나는 64MB RAM, 3개의 이더넷 인터페이스를 갖춘 pixos 6.3을 실행하는 pix 515e를 가지고 있는데 2개만 사용 중입니다. 나는 이를 ~100개의 장치에 대한 인터넷 게이트웨이로 사용하고 있으며, 일일 최대 인바운드는 약 6Mbps(초당 메가비트)이고 아웃바운드 값의 약 10%-20%입니다. 이것은 훌륭하게 작동하며 문제가 없습니다. 우리는 VPN 기능을 사용하지 않습니다. PIX는 이에 대해 알지 못하거나 관심을 두지 않지만 대부분의 클라이언트는 무선입니다.
규정 준수/정책 문제가 있으므로 인터넷을 사용하기 전에 사용자가 인증하도록 강제하고 자세한 로그를 보완하려고 합니다. PIX를 다른 제품으로 교체할 것을 권장했습니다. 내 제안(Windows + 이름 없는 포털 소프트웨어)이 비참하게 실패하여 항상 완벽하게 작동했던 PIX를 다시 사용하게 되었습니다. 그래서 나는 이것에 내 예산의 일부를 소진했지만 이상적으로는 내가 가지고 있는 것을 활용하여 해결책을 찾아야 합니다.
제가 이해한 바로는 PIX가 실제로 사용자를 인증하고 액세스를 감사할 수 있다는 것입니다. 자세한 URL 로그는 필요하지 않습니다. 실제로 필요한 것은 정확한 날짜+시간, 사용자 이름, Mac 주소, 로컬 IP 주소, 로컬 포트(번역된 + 번역되지 않은), 원격 IP, 원격 포트 및 옥텟 수입니다.
나는 로깅을 처리할 수 있다고 생각하므로 내 질문은 다음과 같습니다.
1) 이 PIX는 인터넷 액세스를 허용하기 전에 인증을 요구할 수 있습니까? HTTP뿐만 아니라 모든 인터넷 액세스(게임, 텔넷 등)를 의미합니다. 이 작업을 수행하는 데 대한 지침이 있습니까? 참고: 나는 내 사용자 장치를 제어할 수 없으며, 이유에 따라 액세스를 거부할 수 있지만 컴퓨터에 소프트웨어를 설치할 수는 없습니다.
2) 현재 인터넷이 가능한 모든 장치(PC, Mac, iPhone, Android)에서 인터넷에 접속할 수 있습니다. 계속해서 작동하는지 확인하고 싶습니다. 변경 사항이 이러한 기존 장치에서 작동할 만큼 일반적인가요?
3) 계속 진행하면 이 pix에 과부하가 걸리나요(CPU/메모리)? 피크 시간대에는 초당 800개 이상의 패킷을 보았습니다.
4) 이것이 나쁜 생각이라면 제안을 해주세요.
참고로 저는 그 정책에 대해 논의하고 싶지 않습니다. 사용자가 자신이 동의한 정책을 벗어나고 싶다면 상관없지만 그러한 활동을 위해 자체 3G 서비스를 사용/구매하고 (W)LAN을 끊어야 합니다.
답변1
먼저 RAM을 업그레이드하고 장치를 PIXOSv8로 업데이트하는 것이 좋습니다. 이는 장치에 사용할 수 있는 최신 소프트웨어이며 유용하다고 생각할 수 있는 많은 추가 기능을 활성화하지만 더 중요한 것은 수년에 걸쳐 패치된 많은 보안 허점을 해결할 것입니다. 이번 업그레이드의 좋은 점은 515e가 실제로 데스크탑급 SDRAM을 갖춘 PC 보드라는 점입니다. 최대 128MB(2x64MB)이며 짧은 용량을 차지합니다. 지원 계약에 따라 거의 모든 PC133 RAM이 작동합니다.
당신이 찾고 있는 것은 PIXOS v6.3 이상에서 지원되는 'Cut Through Proxy'입니다. 구성된 경우 PIX는 연결이 설정될 때마다 사용자 이름/비밀번호를 묻는 메시지를 표시합니다. 보다여기자세한 내용은 다음 서비스만 지원됩니다.
- 텔넷
- FTP
- http
- https
이 경로를 사용하면 장치에 과부하가 걸릴 것으로 예상하지 않습니다. 현재 구성에서도 작동 중입니다.잘사양에 따라
답변2
PIX OS에서 내가 알고 있는 유일한 인증은 VPN 또는 관리 세션에 대한 사용자 인증과 관련이 있습니다.
그 외에도 항목 1에서 설명하는 작업("HTTP뿐만 아니라 모든 인터넷 액세스(게임, 텔넷 등)을 의미합니다.")을 수행하는 유일한 방법은 TCP/IP 스택에 심을 포함시키는 것입니다. 사용자별 인증 정보는 IP 데이터그램, TCP 세그먼트 등으로 전달되지 않기 때문에 모든 클라이언트 장치(Microsoft ISA Server가 사용하는 "방화벽 클라이언트"와 유사)에 있습니다. 내장된 클라이언트에서 이를 작동하도록 하기(" iphone, android")는 꽤 어려울 것입니다. 그러나 모든 프로토콜 사용에 대한 사용자별 인증을 원한다면 이것이 실제로 유일한 경로입니다.
Websense 또는 Barracuda 필터링 어플라이언스와 같은 제품이 Windows 도메인 컨트롤러를 모니터링하고 클라이언트 장치 IP 주소와 연결된 사용자 세션의 내부 "상태 테이블"을 유지하는 데 사용하는 해킹을 사용할 수 있습니다. 그러나 터미널 서버 컴퓨터는 이 문제를 해결하지 못할 것입니다. Windows 도메인 인증을 수행하지 않는 모든 장치도 해당 해커에게 "보이지 않게" 됩니다(클라이언트 장치의 IP 주소와 연결된 사용자 측면에서).
픽스~할 수 있다SYSLOG를 통해 찾고 있는 것과 유사한 NAT별 변환 통계를 생성하지만 사용자별 인증은 없습니다. 또한 로그 데이터를 구문 분석하기 위해 무언가를 코딩하거나 타사 구문 분석 제품을 구입해야 합니다.