我有一台 pix 515e,运行 pixos 6.3,64MB RAM,3 个以太网接口,只有 2 个在使用中。我将其用作 ~100 台设备的互联网网关,每日峰值约为 6 Mbps(兆比特每秒)入站,出站约为该值的 10%-20%。它在这方面表现很好,没有问题。我们不使用任何 VPN 功能。虽然 PIX 不知道/不关心这一点,但大多数客户端都是无线的。
我们遇到了合规性/政策问题,因此我们希望强制用户在使用互联网之前进行身份验证,并补充详细的日志。我建议用另一种产品替换 PIX;我的建议(Windows + 未命名的门户软件)完全失败了,所以我们又回到了使用一直运行良好的 PIX。所以我在这方面花掉了一些预算,但我需要想出一个解决方案,最好是使用我已有的东西。
我的理解是 PIX 实际上可以验证用户身份并审计访问。我真的不需要详细的 URL 日志,我真正需要的是准确的日期+时间、用户名、mac 地址、本地 IP 地址、本地端口(已翻译 + 未翻译)、远程 IP、远程端口和八位字节数
我相信我已经掌握了日志记录,所以我的问题是
1) 此 PIX 是否可以在允许互联网访问之前要求进行身份验证?我的意思是所有互联网访问(游戏、telnet 等),而不仅仅是 HTTP。有什么指导可以做到这一点?注意:我无法控制用户的设备,我可以拒绝他们访问(有理由),但我无法在他们的计算机上安装软件。
2) 目前,任何支持互联网的设备(PC、Mac、iPhone、Android)都可以访问互联网。我想确保它们继续工作,那么这些变化是否足够通用以适用于这些现有设备?
3) 如果我继续,这个 pix 会不会负担过重(CPU/内存)?我在高峰时段看到每秒有 800 多个数据包。
4)如果这是一个坏主意,请提出建议
注意,我其实不想讨论政策。如果用户想超越他们同意的政策,我真的不在乎,但他们需要使用/购买自己的 3G 服务来进行此类活动,并且不要使用 (W)LAN。
答案1
首先,我建议升级您的 RAM 并将设备更新为 PIXOSv8。这将是您设备可用的最新软件,并将启用许多您可能觉得有用的额外功能,但更重要的是,它将解决多年来已修补的许多安全漏洞。这次升级的好处是 515e 实际上只是一块带有台式机级 SDRAM 的 PC 主板。它的最大容量为 128MB(2x64MB),并且占用空间很短。根据您的支持合同,几乎任何 PC133 RAM 都可以使用。
您正在寻找的是“直通代理”,它在 PIXOS v6.3 及更高版本中受支持。配置后,PIX 会在建立连接时提示输入用户名/密码。请参阅这里更多详细信息但是,仅支持以下服务:
- 远程登录
- FTP
- http
- https
如果你选择这种方式,我认为你的设备不会超负荷。即使在当前配置下,你也在操作出色地根据规格。
答案2
据我所知,PIX OS 中唯一的身份验证与对 VPN 或管理会话的用户进行身份验证有关。
除此之外,要实现第 1 项中描述的内容(“我指的是所有互联网访问(游戏、telnet 等),而不仅仅是 HTTP。”),唯一的方法是在所有客户端设备的 TCP/IP 堆栈中安装一个垫片(很像 Microsoft ISA Server 使用的“防火墙客户端”),因为每个用户的身份验证信息不会在 IP 数据报、TCP 段等中携带。让它与您的嵌入式客户端(“iphone、android”)一起工作将非常困难。但是,如果您想要对所有协议的使用进行每个用户的身份验证,那么这确实是唯一的途径。
您可以使用 Websense 或 Barracuda 过滤设备等产品使用的黑客技术来监控 Windows 域控制器并保存与客户端设备 IP 地址关联的用户会话的内部“状态表”。不过,终端服务器计算机会对此大肆破坏。任何不执行 Windows 域身份验证的设备对于此类黑客技术来说也是“不可见的”(就与客户端设备的 IP 地址关联的用户而言)。
PIX能生成类似于您通过 SYSLOG 查找的每个 NAT 转换统计数据,但不会有任何每个用户的身份验证。您还必须编写一些代码来解析日志数据或购买第三方解析产品。