Как стать автором
Обновить
9
0

Пользователь

Отправить сообщение

И вам вновь добрый день!)
На брокере это реализуется очень просто: настройкой двух правил фильтрации для входящего трафика и двух групп выходных портов.

В правилах фильтрации поддерживается маска для точного определения IP-подсетей. Остальной трафик, не попавший под действия этих правил, будет отброшен. Но при необходимости его также можно направить на порт или группу портов.

Добрый день!
Можно с помощью фильтров направлять потоки трафика из разных подсетей на разные группы балансировки, и он будет балансироваться на разные группы серверов/МЭ. При этом внутри каждой группы балансировки используется 5-tuple.

Также вариант часть подсетей балансировать, а часть просто перенаправлять в нужные интерфейсы. Возможности фильтрации и классификации потоков трафика на нашем брокере весьма гибкие.

Доработка функции хэширования, с добавлением маски для IP адресов, технически тоже возможна, но пока непонятен сценарий использования такого функционала.

Можете описать, как именно требуется балансировать трафик в вашем случае?

Не завозим, а производим российские балансировщики трафика DS Integrity, которые отлично справляются с кластеризацией NGFW.
В настоящее время уже подтвердили совместную работу с Кодом Безопасности, UserGate и Ideco. Подробный разбор схем в нашей статье

Вы очень наблюдательны!
Отсутствие винтов (установка оборудования на полку) на скорость обработки пакетов не влияет :)

Брокер DS Integrity NG умеет разбирать MPLS L2-VPN, QinQ и балансировать трафик на основе распакованных IP-адресов, портов. Ваша задача выглядит решаемой, нужно пробовать.

Да, в качестве МЭ мы подразумеваем устройство с функционалом, превосходящим базовые accept и drop, включая контроль пользовательских сессий на L7 уровне и прочий функционал, характерный для устройств класса NGFW зарубежных и отечественных производителей.

А вот эту информацию мы Вам предоставить не можем)

Красивая флешка. Когда появится на прилавках?

В данный момент мы сконцентрировнны на корпоративных клиентах и решении их задач. Возможно, в будущем выйдем на потребительский рынок и появимся на прилавках магазинов.

Мы являемся фаблесс-компанией, поэтому физически кристалл производится партнерами

Данная информация предоставляется по запросу на электронную почту sales@dsol.ru
Если Вы отправили запрос, то мы обязательное ответим в ближайшее время!)

трёхслойное импортозамещение.

Контроллеры полностью нашей разработки: архитектура, схемотехника (RTL), топология кристалла, чертежи для корпусировки и так далее. ВПО также полностью наше, включая алгоритмы.

В реестре по ППРФ 719 данного контроллера нет

Контроллеры полностью нашей разработки и в данный момент занимаемся включением микросхем в ПП 719

за конкурентное импортозамещение и готов применять его в своих решениях

В случае заинтересованности, мы готовы предоставить микросхемы и образцы USB накопителей для бесплатного тестирования и оказать содействие в разработке импортонезависимых решений.

а чип памяти какой у вас стоит?

На данный момент используем зарубежную память типа SLC, MLC, TLC (pSLC)

При загрузке входных интерфейсов на 50% каждый, как долго DS Integrity NG будет работать без дропов? Допустим всплеск идет 2 часа.

Всплеск продолжается десятки-сотни миллисекунд, и потери без защиты от всплесков происходят именно из-за них. "Всплеск на 2 часа" - это уже максимальная нагрузка, на которую необходимо рассчитывать производительность средств мониторинга и соответствующее количество выходных портов.

Средняя входная скорость, отображаемая в статистике, должна находиться в пределах возможностей пропускной полосы используемых выходных портов. Защита от всплесков помогает нивелировать колебания мгновенной скорости вокруг средней. При этом допустимая длительность всплеска рассчитывается легко: размер буфера необходимо разделить на превышение полосы пропускания. Например, для двукратного превышения полосы порта 10 Гбит/с с буфером 8 Гбайт получается примерно 6,4 секунды.

На сколько я понимаю, DS Integrity NG содержит 8 входных интерфейсов, каждый имеет свой буфер. Какой обычно размер этого буфера?

Брокер сетевых пакетов DS Integrity NG в зависимости от конфигурации может содержать до 64 интерфейсов 10G, до 32 интерфейсов 25G/1G, до 8 интерфейсов 40G или до 4 интерфейсов 100G. Стоит отметить, что данные интерфейсы работают одновременно как входные и выходные. При включении функции защиты от всплесков для выходных интерфейсов становится доступным буфер 8 Гб, он будет для них общим.

На рисунке изображена одна из возможных схем построения локальной сети предприятия, в данном случае почтовый сервер расположен только в DMZ, что позволяет повысить защищенность внутренней сети от взлома отдельных сервисов. Нарушитель, взломав почтовый сервер, не сможет получить доступ к оборудованию, расположенному во внутренней сети. Существует и другой вариант размещения - разделение на Front-End и Back-End, при такой организации один почтовый сервер распологается в DMZ, другой - во внутренней сети, для связи между ними на МЭ создаются определенные правила. Выбор организации построения почтового сервиса осуществляется исходя из архитектуры построения сети и анализа угроз ИБ.

Эта статья сугубо обзорная, далее планируем развивать эту тему. Если есть какие-то конкретные вопросы, пишите - постараемся ответить на них в следующих статьях.

Мы тут ничего конкретного не рекламируем. На написание данной статьи нас натолкнуло то, что мы довольно частно начали сталкиваться с непониманием специалистов, зачем вообще мониторить трафик локальной сети. При этом как таковая тенденция на это очень распространенная, поэтому есть и соответствующие инструменты, в том числе ориентированные исключительно на мониторинг локальной сети.

Оптимальное соотношение затрат и профита от информационной безопасности у всех будет разным. О том, как оценить это для себя написано множество статей, например, https://www.ptsecurity.com/ru-ru/research/analytics/is-cost-2017/ и https://www.securitylab.ru/analytics/489791.php.
Схему мы указали очень упрощенную, планируем немного позже написать статью непосредственно по выбору точек подключения. Впрочем, инфраструктуры у всех сильно разные (как и серверы), и универсальной схемы реальной сети быть не может. Вот пример с подключением серверов на агрегации от Cisco. Ну и применять все средства ИБ сразу, конечно же, не обязательно.

Наши TAP можно не только увидеть, но и протестировать, для этого заполните форму запроса или напишите нам на sales@dsol.ru

Да, конечно, можете почитать книгу “Где сохранить пакет”

1

Информация

В рейтинге
Не участвует
Работает в
Зарегистрирован
Активность