покупка аппаратного firewall <2 x WAN, DMZ, medium or high>
 

наша контора решилась.
тока у меня вопросы есть: на что надо обращать внимание, что лучше брать, какие функции в основном используются.
на данный момент стоит программный файрвол.

в некоторых есть отдельно LAN и отдельно DMZ
я думал, что защищенная LAN и есть DMZ, а теперь сомневаюсь...


вощем с чего начать посоветуете?

вопрос с DMZ снят :)

просто можно купить навороченный файрвол, но из всех функций, будут использоваться 3-4. чтоб не попасть в просак.
у нас 2 интернет канала, + (4-5) ответвлений от сети(удаленных точек), т.е. разные LAN

ZyWall 35
http://www.nix.ru/autocatalog/zyxel/...WAN_48315.html

rivera, Гхм-м-м... А какие используются щас на программном? И каких в нем щас не хватает? Это все же является исходной точкой отчета, т. к. критериев выбора довольно много, а вот их приоритетность - уже для каждого случая своя... Например, для госструктур сразу добавляется требование наличия сертификата ФСТЭК на соответствие требованиям по безопасности для МЭ...

А может ему этого будет мало и надо брать что-нить типа Cisco ASA 5540 с AIP-SSM...;)

kim-aa, смотрел.
тут как раз впритык. мы имеем тоже самое на программнм уровне. а надо, еще и "на вырост" брать
что-б и портов было пбольше, и все можно было бы настроить как DMZ, LAN, WAN

а есть решения с ADSL модемами: firewall со встроенными парочкой-тройкой adsl модемами?

у меня такие вопросы:
в некоторых файрволах, есть фильтрация по содержимому, http, скрипт фильтр, и т.д.
зачем они нужны? снимает ли наличиет таких фильтров, требование дополнительных программных-прокси серверов, и вообще, после установки аппаратного-firewall'а требуется ли стандартный, программный файрвол?


Greyman
на данный момент, используются след функции:
1. открытие только необходимов портов и протоколов, с закрытием остальных
2. фильтрация по FTP содержимому: только с разрешенными расширениями файлов
3. прокси сервер, с фильтрация http и ведением логов
4. порт маппинг
5. настройка ширины канала, для определенных юзерей

rivera,
Ознакомтесь http://forum.oszone.net/announcement-31-75.html

1) Денег сколько?
2) Какая производительность требуется?
3) Какие приложения будут обслуживаться и в каком объеме?
4) Имеющаяся схема сети - чего и куда интегрировать?

=================================================
Нет. Причем принципиально. Вы предсталяете как в таком "клубке змей" ошибки искать?
Хотя у cisco было решение "от обратного". В маршрутизатор вставлялись модули SDSL.
Но еще раз повторюсь, ADSL технология не магистральная , т.е. у нее основные требования это дешевизна порта и высокая плотность.

Мы используем вот это "IES-1000 EE Модульный IP xDSL-коммутатор на 8 - 32 порта"
http://zyxel.ru/content/catalogue/classifier/1/10/30/2
С точки зрения OSI это обыкновенный коммутатор.
=================================================
Прокси или кэш? В таких железяках функции кэш нет. Прокси вообще-то тоже.

=================================================
Примеры усторойств, близких по тематике, но немного отличных по сути:

1) Panda GateDefender - защита интернет-шлюза базирующаяся на аппаратном антивирусе
+ антивирус
+ антиспам
+ web - контент
+ возможность отказоустойчивых (кластерных) схем
+ работа в "разрыве" сети на вторм уровне OSI
+ требование лишь к минимальному уровню лицензий (в отличии от програмных решений) т.к. основные деньги фирма берет при продаже железа.
+ Оборудование реально обладает заявленной производительностью
- встроенного кэша нет

см. приложенный файл

2) Устройства кэширования/акселерации Cisco CSC 11501

Взято тут http://www.php.com.ua/forum/viewtopic.php?f=26&t=7841

" У меня стоит несколько Cisco CSS 11501 железок. Железки хорошие. Я вообще кошек люблю.
На конкретные вопросы могу ответить.

Пару коментариев по железкам:
Итак, начнём с Level 7 CSS
балансировка загрузки происходит на 7мом уровне ISO/OSI модели. Тоесть на уровне протокола HTTP.
+ куча разной фичурности (если честно, то не нужной).
+ возможность кэширования
+ возможность сжатия на лету
+ изменение исходящего адреса клиента для мервера
- повышенное время ответа как минимум на время 2х TCP/хендшейков + передачи полных двух хидеров.
- при выпадении фронтэнд серверов не слабая задержка.
- медленное изменение параметров балансировки.
- низкая производительность
- работа с ограниченным набором протоколов

Level 4 CSS
+ большое количество поддерживаемых протоколов
+ очень высокая производительность (386 будет работать быстрее core duo xeon 7го уровня)
+ низкая задержка
- слабая возможность администрирования


Level 4+7 CSS
+ задержка - трансвер первой строки хидера + время прохождения 2х пакетов
+ высокая производительность
+ высокая гибкость
- дороговизна решения (от семи килобакксов)
+ возможность стекирования, работы с внешними кэшами и комбинирования с CSS level 7.

Итак одно из решений:
CSS 15501, 4 фронтэнд сервера, сервер БД, и куча суппорт серверов.
софт написсанный с врапером доступа к базе данных, при котором сэлекты выполняются на локальной бд, UpdateDeleteInsert на мастер базе. Репликация мастер слейв. (Слейвы 4ре наших фронтэнд сервера).
По путям /img/* итп форвардинг идёт на ngnx сервера (порт 8081), остальной трафик идёт на апач (возможно поставить squid в режиме аксельрации, но далеко не всегда это целесообразно).
Результат - бутылочное горлышко - затраты на репликацию UDI запросов к бд. Остальное - добавляем новый сервер и получаем прирост производительности в 100/(колво серверов +1)% по сравнению со старой системой. Выбираем хороший метод балансировки (связанно со спецификой трафика) и наслаждаемся жизнью. Попутно имеем многократное повышение надёжности системы. Достаточно просто достичь результатов, когда достаточно работы одного сервера для работы системы в целом (либо с тормозами либо с отсечением блоков адресов). И еще очень много чего о чом лень писать"

1. бюджет 3000$

2. без понятия как измеряется производительность. Надо принимать траффик и соот-но потом возвращать обратно из LAN до удаленных точек. на каждый порт в день 2 Гига (1 Гиг туда - 1 Гиг обратно) примерно(на интернет поменьше). На данный момент 6 портов, планируется примерно еще 4

3. приложения, самые разные - от клиента Oracle, pop3, smtp до веб приложений.

4. схема сети: на картинке 1. фактичекая 2. планируемая

5. предпочтния: 1. hp 2. cisco 3. zyxell 4. d-link 5.huawei 6.прочие

требуется:
6. пересадить всех пользоватлеей ЛВС на прокси на ап.файрволе: кэш+прокси
7. фильтрация по содержимому, по протоколам, по портам, перенаправление портов, набор правил доступа

8. встроенный анти вирус/троян: не решающий показатель

не могу файлы прикрепить
Фактически как есть:





как планируется:

rivera,
Дык вы что, свои удаленные офисы фильтруете что-ли?
Смысл?

- Схема сети кривенькая. Удаленные офисы это отдельные сегменты 3-го уровня, если да - укажите сети
- Все сегменты 3-го уровня главной сети укажите
- Оборудование соединения удаленных офисов (FO) и центрального офиса (CO) опишите.
- Вобще чтобы думать о правильном разграничении доступа .нужно сначала сеть нарезать на сегменты, чтобы был центральный узел на котором собственно эту фильтрацию и проводить.
- Создавая центральный узел, вы создаете ценральную точку отказа, значит Вы должны заранее прикинуть что Вы будете делать когда она гавкнется.

При бюджете в 3000$ вам на аппартное кэширование и акселерацию не хватит. Да и смысла нет.
Прокси (кэш) сервер должен остаться.

Предположительную схемку я попозже накидаю.

ZyXEL ZyWALL 70 EE (1000$) схема прилагается
http://www.viacomp.ru/network/zyxel/zywall_70.htm
(Реально 3 группы портов - LAN, WAN, DMZ)


Есть более дорогой Zyxel ZyXEL ZyWALL 1050 = 2500$
У него гигабитные порты, но реально заявленная скорость фильтрации 300 Mbit (правда это более чем достаточно)
Т. к. у него все порты программируемые, то на нем можно собрать более эффективную конструкцию.
Например несколько DMZ

Но опять-же все зависит от конструкции Вашей сети.

rivera,
Можно еще посмотреть в эту сторону http://dlink.ru/products/prodview.php?type=18&id=571 или http://dlink.ru/products/prodview.php?type=18&id=572
Кстати их можно взять на недельное тестирование в представительстве D-Link совершенно бесплатно.

kim-aa
чем схема крива, так и не понял.

Удаленные пункты находятся в другом географическом регионе. До них, получаем доступ путем использования публичного коммерческого dsl канала. т.к. не имеем возможности поставить vpn до удаленных точек, решили разграничить доступ ко внутренним ресурсам.


в принципе, необходимость в DMZ зоне нет, а значит держать 2-3- порта строго под DMZ зону нет смысла.
Идеальный вариант: если 10 ehternet портов, настраиваемых под необходимое кол-во WAN, LAN, DMZ портов.

Если аппаратный прокси не получается, значит будем держать программный

схема, надеюсь менее кривая, на этот раз




Negativ, ок учту! :)

rivera,
согласно вашей схеме все ресурсы в сети ,в том числе и удаленные офисы находятся в одном широковещательном сегменте. т. е. маршрутизация внутри сети отсутствует как класс?

Или сеть 199.169.11.0/24 это сеть провайдера?
А сеть 192.168.0.0/24 это внутренняя сеть главного офиса?

rivera,

Предполагаемую схемку вашей сети в 3м уровне OSI я завтра набросаю.

------------------------------

Однако вопрос подобный Вашему уже поднимался, и я на него отвечал.
Там тоже выбирали между Zyxel и d-link. Поищите.

так же был вопрос по изоляции сервера 1С, но там денег было больше и схемка была на cisco (хотя при разработке архитектуры это не учитывается).
Картиночки см. ниже.

Так же был вопрос о изоляции сервера domino в DMZ.

Обычно оговаривается на каком уровне рисуется схема.
Например, "линия" - на втором уровне это канал, на первом кабель, а на 3-м соединение типа Ethernet.

------------------------------------------------------------------------------------------
Я набросал схему.
Зачем в отдельные зоны выносятся Oracle и Почта.
Это делается для того чтобы
- Возможно было мониторить, считать и ограничивать трафик
- Возможно было ограничить доступность друг к другу различных групп приложений строго по определенным портам
- Даже скажем если какой урод из пользователей заразится трояном или червем, сия гадость не портила жизнь ответственным приложениям.
- Даже если из-за дырки в приложении будет инфицирован Почтовик, он будет "схвачен и скручен" еще на фаерволе при первых неприличных поползновениях.
- При возникновении широковещательных штормов в отдельном сегменте ,он не будет загаживать остальных
- Т. к. черви ,трояны первым делом лезут на почтовик, web, вы легко отследите его на фаерволе.
В случае когда все находится в одном широковещательном домене приходится нахлобучивать мониторинг на все сервера.

А в чем это выражается? Что именно мешает?

так точно!
только еще одно "но": мы получаем от "д.Вася телеокм" 2 разные сети:
1. 199,168,11,х
2. 199,169,11,у
для каждой по одному adsl модему.


Насчет отделения серверов в разные широковещательные домены - понял.

Насчет рисования сети - тоже понял.

1. По нарисованной тобой (ничего что на "ты"? я тоже не против:) ) схеме, получается так:
Lan => 192.168.0.0/24
DMZ1 => 192.168.100.0/24
DMZ2 => 192.168.200.0/24
так? или просто физическая сеть одна, но разные широковещательные домены

2. опять же на твоей же схеме, файрволы для 192.168.0.0, 192.168.100.0, 192.168.0.200 и для 199.168.11.0/199.169.11.0 это аппаратные файрволы, которые предпологаются купить?

3. насчет маршрутизатора: на схеме, это чистой воды маршрутизатор? на сколько я предполагаю, сейчас, тот же аппаратный фарвол имеет маршрутизаторские функции. Или надо ставить отдельный маршрутизатор. Если так, то значит на нем (судя по схеме) минимум 7 Ethernet интерфейсов должно быть (если только 192.168.0.x 192.168.100.x 192.168.200.x не в одной физической, но в разных широковещательных - тогда на необходимо 5 интнрфейсов)

Greyman
там отдельный админ, и компы каждый день новые. пришел клиент со своим компом, ему дали место и он целый день работает. Отдельно туда с головного комп, для ВПН не предоставляли, и вряд ли предоставят. Админ далекий от ИТ человек, да он и не админ совсем, просто выполняет функции админа, т.к. дома у него есть комп, и он более менее продвинутый пользователь. Вощем там балаган, от которого я хочу оградиться. Мои руки туда не дотянутся :(

Широковещательные домены там явно изображены.
Каждый широковещательный домен, выделен в свой сегмент 3-го уровня и обслуживается своим свичом и персональным портом фаервола.

Можно конечно и все три сегмента 3-го уровня держать в одном широковещательном домене - плоская сеть:
- три порта маршрутизатора смотрят в один коммутатор,
- VLANов нет,
- трафик из одного сегмента 3-го уровня в другой, ходит через широковещательный домен дважды
но это считается не кошерным. т.е. данная схема обычн оприменяется или как макетная или как "обходная" при аврале.


Можно реализовать схему на коммутаторе 3-го уровня, а фаервол (1 или 2) выделить именно для Internet и FO (Удаленных офисов).
Плюсы:
+ производительность выше

Минусы (это про оборудование которое будет подключено именно к коммутатору 3-го уровня)
- настроек фильтрации меньше.
- настройка требует более высокой квалификации , т.к. осуществляется через указание номеров протоколов и портов.
- настройка часто осуществляется в командной строке
- у свичей 3-го уровня нет такого-же мониторинга как и у фаерволов, точнее есть, только это уже суммы на порядок выше (catalyst 4500), если же и функциональность соспоставима, то стоимость будет уже на два порядка выше обсуждаемой (catalyst 6500)

Может просто ADSL-модемы заменить на маршрутизаторы с ADSL-портом и встроенным 4-х портовым свичом - и будет счастье.

Ну извиняй, ты этого не нарисовал и маски сетей не привел.

насчет сети все понятно!
кстати, нарисовал программой LanFlow текущее представление сети:


для определения выбора того или иного устройства, у меня все еще есть пару вопросов:
1. если роли портов изначально определены как: 1 ЛАН порт, 2 ВАН порта, и 4 ДМЗ порта. Могу ли я, например, объединить 2 ДМЗ порта в один широковещательный домен?
2. Можно ли, подключить к ДМЗ (ЛАН, ВАН) порту свич, тем самым размножив кол-во подключаемых устройств?
3. Если ли возможность присвоить несколько ip адресов разных сетей, к 1 LVP (ЛАН, ВАН) порту?
4. Можно ли настроить конфигурацию так, что 1 (или несколько) ДМЗ портов, будут в той же сети, что и ЛАН? получится у ДМЗ порта будет ip адрес из ЛАН, прозрачная передача данных. Фактически, ДМЗ будет переконфигурированным ЛАН портом?

пока на примере этот вариант.
в данном примере, все сервера будут в ДМЗ зоне, все ВАН порты задействованы(+ к ним будут стоять прокси сервера в ЛАН'е), на портах ЛАН будут подняты ВЛАН'ы для каждого из удленных FO, и оставшаяся пара-тройка ЛАН портов будут смотреть в ЛАН и использованы с целью распределения нагрузки (в сети около 100 хостов)
если не понятно, могу нарисовать :)

Обычно порт третьего уровня один. 4 DMZ порта образуюет просто встроенный 4х портовый свич.

Естественно можно.
Это как подключение свича к порту маршрутизатора.

Конечно есть. Только у самых дешевеньких SOHO фаерволов такая функция отсутствует.
Т. е. для WAN портов это явно необходимо, иначе как реализовывать PORT (IP) MAPING
Для LAN портов я бы этим не страдал, т.к. падает производительность у маршрутизатора (причем сильно, т.к. это уже чистая програмная маршрутизация. Скажем cisco 3640 при таком "изыске" маршрутизировал со скоростью 10-30 мбит/сек).
Т. е. для LAN присваивать одному интерфейсу нескольно IP одной сети - смысла нет.
А если разных - это пресловутая плоская сеть.
Обычно в приличных маршрутизаторах физический интерфейс разбивается на субинтерфейсы (для Ethernet скажем это по VLANам, Для E1 по DS-временным диапазонам).

Но лучше ОБЯЗАТЕЛЬНО прочесть главу из UserManual посвященную этому еще ДО покупки.
(Вобще UserManual есть главное свидительство о качестве устройства. Фирма у которой руки не дошли приличный USerManual написать и устройство выпустит кривое. И обновления прошивок будут раз в сто лет)

Если в функциях устройства такое заявлено - то можно.
Но лучше не нужно.
Лучше реализовывать функции на стандартных технологиях, и вот почему.
Гавкнется скажем у вас сия железяка - вы возьмете или другой маршрутизатор или соберете его из компьютера.
Жить будете плохо, но будете.
А где, скажем, вы будете подобное "чудо" брать в случае чего?

Надеюсь ты обратил внимание что большая часть функций имеет пометку "1 Будет доступно в будущем"?
Реально это аналог zywall 35 который я предлагал в начале, причем гораздо более бедный функционально.

у Zywall35 всего 4 порта (ВАН не считаем): если к нам в головной идет всего 4 линка от удаленных точек, то на ЛАН не останется порта. Кроме того, планируется еще около 2-х удаленных точек. если же настроить на 1 ЛАН порт пару ВЛАН'ов, тогда, как ты сам сказал
а значит, zywall не подходит по кол-ву портов.
На D-link те функции, которые будут доступны в будущем, я их все равно не использую. Мне вообще не очень навороченный firewall нужен.

и вообще, насчет терминологии. разделение портов на ВАН ЛАН и ДМЗ происходит условно же? они отличаются лишь настройками. на практике я могу настроить любой порт, под любой другой: просто поставив те же условия для ВАН, что и на ЛАН, с теми же ограничениями...

А фиг его знает. Говорю же - прочти UserGude выбранного устройства.

Вот у ZyWall 1050 явно заявлено что все порты настраиваемые.

Что касаемо У них у всех 4 порта третьего уровня:
- WAN 1
- WAN 2
- DMZ
- LAN

а то что в LAN часть 7-портовый свич встроен, так с этого какая тебе корысть?

Хошь d-link?
Бери DFL-1600 = 6 настраиваемых портов - как хошь - так и извращайся.

мда-а, затянулся наш разговор, я явно чего-то недопонимаю. мне уже неловко...

1.если явно указано всего 2 ВАН порта, это значит он один, но встроен 2-х портовый свич? или это 2 отдельных независимых порта, у которых свои настройки?

балансировка нагрузки :) а если всего 1 порт, и к нему идет свич, то такого не сделаешь

2.Вощем, если к нам идут 4 разные сети (кроме нашей ЛВС), и мне надо закрыть для них все порты кроме разрешенных, мне надо
а) либо для каждого соединения, один Ethernet интерфейс;
б) либо 1 интерфейс на firewall, и разбить его внешним свичом и использовать сабинтерфейсы(VLAN), при этом firewall должен поддерживать сабинтерфейсы(VLAN'ы). я все правильно понимаю? если да, то какой порт использовать в данном случае: DMZ или LAN?

Нет.
WAN порты являются интерфейсами третьего уровня, т.е. каждый может обладать своим IP

LAN порты являются одним интерфейсом третьего уровня.
Т.е возьми маршрутизатор, подключи его интерфейс к 8-портовому свичу и будет, то же самое что тебе и предлагают.

Причем тут балансировка нагрузки?

Балансировка нагрузки выполняется маршрутизатором, уже после того как пакеты проникли внутрь через LAN-интерфейс и скорость работы маршрутизатора обычно меньше скорости работы порта коммутатора.
Т. е. если ты надеешься получить суммарную полосу в 700 мбит, то ".. Ах! Оставь свои девичьи фантазии, Сидорова!"

Да правильно. Но можно просто присвоить Wan порту два IP адреса. Wan трафик, то у тебя не сравним с LAN, и маршрутизатор с ним явно справится.

--------------------------------
Еще раз повторяю. У тебя ничего не ясно. Бери железяку у которой все порты конфигурируются .т.е. захочешь 3 WAN порта сделаешь, захочешь 3 DMZ.

Если же тебе импонируют маленькие железки, то бери их хотя бы две, дабы в случае чего было из чего фантазии реализовывать

поэтому тут балансировка не будет работать. я то думал, что каждый ЛАН порт третьего уровня... ну здесь все ясно

у меня все ясно:
требуеются 1 ЛАН порт, 2 ВАН порта + 4 порта для удаленных точек. у меня пока не укладывается в какие порты я засуну эти 4 линка от удаленных точек. в принципе там скорости не более 2 мбит/сек (adsl), а значит, если я дам двум ВАН интерфейсам по 2 адреса, то производительности должно хватит. или можно в четыре разных, но в ДМЗ. тогда значит мне надо найти что-б все порты настраивались, чтобы сделать 4 ДМЗ порта

если скажем у устройства всего 8 портов и все настраиваются, получается у него 8 независимых интерфейсов 3-го уровня. т.е. я могу настроить 2 ВАН, 4 ДМЗ и скажем 2 ЛАН порта. Тогда у меня на ЛАН и балансировка будет работать...

Да, именно.

Правда непонятно чего-ты будешь рассовывать в 4 ДМЗ зоны. Если индивидуальный порт для каждого филиала, то это жирно.

Тем более у тебя же все адреса удаленных офисов, и портов Главного офиса находятся у одного оператора и одной сети (199.168.11.0/24), так?

не совсем.
всего 3 оператора:
каждый дал по 1 dsl модему:
1-модем: 10.30.48.0/24
2-модем: 199.168.11.0/24
10.1.2.2/30
3-модем: 199.169.11.0/24

итого 4 ip адреса на удаленные пункты.


интересно, какое ограничение для 1 порта 3-го уровня по назначению разных ip адресов: 5, 10... сколько можно дать одновременно?

читайте мат-часть конкретног офаервола.

В win по-моему 3, в cisco - пока не опухнешь.

kim-aa
ясно!
ну и последнее что меня беспокоит:
как часто ломаются эти железяки? стоит ли держать замену, именно такой конфигурации, именно этого устройства?

вот у нас стоит маршрутизатор cisco 1700, так он уже скока лет работает на "+5" его даже не трогают. часто ли сгорают, ломаются, выходят из строя и т.д. аппаратные межсетевые экраны.
(вопрос насчет перебоев с электричеством - сразу отсеивается, все идет через UPS)

rivera,

Зависит от фирмы, естественно.
cisco это пожизненно
HP тоже хорошо, устаревает раньше чем сломается
Alied Telesyn на четверку, т.е. лет пять-шесть оборудованеи работает без проблем.
Zyxel - практически не горит, глючить - глючит иногда, а ломается редко.

Что же касаемо D-Link....
Крупнее 24 портового Гигабитного свича я не эксплуатировал и сказать ничего не могу.
Дешевое оборудование D-Link работает ровно гарантийный срок и один день, не знаю как они этого добиваются.


Но резервную конфигурацию, хотя бы компутер с 6 сетевыми платами держать надо в любом случае

что-ж спасибо!
далее - только смотреть конкретные экземпляры аппаратных межсетевых экранов, под нужды определенной сети.
:)
будем стараться
еще раз спасибо