais de 5.000 clientes individuais em toda a sua base de clientes). Eles têm conectividade redundante para provedores de serviços de Internet upstream e são multihomed com suas upstreams. Eles fornecem toda a sua filtragem usando dispositivos de filtragem M86 8e6. O cache deles foi historicamente fornecido pelos appliances STRATACACHE, mas eles podem ter se afastado deles recentemente - eu não acompanhei. Seu firewall de ponta permanece baseado na Cisco e foi, pela última vez que verifiquei, um módulo de serviço de firewall em um switch Cisco Catalyst 6509.

    
por 02.12.2010 / 06:33
0

Eu seria executado a partir de Barracuda - ( o google barracuda é uma droga ) - é claro que foi apenas minha experiência w / suas coisas anti-spam não seu firewall.

O PFSense tem uma solução GRATUITA e realmente ótima.

O que é o PFSense ?

O pfSense é uma distribuição personalizada de código aberto do FreeBSD feita sob medida para uso como firewall e roteador. Além de ser uma plataforma poderosa e flexível de firewall e roteamento, ela inclui uma longa lista de recursos relacionados e um sistema de pacotes que permite mais expansibilidade sem adicionar vulnerabilidades inchadas e potenciais à distribuição base. O pfSense é um projeto popular com mais de 1 milhão de downloads desde a sua criação e comprovado em inúmeras instalações, desde pequenas redes domésticas que protegem um PC e um Xbox a grandes corporações, universidades e outras organizações que protegem milhares de dispositivos de rede.

Executamos o pfSense no limite de muitas de nossas redes - de algumas corporações maiores que suportamos até mesmo alguns gabinetes inteiros para clientes no datacenter.

Ele suportará virtualmente qualquer tipo de roteamento, incluindo o BGP, possui um ótimo firewall, funcionará no modo transparente se você desejar também.

Funciona em ambientes virtuais, como VMWare

As opções de suporte são tudo, desde fóruns, listas de e-mail, suporte pago até mesmo a uma comunidade de IRC gratuita

Nós não somos afiliados de qualquer forma com o PFSense - apenas use e ame-o.

  • edite para adicionar link ao barracuda por solicitação ...

Uma foto de um dos nossos sistemas de FP link

    
por 02.12.2010 / 05:33
-1

Outra opção é o Vyatta.

Eu gosto do Vyatta, já que ele é bem próximo da sensação de um dispositivo Cisco - mas ele é executado em hardware x86.

A sua edição comunitária é geralmente publicada duas vezes ou mais por ano. Usamos a edição da comunidade deles e atualizamos a versão paga há pouco tempo para o WISP que temos - principalmente para as opções de suporte.

A capacidade de classificar o tráfego limite foi um grande valor para nós.

O que é www.Vyatta.com

A Vyatta está revolucionando o setor de rede, fornecendo um sistema operacional de rede, baseado em software e de código aberto, que é portátil para o hardware x86 padrão, bem como plataformas comuns de virtualização e computação em nuvem. Ao implantar o Vyatta, os usuários se beneficiam de um conjunto flexível de recursos de roteamento e segurança de classe empresarial, capazes de escalar do desempenho de DSL para 20Gbps a uma fração do custo de soluções proprietárias. Milhares de infraestruturas físicas e virtuais em todo o mundo, desde a pequena empresa até a Fortune 500, são conectadas e protegidas pelo software e dispositivos Vyatta.

O Vyatta também será executado em um ambiente virtual - de acordo com relatórios Tolly, ele também tem ótimas pontuações.

Balanceamento de carga e pulsação para permitir mais de dois roteadores, mas isso exigirá a versão paga ;-(

    
por 02.12.2010 / 09:55

Tags

Erro Nginx 413 Um certificado SSL precisa ser comprado e configurado para o OpenVPN?