Задача выбора устройства межсетевого экранирования нового поколения (NGFW) на первый взгляд выглядит простой, однако это не так. В этой статье мы рассмотрим тонкости и подводные камни взяв за основу собственный многолетний опыт работы на рынке сетевого оборудования.
Для начала перечислим критерии подбора устройств. Опросный лист включает в себя ряд вопросов, ответы на которые позволяют максимально точно подобрать решение.
- Требуемая пропускная способность, Мбит/сек
- Аппаратное или виртуальное исполнение?
- Требуется ли отказоустойчивое исполнение? Кластер.
- Тип и количество интерфейсов подключения к имеющемуся сетевому оборудованию
- Наличие, сроки гарантии и технической поддержки
- Состав и длительность подписок на расширенный функционал межсетевого экрана
- Наличие сопутствующих систем таких как сервер протоколирования событий, система централизованного управления
- Требуемое количество подключений VPN удалённого доступа и подключений площадок между собой
- Размещение межсетевого экрана? Для установки на периметр, в локальную сеть или для защиты выделенных сегментов?
- Требования к внедрению и обучению администраторов
ТЕПЕРЬ МЫ РАССМОТРИМ КАЖДЫЙ ИЗ ЭТИХ ПУНКТОВ ПОДРОБНО С ДЕТАЛЬНЫМ ОПИСАНИЕМ ОСОБЕННОСТЕЙ
Пропускная способность
На этом этапе нужно подобрать решение из модельного ряда производителя и сопоставить характеристики с требуемыми для решения поставленных задач.
Если ориентироваться на данные производителя по пропускной способности из информационных листовок, то всегда нужно знать, что данные значения получены на “синтетическом трафике” в идеальных лабораторных условиях. В реальной жизни пропускная способность будет существенно ниже.
Следует иметь в виду что не всегда вся пропускная способность канала в сеть Интернет от оператора связи потребляется межсетевым экраном. Параллельно могут быть установлены маршрутизаторы, выделенные сервера и т.п. Для выбора правильной модели межсетевого экрана нужно знать требуемую пропускную способность взаимодействия ресурсов локальной сети и сети Интернет. Это можно выяснить при помощи семейств протоколов семейств Netflow/Sflow. Обязательно нужно учесть возможный рост.
Так же, при планировании пропускной способности нужно иметь в виду, что существуют ресурсоёмкие задачи такие как SSL инспекция или VPN, активация которых сильно нагружает центральный процессор (CPU) вследствие чего пропускная способность снижается. Ряд межсетевых экранов имеет на борту процессоры специального назначения (ASIC) которые могут снижать нагрузку с центрального процессора.
Для максимально точного подбора по пропускной способности подходит вариант с оценкой устройства в пилотном проекте на реальном трафике организации.
Исполнение
Особенности подбора аппаратного решения включают ответы на вопросы:
- Размещение и стойке или настольное?
- Количество юнитов в стойке?
- Требуется ли резервирование по питанию?
При размещении межсетевого экрана в виде виртуальной машины нужно иметь ввиду что сервер виртуализации так же подвержен атакам из не доверенных сегментов и требует специализированного подхода к его защите.
Производительность виртуальных решений во многом зависит от сервера, на котором размещается виртуальная машина и может быть точно оценена только на пилотном (тестовом) внедрении.
Исполнение в виде виртуальных машин как правило имеет место в арендованных виртуальных мощностях.
Обычно виртуальные решения лицензирование по ядрам процессора разрешённых к использованию в виртуальной машине.
Кластеризация межсетевых экранов
Существуют разные режимы работы устройств в составе отказоустойчивой пары: активный-активный и активный-пассивный.
Активный – активный
- Достоинства: Повышение пропускной производительности за счёт балансировки трафика между устройствами
- Недостатки: Сложности при диагностике и поиске неисправностей
Активный – пассивный
- Достоинства: Простота реализации
- Недостатки: Резервные устройства всегда находятся в режиме ожидания пока работает основное
Важное дополнение: У разных производителей для отказоустойчивых систем разный подход к лицензированию дополнительного функционала. Возможны варианты, когда набор подписок приобретается в одном экземпляре на все устройства отказоустойчивой системы.
Следует не забывать про требования к выделенным интерфейсам для создания кластера.
Интерфейсы и порты
Для повышения пропускной способности подключения межсетевых экранов к существующему сетевому оборудованию не всегда требуются интерфейсы со скоростями 10Gbit/sec. Возможны варианты агрегирования интерфейсов с пропускной способностью 1Gbit/sec с использованием протоколов семейства EtherChannel, например, LACP.
Если всё же требуется подключение с использованием интерфейсов с типом разъёма SFP+, то рекомендуются DAC кабели.
Гарантия и поддержка
Существуют три варианта:
- Поддержка от производителя. Работает не для всех на территории РФ
- От дистрибьютора. Осуществляется на русском языке
- От партнёра, участвующего в пусконаладке
У всех вариантов разная стоимость, время реагирования и квалификация инженеров.
Как правило, чем больше срок – тем ниже стоимость.
При выборе уровня поддержки нужно учитывать следующее:
- Время реагирования. Рабочее время или 24x7
- Требуется ли присутствие инженера на площадке заказчика?
- Есть ли замена вышедшего из строя оборудования и в какой срок она производится?
Подписки на расширенный функционал
Обычно лицензируется и продлевается каждый год следующий функционал:
- Антивирус (AV)
- Система предотвращения вторжений (IPS)
- Защита электронной почты. Антиспам (AS)
- Фильтрация URL (WEB Filter)
- Контроль приложений (APP Control)
Нужно знать, что устройства некоторых производителей могут работать без подписок, но в таком случае не будет доступа к серверам обновлений. Данную особенность можно иметь в виду при сложностях со своевременной закупкой продления.
Системы протоколирования событий и системы централизованного управления
Поставляются как в аппаратном, так и в виртуальном исполнении
Выделенные системы протоколирования событий приобретаются если требуется длительный срок хранения или быстрый поиск по заданным условиям
Централизованное управление из одной системы имеет место если количество устройств более 10
VPN удалённого доступа
Большинство производителей придерживается модели лицензирования удалённого доступа по количеству одновременных подключений. Однако у ряда производителей есть возможность подключения максимального количества пользователей с базовым функционалом.
Базовый функционал всегда требует тщательного анализа, так как не на всех моделях оборудования он может решить поставленную задачу. Например, может отсутствовать функция сохранения пароля в клиентском ПО.
Для некоторых младших моделей есть ограничения на количество VPN подключений между площадками.
Размещение устройств межсетевого экранирования
Возможные варианты:
Обучение, внедрение
Важно знать: У ушедших с рынка РФ производителей нет сертифицированного обучения
При больших закупках обучение от производителя может идти бонусом
Внедрение лучше проводить совместно с компанией, имеющей в штате квалифицированных и сертифицированных инженеров с большим опытом эксплуатации МСЭ.
В качестве заключения
В данной статье мы рассмотрели основные вопросы, возникающие при подборе устройств межсетевого экранирования. В реальной ситуации их будет существенно больше. Компания LWCOM решает такие вопросы каждый день и имеет колоссальный опыт в реализации подобного рода задач.
Мы поможем выбрать межсетевой экран (NGFW), который необходим для решения задач именно вашей организации. Поставим оборудование в установленный срок, интегрируем в существующую ИТ-инфраструктуру компании и обучим персонал тонкостям администрирования и управления.