←предыдущая следующая→
1 2 3
путь будет открыт. Если вам нужна производительность, обеспечиваемая решениями SPF, то позаботьтесь о том, чтобы ваши Web-серверы и серверы БД были хорошо защищены и снабжены самыми последними "заплатами".
Проблема производительности встанет еще острее, если вам потребуется выполнять процессы, сильно загружающие ЦПУ, например, при развертывании виртуальных частных сетей (VPN). Шифрование может "поставить на колени" самый мощный процессор, тем самым сведя на нет производительность МЭ. Практически все МЭ, имеющиеся на рынке, поддерживает VPN, и подчас их использование для организации виртуальных частных сетей оправдано. Однако если вы будете поддерживать большое число сетей или обширный список пользователей, то для обслуживания VPN-процессов следует применять оборудование, специально спроектированное для максимизации производительности операций шифрования (криптоакселераторы).
МЭ, использующие ЦПУ общего назначения, -- такие как FireWall-1 компании Check Point и PIX компании Cisco, не отвечают требованиям поддержки приложений среднего уровня пропускной способности (midlevel-bandwidth applications) даже при использовании криптоакселераторов. Некоторые МЭ, например, продукты компании NetScreen, выполняют большую часть обработки на аппаратном уровне и VPN-процессы им, таким образом, не мешают, но за это приходится платить некоторым снижением гибкости системы.
Высокая готовность
МЭ с высоким коэффициентом готовности обеспечивают прохождение трафика прочти без задержек даже при отказе оборудования. Существует два механизма преодоления отказов. В механизме stateless failover при отказе основного МЭ все сеансы связи сбрасываются. И когда за дело берется резервный МЭ, соединения для всех сеансов приходится устанавливать заново. В механизме stateful failover оба МЭ обмениваются информацией о состоянии сеансов по выделенной линии, и если какой-то МЭ выйдет из строя, то другой, что называется, "подхватит эстафету" и продолжит работу, не разрывая сеансов. При этом резервный МЭ принимает на себя все идентификационные характеристики основного МЭ, включая адреса IP и MAC (Media Access Control), и продолжает обработку трафика. После того, как резервный МЭ взял на себя функции основного, он, как правило, продолжает работать в этом качестве до следующего отказа.
Использование механизма stateful failover, как правило, предпочтительнее, и такие МЭ не дороже устройств с механизмом stateless failover. Недостаток stateful failover в том, что за решение межсетевого экранирования вам приходится платить вдвое, т.к. реально вы используете только 50% всей его процессорной мощности. Однако преодоление отказов занимает у таких МЭ всего несколько миллисекунд, и течение трафика при этом практически не прерывается.
Отказоустойчивость может достигаться разными способами, в зависимости от типа сетевого устройства. Маршрутизаторы используют протоколы маршрутизации, такие как RIP и OSPF, для перенаправления трафика, по возможности, в обход места сбоя, но вы вряд ли найдете МЭ, который бы позволял внешнему устройству "диктовать" ему маршрутную информацию.
Вы также можете использовать внешние распределители нагрузки для создания конфигураций МЭ с приемлемой отказоустойчивостью. Такая конфигурация обычно включает два распределителя нагрузки и два МЭ. При отказе одного из МЭ, распределитель нагрузки переадресует трафик на оставшийся МЭ. В этом варианте МЭ обычно не обмениваются сеансовой информацией, но при этом оба они до момента сбоя находятся в рабочем состоянии.
Разумеется, отказ устройства МЭ -- это только одна из возможных причин сбоя. Отказ сервера управления будет иметь не менее катастрофические последствия для работы сети. Если у вашего управляющего сервера откажет жесткий диск или сгорит вентилятор ЦПУ, то вы не сможете управлять МЭ или получить журнальные файлы, пока не устраните сбой. Если у вас небольшая сеть с минимальным трафиком, то вы, вероятно, с таким крушением совладаете. Но если вы работаете в крупной организации и управляете множеством МЭ, то потеря управляющей станции может стать серьезной проблемой.
Компании Check Point, Lucent Technologies и некоторые другие поставщики предлагают управляющие станции с преодолением сбоев. При изменении правил межсетевого экранирования, такая управляющая станция пересылает информацию об изменениях на МЭ и на вспомогательные управляющие станции.
МЭ класса SOHO и desktop
Инсталляция и сопровождение удаленных МЭ или МЭ для настольных систем имеет жизненно важное значение для корпоративной сетевой безопасности. Многие поставщики предлагают МЭ класса SOHO (для малого/домашнего офиса), поддерживающие до 10 узлов. МЭ класса SOHO часто дешевле (около 500 долл.), чем их более мощные "собратья", но при этом обладают большинством, если не всеми, функциональными возможностями последних, при этом управлять и проводить мониторинг таких МЭ можно при помощи центральной управляющей станции.
МЭ класса SOHO также обеспечивают лучшую защиту, чем маршрутизаторы NAT/NAPT, так как позволяют контролировать трафик удаленной сети. Например, если у вас работают приложение интрасети, электронная почта и приложение поддержки совместных работ, то вы можете и должны сконфигурировать на удаленном МЭ самые жесткие, насколько это возможно, правила доступа, чтобы свести к минимуму вероятность вторжения из удаленной сети. Дешевые маршрутизаторы NAT/NAPT таких возможностей не обеспечивают.
Все МЭ для настольных систем предоставляют удаленную поддержку, а продукт SecureClient компании Check Point даже предоставляет конфигурируемые наборы правил политики безопасности. Например, в одном случае в вашей корпоративной среде может быть развернута виртуальная частная сеть, в другом -- вашим конечным пользователям может быть разрешено "бродить" по Web.
Подобного уровня функциональности и безопасности можно достичь, используя МЭ класса desktop третьей фирмы (например, CyberArmor компании InfoExpress или Sygate Personal Firewall Pro компании Sygate, которые поддерживают централизованное управление) и VPN-клиенты от поставщика центрального МЭ, но между этими приложениями могут возникать конфликты. Если ваш поставщик центрального МЭ не подтвердит, что данный МЭ класса desktop третьей фирмы им поддерживается, то вам лучше придерживаться линии продуктов от одного поставщика
←предыдущая следующая→
1 2 3