Я собираюсь приобрести Cisco ASA 5510, но мне интересно, могу ли я ожидать, что смогу делать такие вещи, как упомянутые в заголовке вопроса, с типичным межсетевым экраном (или, в частности, с вышеупомянутой моделью, если вы знаете), а также такие вещи, как блокировка определенных HTTP-агентов пользователя и ограничение размера тел HTTP-запросов, настройка более сложных правил регулирования, таких как количество запросов в минуту с пакетными разрешениями и т. д.
Я знаю, что с этими вещами может справиться мой веб-сервер, но я бы предпочел иметь возможность разгрузить мой брандмауэр, а также избавиться от необходимости обрабатывать эти элементы, связанные с безопасностью, моим веб-сервером.
Это действительно зависит от типа брандмауэра, который вы покупаете. Набор функций межсетевого экрана зависит от цены и бренда. Я не слишком знаком с Cisco ASA 5510, но, судя по цене, которую я вижу в Интернете, я был бы удивлен, если бы он не смог этого сделать. В моей компании мы используем брандмауэры Пало-Альто, которые немного дороже, но они позволяют нам ограничивать запросы, блокировать HTTP-агенты пользователей и многие другие функции.
Лучше всего связаться с вашим местным торговым посредником Cisco и поговорить с ним о функциях ASA 5510. Они должны быть хорошо осведомлены о продукте, и, если он не предлагает те функции, которые вам нужны, они могут покажу вам другие модели или даже бренды, которые соответствуют вашим потребностям.
В общем, вы обнаружите, что Cisco ASA - это фантастический межсетевой экран, и вы можете многое с ним сделать. Тем не менее, многие расширенные функции либо намного проще настроить, либо доступны только при интеграции ASA в один из других продуктов Cisco. Ваши два сценария соответствуют каждому из них:
ASA может выполнять регулирование по IP без каких-либо дополнительных лицензий или модулей, используя контроль трафика и формирование трафика. См. Здесь для контроля трафика и формирования примеров конфигураций. Они настроены на формирование значения QoS или URL-адреса, а не IP-адреса, но изменение на IP-адрес тривиально. https://supportforums.cisco.com/docs/DOC-1230
Для более продвинутых вещей глубокой проверки пакетов, таких как блокировка или регулирование на основе пользовательского агента, вам понадобится модуль AIP SSM в вашем ASA 5510. Это также дает брандмауэру довольно продвинутые возможности IPS в сочетании с Cisco IPS. Чтобы настроить блокировку и исключение стиля IPS на основе хостов и правил политики, см. Здесь: http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_configuration_example09186a0080afe111.shtml