Сегментирование сетей безопасности

[dr Tr0jan]

Есть корпоративная сетка, состоящая из нескольких десятков юзверских виланов (отделы, здания и т.п.) и нескольких технологических виланов (видеонаблюдение, СКУД и др.). Сейчас все виланы терминируются на Catalyst 6509, доступ между ними регулируется тупыми ACL. NAT в интернет (в т.ч. и для сетей безопасности, т.к. иногда нужно удаленный доступ) работает на Cisco 3845. Потребности предприятия растут, правила доступа усложняются и хочется задействовать что-то типа ZBF или подобного. В связи с чем возник вопрос, а чем лучше фаерволлить сети безопасности? Cisco ISR, Cisco ASA или может быть Juniper SRX? Может кто-нибудь что-то ещё предложит?

[rz3dwy]

Делайте на чем умеете настроить. Чтобы не настраивать несколько устройств с фильтрами,  настройте на 6509 разные vrf для разных сегментов. Если требуется доступ извне или выход в инет, то либо отдельный шлюз либо setfib на основном. 

[dr Tr0jan]

@rz3dwy, да в принципе, что с ISR, что с ASA проблем нет (с SRX да, не работал). Вопрос в том, что брать? Крутить что-то на c3845 - не вариант, ей на покой пора.

[pingz]

2 минуты назад, dr Tr0jan сказал:

@rz3dwy, да в принципе, что с ISR, что с ASA проблем нет (с SRX да, не работал). Вопрос в том, что брать? Крутить что-то на c3845 - не вариант, ей на покой пора.

Бери SRX познаешь другую строну луны :D

 

Железо хорошо мануалы, все на английском. 

[vvertexx]

@dr Tr0jan 

Если нет завязки на проприетарные протоколы(типа DMVPN, у jun только свой несовместимый autovpn) - jun не хуже. Всё решает цена, как самого железа, так и его внедрения. На jun мало русской документации. На английском всё есть в открытом доступе + много примеров

[dr Tr0jan]

Т.е. в принципе, сию задачу можно с одинаковым успехом на всех перечисленных железках. Верно понимаю?

P.S. С английским проблем нет. Проприетарщины нет.

[rover-lt]

18 минут назад, dr Tr0jan сказал:

Т.е. в принципе, сию задачу можно с одинаковым успехом на всех перечисленных железках. Верно понимаю?

Успех = (понимание*функционал)/(маркетинг*вера)

[dr Tr0jan]

У меня вера в маркетинг равна нулю. Я правильно понимаю, что если знаменатель равен нулю, то успех стремится к бесконечности? :D

 

Немного усложним задачу. Допустим первоначальную настройку буду делать я. А затем во время промышленной эксплуатации правила в фаерволле будут менять менее квалифицированные люди. Какое решение с точки зрения удобства администрирования (GUI, все дела) будет более подходящим? ASA или SRX?

[zhenya`]

ASA.

[vvertexx]

@zhenya` 

у SRX тоже есть полноценный GUI. на вкус и цвет фломастеры разные

[dr Tr0jan]

Решили взять что-нибудь из Juniper, Palo-Alto, Checkpoint (у местных "интеграторов" запросим). Не топовое, а на попробовать (не в тест, а именно купить). А дальше, уже опираться на собственное мнение при использовании.

[v_r]

Checkpoint пробовал. Не знаю как оно в целом на больших инсталляциях, а настройка одной железки у меня заняла часов 30 рабочего времени если не больше так как полноценный CLI там отсутствует, все делается через GUI, и логика совсем не как в Cisco/Juniper.

[dr Tr0jan]

Сегодня приходил в гости Checkpoint. Дорого, богато. GUI у них действительно очень странный - требует сервер (железный или виртуалку) под менеджмент, при этом клиент этого сервера существует только под винду. Про HTML5 пресейл как-то не в курсе.

Про SRX представитель Checkpoint'а очень негативно высказался - мол роутинг там адекватный, а фаерволлинг очень глючный. Palo Alto и Fortigate посчитал вполне адекватными конкурентами. Что ж, пообщаемся и с ними.

[GrandPr1de]

фортики крутые
фичи у них клевые, но настраивается не всегда очевидно

но фортики не всем нужны, обычно их ставят где надо кучу VDOM, у них в этом плане конкуренции нет, на сколько я знаю

а вот за SRX чето странный гон, пускай обоснует чтоль))

[myst]

В 3/7/2018 в 00:51, GrandPr1de сказал:

фортики крутые
фичи у них клевые, но настраивается не всегда очевидно

но фортики не всем нужны, обычно их ставят где надо кучу VDOM, у них в этом плане конкуренции нет, на сколько я знаю

а вот за SRX чето странный гон, пускай обоснует чтоль))

По сравнению с ASA FP фортигейт эталон очевидности. Так же как и пало.

[EvgeniySerb]

Palo Alto нормальные но подписка дорогая 

[dr_geg]

@dr Tr0jan 

Кого из вендоров выбрали в итоге? 

 

[dr Tr0jan]

@dr_geg. пока никакого. Не получается пообщаться. На днях Juniper Day будет в городе, может какое-то мнение о можжевеловых сложится.

[kapydan]

Пресейлы предлагали на тест какую-нибудь железку? Если да - то стоит брать ознакомиться хоть.

[Ivan_83]

В 10.03.2018 в 18:38, EvgeniySerb сказал:

Palo Alto нормальные

Ггг.

Чего только не делают люди чтобы самим не ставить БСД/линух.

[EvgeniySerb]

6 hours ago, Ivan_83 said:

Ггг.

Чего только не делают люди чтобы самим не ставить БСД/линух.

И какие альтернативы на линух/бсд?

[pppoetest]

netfilter/pf?

[EShirokiy]

@dr Tr0jan Какой объём трафика?

[dr Tr0jan]

21 hours ago, kapydan said:

Пресейлы предлагали на тест какую-нибудь железку? Если да - то стоит брать ознакомиться хоть.

Cisco ASA и Huawei какой-то - отказать однозначно.

Bluecoat - неплохо, но очень дорого.

У Stormshield всё очень плохо с саппортом.

На самом деле, на тестирование нужно время, очень много времени. По факту, инженер минимум на месяц с основной работы вылетает.

 

4 hours ago, pppoetest said:

netfilter/pf?

У нас на ДВ с этим всё очень плохо. Найти человека на никсы практически невозможно. Из всего IT-отдела в 30 человек я один свободно в никсах работаю. Остальным - GUI подавай.

 

2 hours ago, EShirokiy said:

@dr Tr0jan Какой объём трафика?

Пара сотен мегабит. В pps'ах не очень много.

[vvertexx]

@dr Tr0jan 

Что по Джуну? Готовы ли они ввезти в белую?