Comments 14
> Подробности на странице акции
Открыл страницу акции. Вместо ожидаемой цены увидел «Запросить цены». Закрыл страницу акции. :)
Открыл страницу акции. Вместо ожидаемой цены увидел «Запросить цены». Закрыл страницу акции. :)
что хорошо — у них есть (или была раньше) домашняя лицензия (с лимитом по количеству устройств и невозможностью кастомизации сообщений) а встает оно на любое практически железо даже если нет ни в каком ACL + есть железные серверы от них. так что если не хочется копаться с линуксом дома но микротика мало — то можно просто поставить на свободную x86-железку. удобно.
Дополню ссылкой на Sophos UTM Home. Бесплатная для домашнего использования: до 50 IP-пользователей + 10 бесплатных лицензий на Антивирус Sophos. Весь функционал, кроме кастомизации, открыт.
Можно ли разграничивать доступ по пользователям не только к http(s), но и к другим сервисам используя методы аутентификации AD SSO или через браузер? Например, разрешить доступ к POP3 только определенной группе AD, не используя агента на компьютерах.
Есть ли шейпер?
Есть ли шейпер?
Чтобы разграничивать доступ к POP3 по пользователям, нужен установленный агент. Шейпер есть (см. Interfaces & Routing -> Quality of Service (QoS)), для него аналогичное условие.
Вот если бы запилили полностью прозрачный SSO для всего трафика без установки агента (используя ipsec, например), это была бы фича.
Подобную схему сейчас можно реализовать, используя бесплатный SSL VPN клиент от Sophos. Он будет заворачивать в сторону UTM весть трафик от пользователя. Однако, в нём нет SSO и параметры доступа нужно ввести хотя бы один раз. В UTM можно иметь несколько SSL VPN профилей, разграничивая доступ пользователей к разным ресурсам.
Резюмируя,
— Ограничение скорости доступа для пользователя — возможно при использовании Аутентификации:
Client Authentication software («Definitions & Users -> Client Authentication») или
SSL VPN Client Authentication
— Ограничение скорости доступа для IP-адреса — возможно при любом способе Аутентификации
Резюмируя,
— Ограничение скорости доступа для пользователя — возможно при использовании Аутентификации:
Client Authentication software («Definitions & Users -> Client Authentication») или
SSL VPN Client Authentication
— Ограничение скорости доступа для IP-адреса — возможно при любом способе Аутентификации
Квоты месячные на пользователя есть?
Какой-нибудь простой WAF?
Фильтрация по сигнатурам, а не по расширениям файлов? (Например исполняемые по заголовку Mz)
Может распарсить SMTP трафик и удалить запрещенные вложения?
Другие антивирусные движки возможно подключить (каспер, дрвеб)?
Логирование действий администратора? (изменение конфига, заход в консоль и тд)
Какой-нибудь простой WAF?
Фильтрация по сигнатурам, а не по расширениям файлов? (Например исполняемые по заголовку Mz)
Может распарсить SMTP трафик и удалить запрещенные вложения?
Другие антивирусные движки возможно подключить (каспер, дрвеб)?
Логирование действий администратора? (изменение конфига, заход в консоль и тд)
> Квоты месячные на пользователя есть?
Квотирование трафика сделать нельзя.
Обычный вопрос: что работник будет делать, если превысит квоту => рост числа служебных записок и обращений в службу поддержки.
Зачастую заказчики просто блокируют / ограничивают нежелательный трафик (P2P, Video,...) и наиболее злостных пользователей.
> Какой-нибудь простой WAF?
Да, с поддержкой Outlook Web Access, выносом аутентификации (с добавлением одноразовых паролей) и выносом HTTPS терминации
> Фильтрация по сигнатурам, а не по расширениям файлов? (Например исполняемые по заголовку Mz)
Да, определение идёт по контенту файла, не по расширению (используются антивирусные наработки). Сигнатуры регулярно обновляются, однако свои добавлять нельзя. См. подробней в статье.
> Может распарсить SMTP трафик и удалить запрещенные вложения?
Нет, целостность письма не нарушается.
Если запрещённое вложение содержится в письме, оно попадает в карантин. Пользователь или администратор может зайти на веб интерфейс UTM (в личный кабинет) и освободить это письмо из карантина. UTM может автоматически отправлять пользователю email, где будут перечислены все письма, находящиеся в карантине, одним кликом пользователь высвобождает письмо из карантина.
> Другие антивирусные движки возможно подключить (каспер, дрвеб)?
Нет, поддерживаются только два: Sophos и Avira. Они регулярно обновляются, это включено в стандартную подписку Web Protection.
> Логирование действий администратора? (изменение конфига, заход в консоль и тд)
Да, логируется. Кто изменил, когда, откуда и что.
Полный список функций в документе в нижней части странички: http://www.fgts.ru/vendors/inus-capsule.html
Квотирование трафика сделать нельзя.
Обычный вопрос: что работник будет делать, если превысит квоту => рост числа служебных записок и обращений в службу поддержки.
Зачастую заказчики просто блокируют / ограничивают нежелательный трафик (P2P, Video,...) и наиболее злостных пользователей.
> Какой-нибудь простой WAF?
Да, с поддержкой Outlook Web Access, выносом аутентификации (с добавлением одноразовых паролей) и выносом HTTPS терминации
> Фильтрация по сигнатурам, а не по расширениям файлов? (Например исполняемые по заголовку Mz)
Да, определение идёт по контенту файла, не по расширению (используются антивирусные наработки). Сигнатуры регулярно обновляются, однако свои добавлять нельзя. См. подробней в статье.
> Может распарсить SMTP трафик и удалить запрещенные вложения?
Нет, целостность письма не нарушается.
Если запрещённое вложение содержится в письме, оно попадает в карантин. Пользователь или администратор может зайти на веб интерфейс UTM (в личный кабинет) и освободить это письмо из карантина. UTM может автоматически отправлять пользователю email, где будут перечислены все письма, находящиеся в карантине, одним кликом пользователь высвобождает письмо из карантина.
> Другие антивирусные движки возможно подключить (каспер, дрвеб)?
Нет, поддерживаются только два: Sophos и Avira. Они регулярно обновляются, это включено в стандартную подписку Web Protection.
> Логирование действий администратора? (изменение конфига, заход в консоль и тд)
Да, логируется. Кто изменил, когда, откуда и что.
Полный список функций в документе в нижней части странички: http://www.fgts.ru/vendors/inus-capsule.html
Никто, случайно, не сталкивался со следующей проблемой?
Софос развёрнут на VmWare ESX, при добавлении нового интерфейса и перезагрузки, все интерфейсы(и соответственно сети) перемешиваются и сеть оказывается в непонятном и неконтролируемом состоянии. Как с этим бороться?
Софос развёрнут на VmWare ESX, при добавлении нового интерфейса и перезагрузки, все интерфейсы(и соответственно сети) перемешиваются и сеть оказывается в непонятном и неконтролируемом состоянии. Как с этим бороться?
BreakHeart, сами используем ESXi различных версий, с подобным не сталкиваемся (проверил только что на всякий случай). Такая проблема иногда возникает только при восстановлении из резервной копии на другой аппаратной машине (особенно если разные сетевые карты и т.д.).
Возвращаясь к проблеме, можно попробовать:
— исходить из правил нумерации интерфейсов в Linux
— отследить, какие MAC-адреса ESXi присваивает на вновь добавленные интерфейсы, автоматические они или вручную прописанные
— выбрать тип сетевой карты E1000 при добавлении
— прописать MAC-адрес в /etc/udev/rules.d/70-persistent-net.rules, чтобы не отрабатывали динамические 72-vmware-net.rules
Возвращаясь к проблеме, можно попробовать:
— исходить из правил нумерации интерфейсов в Linux
— отследить, какие MAC-адреса ESXi присваивает на вновь добавленные интерфейсы, автоматические они или вручную прописанные
— выбрать тип сетевой карты E1000 при добавлении
— прописать MAC-адрес в /etc/udev/rules.d/70-persistent-net.rules, чтобы не отрабатывали динамические 72-vmware-net.rules
Также можно при создании новой ВМ просто добавить сразу много сетевых интерфейсов (10-15), тогда при установке UTM они попадут в persistent.
Sign up to leave a comment.
Организация веб-доступа на базе Sophos UTM