предписаний закрыть доступ к сайту, ссылке мы, как и многие операторы, получаем по паре в неделю (: .
uplink внешние - все пока по 1gbit, фильтровать надо ( хочется - не хочется... но надо и фильтровать по IP - не прилично как- то).
Кроме DFL2560 - кто - нибудь с таким может справится ( извернуться и скинуть только трафик порта 80 по другому маршруту - убивать ASR)
И как бы фильтровать etherchanel ( предложеные решения по схеме - "фальшивых ответов" на базе mirror портов пугают ценой лицензии и тем что надо отдавать весь трафик клиентов "на сторону") ..

viewtopic.php?f=3&t=156127
номер дфлки зависит только от количества пользователей, но почитайте еще и тут:
viewtopic.php?f=3&t=156150

возможно я туп, но я не понял - (:
подозревал что подобное железо по PPS или трафику дохнет, но не по количеству пользователей. ( или это лицензия) .. а что такое пользователь ( IP?)
а если у меня фильтры только HTTP, то производительность как считать ? - по тому что больше HTTP трафик или трафик вообще ??
не нашел примеров/упоминаний Межсетевой экран/ Прозрачный режим -
Это он бриддом страновится и просто гробит какие - то пакеты ?
P.S. сходил бы 23 -го на обучение, но enod

ntman

DFL-260E
• Производительность межсетевого экрана: 150 Мбит/с
• Производительность VPN: 45 Мбит/с
• Производительность IPS: 60 Мбит/с
• Производительность антивируса: 35 Мбит/с
• Количество параллельных сессий: 25,000
• Количество новых сессий (в секунду): 2,000
• Политики: 500
• Выделенные VPN-туннели: 100

DFL-2560
Производительность межсетевого экрана: 2 Гбит/с
• Производительность VPN: 1 Гбит/с
• Производительность IPS: 600 Мбит/с
• Производительность антивируса: 450 Мбит/с
• Количество параллельных сессий: 1500,000
• Количество новых сессий (в секунду): 20,000
• Политики: 6000
• Выделенные VPN-туннели: 5,000

Между этими двумя существуют еще 3 дфлки, не считая снятых с производства
В зависимости от того что Вам требуется, выбирается конкретное устройство
В остальном любая дфлка может быть просто абсолютно прозрачной, может быть абсолютно закрытой, в зависимости от настроек, весьма очень гибких.

Мда. Остается только надеятся, что большим дядям кто-нибудь расскажет про торренты, анонимайзеры, https и пр. в сочетании с эффектом "запретного плода" делающими фильтрацию и Интернете бессмысленным занятием и количество предписаний не вырастет до 200 в неделю. Страшно подумать, что будет, когда обращение к любому сайту будет проходить через штук 20 различных и постоянно перенастраиваемых файрволлов ALG-уровня. Кроме перегрузки, глюков есть ведь еще и человеческий фактор (ну не там звездочку поставил ).

Вам бы как раз лучше, если уж совсем отказаться фильтровать невозможно, стараться оставаться на уровне фильтрации на основе ip. Это не только проще для железа, но и более определенно. А от предписаний типа закрыть доступ к какому-нибудь фильму нужно отбиваться руками и ногами (нет технической возможности ), а то придется целый отдел создавать по отслеживанию ссылок и все равно будете крайними.

фильмы и торенты как раз проще отсеять - по типу файла
но через анонимайзер и этот номер не пройдет...

На мой взгляд P2P лучше резать сигнатурами. Тогда анонимайзер не будет в попе.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Анонимайзер + опера турбо, и номер не пройдет
анонимайзер переименовывает, а турбо сжимает контент
как не крути, "пытливый" найдет лазейку

Отсеивайте и запрещайте opera turbo, вновь найденные анонимайзеры и т.п.
Это нескончаемый процесс, но фора на вашей стороне

С другой стороны, всегда остаются орг. методы - от вынесения выговоров до запрета интернета конкретному умнику

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Опять же, если трафик идет не через свой проксик, то пользователь может себе настроить внешний, коих в инете тоже пруд-пруди... их всех тоже надо будет добавлять в блеклист...
На мой взгляд орг.методы в данном вопросе рулят + месячный лимит трафика, а ограничение ставить только на опасные, вирусные сайты