ISA уж точно лучше не выставлять в инет это факт. Циска - лидер с самой большой долей на рынке, и конкуренты ей только CheckPoint (FW-1) и Juniper Networks (Netscreen) а продукция мелкомягких вызывает большие сомнения насчет безопасности. Так что идея прикрыть ису циской не лишина здравого смысла это плюс. У меня на работе ставили две исы, одну в инете другую в контакте с доменом и авторизацией через RADIUS, в итоге не понравилось. Другое дело что придется администрить два брандмауэра с разными идеологиями что не совсем удобно и требует больших навыков а это уже минус. Вообщем взвесь все свои ЗА / ПРОТИВ  и решай.

IMHO я бы из isa сделал web-proxy и прикрыл бы ее pix515

Никак не меньше чем у cisco а местами даже одинакова пример: PIX515-R ~4000 по GPL и тот же NetScreen Baseline ~ 4300, чего не сказать о CheckPoint там стоимость минимального фаера с ограниченной лицензией от 30k$. Хотя на Juniper`е я и не настаиваю ибо юзал и cisco считаю удобнее.

Я у цисок не видел патчи только ios`ы разных версий целиком.

Брр. Я не так давно занимаюсь цисками, но, по-моему, ты только что оставил юзеров без нормального инета.
Я не прав ?

bobo
Спасибо. Очень благодарен. Посыпаю голову пеплом, иду курить по-новой доки

Идеальных не бывает у всех (ISA, iptables, PIX, netscreen, checkpoint FW-1) своих геморов хватает, но в целом для защиты локальных сетей на границе с глобальными лучше CISCO PIX ибо железка с логическими матрицами работающая на порядок быстрее софтверных решений.


Сквид это прокси сервер, в основном служит для экономии вэб трафика путем его кэширования.
ИСА - тоже может работать как вэб прокси.


Что бы пройти два разнородных фаера, надо быть спецом и там и там а это требует намного большего уровня знаний атакующего.


Есть, это ее платформа которая заведомо несет на борту тонну дыр, но которых ты узнаешь когда будет слишком поздно, пример: msblast который валил ИСУ из доверенных сетей, пока дождались патчика мастдай приказал долго жить, в этом плане PIX`у будет пофиг. единственный большой плюс ISA что ей можно корректно прикрывать rpc траффик в отличии от цисок которые хоть и разбирают его в новых версиях но по утвержедниям экспертов еще крайне криво.

Кстати после одного из случаев с мелгомягкими я теперь ИСЕ в жизни ничего не доверю, и вам не советую ибо собственными глазами убедился, что в оффтопике зашит бэкдур которым пользуются представители мелгомягких с целью определения лицензионности софта. Если интересно, то эту неприятную историю расскажу.

Ну сами напросились:
Работал я в крупной компании, где были решенияи и на оффтопике и на никсах, а еще там была природная жадность руководства, которое не платило за всякие там лицензии мелгомягких, точнее покупали 100 лицензий а ставили на 1000 компов и т.д. Ну в конце концов к нашему боссу заявилась дамочка являющаяся представителем мелгомягких с "визитом"    И в приватной беседе с боссом сообщила ему, что у них есть сведения про несоблюдение лицензионной политики в этой компании. Начальник есессно в отказ типа все у нас чисто, так мол и так, тогда она достала ноут и попросила всего навсего воткнуться в нашу локалку  8)  После чего запустив хитрую программулину она получила исчерпывающий список всех наших компов с установочными серийными номерами всех M$ прог установленных на них и есессно полный отчет по их лицензионности... вообщем полный   самое смешное, что у меня межсегментами были всякие ids и прочие мониторилки, которые не спасли и я даже не смог засечь никаких подозрительных пакетов, а фигачить софтверный роутер с tcpdump`ом и перекомутировать ее на роутер у меня просто не было времени. Вообщем в итоге этот представитель заявила открытым текстом что если мы нехотим скандала с проверкой и суда то лучше бы нам купить N-ое количество лицензий причем было названо фиксированное количество лицензий на разные продукты, после покупки которых от компании обещали отстать, что и было сделано. Насколько я знаю потом еще в течении года не было никаких подобнх проверок, дальше контактов не поддерживаю.

P.S. Защитники мастадая могут мне не верить, но факт фактом я это видел своими глазами, представителя даже НЕ был включен в домен, а всеголишь получен ip адрес из сегмента.

"Microsoft ISA Server 2004 и Exchange Server 2003 были сертифицированны по Common Criteria (CC) на уровне EAL4+ level – что являетсы наивысшим уровнем для коммерческих продуктов. Сертификаци. Проводила компания TÜViT из Германии.

Common Criteria (CC)- стандарт безопасности, разработанный государственными структурами и принятый во всем мире стандарт ISO для оценки безопасности продуктов и услуг в сфере информационных и коммуникационных технологий. При прохождении сертификации на соответствие стандарту Common Criteria, которую осуществляет аккредитованная независимая лаборатория, программный продукт подвергается строгим тестам и проверкам, результаты которых документируются. В 2002 году Европейский союз призвал входящие в него страны распространять стандарт Common Criteria и продвигать использование соответствующих ему продуктов. В настоящее время корпорация Microsoft обеспечивает соответствие своих основных серверных продуктов различным уровням стандарта Common Criteria — например, семейство продуктов Windows Server сертифицировано на уровне EAL4+."

каким местом тогда их сертифицировали.....