рекомендую на Linux. » »
есть дистрибутив NETAMS для Windows, который я не рекомендую. я имел ввиду это.

для всех: давайте прекратим холивар. Автор просит прокомментировать Циску или Керио. Ответ получен. Предлагаю тему закрыть.
С вопросами подбора о возможностях Циски или Керио McLotos создаст новую тему.

для всех: давайте прекратим холивар »
это говорит человек который на холиварил целую одну страницу... :dont-know

Rezor666, я предложил вариант, а не отстаивал какой-то один.

Rezor666, я предложил вариант, а не отстаивал какой-то один. »
не те методы вы придумываете для воспитания. да и не ваша же эта забота?! »
^Если это вариант а не холивар то я уже и не знаю куда мне бедному податься^

не знаю куда мне бедному податься »
идите спать. я и сам собираюсь

Ща, всем раздам! "... И никто не уйдет обиженный!" :)

Такая связка сама по себе сборник костылей, всё-равно что создавать свою сборку Linux под каждую задачу. Зачем когда уже есть прекрасные готовые решения. »

Готовые решения, в большинстве своем, хороши, либо для новичков, либо для какого-то узкого сегмента задач. Их достоинства в простоте, недостатки являются продолжениями достоинств (Хорошим примером является "поветрие" сносить с домашнего роутера фирменную прошивку и "натягивать" DD-WRT)
Как только стартап готового решения перерастал вышеизложенное правило, он тут же, увы и ах, становился коммерческим. Вспомним, например, Vyatta, или Backula.

Тогда и Windows server это костыль и вообще все костыли что содержит более одного конфиг файла, бред какой-то... »
Да, это верно.
Если для выполнения узкого функционала, нужно перелопатить хренову тучу настроек (не важно, в одном файле или нескольких) - это явный косяк.
Вспомните sendmail, гогда-то был "царь горы", а сейчас часто его ставят?

Или взять упомянутый Iron Port. Когда такие девайсы появляются на рынке, то реально они представляют из себя ОС общего назначения, где прикручены, пачка сервисов (потому что так быстрее разрабатывать).
И потом, все время жизни серии фирма "огнем и мечом" вырезает всю эту хрень и сводит функционал воедино (потому что так оно быстрее работает, проще поддерживать и отлаживать сбои).

А Вы видели сколько конфиг файлов у Asterisk и заметьте что никто не жалуется что он "костыль" так что не несите пургу. »
Гм, главное такое не ляпнуть на форуме AVAYA - запинают досмерти (Это я вам как сертифайт пресейл инженер AVAYA - говорю :)

CentOS + Squid + AD + Layer7 + Snort + ipcad + lightsquid + OpenVPN »
В чем главные проблемы таких связок:
а) ни кто не даст ни каких гарантий, ни по производительности, ни по безопасности.
Только "русские самородки" умудряются "лабать" из таких кубиков "решения", а потом сертифицировать, аж до охраны гостайны.
В том же IBM Redbook, или мануалах покойной SUN, явно говрилось: Да, наши серваки, самые сервачные серваки в мире, но для задач ИБ (маршрутизации, коммутации - не нужное вычеркнуть) используйте узкоспециализированное устройство - поставте Cisco или Juniper.

б) примитивность реализации некоторых функций.
Ну возьмем например межсетевой экран:
- если сравнивать реализацию с командной строкой, то Juniper уделает всех их скопом.
Как по функционалу (сложные правила с пред/пост-условиями), так и по интерфейсу (commit, отложенный commit, версионность)

- если сравнивать встроенный GUI (CheckPoint, Palo Alto), то все уже ооочень печально. Про управление распределенной системой я даже и не заикаюсь.

- или например кластеризация. Вот например, на основе StoneGate распределенный 32х узловой кластер собирается за пол дня. И гарантированно работает.
Сколько это займет на CentOS? Точно, все перечисленные сервисы умеют кластеризоваться Active-Active? Обычно, нет. У многих, многопоточность толком не реализована.

в) Обучение. Тут совсем беспросветно. Сразу скажу, что считаю, что учиться по "мануалам" нельзя.
Все "гайды" предназначены для уже обученных людей и представляют собой, по сути, справочник.

- если сравнивать реализацию с командной строкой, то Juniper уделает всех их скопом »
меня лично CLI ScreenOS никак не устраивала, а GUI работал не во всех браузерах...
А чем отличается ScreenOS (или JUNOS) от BSD системы, на которой основана? тем что запиленная под конкретные задачи.
При желании и наличии времени можно пилить самому. А так как обычно это "нужно было вчера", поэтому готовое решение +плюшки = стоит денег.

Вот например, на основе StoneGate распределенный 32х узловой кластер собирается за пол дня. »
и всё-таки давайте остановимся. вариант предложенный Rezor666 был в рамках ТС:
что в сети около 100 пользователей »
городить ради 100 пользователь 32-ух узловой кластер? ну давайте тогда пользователям на компьютеры установим raid-10 из SSD - быстрее работать работу будут, да и надёжнее.

Сразу скажу, что считаю, что учиться по "мануалам" нельзя.
Все "гайды" предназначены для уже обученных людей и представляют собой, по сути, справочник. »
сколько людей - столько мнений, а также столько и разного опыта. По сути, "Букварь" - тот ж гайд. Со своей функцией, я думаю, он справляется.
Я лично считаю, что учиться надо на всех доступных компетентных источниках информации, а не выделять кого-то из них.

под разные задачи следует использовать соответствующие инструменты и учитывать многие факторы: производительность, безопасность, обслуживание, финансовый фактор и т.д. и т.п.
Утверждать что что-то лучше чего-то (холиварить) - бессмысленно. Особенно без конкретного контекста.
Всё равно каждый останется при своём мнении и будет использовать то ПО и то железо, которое лучше знает и уже не раз проверял на своём опыте. Но навязывать его другим...

Если для выполнения узкого функционала, нужно перелопатить хренову тучу настроек »
Давайте не забывать что каждый отдельный пакет это практически разное ПО.
И у каждого ПО есть свой конфигурационный файл.
Если человек лентяй то ничего ему не мешает поставить WEB GUI и работать с помощью него.
Для особо тугодумов есть zentyal (http://www.zentyal.com/), ClearOS (http://www.clearfoundation.com/Software/overview.html), но давайте не забывать что все они используют все то же ядро Linux.

примитивность реализации некоторых функций. »
Вот только человек использующий командную строку будет знать как оно работает.
А вот через WEB GUI остается только гадать об изменениях в конфиг файле

такое не ляпнуть на форуме AVAYA - запинают досмерти »
Так везде :)

Если кому-то не нравятся бесплатные решения то есть Red Hat (http://www.redhat.com/products/enterprise-linux/server/) и SUSE Linux Enterprise Server (https://www.suse.com/products/server/), можно делать на них.

По поводу безопасности, не надо тут говорить что Junipper безопасней (http://www.cvedetails.com/vendor/874/Juniper.html) он как и все остальное имеет дыры и от этого не куда не деться, Cisco туда (http://www.cvedetails.com/vendor/16/Cisco.html)же.

И exo прав, я предлагал вариант для шлюза сети на менее 1000 хостов, а не кластер серверов.

По поводу безопасности, не надо тут говорить что Junipper безопасней он как и все остальное имеет дыры и от этого не куда не деться, Cisco туда же. »


1) Вот именно, поэтому они и безопасней. Есть тесты лабораторий (на конкретные железяки и прошивки). Есть перечень найденных уязвимостей и рекомендаций по борьбе с ними.
Вы можете привести перечень тестов и уязвимостей связки которую вы рекомендуете?
Если следовать Вашей аргументации, то Запорожец безопаснее Volvo, т. к. к Volvo, y Euro NCAP, претензии есть, а вот к Запорожцу - нет.

2) Вы, простите, понятия путаете. В ИБ, под определением "информационная безопасность" нигде не говорится о "100% гарантиях" или "серебрянной пуле".

Вы можете привести перечень тестов и уязвимостей связки которую вы рекомендуете? »
Вы хотите что бы я Вам привел ссылки на bugtraq пакетов где ясно и понятно все расписано? На cvedetails так же есть полное описание узявимостей.
Да и вообще в инете инфы и советов целая куча, читай и изучай сколько влезет.

2All: если дальше продолжится в том же духе, тема явно отправится если не в ХВЗ, так во флейм.

По поводу безопасности, не надо тут говорить что Junipper безопасней он как и все остальное имеет дыры и от этого не куда не деться, Cisco туда же. »
сравните кол-во эксплойтов
http://www.cvedetails.com/vendor/25/Redhat.html
http://www.cvedetails.com/vendor/23/Debian.html

ОС общего назначения всегда проиграют узкоспециализованным.

И exo прав, я предлагал вариант для шлюза сети на менее 1000 хостов, а не кластер серверов. »
начнём с того, что за 1000 хостов в одном броадкаст домене нужно если не уволить, то сильно поднапрячь человека - например поломав пальцы.
Далее - колво хостов никак, подчёркиваю - никак не коррелирует с непрерывностью предоставления услуги.
Да и вообще в инете инфы и советов целая куча »
;)
о господстве линупса?
окай.
lool

тема явно отправится если не в ХВЗ »
не знаю куда вы нас послали, но похоже вы правы и мы это заслужили, ибо рейтинг красноглазия тут зашкаливает.

начнём с того, что за 1000 хостов »
для шлюза сети на менее 1000 хостов»

exo,
ии?...
"менее 1000" это любое число, например 1 или 999 - оба меньше 1000.
Давайте использовать реалии ;)

если не в ХВЗ »
не знаю куда вы нас послали, »
Это тут, рядышком: Хочу все знать (http://forum.oszone.net/forum-23.html). Я тоже не сразу привык с такому сокращению ;).

Давайте использовать реалии »
Ну и конечно же стоимость реализации при учете что в сети около 100 пользователей »
Вот например, на основе StoneGate распределенный 32х узловой кластер собирается за пол дня. И гарантированно работает. »
:up

сравните кол-во эксплойтов »
Не могу, ибо список не корректен.
Для того что бы это понять достаточно просто взглянуть на CVE указанные там, именно по этому я и не приводил их как аргумент в данном обсуждении.
Если счиатаете что я не прав то взгляните сюда (https://security-tracker.debian.org/tracker/status/release/stable).
Не путайте уязвимости системы и различных пакетов.
Для автора достаточно Linux + squid, насчитайте количество cve для определенного ядра и пакетов и сравните.

начнём с того, что за 1000 хостов в одном броадкаст домене нужно если не уволить, то сильно поднапрячь человека - например поломав пальцы.
Далее - колво хостов никак, подчёркиваю - никак не коррелирует с непрерывностью предоставления услуги. »
Я вот где-то об этом говорил? :)
Что Вы тему передергиваете?

о господстве линупса? »
О настройка пакетов.

Вообщем заканчиваю тут писать, ни одного дельного аргумента я не услышал.

exo,
100 меньше 1000 ;)
но если это трейдеры (есть такие люди), то они и 32 каналда в интернет купят и кластер АА.
и поверьте, у них не будет никакого "совсем бесплатного линукса, вот только 100500 пакетов+зависимости разгребу".
Не могу, ибо список не корректен.
Для того что бы это понять достаточно просто взглянуть на CVE указанные там, именно по этому я и не приводил их как аргумент в данном обсуждении.
Если счиатаете что я не прав то взгляните сюда.
Не путайте уязвимости системы и различных пакетов. »
ещё раз, для лучшего понимания:
операционная система общего назначения всегде проиграет узкоспециализированной.
чем же вдруг список некорректен? я даю сслыку на ваш источник информации, по двум самым распространённым сборкам линукса.
центика там нет, ну... значит центика нет в том спике, но раз там есть опёнок, которого днём с огнём не найти в продакшене, то центика там вообще нет.
Для автора достаточно Linux + squid, насчитайте количество cve для определенного ядра и пакетов и сравните. »
неа. перечитайте ТЗ.
хватит уже тупую http-proxy выдавать за решение всех проблем.
хотите оспорить - примите туннель PPTP в squid.

Я вот где-то об этом говорил?
Что Вы тему передергиваете? »
я не передёргиваю.
вы озвучили цифру - менее 1000, я уже уточнила про значение слова "менее".
определитесь - для сети из одного хоста? или 999?

О настройка пакетов. »
pkg_add ;)

Вообщем заканчиваю тут писать, ни одного дельного аргумента я не услышал. »
лучше бы да, вы правы.

хватит уже тупую http-proxy выдавать за решение всех проблем
о господстве линупса? »
что вам плохого сделал squid, Linux?

чем же вдруг список некорректен? »
А почитать CVE, не? Не судьба? Я Вам привел список CVE на debian и там еще не все пакеты.
Я вот что-то почитал насчет Juniper и понял что это хорошая железка за бешеные бабки и для большой конторы самое оно.

центика там нет, ну. »
Все больше и больше подтверждаете мои слова. Это (http://www.cvedetails.com/vendor/10167/Centos.html) что?

хотите оспорить - примите туннель PPTP в squid. »
В чем проблема поднять VPN сервер на Linux? Религия не позволяет?
И конечно же извините что забыл его добавить в список.

pkg_add »
man package

но раз там есть опёнок, которого днём с огнём не найти в продакшене »
А ничего что оборот денег у Red hat явно выше чем у Juniper и они входят в список S&P500 :lol: