У меня есть pix 515e, на котором работает pixos 6.3 с 64 МБ ОЗУ, 3 интерфейса Ethernet, только 2 используются. Я использую его в качестве интернет-шлюза для ~ 100 устройств, дневная пиковая скорость около 6 Мбит / с (мегабит в секунду) для входящих, около 10% -20% исходящей стоимости. Для этого отлично работает, никаких проблем. Мы не используем никаких функций VPN. Хотя PIX не знает и не заботится об этом, большинство клиентов являются беспроводными.
У нас есть проблемы с соблюдением правил и политикой, поэтому мы хотим заставить пользователей проходить аутентификацию перед использованием Интернета и дополнять их подробными журналами. Я рекомендовал заменить PIX другим продуктом; мое предложение (windows + безымянное программное обеспечение портала) провалилось с треском, поэтому мы вернулись к использованию PIX, который всегда работал отлично. Итак, я потратил на это часть своего бюджета, но мне нужно найти решение, в идеале используя то, что у меня есть.
Насколько я понимаю, PIX действительно может аутентифицировать пользователей и проверять доступ. Мне действительно не нужны подробные журналы URL-адресов, мне действительно нужны точная дата + время, имя пользователя, MAC-адрес, локальный IP-адрес, локальный порт (переведенный + непереведенный), удаленный IP-адрес, удаленный порт и количество октетов.
Я считаю, что умею вести журнал, поэтому мои вопросы
1) может ли этот PIX требовать аутентификации перед разрешением доступа в Интернет? Я имею в виду ВСЕ доступ в Интернет (игры, телнет ...), а не только HTTP. Есть какие-нибудь рекомендации по выполнению этой работы? Примечание. У меня нет контроля над устройствами моих пользователей, я могу отказать им в доступе (с указанием причины), но я не могу устанавливать программное обеспечение на их компьютеры.
2) Прямо сейчас любое устройство с подключением к Интернету (ПК, Mac, iphone, android) может получить доступ к Интернету. Я хочу убедиться, что они продолжают работать, поэтому достаточно ли общие изменения для работы с этими существующими устройствами?
3) будет ли этот пикс перегружен (ЦП / память), если я продолжу? Я видел 800+ пакетов в секунду в часы пик.
4) если это плохая идея, предлагайте предложения
Обратите внимание, я не хочу обсуждать политику. Если пользователи хотят выйти за рамки политики, с которой они согласились, мне действительно все равно, но им нужно использовать / покупать свою собственную услугу 3G для такой деятельности и держаться подальше от (W) LAN.
Единственная известная мне аутентификация в ОС PIX связана с аутентификацией пользователей для VPN или административных сеансов.
Помимо этого, единственный способ сделать то, что вы описываете в пункте 1 («Я имею в виду ВСЕ доступ к Интернету (игры, telnet, ...), а не только HTTP.»), Будет использовать прокладку в стеке TCP / IP. на всех клиентских устройствах (во многом как «Клиент межсетевого экрана», который использует Microsoft ISA Server), поскольку информация об аутентификации каждого пользователя не передается в дейтаграммах IP, сегментах TCP и т. д. Как заставить это работать с вашими встроенными клиентами (" iphone, android ") будет довольно сложно. Однако, если вам нужна индивидуальная аутентификация для всего использования протокола, это действительно единственный путь.
Вы можете использовать хаки, которые используют такие продукты, как Websense или устройства фильтрации Barracuda, для мониторинга контроллеров домена Windows и ведения внутренней «таблицы состояний» пользовательских сеансов, связанных с IP-адресами клиентских устройств. Однако компьютеры с терминальным сервером будут играть с этим к черту. Любые устройства, которые не выполняют аутентификацию домена Windows, также будут «невидимы» (с точки зрения пользователя, связанного с IP-адресом клиентского устройства) для таких хакерских атак.
PIX жестяная банка генерировать статистику трансляции для каждого NAT, аналогичную тому, что вы ищете через SYSLOG, но не будет никакой аутентификации для каждого пользователя. Вам также придется что-то кодировать для анализа данных журнала или приобрести сторонний продукт для синтаксического анализа.
Во-первых, я бы порекомендовал обновить вашу оперативную память и обновить устройство до PIXOSv8. Это будет самое последнее программное обеспечение, доступное для вашего устройства, и оно будет включать множество дополнительных функций, которые могут оказаться вам полезными, но, что более важно, устранит множество дыр в безопасности, которые были исправлены за эти годы. Хорошая вещь с этим обновлением заключается в том, что 515e на самом деле является просто системной платой с SDRAM класса настольных ПК. Он имеет максимум 128 МБ (2x64 МБ) и требует коротких стиков. В зависимости от вашего контракта на поддержку подойдет практически любая RAM PC133.
То, что вы ищете, называется «Cut Through Proxy», который поддерживается в PIXOS v6.3 и новее. При настройке PIX запрашивает имя пользователя / пароль всякий раз, когда устанавливается соединение. Видеть Вот для получения дополнительных сведений Однако поддерживаются только следующие службы:
Если вы пойдете по этому пути, я не ожидаю, что ваше устройство будет перегружено. Даже в текущей конфигурации вы работаете хорошо под спец.