Комментарии 22
Реферат для всех и ни для кого. Специфические технологии антиспама и DoS для чайников — в соседних абзацах. Что значит «следующего поколения» в мире, где есть WAF, антиддос и антиботы, непонятно.
Вообще, NGFW звучит как попытка изобрести швейцарский нож. Проблема в том, что если такая штука плоха в какой-то части, например в борьбе с ботами, она становится малополезной в целом: дыру придётся прикрывать другим решением.
Названию NGFW уже “триста лет в обед”, и оно давно уже к NG не имеет никакого отношения. Когда Palo Alto Networks впервые представили PA-4000, тот оказался не давно уже всем привычным пакетным фильтром, а умел и в ALG, и в DPI, и в IDS/IPS, и ещё много чего — это реально был Next Generation Firewall.
А что в описанном в статье изделии является хотя бы маленьким шагом в “новое поколение” по сравнению с изделием, представленным почти 20 лет назад?
Справедливости ради стоит сказать, что сам термин NGFW появился еще в 2008 году, прижился на рынке и с тех пор, несмотря на солидный возраст, активно применяется для описания сетевых средств защиты подобного класса. Причем во всем мире ).
Это не в плане «поумничать» )), а скорее про то, что мы используем общепринятую терминологию. Ни больше ни меньше! )
Проблема NGFW в том, что трафик уходит в шифрованные протоколы, в которые не влезешь. И это массовое явяление.
Задачи, решения для которых хотелось бы увидеть: детекции протокола и типа приложения уже часто недостаточно. Фаервол должен уметь ориентироваться на параметры конкретного приложения, что бы можно было правила фильтрации писать с учетом этих параметров. Например: из трафика на микрософт Azure понимтаь к какому тенанту идет трафик и отличать трафик к родному тенанту заказчика от стороннено тенанта. На основании информации о тенанте иметь возможноть писать правила.
прозрачная потоковая обработка трафика,
гибкая и прозрачная система кастомизированных правил опирающаяся на древовидные и иерархические структуры,
потоковая дешифровка практический без внесения задержки в поток передачи данных,
потоковая L7 фильтрация
нормальный гибкий механизм горизонтального масштабирования - вот просто поставил - 10 "UG" воткнул в в первый из них 100G патч-корда из одного свитча и 100G патч из другого, сами их "стеком" соединил, а они взяли и сами настроились на кластерный режим работы настроили правила Балансировки Разборки трафика, резервирования распределили потоки тд итп
возможность вертикального масштабирования с понижением сложности и качества фильтрации и аналитики хотя бы - Доступ - Ядро - Сервера - Бордер
адекватная и актуальная документация...
но как мы видим мысли Вендора растекаются по дереву несколько в другую сторону +)))))
Спасибо за Ваш комментарий. Но по Вашими пожеланиям требуются некоторые уточнения:
1. Что Вы понимаете под прозрачной? И под потоковой? Сейчас какая?
2. В чем сейчас негибкость и непрозрачность кастомизированных правил? И что не так с текущими структурами?
3. Над потоковой дешифровкой без задержек мы сейчас активно работаем. В том числе с применением специализированных сопроцессоров.
4. 120 Гбит/с на EMIX можно считать потоковой?
5. Не очень понятна цель описанных действий? Для горизонтального масштабирования есть другие способы.
6. Обещаем подумать над подобной функциональностью, если объясните зачем она нужна?
7. Мы в процессе переработки документации. Но если подскажете, что именно не устраивает в текущей и к чему нам стоит стремиться, то будем очень благодарны.
1. Что Вы понимаете под прозрачной? И под потоковой? Сейчас какая?
сейчас угадать как у вас идет трафик и как будут применяться фильтры в какой последовательности и что случится на следующем этапе без экспериментов не представляется возможным... так что прозрачная это понятная схема фильтраци желательно с возможностью определять когда и какие этапы будут применятся для настройки.
сейчас она смешанная у вас нет ни нормально пакетной обработки(или этого не видно) не нормальной работы с соединениями (или опять же из интерфейса понять это не возможно) - хотелось бы принятия определенной концепции потока который описывает всю ту группу соединений инициированных определенным хостом с каким либо ресурсом и их совместную обработку - включая например CDN в единый поток..
2. В чем сейчас негибкость и непрозрачность кастомизированных правил? И что не так с текущими структурами?
туту сочетание двух факторов - непрозрачности и отсутствия документации на то как у вас идет обработка с неактуальностью документации и кривущего веб интерфейса который не позволяет адекватно понять к чему приведет то или иное действие и зачастую приходится или искать видео где пошагово объяснено на какую закорючку ткнуть или экспериментировать.
Структура правил не понятна, что куда когда и зачем будет применятся не объясняется, как будет идти обработка непонятно совершенно.
Хотелось бы единое(для всей обработки) Дерево правил с четко выделяемыми уровнями иерархии обработки по OSI, chain или еще как, но четкими понятными и фиксированными! по сути это должна быть единая схема выстраивания потока данных через систему которая бы радикально упростила понимание процессво внутри....
3. Над потоковой дешифровкой без задержек мы сейчас активно работаем. В том числе с применением специализированных сопроцессоров.
рад завас, но пока что её нет, но обещают маркетолухи... а то что есть не вытягивает производительность....
4. 120 Гбит/с на EMIX можно считать потоковой?
при 3 фильтрах и без Regex? ну незнаю, незнаю...
5. Не очень понятна цель описанных действий? Для горизонтального масштабирования есть другие способы.
в каком-то другом мире на это наверное есть документация которую можно как-то получить и найти... а здесь и сейчас у меня есть поток в 100G и мне надо его разобрать на суб-потоки, побить по категориям и раскидать по задачам обработки.... и в идеале еще и динамический адаптироваться к офисным пикам...
6. Обещаем подумать над подобной функциональностью, если объясните зачем она нужна?
защита сегментов сети - тут нужна относительно простая, но очень быстра и производительная обработка которая позволит оперативно выявлять отклонения в трафике и реагировать именно на них и желательно в едином пространстве управления и оповещения и без 10500 часов на тюнинг... Понимаю что это не совсем Ваш продукт который больше на "Бордер" ориентирован, но мечтать не вредно.
7. Мы в процессе переработки документации. Но если подскажете, что именно не устраивает в текущей и к чему нам стоит стремиться, то будем очень благодарны.
ссорь, но сейчас у Вас документации нет..... совсем...
сделайте нормальный вики, добавьте возможность пополнять его силами сообщества, сделайте за это символические(или не очень) награды и призы - глядишь народ и потянется...
Пишите в комментарии или на kpryamov@usergate.com, чего бы вам хотелось увидеть в современных NGFW. Если работаете с нашим решением — готовы к приему замечаний о его работе.
Начните с увольнения маркетолога, который писал эту статью, додумался выложить только маркетинговый буллщит без спецификаций. У вас же реально хрен поймешь какими физ.портами можно оборудовать устройство, чего уж говорить про все остальное
Вот D200\500 для примера
Указано что количество портов может быть +8 с использованием плат расширения (т.е. их вроде должно быть несколько), а двумя строками ниже - плат расширений 1. Вы там как-нибудь определитесь.
Лан, я хочу воткнуть 6 SFP модулей (1000Base, ММ, 62.5/125, например) чтобы не ставить медиаконвертеры, зададимся вопросом такая конфигурация возможна? посмотрим на страничку с модулями... ну... если кто по картинке сможет понять, расскажите. SFP вроде есть, но только медный, FO - это видимо FiberOptic (почему сразу не указать SFP и не насиловать людям мозги?). А там гигабит прибит гвоздями или можно в сотку? Такой же вопрос про медь.
Скрытый текст
Т.е. еще этап выбора оборудования, а к вам уже надо ползти с запросом на какие-то элементарные вещи.
Я уж молчу про составление заказной спецификации.
Вложите блин инструкцию по монтажу (установке), нормальную спеку, паспорт - люди то и потянутся.
Спасибо за обратную связь!
Маркетолога, конечно же,... уволим наградим! ) А иначе как бы мы подняли все эти насущные проблемы и смогли бы получить от Вас столько полезной для размышления и исправления информации? )
Теперь давайте по пунктам:
Технические статьи тоже будут. Причем не только про продукты. Не судите строго, мы только настраиваемся на верный лад, ищем темы и авторов. Все будет. В том числе с Вашей помощью ).
Дата-шиты и сайт в процессе модернизации. Скоро все будет красиво и по делу. Работаем над этим!
UG на вашем оборудование, ботнет из Северных и южных штатов , в данный конкретный момент кладет службы в нутри вашего - (не имеющего аналогов ) изобретения.
2 активных тикета в вашем ( безупречном) сервисе Тех. Под. На 2 линии с рекомендациями перезагрузить устройство...
Инструментарий аналитики падает каждый день, а доступа для ответственного за сервис в консоль нет.
Не нужно сей продукт запихивать в гос закупки, не закончив альфа тесты.
Коммерческим специалистам, рекомендую поковырять где-нибудь на стендах, под нагрузкой.
Читаю комментарии к уже не первой статье про UserGate и радуюсь, что в своё время у меня были развязаны руки по выбору железок подобного класса на основе пилотирований, а не рекламных буклетов
Добрый день!
Мы согласны, что выбор - это всегда хорошо ).
Но если вдруг Вы захотите протестировать наши решения и составить для себя более объективную картину, то с удовольствием Вам их предоставим: https://ngfw.usergate.com
Ps за ошибки извините.
Ловите мой список требований:
1 железка с 2мя блоками питания(требования любого датацентра!), как минимум 2 10gb/s порта, возможность замены процессора.
2 debian с вебмордой, притом есть возможность залезть в консоль, а не долбаться с кривым и не рабочим веб!
3 в топку антиспам, это вообще не про ngfw, туда же антивирусы. А вот smtp с dkim и прочим...
4 bgp, ospf на frr
5 днс с человеческим лицом 2020х годов. Это прям ахиллесова пята у всех
6 возможность ставить пакеты. Чтобы поставить vpn не входящий в список как минимум, да и обновить то что перестали поддерживать
Они не смогут это сделать т.к. тогда буй а не ФСТЭКовские сертификаты и уж тем более ФСБшные.
Так что только подписанные, проверенные, православные пакеты.
Спасибо за Ваш список требований! )
Отвечаем по порядку:
1. У нас есть модели с 2 блоками питания с горячей заменой и 6 вентиляторами с горячей заменой, причем их можно поставить как на вдув, так и на выдув. В слот расширения для сетевых карт (NIC) аппаратных платформ серий D можно поставить 4 х SFP+ 10 Гбит/с, в 3 слота в серии E - до 12 SFP+ 10 Гбит/с, доступны и карты 2 x QSFP28 100 Гбит/с. У серии F - 4 встроенных порта SFP+ и 6 слотов расширения, можно поставить до +24 SFP+. В платформе FG с аппаратным ускорением 16 встроенных SFP+ и 2 QSFP28.
2. Мы используем свою ОС на базе Линукса. Есть полноценный CLI.
3. SMTP с DKIM у нас нет (.
4. BGP, OSPF есть. Сетевую маршрутизацию делаем свою, но многие функции аналогичны FRR.
5. Не очень понятны Ваши критерии "человечности" лица DNS...)) Но у нас есть фильтрация DNS-запросов.
6. Нет. Как ответил комментатор ниже, тогда дистрибутив перестанет быть «православным» ).
1. У нас есть модели с 2 блоками питания с горячей заменой и 6 вентиляторами с горячей заменой, причем их можно поставить как на вдув, так и на выдув. В слот расширения для сетевых карт (NIC) аппаратных платформ серий D можно поставить 4 х SFP+ 10 Гбит/с, в 3 слота в серии E - до 12 SFP+ 10 Гбит/с, доступны и карты 2 x QSFP28 100 Гбит/с. У серии F - 4 встроенных порта SFP+ и 6 слотов расширения, можно поставить до +24 SFP+. В платформе FG с аппаратным ускорением 16 встроенных SFP+ и 2 QSFP28.
нету ибо по сайту об этом узнать не представляется возможным... так что зачастую вы вылетаете из тендера еще даже до звонка к вам...
Оу ссорь теперь Там написано что он оказывается у F8000, а нужно начиная с D200...
По П.6. Вы можете выпускать свои подписанные пакеты, а во ФСТЭК сертифицировать устройство в его максимальной комплектации пакетами ПО. А потом продавать каждый пакетик отдельно, кому что нужно. :-)
Правда не знаю, возможна ли такая сертификация, или же придётся сертифицировать каждый пакет, каждую комбинацию пакетов.
1
Прежде чем думать о кораблях бороздящих космическое пространство, неплохо бы добиться чтобы хотя бы обновление кластера между мажорными релизами (по рекомендации делается заливкой коробки с флешки с нуля! И последующим экспортом конфигурации) не приводило к смерти обоих нод и многодневному простою. Чтоб sip alg работал ( поддержка за месяц добиться не смогла), чтоб dpi реально распознавал целевые приложения, а не все кроме них. Как так?
...чего бы вам хотелось увидеть в современных NGFW? Мне бы в Usergate хотелось увидеть packet-tracer, кaк в Cisco ASA. Хотя бы в графическом виде.
Помечтаем о NGFW: наше видение идеального межсетевого экрана следующего поколения