Cisco Asa 5505

@Arwel · Регистрация: 04.03.2013

Студворк — интернет-сервис помощи студентам

Объясните, пожалуйста разницу http://network.msk.ru/catalog/asa5505_series
Интересует только две первых строчки, т.к. SSL мне не нужен.
Пытаюсь собрать защиту от ддоса с каналом 100 мб\сек.

Jabbson · 07.08.2013, 01:19

http://www.cisco.com/en/US/doc... #wp1150495

Cisco ASA 5505 10-user bundle (ASA5505-BUN-K9)
Includes 10-user license, 8-port Fast Ethernet switch, stateful firewall, 10 IPsec VPN peers, 2 SSL VPN peers, 3DES/AES license, and 1 expansion slot

Cisco ASA 5505 50-user bundle (ASA5505-50-BUN-K9)
Includes 50-user license, 8-port Fast Ethernet switch, stateful firewall, 10 IPsec VPN peers, 2 SSL VPN peers, 3DES/AES license, and 1 expansion slot
150 Mbps/100 Mbps

Cisco ASA 5505 unlimited user bundle (ASA5505-UL-BUN-K9)
Includes unlimited user license, 8-port Fast Ethernet switch, stateful firewall, 10 IPsec VPN peers, 2 SSL VPN peers, 3DES/AES license, and 1 expansion slot
150 Mbps/100 Mbps

Cisco ASA 5505 Security Plus bundle (ASA5505-SEC-BUN-K9)
Includes Cisco ASA 5505, unlimited users, 8-port Fast Ethernet switch, stateful firewall, 25 IPsec VPN peers, 2 SSL VPN peers, stateless Active/Standby high availability, dual ISP support, DMZ support, 3DES/AES license, and 1 expansion slot
150 Mbps/100 Mbps

@Arwel · 07.08.2013, 22:43 **[ТС]**

Что могли бы посоветовать для защиты от ддоса? Деньги не проблема, канал 150 мб\сек.

Jabbson · 08.08.2013, 00:55

С большего от хорошего ддоса с забиванием канала особо ничего не спасет. Забитый канал - есть забитый канал. Пакеты при этом могут быть вполне легитимные. Как этого можно избежать? Во-первых, - держать канал достаточно широким, чтобы забить его было затруднительно. Во-вторых, держать резервный канал, чтобы в случае необходимости переключиться на него. Ну а на границе - минимум фаервол+ips, со стандартными syn prevention, rpf и acl. Очень многие DC и ISP предлагают услуги по ддос защите, стоит это немало, но в случае с атакой - окупается. Из железок, кроме упомянутых есть из цисковского - Cisco Traffic Anomaly Detector (TAD) XT и Cisco Guard XT - прокомментировать их не могу, не сталкивался.

@jlevistk · 08.08.2013, 01:00

Еще у Cisco подписка какая то есть, от Bot сетей с помощью которых могут ддосить, если я правильно читал..)

Jabbson · 08.08.2013, 01:11

Но в большинстве своем такая вещь как ботнет фильтр на асе не представляет особой защиты. Определить, что все плохо можно и на глаз. Ботнет фильтр найдет и запретит внутренним ("завербованным") ресурсам обращаться наружу. Но от ДДоСа это не спасет ни разу - botnet filter = internal endpoint security solution.

@Arwel · 08.08.2013, 11:41 **[ТС]**

А что если попробовать это и аппаратный фаервол+cisco guard?

Jabbson · 08.08.2013, 14:10

Не знаю, не пробовал, но с Касперским у меня никогда не складывалось как-то.
Я бы скорее посмотрел в сторону инкапсулы или радваре. Последнее мы сейчас ставим в один из крупных банков как первый уровень защиты. Если после этого есть возможность поставить фаервол с ips - тем лучше.

@jlevistk · 08.08.2013, 14:36

Не по теме:

Сообщение от Jabbson

Последнее мы сейчас ставим в один из крупных банков как первый уровень защиты.

А статейки потом не будет?) интересно посмотреть на bestpractice по защите банка..

Jabbson · 08.08.2013, 14:44

Не по теме:

Сообщение от jlevistk

А статейки потом не будет?) интересно посмотреть на bestpractice по защите банка

нет, к сожалению, это займет много времени, которого у меня в последнее время все меньше и меньше - проекты уже начинают наслаиваться.

@jlevistk · 08.08.2013, 14:49

Не по теме:

Сообщение от Jabbson

нет, к сожалению, это займет много времени, которого у меня в последнее время все меньше и меньше - проекты уже начинают наслаиваться.

эх, жаль... значит своими силами)

@Arwel · 16.08.2013, 02:25 **[ТС]**

Какой вывод сделаем? В плане актуального подхода, не зависимо от финансов

Jabbson · 16.08.2013, 10:27

Вывод сделаем тот, что лучшая в данном вопросе защита - в аутсорсе, - на isp, dc или в облаке.

@jlevistk · 16.08.2013, 11:18

Не в целях рекламы, вот ссылка на статью с хабра, тут ребята рассказывают про их опыт защиты от DDOS, заодно и к ним можно обратиться.)

Новые блоги и статьи Все статьи Все блоги /
Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .
Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665

	Cisco Asa 5505 07.08.2013, 01:00. Показов 4029. Ответов 13 Метки нет (Все метки) Объясните, пожалуйста разницу http://network.msk.ru/catalog/asa5505_series Интересует только две первых строчки, т.к. SSL мне не нужен. Пытаюсь собрать защиту от ддоса с каналом 100 мб\сек. 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	07.08.2013, 01:19
	http://www.cisco.com/en/US/doc... #wp1150495 Cisco ASA 5505 10-user bundle (ASA5505-BUN-K9) Includes 10-user license, 8-port Fast Ethernet switch, stateful firewall, 10 IPsec VPN peers, 2 SSL VPN peers, 3DES/AES license, and 1 expansion slot Cisco ASA 5505 50-user bundle (ASA5505-50-BUN-K9) Includes 50-user license, 8-port Fast Ethernet switch, stateful firewall, 10 IPsec VPN peers, 2 SSL VPN peers, 3DES/AES license, and 1 expansion slot 150 Mbps/100 Mbps Cisco ASA 5505 unlimited user bundle (ASA5505-UL-BUN-K9) Includes unlimited user license, 8-port Fast Ethernet switch, stateful firewall, 10 IPsec VPN peers, 2 SSL VPN peers, 3DES/AES license, and 1 expansion slot 150 Mbps/100 Mbps Cisco ASA 5505 Security Plus bundle (ASA5505-SEC-BUN-K9) Includes Cisco ASA 5505, unlimited users, 8-port Fast Ethernet switch, stateful firewall, 25 IPsec VPN peers, 2 SSL VPN peers, stateless Active/Standby high availability, dual ISP support, DMZ support, 3DES/AES license, and 1 expansion slot 150 Mbps/100 Mbps 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	07.08.2013, 22:43 [ТС]
	Что могли бы посоветовать для защиты от ддоса? Деньги не проблема, канал 150 мб\сек. 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	08.08.2013, 00:55
	С большего от хорошего ддоса с забиванием канала особо ничего не спасет. Забитый канал - есть забитый канал. Пакеты при этом могут быть вполне легитимные. Как этого можно избежать? Во-первых, - держать канал достаточно широким, чтобы забить его было затруднительно. Во-вторых, держать резервный канал, чтобы в случае необходимости переключиться на него. Ну а на границе - минимум фаервол+ips, со стандартными syn prevention, rpf и acl. Очень многие DC и ISP предлагают услуги по ддос защите, стоит это немало, но в случае с атакой - окупается. Из железок, кроме упомянутых есть из цисковского - Cisco Traffic Anomaly Detector (TAD) XT и Cisco Guard XT - прокомментировать их не могу, не сталкивался. 2

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	08.08.2013, 01:00
	Еще у Cisco подписка какая то есть, от Bot сетей с помощью которых могут ддосить, если я правильно читал..) 2

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	08.08.2013, 01:11
	Сообщение было отмечено как решение Решение Но в большинстве своем такая вещь как ботнет фильтр на асе не представляет особой защиты. Определить, что все плохо можно и на глаз. Ботнет фильтр найдет и запретит внутренним ("завербованным") ресурсам обращаться наружу. Но от ДДоСа это не спасет ни разу - botnet filter = internal endpoint security solution. 3

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	08.08.2013, 11:41 [ТС]
	А что если попробовать это и аппаратный фаервол+cisco guard? 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	08.08.2013, 14:10
	Не знаю, не пробовал, но с Касперским у меня никогда не складывалось как-то. Я бы скорее посмотрел в сторону инкапсулы или радваре. Последнее мы сейчас ставим в один из крупных банков как первый уровень защиты. Если после этого есть возможность поставить фаервол с ips - тем лучше. 1

@Arwel 10 / 10 / 0 Регистрация: 04.03.2013 Сообщений: 665
	16.08.2013, 02:25 [ТС]
	Какой вывод сделаем? В плане актуального подхода, не зависимо от финансов 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	16.08.2013, 10:27
	Вывод сделаем тот, что лучшая в данном вопросе защита - в аутсорсе, - на isp, dc или в облаке. 1

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	16.08.2013, 11:18
	Не в целях рекламы, вот ссылка на статью с хабра, тут ребята рассказывают про их опыт защиты от DDOS, заодно и к ним можно обратиться.) 1

Cisco Asa 5505

Решение