знаешь притчу о хорошем коте?
У фермера крысы-мыши подъедали урожай, он нашел кота, закрыл в амбаре и за ночь кот переловил всех грызунов. фермер, поняв, что его припасам ничего не угрожает, выкинул теперь уже бесполезного кота на улицу.
Намек ясен? :)

(Reply to this) (Thread)

Не, выкинуть-то никогда не поздно. Вопрос не об этом.

(Reply to this) (Parent)

в фаервол+пппое :) в фаерволе есть layer2? :)

(Reply to this) (Thread)

Это что, с ZyXEL конкурировать? :)

(Reply to this) (Parent) (Thread) (Expand)

Ну вот у нас есть PPPoE клиент в неплохом файерволе и VPN'е. Куда его развивать?

(Reply to this) (Parent)

Каким образом ты определяешь, что он "неплохой"? Что касается направлений развития, то для нас в любом VPN самая большая головная боль - это местные параноидальние админы, у которых открыты только те протоколы, про которые они слышали. Поэтому самое актуальное - это VPN over everything. VPN over HTTP (не HTTPS) рулило бы рулём. VPN over DNS вообще вне конкуренции, только перформанс жидковат.

(Reply to this) (Thread)

> Каким образом ты определяешь, что он
> "неплохой"?

Ну, продается, скажем.

> Что касается направлений развития, то для нас в любом VPN самая большая головная боль - это местные параноидальние админы, у которых открыты только те протоколы, про которые они слышали. Поэтому самое актуальное - это VPN over everything. VPN over HTTP (не HTTPS) рулило бы рулём. VPN over DNS вообще вне конкуренции, только перформанс жидковат.

Вот черт его знает. Сколько ставили по крупным лавкам -- нигде такой проблемы не было. Максимум -- НАТ по дороге, ну, на это есть VPN over UDP. А кто будет заказчиком VPN -- end user, что ли, если он не может со своим админом справиться?..

(Reply to this) (Parent) (Thread) (Expand)

Работает на слишком дешевом железе тоже?

(Reply to this) (Thread)

Не понял про "слишком". Работает на Solaris/x86, то есть, почти на любом писюке.

(Reply to this) (Parent) (Thread) (Expand)

Это для корпоративных "экстранетов" в основном?

Трудно ответить. Разве что в порядке мозгового штурма... Скрестите его с IDS (если ещё не). Прикрутите к нему GUI. SMTP-агента сделайте, и модуль для OpenView (и Tivoli не-помню-как-там). Layer 7 switch туда добавить, правда, это будет уже совсем не для того.

(Reply to this) (Thread)

IDS уже да (ну, насколько SNORT -- IDS). GUI давно есть. Агент есть, но неясно, что отдавать -- никто его не использовал реально. Начнут -- добавим счетчиков-ручек-кнопок, не вопрос. Насчет Layer 7 не знаю, неясно, кому это...

(Reply to this) (Parent)

развивайте в части максимально idiot-proof deployment & configuration и пиарьте как средство виртуализации работы всяких аутсорсеров и прочих мелкосредних виртуальных лавок. в качестве модного трендоносителя киберпанк какой-нибудь притяните за уши.

(Reply to this) (Thread)

Уже -- он есть в металле, PnP. Каких лавок -- IT-безопасников? А они есть?

Последнюю фразу перечитал трижды, понял только предлоги :)

(Reply to this) (Parent) (Thread) (Expand)

заплатить денег Darren Reed, чтобы он продолжил его развивать? :)

Борис, скажи мне, как художник художнику - вы хоть копейку Даррену выплатили за использование его продукта?

(Reply to this) (Thread)

=8-[ ]

(Reply to this) (Parent) (Thread) (Expand)

Нет, равно как и авторам GNU cc, make, emacs и много чего еще. А почему тебя волнует, выплатили ли мы копейку Даррену?

(Reply to this) (Parent)

Софтина или комплекс с жэлезом? (Я действительно про вашу лавочку ничего не знаю).
А свитч из себя он изображать можэт (при наличие сетевух в достаточном количестве или хотя бы поддержки VLANов)? А NAT там есть? А если есть -- то роутинг на основе информацыи из conntrack (или чего у вас аналогом этого conntrack для NAT) (можэт требоваться для разделения нагрузки по каналам)? А девайсы уровня и энэргопотребления OpenWRT вы с ним поставляете? А one-click интеграцыя с авторизацыей доступа через виндовый домен есть (лучшэ -- в т.ч. без поднятия VPN, кажэтся, через IPsec это как-то можно, хотя я пока не пробовал)? В документацыи описана? А вот ограниченные логи L7 (ну, заголовков фактически. Нет в модэли OSI названия для этой части информацыи) -- так вот, многим такая вещь очень нравится. Дажэ большэ, чем фильтры на L7. А реагировать на RADIUS-запросы от WiFi-точек оно позволяет? И потом фильтровать на основе данных о клиенте (а не адресов или чего-то столь жэ непонятного)? А варианты отдачи ограниченных прав клиентам по рулению себя, любимых в разрёшённых рамках и просмотру исключительно своей статистики есть? А тожэ самое, но для тупых операторов -- чтобы мог вот зайти и красиво поправить одну конкретную табличку, из которой берётся только список соответствия адресов и назначения каких-нибудь приоритетов или роутинга для одной ограниченной сетки, например. Или вообще мог выключить и включить только одно правило. А тэстировать загрузку/пропускную способность/задержки канала и трапаться в случае чего оно можэт? А идиотов, ставящих запредельное количество сэссий в FlashGet (и способных сожрать полтора своих лимита канала на входящем в тебя траффике) вы побороли? Или shaping вообще пока не ваша стезя? А взаимодействие с netflow есть (создание и запись flows/статистика потом, для post-mortem анализов, ибо pcapом всё равно всё не запишэшь, а counterами можэт оказаться поздно пить боржоми, если мало надобавлял)? А он скорость своей работы и загрузку себя способен оцэнивать, с объяснением тупому админу, что гигабит шыфрованного траффика этот тазик не потянет никак и никогда? А самомониторилка, способная понять, что какая-то часть себя коньки отбросила, есть в комплекте? А красивые графы соединения интерфейсов и сетей, которые идут через него, их логического (заданного админом) смысла с rrd-шными графиками загрузок по ссылкам он рисует (не, ну это я ужэ губу раскатал, такое вообще долбанёшься делать, наверное, особенно приписывать правилам соответствие каким-то логическим узлам графа, да ещё через уеб-интэрфейс)? А свой конфиг цэликом сохранить/накатить/откатить? А что-то а-ля jnettop/iptraf в комплекте есть? А etherealом поковырять -- что происходит -- оно даёт? А кластерные конфигурацыи с объединением разрозненных роутеров в одну панель управления, распределение нагрузки от VPN по симметричным рядом стоящим узлам и автоматическое подцэпление дублирующим устройством функцый ёкнувшего основного?
Ладно, что-то спать хочется.

(Reply to this) (Thread)

Ух ты! Спасибо за текст, пойду обсужу с коллегами!

(Reply to this) (Parent)

VoIP припаять? Это сейчас модно. Удаленщики смогут на офисный PBX нахаляву звонить.

(Reply to this) (Thread)

Кстати да, если не полный VoIP, то хотя бы sip в список протоколов фильтрацыи МЭ хорошо бы добавить.

(Reply to this) (Parent) (Thread) (Expand)

Ага. Там вопросов, правда, больше, чем ответов :)

(Reply to this) (Parent)

Позиционирование вообще очень сложный вопрос :-)

(Reply to this)

Искуственно-интелектуальный детектор атак (снаружи).

Искуственно-интелектуальный детектор червей (которых корпоративные клиенты заносят себе в локальные сети ведрами, обходя все антивирусы, проявляя при этом чудеса изобретательности) изнутри.

(Reply to this)

3-5 интерфейсов, VLAN-ы
Вместо диска flash.
Сертификат ФАПСи и продавать всяким госконторам.

Нашим продавать за какие-то копейки (типа base package (200$) + 3-5$ each VPN user), западные конторы не купят -- есть pix.
Многие наобщались с Symantec Firewall и послали его в далекое еротическое.

Тяжелый вопрос.
--
jav

(Reply to this) (Thread)

Чем плох symantec, кстати?

(Reply to this) (Parent) (Thread) (Expand)