Какие «типичные» настройки интернет-шлюза для корпоративных компаний, скажем, 500-5000 пользователей? например
Меня интересуют некоторые примеры того, что на самом деле используют фирмы. У меня тоже может быть своя терминология.
В сети такого размера я ожидал найти:
Резервные граничные маршрутизаторы (многосетевые с разными интернет-провайдерами на большем конце предлагаемого размера сети)
Резервные брандмауэры (либо специализированные аппаратные устройства, либо стандартные серверные компьютеры, на которых установлено программное обеспечение брандмауэра). оживленное обсуждение здесь относительно обоих)
Фильтрация контента и веб-проксирование - с использованием коммерческих предложений или предложений с открытым исходным кодом (и, опять же, либо специализированного оборудования, либо обычных серверных компьютеров, с теми же аргументами)
Думаю, на ваш вопрос уже есть ответы на некоторые вопросы, которые вы ищете. Нет ничего «волшебного» в предоставлении этих услуг для более крупной сети по сравнению с меньшей, кроме более осознанного подхода к избыточности, планированию емкости и тестированию.
Вот некоторые подробности о нескольких средах, в которых я работал:
Я работал по контракту в компании из списка Fortune 1000 с примерно 4000 клиентов, обслуживаемых двумя подключениями к Интернету на базе DS3. Пограничные межсетевые экраны представляли собой устройства Cisco ASA-5520, настроенные в конфигурации активный / пассивный. Два маршрутизатора Cisco серии 3600 (не помню модель) обеспечивали граничное подключение к интернет-провайдерам. Доступ к Интернету в большинстве подсетей компании был отфильтрован с помощью устройств фильтрации содержимого Websense. Я не знаю о каком-либо кешировании, но, безусловно, возможно, что было какое-то прозрачное кеширование, о котором я не знал.
Я работаю с некоммерческим консорциумом, который предоставляет доступ в Интернет и услуги хостинга приложений ряду государственных школ (с более чем 5000 индивидуальных клиентов по всей их клиентской базе). Они имеют избыточное подключение к вышестоящим поставщикам услуг Интернета и многодомны со своими вышестоящими провайдерами. Они обеспечивают всю свою фильтрацию с помощью фильтрующих устройств M86 8e6. Их кеширование исторически предоставлялось устройствами STRATACACHE, но, возможно, они недавно от них отказались - я не успеваю. Их пограничный межсетевой экран по-прежнему основан на Cisco и был, в последний раз проверял, служебным модулем межсетевого экрана в коммутаторе Cisco Catalyst 6509.
Я бы сбежал от Барракуды - (гугл барракуда отстой) - конечно это было просто мой опыт работы с их антиспамовыми материалами не их брандмауэр.
У PFSense есть БЕСПЛАТНОЕ и действительно отличное решение.
pfSense - это бесплатный настраиваемый дистрибутив FreeBSD с открытым исходным кодом, предназначенный для использования в качестве межсетевого экрана и маршрутизатора. Помимо мощной и гибкой платформы межсетевого экрана и маршрутизации, она включает в себя длинный список связанных функций и систему пакетов, обеспечивающую дальнейшее расширение без добавления раздутости и потенциальных уязвимостей безопасности в базовый дистрибутив. pfSense - популярный проект с более чем 1 миллионом загрузок с момента его создания и проверенный на бесчисленных установках, начиная от небольших домашних сетей, защищающих ПК и Xbox, до крупных корпораций, университетов и других организаций, защищающих тысячи сетевых устройств.
Мы запускаем pfSense на границе многих наших сетей - от некоторых крупных корпораций, которые мы поддерживаем, до целых шкафов для клиентов в центре обработки данных.
Он поддерживает практически любую маршрутизацию, включая BGP, имеет отличный брандмауэр, также при желании будет работать в прозрачном режиме.
Также работает в виртуальных средах, таких как VMWare
Варианты поддержки - это все, от форумов, списков адресов электронной почты, платной поддержки до даже бесплатного сообщества IRC.
Мы никоим образом не связаны с движением за открытый исходный код PFSense - просто используйте и полюбите его.
Изображение одной из наших систем PF http://www.hostmedic.com/wp-content/uploads/2010/12/pf1exam.jpg
Другой вариант - Вятта.
Мне нравится Vyatta, потому что он действительно очень похож на устройство Cisco, но работает на оборудовании x86.
Их общественное издание обычно выходит 2 раза в год. Мы использовали их версию сообщества и недавно обновили до платной версии для имеющегося у нас WISP - в основном для вариантов поддержки.
Возможность устанавливать ограничение трафика была для нас огромной ценностью.
Vyatta революционизирует сетевую индустрию, поставляя программную сетевую операционную систему с открытым исходным кодом, которая переносима на стандартное оборудование x86, а также на обычные платформы виртуализации и облачных вычислений. Развертывая Vyatta, пользователи получают выгоду от гибкого набора функций маршрутизации и безопасности корпоративного класса, способного масштабироваться от DSL до производительности 20 Гбит / с за небольшую часть стоимости проприетарных решений. Тысячи физических и виртуальных инфраструктур по всему миру, от малых предприятий до Fortune 500, подключены и защищены программным обеспечением и устройствами Vyatta.
Vyatta также будет работать в виртуальной среде - согласно отчетам Tolly, у нее также есть действительно хорошие результаты.
Однако для балансировки нагрузки и пульса для разрешения 2+ маршрутизаторов потребуется платная версия ;-(