Disclaimer

В данной статье приводятся лишь примеры типовых сценариев внедрения NGFW. Не стоит брать предложенные схемы за готовый шаблон. В реальной жизни, почти каждое внедрение уникально. Есть много подводных камней, на которые нужно обратить внимание перед планированием топологии сети. Но в целом, все варианты будут “крутиться” вокруг нескольких концептов. Их мы и постараемся обсудить.

Типовая архитектура сети с точки зрения ИБ

Прежде чем описывать варианты внедрения NGFW, мне бы хотелось обсудить несколько типичных сценариев использования средств сетевой защиты. Мы рассмотрим наиболее распространенные средства, которые есть практически в каждой компании (конечно же максимально упрощенно и поверхностно, иначе получится целая книга). Чаще всего на практике можно встретить три самых распространенных варианта:

В рамках данной статьи хотелось бы обсудить вопрос: «Как выбрать NGFW решение из многообразия предлагаемых продуктов, решений и вендоров?» В связи с этим, мы рассмотрим несколько соображений по этому поводу и сформируем некий «чек-лист», по которому желательно пробежаться перед выбором решения.
Соображение №1. Все конкретно недоговаривают
Последние несколько лет я очень плотно занимаюсь темой NGFW, и самый частый запрос от клиентов, выбирающих решение для защиты сети, это сравнение и вопросы различия между лидерами различных квадрантов Gartner, NSS Lab и так далее. И это могло бы быть простой задачей. Но, как говорил один герой известного сериала…

К большому сожалению, нет НИ одного вендора с полностью достоверной информацией в маркетинговых брошюрах и DataSheet-ах. Каждый из них либо что-то недоговаривает, либо использует заведомо бесполезные характеристики, которые получаются с помощью искусственных тестов. Уловок у них миллионы. В большинстве случаев только личный опыт и большая (огромная) практика работы со всеми решениями на рынке, могут помочь вам обстоятельно выбрать решение для конкретной задачи за тот бюджет, который у вас есть.

Для ИТ-департаментов многих компаний оборудование Cisco давно стало корпоративным стандартом их сетевой инфраструктуры и они при выборе новых продуктов ориентируется исключительно на возможности, которые может предложить им этот вендор. Главное, что останавливает их от приобретения сетевого оборудования других вендоров – это риск несовместимости и необходимость освоения системными администраторами новых инструментов управления сетью.

Тем не менее, как показывает проведенное независимой тестовой лабораторий Networktest исследование, оборудование HP может совместно использоваться с оборудованием Cisco. По результатам тестирования, в котором использовались коммутаторы HP 9505, 5406zl и 5800 и Cisco Catalyst 6509, Catalyst 4506 иd Catalyst 3750-E, Networktest подготовила 60-страничное руководство, в котором приведены конфигурации для совместного использования коммутаторов HP Networking и Cisco Catalyst.

У практически любого сетевого инженера, рано или поздно наступает момент в жизни когда в его сети появляются домены маршрутизации отличные от любимого OSPF, EIGRP или IS-IS. Чаще всего это связано со слиянием двух сетей, но иногда может быть связано с модернизацией или редизайном. Одним словом, необходимость делать редистрибуцию маршрутов из одного протокола маршрутизации в другой возникает не так уж и редко. В случае с OSPF, эти маршруты появляются в таблице маршрутизации под меткой E1 (External Type 1) и E2 (Externel Type 2) маршрутов. Обычно учебные материалы Cisco говорят о том, что основное отличие этих двух маршрутов заключается в том, что при расчете метрики для Е1 маршрута используется общая метрика для всего пути, а для Е2 маршрута только стоимость редистрибуции. Попытаемся разобраться, что это значит и как это работает.