cooper051 21 ноя 2018 в 09:26

Типовые сценарии внедрения NGFW

9 мин

18K

Блог компании TS SolutionИнформационная безопасность*Системное администрирование*IT-инфраструктура*Сетевые технологии*

+12

Комментарии 12

suslovas 21 ноя 2018 в 09:51

Как показывают многочисленные тесты, добиться адекватной балансировки трафика — невозможно. И максимум что вам даст Load Sharing — снижение нагрузки на устройства процентов на 15, не больше.

Был бы очень сильно признателен за ссылки на эти тесты.

cooper051 21 ноя 2018 в 10:06

Это были исключительно наши тесты (и реальные внедрения) с железками разных вендоров. К сожалению на тот момент не думали о документировании результатов.

suslovas 21 ноя 2018 в 10:25

Очень жаль, потому что часто сталкиваемся с тем, что заказчик не верит в неэффективность такого решения.

cooper051 21 ноя 2018 в 10:30

Мы в таком случае стараемся показать это в пилотном проекте (конечно если у заказчика есть на это время).

suslovas 21 ноя 2018 в 10:35

Не помогает, даже если у них есть время на пилотный проект, то потом мы слышим:«Вы все врете! Раз функционал есть, он должен работать, это просто вы настраивать не умеете!»

cooper051 21 ноя 2018 в 11:18

Здесь у меня советов)

cooper051 21 ноя 2018 в 14:40

*нет советов

Ciscoridze 21 ноя 2018 в 10:06

Сейчас как раз стоим перед выбором центрального МЭ для нашей компании. Выбираем между Checkpoint и Fortinet. Но так как у фортинета больше функционала, касающегося роутинга и транспорта в целом, то скорее всего берем его. Всё усложняет требования регулятора — надо ещё куда-то впихнуть S-terra и завернуть на неё трафик, в котором есть ПД.

cooper051 21 ноя 2018 в 10:10

Поставьте S-terra в DMZ. Внешний линк можно выпустить прямо в интернет, а внутренний в DMZ. Ну а вообще надо смотреть схему. Идеального варианта, который подходил бы всегда и везде — нет.
Что касается Fortigate, то да, у него действительно функционал роутинга более богат, чем Check Point-а. Но если рассматривать security, то на мой субъективный взгляд, Check Point будет получше.

belyvoron 22 ноя 2018 в 10:14

S-Terra в DMZ может быть не аттестабельным вариантом, так как на МСЭ оказываются и защищенная и незащищенная сети. Fortigate есть, конечно, сертифицированный ФСТЭКом до 4 класса, но там выпилено шифрование и с защитой уже не очень.

С другой стороны, есть шлюз «Граница» — это fortigate и s-terra в одной коробке. Это решает проблему аттестации (но не решает проблему урезанного функционала сертифицированного фортика)

volk22 21 ноя 2018 в 21:27

А чего Palo Alto не рассматриваете?

Ciscoridze 22 ноя 2018 в 08:01

Да почему-то остановились на CP и FG. Уже и не помню истинную причину отказа от Palo Alto, если не ошибаюсь, то из-за финансов. Он, кажется, довольно дорог.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий