我有一个 pix 515e 运行 pixos 6.3 w/64MB RAM,3 个以太网接口,只有 2 个在使用中。我将它用作约 100 台设备的互联网网关,每日峰值约为 6 Mbps(兆比特/秒)入站,约 10%-20% 的出站值。它对此非常有用,没有问题。我们不使用任何 VPN 功能。尽管 PIX 不知道/关心这一点,但大多数客户端都是无线的。
我们遇到了合规/政策问题,因此我们希望强制用户在使用互联网之前进行身份验证并补充详细的日志。我建议用另一种产品替换 PIX;我的建议(windows + 未命名的门户软件)惨遭失败,所以我们回到使用一直完美运行的 PIX。所以我已经在这方面烧掉了一些预算,但我需要想出一个解决方案,最好是使用我所拥有的。
我的理解是,PIX 实际上可以验证用户和审计访问。我真的不需要详细的 URL 日志,我真正需要的是准确的日期+时间、用户名、mac 地址、本地 IP 地址、本地端口(已翻译 + 未翻译)、远程 IP、远程端口和八位字节数
我相信我掌握了日志记录,所以我的问题是
1) 在允许互联网访问之前,这个 PIX 可以要求身份验证吗?我的意思是所有的互联网访问(游戏、telnet、...),而不仅仅是 HTTP。有关使这项工作的任何指导?注意:我无法控制我的用户设备,我可以拒绝他们访问(有原因),但我不能在他们的计算机上安装软件。
2) 现在任何支持互联网的设备(PC、Mac、iphone、android)都可以访问互联网。我想确保它们继续工作,那么这些更改是否足够通用以适用于这些现有设备?
3)如果我继续,这个像素是否会负担过重(CPU/内存)?我在高峰时间看到每秒 800 多个数据包。
4)如果这是一个坏主意,请提出建议
请注意,我真的不想讨论该政策。如果用户想超出他们同意的政策,我真的不在乎,但他们需要为此类活动使用/购买自己的 3G 服务并远离 (W)LAN。
我在 PIX OS 中知道的唯一身份验证与对 VPN 或管理会话的用户身份验证有关。
除此之外,执行您在第 1 项中描述的事情的唯一方法(“我的意思是所有互联网访问(游戏、telnet ......),而不仅仅是 HTTP。”)将涉及 TCP/IP 堆栈中的填充程序在所有客户端设备上(很像 Microsoft ISA Server 使用的“防火墙客户端”),因为 IP 数据报、TCP 段等中没有携带每个用户的身份验证信息。让它与您的嵌入式客户端一起工作(“ iphone, android") 将会非常艰难。但是,如果您想要对所有协议使用进行按用户身份验证,那确实是唯一的途径。
您可以使用 Websense 或 Barracuda 过滤设备等产品来监控 Windows 域控制器并保留与客户端设备 IP 地址相关的用户会话的内部“状态表”。不过,终端服务器计算机会玩得不亦乐乎。任何不执行 Windows 域身份验证的设备也将对此类黑客“不可见”(就与客户端设备的 IP 地址关联的用户而言)。
PIX可以生成类似于您通过 SYSLOG 查找的每 NAT 转换统计信息,但不会有任何每用户身份验证。您还必须编写代码来解析日志数据或购买第三方解析产品。
首先,我建议升级您的 RAM 并将设备更新到 PIXOSv8。这将是可用于您的设备的最新软件,并将启用许多您可能会觉得有用的额外功能,但更重要的是,它将解决多年来已修补的许多安全漏洞。这次升级的好处是 515e 实际上只是一个带有桌面级 SDRAM 的 PC 板。它的最大容量为 128MB (2x64MB) 并且需要短棒。根据您的支持合同,几乎任何 PC133 RAM 都可以使用。
您正在寻找的是所谓的“Cut Through Proxy”,它在 PIXOS v6.3 及更高版本中受支持。配置后,只要建立连接,PIX 就会提示输入用户名/密码。有关详细信息,请参阅此处但是,仅支持以下服务:
如果你走这条路,我不希望你的设备负担过重。即使在当前配置中,您在规范下运行良好。