cisco ironport что это
Продолжаем защищаться от спама с помощью Cisco IronPort c170
Предисловие
Про IronPort c170 я написал на хабре год назад. И это была моя первая статья, которая подарила мне инвайт. К сожалению, с того времени, на хабре не появилось ни одной (!) статьи про эту железку, что, я считаю, непозволительно для такого ресурса, как хабр.
Для начала, я, конечно, напомню про свою первую статью: habrahabr.ru/post/148317
Она обзорная и не делающая никаких выводов. Но за год я немного разобрался с железкой, научился некоторым хитростям и встретился с ошибкой прошивки… и вообще теперь я готов рассказать про нее нечто больше, чем ничего 🙂
Как я улучшал антиспам фильтр
Этот раздел скорее для тех, кто уже владеет железкой
Пришлось пойти дальше и сдуть пыль с пдф инструкции и посмотреть что же есть еще в настройках. Для того, что бы решить проблему фильтрации для без PTR-ных источников, пришлось углубиться в недры неприветливого командного интерфейса.
В итоге пришлось создать особое правило фильтрации. Выглядит оно довольно просто:
И делает как раз то что надо — если письмо приходит из группы отправителей UNVERIFIED_LowScore, то оно уходит в тот самый особый карантин.
Наблюдение: С того момента, как я начал принимать все smtp сессии и письма с ними, количество соединений резко уменьшилось! И уменьшилось в несколько раз. Из чего я сделал вывод, что спамерам все равно какие у вас временный задержки сессий, дропы и все остальное, они будут пытаться послать письмо много раз, а не один, как это считается.
Проблема с прошивкой
The Critical message is:
An application fault occurred: (‘egg/coro_postgres.py _simple_query|756’, » «, ‘_simple_query (ERROR 53000: could not write block 14 of 17144/17171 blind: Too many open files in system)’, ‘[egg/quarantine_hermes.py _expiration_main|1980] [egg/quarantine.py expire_all_messages|771] [egg/quarantine.py _process_transaction|871] [egg/quarantine.py _expire_messages|1355] [egg/quarantine.py _query|1669] [egg/quarantine.py _call_db|1643] [egg/quarantine.py _db_query|1726] [egg/coro_postgres.py query|346] [egg/coro_postgres.py _simple_query|756]’)
Version: 7.6.1-022
Serial Number: 5057A8E1583B-FGL161740BG
Timestamp: 13 Dec 2012 00:32:18 +0400
To learn more about alerts, please visit our Knowledge Base. In many cases, you can find further information about this specific alert. Please click the Knowledge Base link after logging into our Support Portal at:
If you desire further information, please contact your support provider.
To open a support request for this issue, access the IronPort C170 and issue the «supportrequest» command. The command sends an email with diagnostic information directly to Cisco IronPort Customer Support to facilitate a rapid diagnosis of the problem.
I have investigated the issue further and can confirm that the appliance encountered known defect 86843 after upgrade to AsyncOS version 7.6.1-022, where a subfolder for the reputation engine was not created. This did not cause any issue at the time after the upgrade, but in the morning of December 12, an update of the reputation engine has taken place, causing the engine not being able to restart properly due to the missing folder.
In order to solve the issue, I have created the missing subfolder on the appliance. In order to restart the reputation engine properly, the appliance needs to be rebooted. Could you please go ahead and reboot the unit gracefully? After the reboot, the appliance should work properly again and retrieve the SenderBase Reputation Scores!
Тонны страшных ошибок, а причина в… подпапке. Тем не менее, в итоге хочу заявить, что общение с техподдержкой мне понравилось. Вели себя хоть и в какой-то мере шаблонно, но все равно чувствовалось, что там люди и они хотят помочь. Они понимали мой карявый английский и я при этом понимал их)
Что мне не понравилось после года эксплуатации
Что порадовало? Стоит ли он свое?
Не знаю, стоит ли он своих денег) Стоимость все-таки немаленькая. Около 20-30$ за пользователя в год. Может быть сейчас я бы поискал и другие решения, однако за все время реальная проблема была только одна. И она описана выше. Если бы я не проводил обновление прошивки, она бы и во все не появилась. Больше проблем с устройством не было. Стоит, жужит себе в серверной, есть не просит. Порой я забываю на какие порты настраивал административную часть и вообще забываю где что находится, когда что-то требуется подкрутить. В этом плане все шикарно 🙂
Спам же фильтрует достаточно качественно, а личный карантин позволяет избавить администратора от ручных действий по извлечению писем, пользователь может сам разблокировать письмо в еженедельном отчете по своему карантину.
Спасибо всем, кто дочитал. Если у кого-то будут вопросы по железке, всем отвечу. В пределах того, что знаю, конечно 🙂
Ну и добавляю скрин со своей статистикой.
Как и зачем защищать доступ в Интернет на предприятии — часть 2
В первой части я рассказал почему стоит защищать доступ в Интернет и что должны уметь технические решения. В этой же расскажу, что есть в арсенале Cisco и типовых способах решения задачи.
Как правило выбор делается между решениями классов «прокси-сервер» и «межсетевой экран нового поколения». Также существуют и облачные сценарии, но их мы коснёмся лишь вскользь.
Прокси-серверы – Cisco Web Security Appliance (WSA)
Самый консервативный и проверенный десятилетиями способ решения задачи. Прокси-сервер или дословно «сервер-посредник» принимает на себя запросы от пользователей, проверяет их на соответствие политике и уже от своего имени устанавливает соединение с Интернет-ресурсом. Обычно прокси-сервер устанавливается в демилитаризованной зоне (ДМЗ), а прямой маршрутизируемый доступ в Интернет запрещается.
Вполне естественно, что рабочие станции пользователей не подозревают о существовании прокси-сервера. Существует несколько способов рассказать им об этом:
Конечно же все мы не любим настраивать что-либо сразу на всех рабочих станциях и к счастью есть вариант внедрения с WCCP. WCCP — открытый протокол перенаправления трафика, разработанный компанией Cisco. С его помощью можно отдать на проверку весь веб-трафик, проходящий через маршрутизатор, коммутатор или Cisco ASA, а остальной трафик пойдёт как раньше. На сетевом оборудовании производятся минимальные настройки, а на хостах ничего не настраивается. Ниже схематично изображён принцип работы WCCP
А теперь о грустном. О существовании прокси-серверов знают только приложения, написанные прямыми руками, и они подхватывают настройки прокси-сервера из ОС. Если приложение писали просто руками, то в самом приложении или его конфиге есть возможность явно задать прокси-сервер. Во всех остальных случаях приходится «ковырять дырки» в межсетевых экранах и настраивать исключения. То же самое приходится делать если приложение работает по портам или протоколам, которые прокси-сервер не обрабатывает, для WSA это всё кроме HTTP/S, FTP/S, SOCKS.
Само собой, создание исключений по портам или станциям/пользователям это упадочный вариант, который ведёт к лишней нагрузке на персонал и избыточным правам доступа. Неправильных приложений окажется больше, чем вы ожидаете, например, банк-клиенты, приложения собственной разработки, серверные приложения, приложения для работы с налоговой, пенсионными фондами, тендерными площадками, партнёрами и т.п.
Управлять нестандартными приложениями нужно с помощью межсетевых экранов следующего поколения. Альтернативный вариант — это использование прокси-серверов некоторых производителей, которые можно устанавливать «в разрыв» и которые могут маршрутизировать весь трафик через себя. Основным минусом здесь является добавление дополнительной точки отказа в инфраструктуру.
Межсетевые экраны нового поколения — Cisco Sourcefire NGFW
Про NGFW и Sourcefire на Хабре уже писали, так что повторятся не буду. NGFW устанавливаются в разрыв, зачастую вместо старых межсетевых экранов, и пропускают через себя весь трафик, понимая и контролируя любые протоколы. Каких-либо настроек на хостах не требуется. 
*Рекламная пауза*
Помните, что Sourcefire это лучший в мире NGIPS с функциональностью NGFW. Sourcefire NGIPS/NGFW может быть внедрён как в виде отдельного устройства FirePOWER, так и запущен в виде программного модуля на вашей существующей Cisco ASA. ASA должна быть серии 5500-Х и иметь SSD-диск. Для 5585-Х дополнительно потребуется замена модуля SSP. ASA будет работать как обычно, выполняя роль фильтра грубой очистки, а Sourcefire заниматься самыми интеллектуальными задачами для уже разрешённых соединений.
Прокси-сервер или NGFW — что выбрать?
Очевидно, что функциональность двух решений пересекается, и вы не сразу можете определить, что нужно именно Вам.
Если перед Вами стоит только задача по сложной фильтрации доступа в Интернет и уменьшению счёта от провайдера, то ваш выбор — Cisco WSA.
Если достаточно базовой фильтрации, есть множество нестандартных приложений и пора обновить ваши средства сетевой безопасности, то стоит смотреть в сторону Sourcefire NGIPS/NGFW.
Самый правильный вариант — это использование обоих решений.
особенно с точки зрения выполнения моей квоты
Его как правило выбирают наиболее требовательные организации и выглядит он следующим образом:
Облачные решения — Cisco Cloud Web Security (CWS)
Данный класс решений пока не набрал популярности в России и не факт, что когда-либо наберёт. Весь трафик от пользователей к Интернет-ресурсам шифруется и отправляется в облачный сервис. После проверки на соответствие политикам трафик перенаправляется к Интернет-ресурсам и запрошенные данные возвращаются пользователю. Данное решение проще всего рассматривать как Cisco WSA, размещённый в облаке и немного ограниченный по функциональности.
Как и с традиционными прокси-серверами есть два варианта перенаправления пользователей в облачный сервис
На сегодня пожалуй всё. Буду благодарен за обратную связь и участие в опросе!
Stay tuned 😉
IronPort Systems
Services and Support for Integration
A single, seamless interface for former IronPort partners and customers to open and manage service renewals and product support requests.
Let Us Help
Welcome to Cisco Services!
We value your business and are excited to enable you to quote, order, and manage service renewals. We take pride in offering you award winning support tools, software support, access to Cisco technology experts, and an extensive knowledge base.
IronPort integration Q&As
Read the IronPort integration Q&A for commonly asked questions regarding Cisco Service offers, service agreements, renewals, support, and more.
Create a Technical Assistance Center (TAC) Request
Note: Customers or partners must have their Cisco service contract number, serial number/product family and a Cisco.com user ID when opening a case. When entering your serial number, use the 7 alphanumeric characters following the hyphen.
Manage Access to Cisco Services
The Cisco Service Access Management Tool (SAMT) 
enables Cisco partners and customers to manage access to the services provided by their contracts (technical support/hardware replacement).
There are two ways to determine who has access to these services: Bill to ID or Contract Number.
Learn more about the Cisco Service Access Management Tool .
Request a Return Material Authorization
Return Material Authorization (RMA) requests are supported through a global logistics supply chain. RMA requests for products covered under a Service Contract may be transacted in two ways:
To determine available contract service levels by product and geography, please review the Service Availability Matrix (SAM) Tool.
Partners, please login 
for additional information.
Cisco I ron P ort для защиты
электронной почты и
безопасности Web-доступа
Работа современных организаций в большой мере, а иногда и полностью зависит от Web-доступа. В связи с этим в значительной степени возрастает риск распространения сетевых угроз. Ежедневно появляются новые вирусы и, как показывает практика, существующие на сегодняшний день средства защиты на шлюзах оказываются малоэффективными в борьбе с ними. Как следствие корпоративная сеть подвергается существенной опасности. Множество пользователей констатируют, что ежедневно в полученной электронной почте около 90 % ненужной информации (спам, рассылки, вирусы и прочее). Стоит отметить, что с каждым годом таких писем становится все больше, даже если количество сотрудников не возрастает.
Согласно статистике примерно 75% корпоративных устройств заражено тем или иным вредоносным ПО, и тем ни менее лишь 10% организаций установили соответствующую защиту. Многообразие, скорость и разрушающее действие Web-атак наталкивают на мысль о том, что крайне важно иметь безопасную платформу, которая способна защитить периметр сети от всевозможных угроз.
Контроль и безопасность Web-трафика
Помимо безопасности, которую может нарушить вредоносное ПО, в корпоративной сети также важно учитывать использованный трафик. Неконтролируемый доступ сотрудников в значительной степени влияет на их продуктивность и как следствие сказывается на работе организации в целом.
Инновационная платформа безопасности
Устройства Cisco IronPort помогают организациям обеспечить защиту и контроль интернет-трафика. Они объединили в себе такие функции, как:
> безопасный прокси для уровня приложений в Web-трафике – обеспечивает контроль и глубокий анализ использованного трафика, что крайне важно при обнаружении вредоносного ПО;
> средства мониторинга трафика (четвертый уровень L4) сканируют все порты и моментально блокируют подозрительную активность при её обнаружении;
> изощренную систему векторизации и сканирования (IronPort Dynamic Vectoring and Streaming (DVS) Engine™), изначально созданную для решения задач, которые связаны со сканированием объектов и Web- трансакций.
Благодаря такой конфигурации Cisco IronPort является очень мощной платформой Web-безопасности, которая оптимизирована для повышения эффективности и производительности.
» Приобрести новые модели Cisco IronPort Вы можете на VTKT.ru. Наши специалисты помогут сделать наиболее правильный выбор и подскажут основные особенности каждой из рассматриваемых моделей.
В случае, если заинтересовавший Вас Cisco IronPort в данный момент не размещен на сайте, мы предлагаем обратиться к менеджеру, чтобы уточнить возможность его приобретения под заказ. «
Средства отчетности
и управления
Модели Cisco IronPort
Модельная линейка Cisco IronPort:
В интернет-магазине VTKT.ru представлен широкий ассортимент устройств IronPort от Cisco. Гарантируем высокое качество оборудования, лояльные цены, компетентную помощь в выборе продукции Cisco.
ВТК СВЯЗЬ
115280 Москва м. Автозаводская
Ленинская Слобода 26 строение 6
БЦ Симонов Плаза, офис 1519
Потрогай CISCO: Популярные решения в области безопасности
Содержание статьи
Защита информационных ресурсов является основной задачей любого системного администратора. Реализовать ее можно при помощи сотни инструментов и технологий самого различного назначения. Особую роль здесь занимают системы защиты сетевого трафика — блокирующие спам и доступ к неблагонадежным веб-ресурсам, VPN; системы, блокирующие кражу персональных данных и прочие угрозы. По всеобщему признанию, лидирующее место в этом сегменте занимает продукция Cisco, с которой мы и познакомимся.
Семейство IronPort
Корпорация Cisco получила известность в первую очередь благодаря разрабатываемому сетевому оборудованию, в частности — различного рода многопротокольным маршрутизаторам, которыми она и занималась на заре своего существования. В настоящее время список устройств самого различного назначения очень большой. Основную часть продукции среди них занимают решения, направленные на защиту периметра сети, удаленного доступа, аудита и даже управления доступом. Запутаться в предложении очень легко, особенно учитывая, что в каждой категории представлено несколько решений.
Так как основной обмен и получение информации происходит посредством электронной почты и веб-сервисов, их защите следует уделить особое внимание. Спам, вирусы, различного рода атаки — это только часть проблем, с которыми приходится сталкиваться сисадмину.
Сегодня становятся популярными облачные сервисы, размещенные на площадке провайдера услуг. Если в случае корпоративного сервера защитные функции можно было возложить на единственную точку доступа — шлюз, то теперь мобильный пользователь, по сути, не привязан к корпоративной сети и может подключаться к SaaS напрямую. Такая не имеющая границ сеть требует особого подхода для обеспечения безопасности мобильных пользователей, строгой аутентификации и ограничения доступа к приложениям. С учетом действительных масштабов проблемы предложены и сотни решений различного рода эффективности.
Подразделение компании Cisco — Cisco IronPort Systems LLC (ironport.com), разрабатывающее программно-аппаратные комплексы, защищающие почтовые и веб-сервисы, предлагает эффективный вариант. Семейство IronPort представлено несколькими сериями. Для защиты электронной почты предлагается E-mail Security Appliance (состоит из двух серий C-Series и X-Series, веб-трафика Web Security Appliance (S-Series).
Централизованное управление комплексом защиты из нескольких устройств осуществляется при помощи M-Series. С его помощью администратор собирает журналы с нескольких устройств, формирует отчеты, распространяет единый файл настроек. M-Series обеспечивает место для централизованного карантина, увеличивая пространство для хранения блокированных сообщений. В сетях устройства IronPort чаще всего подключают в режиме прозрачного прокси.
Это позволяет не менять настройки программ (браузеров, почтовых и FTP-клиентов). Трафик на такой шлюз перенаправляется при помощи маршрутизатора, поддерживающего протокол WCCPv2 (Web Cache Communication Protocol). Хотя поддерживается и привычный «непрозрачный» режим. Основу IronPort составляет операционная система AsyncOS, являющаяся FreeBSD-оптимизированной для обработки большого числа соединений с преднастроенным окружением и своими программами. В итоге даже устройства нижнего уровня способны легко обработать до 10000 одновременных соединений, что практически исключает возможность DOS-атаки. Управление AsyncOS осуществляется при помощи веб- или специализированного командного интерфейса (Unix Shell недоступен). Администратор может централизованно устанавливать настройки на нескольких устройствах, делегировать полномочия младших админов и пользователей, определяя при помощи политик доступ для групп к сервисам интернет (FTP, HTTP(S)).
Однако известность семейство IronPort получило благодаря технологии репутационной фильтрации SensorBase. К слову, ранее она называлась SenderBase и предназначалась исключительно для борьбы со спамом.
В отличие от них, в SensorBase список формируется динамически. И если администратор удаленного ресурса решил проблему, и все признаки, понижающие рейтинг исчезли, то и SensorBase автоматически поднимет оценку IP-адреса.
Кроме этого, в IronPort обеспечивается:
Контроль веб-трафика позволяет легко обеспечить требования политик компании по целевому использованию интернета на рабочем месте.
Для определенных групп легко можно перекрыть доступ к развлекательным ресурсам, файлообменным сетям, блокировать видеотрафик и прочее. При таком обилии возможностей настройки IronPort через веб-интерфейс для подготовленного админа сложностей не составят.
Устройства интегрируются с LDAP-каталогами, в том числе и с Active Directory. При покупке IronPort нужно знать, что антиспам, антивирус и проактивная защита лицензируются отдельно. Модули Reputation Filter, DLP и отчетность предоставляются бесплатно и не требуют продления лицензии. К слову, покупать девайс сегодня уже не обязательно. Кроме перечисленного выше, IronPort предлагает облачные решения по обеспечению защиты корпоративной электронной почты. Реализован тридцатидневный тестовый доступ. Чтобы его запросить, следует заполнить форму по адресу ironport.com/try, хотя по опыту — отвечают не всем и не сразу.
Серия ASA 5500
Одними из самых популярных продуктов, производимых компанией Cisco, являются многофункциональные устройства Cisco ASA 5500 Series, используемые для защиты сетей всех масштабов (ASA — сокращение от Adaptive Security Appliances), пришедшие на замену семейству PIX. Основная идея при создании ASA 5500 была заложена в стратегии Cisco по созданию самозащищающейся сети SDN (Self Defending Networks, bit.ly/kKmBD5). Устройства ASA 5500 являются, по сути, ключевым компонентом Adaptive Threat Defense, так как способны решить все проблемы с безопасностью при относительно доступной цене.
В результате в одной «железяке» интегрирован межсетевой экран, VPN (с поддержкой SSL и IPsec), IPS (система предотвращения вторжений), фильтр URL и контроль доступа к интернет-сайтам, контроль контента плюс средства борьбы с вредоносными программами — антивирус, антиспам, антишпион, антифишинг и Anti-X (защита от неизвестных угроз). То есть, практически, при помощи ASA 5500 блокируются все опасности, которыми богат сегодняшний интернет. Этим и обусловлена популярность серии 5500. Межсетевой экран анализирует трафик на 2-7 уровнях и безошибочно определяет приложения и протоколы, в том числе IM и P2P, голос и мультимедиа, СУБД и другие. Соответственно, админ легко может настроить использование того или иного вида трафика в организации. В том числе защитить от нецелевого использования разрешенных портов. Например, если в организации прикрыта аська, пользователь легко может обойти запрет, воспользовавшись услугами одной из служб, позволяющих подключаться к сервису по стандартным портам (в первую очередь 80). С ASA 5500 такой номер не пройдет — он сразу обнаружит протокол на другом порту. В Cisco SSL VPN реализованы функции Cisco AnyConnect и Cisco Secure Desktop (CSD).
Задачи CSD — проверка состояния системы безопасности каждого компьютера, пытающегося подключиться к сети, и защита данных в ходе сессии. При подключении проверяется ряд параметров указанных администраторов — сертификат, ключ реестра, версия ОС, IP-адрес, наличие кейлоггеров и других. При первом подключении к VPN на клиентский компьютер устанавливается клиент, доступ к ресурсам LAN возможен через веббраузер по разным протоколам (CIFS, HTTP/S, FTP). После соединения создается безопасная виртуальная машина, включающая шифрованный раздел. Ввод паролей и прочие операции осуществляются внутри VM. После завершения работы все данные удаляются.
За счет поддержки технологий QoS, различных протоколов маршрутизации, IPv6 и других, ASA 5500 легко встраиваются в существующую среду. Традиционно ASA 5500 ставятся на входе сети, наличие нескольких интерфейсов дает возможность разделить сеть на несколько сегментов, выделив, например, DMZ. Прозрачный firewall позволяет не менять топологию сети, при этом сам ASA 5500 будет невидим для хакера.
Старшие девайсы уже имеют встроенный антивирус, поддерживают балансировку VPN, проверку GTP/GPRS и прочее. Количество поддерживаемых VPN-сетей, которые можно использовать, например, для связи между офисами или подключения отдельных пользователей в ASA 5520 увеличено до 750. Относительно невысокая цена при наличии большого числа интегрированных функций делает серию 5500 весьма востребованной. Конечно, никто не мешает купить сервер и установить на него OpenSource-компоненты (Squid, HAVP, SquidGuard, ClamAV, OpenDPI, OpenVPN и многие другие), но согласись, что правильно настроить все это хозяйство сможет далеко не каждый, да и подгонка параметров потребует большего времени. Такой вариант подходит, когда мало средств, но есть время на доводку. Но в большинстве случаев очень тяжело рассчитать максимальную нагрузку, которую выдержит такой сервер.
А что будем делать, когда админ возьмет и уволится? Новому придется потратить прилично времени, чтобы разобраться с настройками, а найти хорошего спеца очень тяжело (Сергей превозносит Cisco и опускает опенсорс? Что-то произошло! — Прим. ред.). В случае применения многофункционального устройства Cisco мы получаем все готовенькое с вполне понятными характеристиками и техподдержкой, которая крайне важна на первых этапах внедрения любого решения. Если фирма быстро развивается, то даже если и закупать маршрутизатор с некоторым запасом, его через какое-то время уже может не хватить. Закупать новый накладно, ведь имеющийся еще не выработал полный ресурс. В случае с ASA 5500 Series (как, впрочем, и с другими сериями) базовые функции можно увеличить, просто купив новую лицензию и нарастив модули. Так, например, можно доустановить модуль адаптивной проверки и предотвращения атак AIP-SSM (Advanced Inspection and Prevention Security Services Module) или CSC-SSM (Content Security and Control Security Services Module). Запаса по мощности у девайсов Cisco обычно хватает с головой, чтобы обеспечить увеличившуюся нагрузку.
Cisco MARS
Одним из ключевых компонентов SDN является система мониторинга и реагирования Cisco MARS (Monitoring Analysis and Response System). Собирая данные с сетевых устройств (включая Cisco NetFlow), они обеспечивают контроль их состояния и защиту. Возможен мониторинг приложений, производится анализ аномалий и поведения сетевых объектов, корреляция событий. Кроме собственно оборудования, Cisco поддерживает решения других вендоров — ISS RealSecure Network, McAfee IntruShield/Entercept HIDS, Juniper IDP, Snort и других.
Широкий охват и алгоритмы анализа минимизируют вероятность ошибки. В процессе опроса устройств выполняется анализ их конфигурации и производится запрос к базе данных уязвимостей (Qualys Guard ANY, E-Eye, Retina Scanner Vulnerability и CVE). Полученный ответ позволяет определить наличие проблем в конфигурации устройств и обнаружить потенциально уязвимые места в системе защиты. Предусмотрено протоколирование основных событий, что позволяет в последующем отследить действия хакера в масштабе сети или отдельного узла. Система представляет атаку в графической форме с подробным анализом, что позволяет быстро определить, через какие устройства осуществлялась атака. Это очень упрощает последующее расследование инцидента, а значит, и возможность более быстрой ответной реакции.
Система предоставляет более 150 готовых отчетов. Оповещения отправляются на e-mail, записываются в журнал, SNMP. Устройство самостоятельно строит карту сети, обнаруживая маршрутизаторы, firewall, IDS/IPS и т.д. Система поставляется с целым набором предустановленных правил, администратор при помощи графического интерфейса может самостоятельно создавать новые правила, объединяя события с контекстом.
В итоге, MARS является эффективным средством мониторинга сетевой безопасности. К сожалению, Cisco объявила об end-of-life этого продукта, с июня 2011 года он будет постепенно исчезать из продажи. Срок окончания поддержки датирован концом июня 2015 года. Замены MARS не предложено, пользователям рекомендуется перейти на Cisco Security Manager.
Заключение
Продукция Cisco окружена ореолом таинственности, и пока не столкнешься с ней в реальности, создается впечатление, что это сложные в настройке устройства. На самом деле, любой пользователь, имевший ранее дело с *nix, разберется с большинством функций буквально за пару дней.
Эмулятор CISCO
Запустить Packet Tracert можно на Windows XP-7 и некоторых дистрибутивах Linux. Кроме RT популярны и другие эмуляторы — Dynamips (ipflow.utc.fr/index.php/Cisco_7200_Simulator) и GNS3 (gns3.net).
Эмулятор Cisco Packet Tracert доступен преподавателям и слушателям курсов
Бесплатный симулятор Cisco — GNS3