WatchGuard

 
(Внимание! Страница в состоянии доработки. Возможны исправления относительно последнего вашего просмотра.) 

Обслуживаемые нами информационные системы всегда имеют ЛВС (локальную вычислительную сеть) и доступ в Интернет.
 
"А если есть нора, то должен быть  кролик!". Если есть канал во внешнюю сеть - должен быть управляемый шлюз.
 
После достаточно долгих проб различных систем мы остановились на решении WatchGuard Firebox.

 
Вот какие соображения по этому поводу:
  • Это "коробочка". Т.е. достал из упаковки, включил в сеть, сделал простые настройки и она работает.

  • Не требует серьёзного источника бесперебойного питания. Можно вообще работать "от розетки", в этом случае надо понимать, что при бросках в линии шлюз, естественно, отключется. Но грузится он достаточно быстро. Файловая система не страдает, конфигурация всегда сохранена у администратора, так что опасаться особенно нечего.

  • 6 равноправных сетевых интерфейсов. Этого практически всегда достаточно для маршругизации небольших (до 500 ПК) сетей.

  • Несмотря на встроенное unix-подобное ядро, всё управление устройством осуществляется через привычный (для windows) графический интерфейс.

  • Высокая производительность при минимальных вложениях.

  • Логичная и интуитивно понятная система управления устройством. Так, после 2-х часового вводного курса, человек имеющий общие представления о сетевой маршрутизации гарантированно сможет настроить устройство.

  • Есть интересный режим запуска системы. При достаточно большой сети из идентичных устройств имеет смысл подготовить конфигурации на флешке и, при старте системы,

Особенности устройства.
  • Собстенная операционная система производителя построенная на базе UNIX.
  • WEB-интерфейс для управления. Не столь функционален, как специальное программное обеспечение, идущее в комплекте, но позволяет выполнить базовые настройки. И обратиться напрямую к устройству при необходимости.
  • ПО в комплекте: WatchGuard System Manager - общий каталог всех имеющихся устройств. Позволяет оценить их состояние, и запустить управляющее ПО.
  • ПО в комплекте: Fireware XTM Policy manager - программный инструмент для создания, сохранения и модификации конфигурационного файла устройства. В понятной и доступной форме предоставляет доступ ко всем настройкам. Позволяет управлять маршрутизацией, сетевыми интерфейсами, DHCP, правилами фильтрации, удалённым доступом клиентов, подключением к Active Directory
Ограничение трафика связкой WatchGuard-SkyDNS.
 
Сэкономить траффик тем, кто платит за метры и снизить нагрузку на канал тем, кто на безлимитке, помагает простое, но эффективное решение. Весь траффик из ЛВС по порту TCP53 (DNS) направляется на сервис SkyDNS.ru (193.58.251.251).
Внутри сети всем клиентам прописывается DNS сервер 193.58.251.251. Если у вас используется свой DNS, то используйте 193.58.251.251, как форвардер, т.е. единственный вышестоящий сервер. Все дополнительные корневые сервера надо удалить (это для Microsoft DNS).
Что даёт такая связка? 
  • Экономия трафика. Блокирование загрузки на стадии запроса. Т.е. не ваш шлюз ограничивает трафик уже посчитанный провайдером, а сама закачка не происходит, ввиду того, что на запрос клиента система не возвращает целевой адрес. Отсюда радикальное снижение нагрузки на канал.
  • Нет социальным сетям. Очень простое, но эффективное блокирование сервисов социальных сетей. Клиент может, естественно, указать IP-адрес своего любимого сайта напрямую. Но социальные сети - сложные конструкции. При закачке страницы там используется далеко не один адрес. Как их вставлять руками? Так что страница может и загрузится, но в слишком неполноценном виде.
  • Бой вирусам. Существенно, вплоть до невозможности функционирования, ограничивается деятельность троянов и дистанционно модифицируемых вирусов.
  • Простота и надёжность. Легко управляемое, простое в конфигурировании решение. Не требует специальных знаний по настрйке DNS.
Ограничение. 

Данный продукт не предназначен для государственных информационных систем или систем требующих особых условий безопасности.