Как взять сетевую инфраструктуру под свой контроль. Глава третья. Сетевая безопасность. Часть первая

[M_A_JI_bI_III]

Под многим могу подписать «проверено кровью и потом». Спасибо за отличный цикл статей. В ожидании продолжения.

[nihole]

Да, все это из практики и думаю знакомо многим. Спасибо за отзыв

[ksiva]

Спасибо за статьи, отличный материал!

https://habr.com/ru/articles/435138/#:~:text=TCAM (Ternary Content Addressable Memory)

Оперативная память не резиновая. Если на роутере - вся память может быть задействована для маршрутизации, к таблицам FIB/RIB на NGFW еще добавляется 200 сложных таблиц в памяти для обеспечения работы контроля приложений, пользователей, IPS, антивируса, расшифрования SSL и других сложнейших функций. И поэтому сравнивать маршрутизацию на NGFW с маршрутизацией на роутере и говорить, что там мало памяти - странное занятие в принципе. Все равно что скорость загруженного грузовика сравнивать со скоростью спортивного автомобиля. У них явно разные функционально задачи в вашей сети.

https://habr.com/ru/articles/435138/#:~:text=поставить «параллельно» две независимые коробки

Параллельно ставить две коробки - не надо, если вам нужна надежная работа приложений. В случае выхода из строя одной из них, или если вы будете просто обновлять ее операционку, то у вас умрет половина транзакций и на клиентах и серверах будет множество зависших сессий. Это могут быть финансовые транзакции или записи в базу данных. Что повлечет множество не очень хороших последствий и потерь важной информации.

Конечно, если вы настраиваете интернет для дома, то там, наверно, можно и пережить, что какой-то бэкап в облако умер и запустить заново. В серьезной инфраструктуре - так не надо делать. Используйтей High Availability, причем Active/Passive (Acive/Standby). Не надо Active/Active - не занимайтесь мазохизмом. Это не даст повышения производительности, зато создаст море проблем с troubleshootingом.