我有一台 pix 515e,運行 pixos 6.3,帶 64MB RAM,3 個乙太網路接口,只使用 2 個。我將它用作約 100 台設備的互聯網網關,入站每日峰值約為 6 Mbps(每秒兆位元),出站流量約為該值的 10%-20%。它非常適合這個,沒有問題。我們不使用任何 VPN 功能。儘管 PIX 不知道/關心這一點,但大多數客戶端都是無線的。
我們遇到合規性/策略問題,因此我們希望強制使用者在使用網路之前進行身份驗證並補充詳細日誌。我建議用其他產品替換 PIX;我的建議(Windows + 未命名的入口網站軟體)慘遭失敗,因此我們又回到使用一直運作良好的 PIX。因此,我已經在這方面消耗了一些預算,但我需要想出一個解決方案,最好使用我所擁有的。
我的理解是,PIX 實際上可以對使用者進行身份驗證並審核存取。我真的不需要詳細的URL 日誌,我真正需要的是準確的日期+時間、用戶名、MAC 位址、本地IP 位址、本地連接埠(已翻譯+ 未翻譯)、遠端IP、遠端連接埠和八位元字節計數
我相信我可以處理日誌記錄,所以我的問題是
1) 該 PIX 在允許存取網際網路之前是否需要身份驗證?我的意思是所有網路存取(遊戲、遠端登入…),而不僅僅是 HTTP。關於這項工作有什麼指導嗎?注意:我無法控制我的用戶設備,我可以拒絕他們訪問(有原因),但我無法在他們的電腦上安裝軟體。
2) 現在任何支援網路的裝置(PC、Mac、iPhone、Android)都可以存取網路。我想確保它們繼續工作,那麼這些更改是否足夠通用以適用於這些現有設備?
3)如果我繼續,這個像素是否會負擔過重(CPU/記憶體)?我在高峰時段看到過每秒 800 多個資料包。
4)如果這是一個壞主意,請提出建議
請注意,我並不是真的想討論該政策。如果使用者想要超出他們同意的政策,我真的不在乎,但他們需要使用/購買自己的 3G 服務來進行此類活動,並遠離 (W)LAN。
答案1
首先,我建議升級您的 RAM 並將裝置更新到 PIXOSv8。這將是您的裝置可用的最新軟體,並將啟用許多您可能會覺得有用的額外功能,但更重要的是它將解決多年來已修補的許多安全漏洞。這次升級的好處是,515e 其實只是一塊有桌面級 SDRAM 的 PC 板。它的最大容量為 128MB (2x64MB),並且需要短棍。根據您的支援合同,幾乎任何 PC133 RAM 都可以使用。
您正在尋找的稱為“直通代理”,PIXOS v6.3 及更高版本支援此功能。配置後,每當建立連線時,PIX 都會提示輸入使用者名稱/密碼。看這裡了解更多詳細資訊 但是,僅支援以下服務:
- 遠端登入
- 文件傳輸協定
- http
- https
如果您走這條路,我不希望您的設備負擔過重。即使在目前配置下,您也可以運行出色地根據規格。
答案2
據我所知,PIX 作業系統中的唯一驗證與 VPN 或管理會話的使用者驗證有關。
除此之外,執行第1 項中所述的操作的唯一方法(「我的意思是所有網路存取(遊戲、telnet,...),而不僅僅是HTTP。」)將涉及TCP/IP 堆疊中的填充程式在所有用戶端裝置上(很像Microsoft ISA Server 使用的「防火牆用戶端」),因為每個使用者的驗證資訊不是在IP 資料封包、TCP 區段等中攜帶。式客戶端一起使用(「 iPhone、Android」)將會非常困難。但是,如果您希望對所有協定使用情況進行每用戶身份驗證,那確實是唯一的途徑。
您可以使用 Websense 或 Barracuda 過濾裝置等產品來監視 Windows 網域控制站並保留與用戶端裝置 IP 位址關聯的使用者工作階段的內部「狀態表」。不過,終端伺服器電腦會對此大為惱火。任何不執行 Windows 網域驗證的裝置對於此類駭客攻擊來說也是「不可見的」(就與用戶端裝置的 IP 位址關聯的使用者而言)。
PIX能產生與您透過 SYSLOG 查找的內容類似的每 NAT 轉換統計訊息,但不會有任何每個使用者身份驗證。您還必須編寫一些程式碼來解析日誌資料或購買第三方解析產品。