Comments 14
А расскажите-ка поподробнее зачем в принципе нужен модуль ASA-SSM-CSC-10 и как он применялся при решении описанной задачи
В данном примере модуль проверяет весь www и почтовый трафик антивирусом. Trend micro
А вообще из возможностей
Virus Scan Engine
Spyware/Grayware pattern
PhishTrap pattern
Anti-spam rules and engine
Anti-spam rules
Anti-spam engine
IntelliTrap Pattern
IntelliTrap Exception Pattern
и тд
Так же имеется в нем набор политик (порно, реклама, Education и тд) которые можно запрещать или разрешать «массово».
Возможностей много, для этого надо наверное отдельный пост с описанием модуля сделать.
Конечно же для торрентов он бессилен, но основной поток вирусов из почты и www он ловит, а это не заменимая помощь на каком-нибудь большом предприятии
И весь входящий трафик будет перемалываться этим модулем? Этож в application уровень надо лезть каждого пакета. Как он по производительности?
но основной поток вирусов из почты и www он ловит, а это не заменимая помощь на каком-нибудь большом предприятии

CSC-SSM — неплохое all-in-one решение, но вот только на самом деле как раз для маленьких предприятий :) На больших наружу выпускают через решения Check Point, Blue Coat, MS FF TMG и так далее, а роль антиспама всегда отделена от роли прокси.

Прозрачная фильтрация веб- и почтового трафика — абсолютная необходимость в компании любого размера. И, как правило, блокирование URL по категориям «malicious», «phishing» и тому подобным отсеивает куда больше зловредов, чем любой антивирус.
Так и есть, задействован 7 уровень, там стоит прокси и на него заворачивается трафик потом делает свое дело антивирус. Проц. стоит celeron, по моему 2,5 Ггц или 1,5. Оперативки 1 гиг. В общем тянет 250 пользователей, при этом проц загружен наполовину. Временами загрузка поднимается до 90 процентов, но это очень редко
у asa 5510 нет своего telnet клиента и это весьма печально.

Ну почему же? Это вполне секьюрно — тот, кто умудрился похакать асу, не сможет прямо с нее прыгать во внутреннюю сеть :)
asa5510(config)# nat-control

А вот тут не понял. Зачем? NAT-control велит транслировать все проходящие через асу коннекты, но у вас есть глобал только для outside.
Ну и в последних версиях ASA OS NAT-control вообще удалили, нету его больше.
(в принципе, там и синтаксис NAT радикально поменяли, написанное вами справедливо лишь для <=8.2)
Да, забыл написать что этот пример для версии
Cisco Adaptive Security Appliance Software Version 7.2(4)
Device Manager Version 5.2(4)
«7.2(4)» — как все печально… С тех пор много чего вкусного добавили.
На самом деле я поражен что эта тема за пол дня вышла в топ у гугл по запросам asa 5510, вытеснив всяких рекламщиков. Возьму себе на вооружение. А то обычно трудно найти мануалы для конфигурации чего-то не популярного
Ну в мелких конторах железки такого класса в СНГ ставят очень мало — сама железка не дешевая — в Украине в районе 40 тысяч гривен (~156k рублей) и это еще в зависимости от версии/прошивки/функционала, так еще и приходящий админ за час настройки захочет немаленьких денег а постоянного смысла держать нет.

Я такие железки видел только в конторах в несколько сотен человек, где стоимость такой циски отдыхает рядом со стоимостью, например операторской БС.
ASA 5510 стоит сейчас порядка 65 килорублей, но для небольших контор существует ASA 5505, которая стоит вообще от 10 килорублей. Конфигурятся они одинаково, прошивки одинаковые. Железки весьма популярные и документации более чем хватает.
Only those users with full accounts are able to leave comments. Log in, please.