我有一个像素515e运行像素6.3瓦/ 64MB RAM,3个以太网接口,只有2使用中。 我使用它作为约100台设备的互联网网关,每天约6 Mbps(兆比特每秒)的入站峰值,约为出站值的10%-20%。 这很好,没有问题。 我们不使用任何VPNfunction。 虽然PIX不知道/关心这个大多数客户端是无线的。
我们有合规/政策问题,所以我们要强制用户在使用互联网之前进行身份validation,并补充详细的日志。 我build议用另一种产品replacePIX; 我的build议(Windows +未命名的门户软件)失败了,所以我们又回到了使用一直工作得很好的PIX。 所以我烧了一些我的预算,但是我需要想出一个解决scheme,最好是使用我的。
我的理解是,PIX实际上可以对用户进行身份validation和审计访问。 我真的不需要详细的URL日志,我真正需要的是准确的date和时间,用户名,MAC地址,本地IP地址,本地端口(翻译+未翻译),远程IP,远程端口和八位字节计数
我相信我有一个处理伐木,所以我的问题是
1)在允许访问互联网之前,这个PIX是否需要authentication? 我的意思是所有的互联网接入(游戏,telnet,…),不只是HTTP。 任何指导,使这项工作? 注意:我无法控制我的用户设备,我可以拒绝他们访问(原因),但我无法在他们的计算机上安装软件。
2)现在任何支持互联网的设备(PC,Mac,iphone,android)都可以访问互联网。 我想确保它们继续工作,那么这些改变是否足以与这些现有设备一起工作呢?
3)如果我继续下去,这个pix会不堪重负(CPU /内存)? 在高峰时段,我看到了每秒800多个数据包。
4)如果这是一个坏主意,请提供build议
注意我不想讨论这个政策。 如果用户想要超出他们同意的政策,我真的不在乎,但他们需要使用/购买自己的3G服务进行这样的活动,并留在(W)局域网。
首先,我build议升级你的RAM并将设备升级到PIXOSv8。 这将是您的设备可用的最新软件,并将启用许多额外的function,您可能会发现有用的,但更重要的是将解决多年来已修补的安全漏洞。 这次升级的好处是,515e实际上只是一个桌面级SDRAM的PC板。 它的最大容量为128MB(2x64MB),并且需要较短的支持。 根据您的支持合同,几乎所有的PC133 RAM将工作。
您正在寻找的是PIXOS v6.3及更高版本支持的“Cut Through Proxy”。 configuration完成后,每当连接build立时,PIX都会提示input用户名/密码。 请参阅这里了解更多详细信息但是,只支持以下服务:
如果你走这条路,我不希望你的设备负担过重。 即使在目前的configuration下,您仍然可以在规范下运行。
我知道在PIX操作系统唯一身份validation涉及到validation用户的VPN或pipe理会话。
除此之外,唯一的办法就是在第1项(“我的意思是所有互联网访问(游戏,telnet,…),而不仅仅是HTTP”)中描述的东西。“)将会在TCP / IP协议栈中包含一个垫片在所有客户端设备上(非常类似于Microsoft ISA Server使用的“防火墙客户端”),因为每个用户的身份validation信息不会在IP数据报,TCP段等中传播。 iphone,android“)将是非常艰难的。 如果你想要所有协议使用的每用户authentication,但是,这是唯一的路线。
您可以使用像Websense或梭子鱼过滤设备这样的产品来监视Windows域控制器,并保留与客户端设备IP地址关联的用户会话的内部“状态表”。 尽pipe如此,terminal服务器计算机将会玩这个地狱。 任何不执行Windows域身份validation的设备都将“隐身”(就与客户端设备的IP地址相关的用户而言)。
PIX 可以通过SYSLOG生成类似于您要查找的NAT转换统计信息,但不会有任何每个用户的身份validation。 您还需要编写代码来parsing日志数据或购买第三方parsing产品。