私は pix 515e を所有しています。このマシンは pixos 6.3 を実行しており、64MB RAM、3 つのイーサネット インターフェイスがあり、そのうち 2 つだけを使用しています。これを約 100 台のデバイス用のインターネット ゲートウェイとして使用しています。1 日のピークは受信で約 6 Mbps (メガビット/秒)、送信でその値の約 10% ~ 20% です。この用途には最適で、問題はありません。VPN 機能は使用していません。PIX はこれを認識せず、気にも留めませんが、ほとんどのクライアントはワイヤレスです。
コンプライアンス/ポリシーの問題があるため、インターネットを使用する前にユーザーに認証を強制し、詳細なログを補足したいと考えています。PIX を別の製品に置き換えることを推奨しましたが、私の提案 (Windows + 名前のないポータル ソフトウェア) は惨めに失敗し、これまで常に完璧に機能していた PIX の使用に戻りました。そのため、予算の一部を使い果たしましたが、理想的には手元にあるものを使用して解決策を考え出す必要があります。
私の理解では、PIX は実際にユーザーを認証し、アクセスを監査できます。詳細な URL ログは必要ありません。必要なのは、正確な日付と時刻、ユーザー名、MAC アドレス、ローカル IP アドレス、ローカル ポート (変換済み + 未変換)、リモート IP、リモート ポート、およびオクテット数です。
私はログ記録については理解していると思うので、私の質問は
1) この PIX は、インターネット アクセスを許可する前に認証を要求できますか? HTTP だけでなく、すべてのインターネット アクセス (ゲーム、telnet など) を意味します。これを機能させるためのガイダンスはありますか? 注: ユーザーのデバイスを制御することはできません。アクセスを拒否することはできますが (理由がある場合)、ユーザーのコンピューターにソフトウェアをインストールすることはできません。
2) 現在、インターネット対応デバイス (PC、Mac、iPhone、Android) はすべてインターネットにアクセスできます。これらのデバイスが引き続き機能することを確認したいのですが、変更はこれらの既存のデバイスで機能するのに十分な汎用性があるでしょうか?
3) 続行すると、このピクセルに過負荷がかかりますか (CPU/メモリ)? ピーク時には 1 秒あたり 800 パケット以上が見られました。
4) もしこれが悪いアイデアであれば、提案してください
注意: 私はポリシーについて議論するつもりはありません。ユーザーが同意したポリシーの範囲外のことをしたいのであれば、私はまったく気にしませんが、そのようなアクティビティには独自の 3G サービスを使用/購入し、(W)LAN から離れる必要があります。
答え1
まず、RAM をアップグレードし、デバイスを PIXOSv8 にアップデートすることをお勧めします。これは、デバイスで利用できる最新のソフトウェアであり、役立つと思われる多くの追加機能が有効になりますが、さらに重要なのは、長年にわたって修正されてきた多くのセキュリティ ホールに対処できることです。このアップグレードの良い点は、515e が実際にはデスクトップ クラスの SDRAM を搭載した PC ボードであることです。最大 128MB (2x64MB) で、短いスティックを使用します。サポート契約に応じて、ほぼすべての PC133 RAM が機能します。
あなたが探しているのは「カットスループロキシ」と呼ばれ、PIXOS v6.3以降でサポートされています。設定すると、PIXは接続が確立されるたびにユーザー名とパスワードの入力を求めます。ここ詳細については、次のサービスのみがサポートされています。
- テルネット
- FTP
- http
- https
この方法を採用すれば、デバイスに過負荷がかかることはないと思います。現在の構成でも、良い仕様不足。
答え2
私が知っている PIX OS の唯一の認証は、VPN または管理セッションのユーザー認証に関するものです。
それはさておき、項目 1 で説明されていること (「HTTP だけでなく、すべてのインターネット アクセス (ゲーム、telnet など) を意味します」) を実行する唯一の方法は、すべてのクライアント デバイスの TCP/IP スタックにシムを含めることです (Microsoft ISA Server が使用する「ファイアウォール クライアント」とよく似ています)。これは、ユーザーごとの認証情報が IP データグラム、TCP セグメントなどで運ばれないためです。組み込みクライアント (「iphone、android」) でこれを機能させるのはかなり困難です。ただし、すべてのプロトコル使用についてユーザーごとの認証が必要な場合は、これが唯一の方法です。
Websense や Barracuda フィルタリング アプライアンスなどの製品が Windows ドメイン コントローラを監視し、クライアント デバイスの IP アドレスに関連付けられたユーザー セッションの内部「状態テーブル」を保持するために使用するハックを使用できます。ただし、ターミナル サーバー コンピュータは、このハッキングで大混乱に陥ります。Windows ドメイン認証を実行しないデバイスは、このようなハッキングに対しても「見えません」(クライアント デバイスの IP アドレスに関連付けられたユーザーの観点から)。
PIX のできるSYSLOG 経由で、探しているものに似た NAT 変換ごとの統計を生成しますが、ユーザーごとの認証はありません。また、ログ データを解析するためのコードを記述するか、サードパーティの解析製品を購入する必要があります。