Comments 16
Правильно ли я понял, что ничего, кроме фильтрации по черно-белым спискам сайтов, разбитых по категориям там нет?
И вопросы по спискам:
— сколько примерно сейчас ресурсов в базе?
— каков процент из них для русскоязычной аудитории?
— сколько ресурсов примерно добавляется в неделю или месяц?
И вопросы по спискам:
— сколько примерно сейчас ресурсов в базе?
— каков процент из них для русскоязычной аудитории?
— сколько ресурсов примерно добавляется в неделю или месяц?
Веб-фильтрация осуществляется по IP адресам, в которые преобразуются запрашиваемые пользователем URL адреса (поддерживаются протоколы HTTP и HTTPS).
Работает по нескольким критериям:
1. На основании настроек категорийного фильтра базы данных, которая (периодически) загружается в роутер из облака
2. На основании репутационной модели предварительной оценки ресурсов.
3. На основании настроенных вручную White List / Black List / Exculsion List
Подробнее, с порядком настройки и перечнем доступных категорий, можно ознакомиться на виртуальном веб-интерфейсе устройства (раздел WEB FILTERING): https://www.cisco.com/assets/sol/sb/RV320_Emulators/RV320_Emulator-SB_v1-2-1-14/default.htm
Рекомендации по настроке тут: http://sbkb.cisco.com/CiscoSB/ukp.aspx?vw=1&docid=b9a4b504bf364f3e811a5fd6342b2b4c_Content_Filter_Configuration_on_RV320_Router.xml&pid=3&respid=0&snid=5&dispid=0&cpage=search
По алгоритму работы, если выбрано несколко критериев – в админ гайде: http://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/rv320/administration/guide/en/rv32x_ag_en.pdf (Chapter 13: Web Filtering page 120 )
Что касается базы адресов, в официальном документе сказано (на момент его написания, Jun 24, 2016):
Web Filtering Content filtering covering 27+ billion URLs
http://www.cisco.com/c/en/us/products/collateral/routers/rv325-dual-gigabit-wan-vpn-router/datasheet-c78-729726.html
Что касается размера базы, могу поделиться скрином из закрытой презентации вендора (датирован январем 2016г) – более свежей/актуальной информации, на данный момент, у меня нет:
http://i.piccy.info/i9/231695ace1621f568edadc0d61af84d7/1476800676/134088/1073876/CiscoSB.png
Работает по нескольким критериям:
1. На основании настроек категорийного фильтра базы данных, которая (периодически) загружается в роутер из облака
2. На основании репутационной модели предварительной оценки ресурсов.
3. На основании настроенных вручную White List / Black List / Exculsion List
Подробнее, с порядком настройки и перечнем доступных категорий, можно ознакомиться на виртуальном веб-интерфейсе устройства (раздел WEB FILTERING): https://www.cisco.com/assets/sol/sb/RV320_Emulators/RV320_Emulator-SB_v1-2-1-14/default.htm
Рекомендации по настроке тут: http://sbkb.cisco.com/CiscoSB/ukp.aspx?vw=1&docid=b9a4b504bf364f3e811a5fd6342b2b4c_Content_Filter_Configuration_on_RV320_Router.xml&pid=3&respid=0&snid=5&dispid=0&cpage=search
По алгоритму работы, если выбрано несколко критериев – в админ гайде: http://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/rv320/administration/guide/en/rv32x_ag_en.pdf (Chapter 13: Web Filtering page 120 )
Что касается базы адресов, в официальном документе сказано (на момент его написания, Jun 24, 2016):
Web Filtering Content filtering covering 27+ billion URLs
http://www.cisco.com/c/en/us/products/collateral/routers/rv325-dual-gigabit-wan-vpn-router/datasheet-c78-729726.html
Что касается размера базы, могу поделиться скрином из закрытой презентации вендора (датирован январем 2016г) – более свежей/актуальной информации, на данный момент, у меня нет:
http://i.piccy.info/i9/231695ace1621f568edadc0d61af84d7/1476800676/134088/1073876/CiscoSB.png
Спасибо!
А что значит фильтрация по IP-адресам, если, скажем, «вредный» сайт прячется за Cloudflare? Это типа «эффективный фильтр имени Роскомнадзора», только со своими, даже в законе не прописанными, правилами добавления и удаления из списков? Честно — детский сад, если «только по IP-адресам».
И 27+ миллиарда записей в черном списке (да, мы же говорим об IP-адресах, и, наверное, про IPv4?)… Давайте подумаем: у нас в IPv4 имеется 2^32 адресов, это около 4 миллиардов юзабельных адресов ( https://ru.wikipedia.org/wiki/%D0%98%D1%81%D1%87%D0%B5%D1%80%D0%BF%D0%B0%D0%BD%D0%B8%D0%B5_IPv4-%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%BE%D0%B2 ), так что же там такое число записей в БД девайса делают. Где их хранят — вопрос отдельный.
И, да, как фильтрация работает в век «https на каждом углу», я тоже сомневаюсь.
В общем, либо я в порядке цифр ошибаюсь, или кто-то рекламирует «не то».
И 27+ миллиарда записей в черном списке (да, мы же говорим об IP-адресах, и, наверное, про IPv4?)… Давайте подумаем: у нас в IPv4 имеется 2^32 адресов, это около 4 миллиардов юзабельных адресов ( https://ru.wikipedia.org/wiki/%D0%98%D1%81%D1%87%D0%B5%D1%80%D0%BF%D0%B0%D0%BD%D0%B8%D0%B5_IPv4-%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%BE%D0%B2 ), так что же там такое число записей в БД девайса делают. Где их хранят — вопрос отдельный.
И, да, как фильтрация работает в век «https на каждом углу», я тоже сомневаюсь.
В общем, либо я в порядке цифр ошибаюсь, или кто-то рекламирует «не то».
Cloudflare для них не проблема, т.к. согласно правил работы сервиса, пользователь подключается к системе через прописывание DNS-серверов CloudFlare в домене (для каждого пользователя выделяется пара DNS-серверов вида XXX.ns.cloudflare.com, подробнее http://wikireality.ru/wiki/CloudFlare. Т.е., достаточно внести в «черный» список домен cloudflare.com, и собственно все.
Да, ручной донастройки никто не отменял.
На все остальные вопросы, ответы есть в первом посте – я специально ответил максимально подробно, дублирую с пояснениями:
«Что касается базы адресов, в официальном документе сказано (на момент его написания, Jun 24, 2016):
Web Filtering Content filtering covering 27+ billion URLs
http://www.cisco.com/c/en/us/products/collateral/routers/rv325-dual-gigabit-wan-vpn-router/datasheet-c78-729726.html »
Т.е., речь идет об URL адресах, коих даже на одном сайте может быть великое множество.
Что касается «уникальных IPv4 адресов», то состоянием на начало текущего года, их было «более 460 млн», ссылку на скрин я такжже предоставил ранее.
Да, поддерживаются протоколы HTTP и HTTPS – последний включается в настройках дополнительно, в этом можно убедиться на эмуляторе веб-интерфейса.
И да, я оговорился в первом посте, наверно из-за этого и возникло некоторое недопонимание: в конечном итоге, для пользователя фильтрация осуществляется именно по URL адресам. Прошу меня извинить.
Да, ручной донастройки никто не отменял.
На все остальные вопросы, ответы есть в первом посте – я специально ответил максимально подробно, дублирую с пояснениями:
«Что касается базы адресов, в официальном документе сказано (на момент его написания, Jun 24, 2016):
Web Filtering Content filtering covering 27+ billion URLs
http://www.cisco.com/c/en/us/products/collateral/routers/rv325-dual-gigabit-wan-vpn-router/datasheet-c78-729726.html »
Т.е., речь идет об URL адресах, коих даже на одном сайте может быть великое множество.
Что касается «уникальных IPv4 адресов», то состоянием на начало текущего года, их было «более 460 млн», ссылку на скрин я такжже предоставил ранее.
Да, поддерживаются протоколы HTTP и HTTPS – последний включается в настройках дополнительно, в этом можно убедиться на эмуляторе веб-интерфейса.
И да, я оговорился в первом посте, наверно из-за этого и возникло некоторое недопонимание: в конечном итоге, для пользователя фильтрация осуществляется именно по URL адресам. Прошу меня извинить.
Ежа и ужа скрестили, получилось нечто.
Я до сих пор не забуду, как инспектирование протоколов на IOS одно время рвало совершенно легитимные ESTMP сессии на основании того, что это — не SMTP, а нечто более широкое.
Я до сих пор не забуду, как инспектирование протоколов на IOS одно время рвало совершенно легитимные ESTMP сессии на основании того, что это — не SMTP, а нечто более широкое.
Современный сервис веб-фильтрации пришел на замену подпискам Trend Micro, которые были доступны в качестве дополнительно покупаемой подписки, для актуальной на тот момент линейки защищенных роутеров RV120W/RV220W и др., и использовался в шлюзах безопасности SA5xx серии. Несмотря на сравнительно высокую стоимость (по сравнению со стоимостью основной железки), на подписки был спрос – и когда он стал недоступен (после достаточно длительной процедуры EOS), мне пришлось выслушать много негодования со стороны конечных заказчиков.
Сейчас сервис веб-фильтрации является интегрированным и в «пожизненном» исполнении, но продолжают выпускаться аналогичные модели, в которых он не используется: (RV320-K9-G5 и RV320-WB-K9-G5); (RV325-K9-G5 и RV325-WB-K9-G5) и др., поэтому всегда можно выбрать – нужен он или нет.
Также обращаю внимание, что Cisco IOS не используется в обсуждаемых линейках оборудования, а для решения возникающих технических вопросов всегда можно обратиться на бесплатный форум технической поддержки: https://supportforums.cisco.com/community/5541/small-business-support-community
Сейчас сервис веб-фильтрации является интегрированным и в «пожизненном» исполнении, но продолжают выпускаться аналогичные модели, в которых он не используется: (RV320-K9-G5 и RV320-WB-K9-G5); (RV325-K9-G5 и RV325-WB-K9-G5) и др., поэтому всегда можно выбрать – нужен он или нет.
Также обращаю внимание, что Cisco IOS не используется в обсуждаемых линейках оборудования, а для решения возникающих технических вопросов всегда можно обратиться на бесплатный форум технической поддержки: https://supportforums.cisco.com/community/5541/small-business-support-community
UFO just landed and posted this here
Да, для сети такого размера, железка будет слабовата. Я бы рекомендовал использовать защищенные роутеры RV320/RV325 для сети не более 25-50 пользователей (при этом в первую очередь следует помнить про максимальное кол-по поддерживаемых IPsec VPN tunnels – 25, и общую пропускную способность шифрованного трафика — 100 Mbps, т.к. в некоторых случаях, этого может быть недостаточно).
Что качается сформированной выше задачи, рекомендую посмотреть в сторону новой Cisco ASA with FirePOWER Services – например, бандл ASA5512-FPWR-BUN (GPL $4295), подробнее: http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/datasheet-c78-733916.html позволит комплексно подойти к вопросу безопасности.
Да, это совершенно другой бюджет – но и совершенно другие возможности. Начальная модель линейки — ASA5506-K9 (GPL $995.00).
Что качается сформированной выше задачи, рекомендую посмотреть в сторону новой Cisco ASA with FirePOWER Services – например, бандл ASA5512-FPWR-BUN (GPL $4295), подробнее: http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/datasheet-c78-733916.html позволит комплексно подойти к вопросу безопасности.
Да, это совершенно другой бюджет – но и совершенно другие возможности. Начальная модель линейки — ASA5506-K9 (GPL $995.00).
Вы, наверное, и так уже имеете систему более продвинутую, хотя и менее интегрированную. У вас BGP на чем крутится, к примеру?
UFO just landed and posted this here
Ну вот вы себе и ответили на вопрос: такую машину ни одна циска из более-менее бюджетных не переплюнет.
Причем, что характерно, artiusha даже не на ваш вопрос отвечает: ASA, конечно, не умеют BGP, так что все его предложение, основанное на фразе «2 канала по 100 Мбит» и набиванию цены неподходящему вам решению словами «комплексно подойти к вопросу безопасности» — увы, не более чем обычный подход продавца, который хвалит свой товар. Обычный, но не очень грамотный технически.
Cisco, не спорю, хорошая железка. Однако, в вашем случае, сервер явно не меньше может сделать. Если думаете о разнесении функций, то экономически куда более интересно отдельно вынести бордер (хоть на PC, хоть на отдельную железку). Скажем, недорого и сердито, если у вас от обоих операторов FV, будет поставить Mikrotik CCR1009-8G-1S-1S+ (два блока питания, 2 Гб ОЗУ, $495 по официальному прайсу, найдете на 5-10% дешевле) — причем, для надежности никто не мешает их поставить два, это же BGP (только с операторами вашими договоритесь, чтобы на каждую железку по сессии подняли). Если FullView нет нужды гонять (а это и правда так), то любой даже недорогой Микротик пойдет, главное, чтобы просто мегабиты ваши прокачивал. Тем более появится RB3011UiAS-RM, у которого ценник $179, памяти 1 Гб, и которого для BGP за глаза, а две шутки для надежности будут недорогим вариантом.
Далее, имея бордер, вам уже будет проще и разумнее внутри сети строить ядро с функциями безопасности. Я не знаю, что вы хотите видеть в этом смысле, но собрать ядро на двух дублирующих друг друга железках будет вполне можно (VRRP скроет их от клиентов), останется только вопрос синхронизации конфигов. Фильтрация сайтов и прочее добро, уж поверьте, вы дешевле и лучше соорудите из сторонних, не цискиных сервисов.
Циска только хороша надежностью железок (про старые это точно так, а новые вы будете на себе тестировать), и некоторыми функциями «вроде бы из коробки». По факту из коробки оно требует еще конфигурации, и работает не всегда и не везде. А на рекламные слова, вроде что в базе миллиарды объектов, вестись не надо, потому что ни продавец, ни сама циска не объяснит, как в память железки столько добра влезло.
Причем, что характерно, artiusha даже не на ваш вопрос отвечает: ASA, конечно, не умеют BGP, так что все его предложение, основанное на фразе «2 канала по 100 Мбит» и набиванию цены неподходящему вам решению словами «комплексно подойти к вопросу безопасности» — увы, не более чем обычный подход продавца, который хвалит свой товар. Обычный, но не очень грамотный технически.
Cisco, не спорю, хорошая железка. Однако, в вашем случае, сервер явно не меньше может сделать. Если думаете о разнесении функций, то экономически куда более интересно отдельно вынести бордер (хоть на PC, хоть на отдельную железку). Скажем, недорого и сердито, если у вас от обоих операторов FV, будет поставить Mikrotik CCR1009-8G-1S-1S+ (два блока питания, 2 Гб ОЗУ, $495 по официальному прайсу, найдете на 5-10% дешевле) — причем, для надежности никто не мешает их поставить два, это же BGP (только с операторами вашими договоритесь, чтобы на каждую железку по сессии подняли). Если FullView нет нужды гонять (а это и правда так), то любой даже недорогой Микротик пойдет, главное, чтобы просто мегабиты ваши прокачивал. Тем более появится RB3011UiAS-RM, у которого ценник $179, памяти 1 Гб, и которого для BGP за глаза, а две шутки для надежности будут недорогим вариантом.
Далее, имея бордер, вам уже будет проще и разумнее внутри сети строить ядро с функциями безопасности. Я не знаю, что вы хотите видеть в этом смысле, но собрать ядро на двух дублирующих друг друга железках будет вполне можно (VRRP скроет их от клиентов), останется только вопрос синхронизации конфигов. Фильтрация сайтов и прочее добро, уж поверьте, вы дешевле и лучше соорудите из сторонних, не цискиных сервисов.
Циска только хороша надежностью железок (про старые это точно так, а новые вы будете на себе тестировать), и некоторыми функциями «вроде бы из коробки». По факту из коробки оно требует еще конфигурации, и работает не всегда и не везде. А на рекламные слова, вроде что в базе миллиарды объектов, вестись не надо, потому что ни продавец, ни сама циска не объяснит, как в память железки столько добра влезло.
Оно не умеет bgp, вам бы лучше cisco asa or juniper srx подошёл-бы
Сколько стоит?
На текущий момент, доступны к заказу 4 модели защищенных роутеров Cisco SMB с поддержкой WEB Filtering: RV130-WB-K9-G5 (GPL $214.00) / RV130W-WB-E-K9-G5 (GPL $261.00) / RV320-WB-K9-G5 (GPL $379.00) / RV325-WB-K9-G5 (GPL $557.00). Подробнее сравнить их возможности можно тут: http://www.cisco.com/c/en/us/products/routers/small-business-rv-series-routers/models-comparison.html
Брал себе из линейки RV несколько лет назад рутер для малой фирмы, через месяц поменял на микротик. А так да, красивый.
Sign up to leave a comment.
Защищенные маршрутизаторы Cisco SMB RV320/325 со встроенной WEB-фильтрацией: обзор возможностей