Comments 14
> Подробности на странице акции
Открыл страницу акции. Вместо ожидаемой цены увидел «Запросить цены». Закрыл страницу акции. :)
Открыл страницу акции. Вместо ожидаемой цены увидел «Запросить цены». Закрыл страницу акции. :)
+5
что хорошо — у них есть (или была раньше) домашняя лицензия (с лимитом по количеству устройств и невозможностью кастомизации сообщений) а встает оно на любое практически железо даже если нет ни в каком ACL + есть железные серверы от них. так что если не хочется копаться с линуксом дома но микротика мало — то можно просто поставить на свободную x86-железку. удобно.
+2
Дополню ссылкой на Sophos UTM Home. Бесплатная для домашнего использования: до 50 IP-пользователей + 10 бесплатных лицензий на Антивирус Sophos. Весь функционал, кроме кастомизации, открыт.
+2
Можно ли разграничивать доступ по пользователям не только к http(s), но и к другим сервисам используя методы аутентификации AD SSO или через браузер? Например, разрешить доступ к POP3 только определенной группе AD, не используя агента на компьютерах.
Есть ли шейпер?
Есть ли шейпер?
0
Чтобы разграничивать доступ к POP3 по пользователям, нужен установленный агент. Шейпер есть (см. Interfaces & Routing -> Quality of Service (QoS)), для него аналогичное условие.
0
Вот если бы запилили полностью прозрачный SSO для всего трафика без установки агента (используя ipsec, например), это была бы фича.
0
Подобную схему сейчас можно реализовать, используя бесплатный SSL VPN клиент от Sophos. Он будет заворачивать в сторону UTM весть трафик от пользователя. Однако, в нём нет SSO и параметры доступа нужно ввести хотя бы один раз. В UTM можно иметь несколько SSL VPN профилей, разграничивая доступ пользователей к разным ресурсам.
Резюмируя,
— Ограничение скорости доступа для пользователя — возможно при использовании Аутентификации:
Client Authentication software («Definitions & Users -> Client Authentication») или
SSL VPN Client Authentication
— Ограничение скорости доступа для IP-адреса — возможно при любом способе Аутентификации
Резюмируя,
— Ограничение скорости доступа для пользователя — возможно при использовании Аутентификации:
Client Authentication software («Definitions & Users -> Client Authentication») или
SSL VPN Client Authentication
— Ограничение скорости доступа для IP-адреса — возможно при любом способе Аутентификации
0
Квоты месячные на пользователя есть?
Какой-нибудь простой WAF?
Фильтрация по сигнатурам, а не по расширениям файлов? (Например исполняемые по заголовку Mz)
Может распарсить SMTP трафик и удалить запрещенные вложения?
Другие антивирусные движки возможно подключить (каспер, дрвеб)?
Логирование действий администратора? (изменение конфига, заход в консоль и тд)
Какой-нибудь простой WAF?
Фильтрация по сигнатурам, а не по расширениям файлов? (Например исполняемые по заголовку Mz)
Может распарсить SMTP трафик и удалить запрещенные вложения?
Другие антивирусные движки возможно подключить (каспер, дрвеб)?
Логирование действий администратора? (изменение конфига, заход в консоль и тд)
0
> Квоты месячные на пользователя есть?
Квотирование трафика сделать нельзя.
Обычный вопрос: что работник будет делать, если превысит квоту => рост числа служебных записок и обращений в службу поддержки.
Зачастую заказчики просто блокируют / ограничивают нежелательный трафик (P2P, Video,...) и наиболее злостных пользователей.
> Какой-нибудь простой WAF?
Да, с поддержкой Outlook Web Access, выносом аутентификации (с добавлением одноразовых паролей) и выносом HTTPS терминации
> Фильтрация по сигнатурам, а не по расширениям файлов? (Например исполняемые по заголовку Mz)
Да, определение идёт по контенту файла, не по расширению (используются антивирусные наработки). Сигнатуры регулярно обновляются, однако свои добавлять нельзя. См. подробней в статье.
> Может распарсить SMTP трафик и удалить запрещенные вложения?
Нет, целостность письма не нарушается.
Если запрещённое вложение содержится в письме, оно попадает в карантин. Пользователь или администратор может зайти на веб интерфейс UTM (в личный кабинет) и освободить это письмо из карантина. UTM может автоматически отправлять пользователю email, где будут перечислены все письма, находящиеся в карантине, одним кликом пользователь высвобождает письмо из карантина.
> Другие антивирусные движки возможно подключить (каспер, дрвеб)?
Нет, поддерживаются только два: Sophos и Avira. Они регулярно обновляются, это включено в стандартную подписку Web Protection.
> Логирование действий администратора? (изменение конфига, заход в консоль и тд)
Да, логируется. Кто изменил, когда, откуда и что.
Полный список функций в документе в нижней части странички: http://www.fgts.ru/vendors/inus-capsule.html
Квотирование трафика сделать нельзя.
Обычный вопрос: что работник будет делать, если превысит квоту => рост числа служебных записок и обращений в службу поддержки.
Зачастую заказчики просто блокируют / ограничивают нежелательный трафик (P2P, Video,...) и наиболее злостных пользователей.
> Какой-нибудь простой WAF?
Да, с поддержкой Outlook Web Access, выносом аутентификации (с добавлением одноразовых паролей) и выносом HTTPS терминации
> Фильтрация по сигнатурам, а не по расширениям файлов? (Например исполняемые по заголовку Mz)
Да, определение идёт по контенту файла, не по расширению (используются антивирусные наработки). Сигнатуры регулярно обновляются, однако свои добавлять нельзя. См. подробней в статье.
> Может распарсить SMTP трафик и удалить запрещенные вложения?
Нет, целостность письма не нарушается.
Если запрещённое вложение содержится в письме, оно попадает в карантин. Пользователь или администратор может зайти на веб интерфейс UTM (в личный кабинет) и освободить это письмо из карантина. UTM может автоматически отправлять пользователю email, где будут перечислены все письма, находящиеся в карантине, одним кликом пользователь высвобождает письмо из карантина.
> Другие антивирусные движки возможно подключить (каспер, дрвеб)?
Нет, поддерживаются только два: Sophos и Avira. Они регулярно обновляются, это включено в стандартную подписку Web Protection.
> Логирование действий администратора? (изменение конфига, заход в консоль и тд)
Да, логируется. Кто изменил, когда, откуда и что.
Полный список функций в документе в нижней части странички: http://www.fgts.ru/vendors/inus-capsule.html
+1
Никто, случайно, не сталкивался со следующей проблемой?
Софос развёрнут на VmWare ESX, при добавлении нового интерфейса и перезагрузки, все интерфейсы(и соответственно сети) перемешиваются и сеть оказывается в непонятном и неконтролируемом состоянии. Как с этим бороться?
Софос развёрнут на VmWare ESX, при добавлении нового интерфейса и перезагрузки, все интерфейсы(и соответственно сети) перемешиваются и сеть оказывается в непонятном и неконтролируемом состоянии. Как с этим бороться?
0
BreakHeart, сами используем ESXi различных версий, с подобным не сталкиваемся (проверил только что на всякий случай). Такая проблема иногда возникает только при восстановлении из резервной копии на другой аппаратной машине (особенно если разные сетевые карты и т.д.).
Возвращаясь к проблеме, можно попробовать:
— исходить из правил нумерации интерфейсов в Linux
— отследить, какие MAC-адреса ESXi присваивает на вновь добавленные интерфейсы, автоматические они или вручную прописанные
— выбрать тип сетевой карты E1000 при добавлении
— прописать MAC-адрес в /etc/udev/rules.d/70-persistent-net.rules, чтобы не отрабатывали динамические 72-vmware-net.rules
Возвращаясь к проблеме, можно попробовать:
— исходить из правил нумерации интерфейсов в Linux
— отследить, какие MAC-адреса ESXi присваивает на вновь добавленные интерфейсы, автоматические они или вручную прописанные
— выбрать тип сетевой карты E1000 при добавлении
— прописать MAC-адрес в /etc/udev/rules.d/70-persistent-net.rules, чтобы не отрабатывали динамические 72-vmware-net.rules
0
Также можно при создании новой ВМ просто добавить сразу много сетевых интерфейсов (10-15), тогда при установке UTM они попадут в persistent.
0
Sign up to leave a comment.
Организация веб-доступа на базе Sophos UTM