Назначение
Комплекс программных средств, выполняющий контроль и фильтрацию, в соответствии с заданными правилами, сетевого трафика, проходящего через него. Первостепенной задачей является защита локальной сети и периметра сети от атак и угроз из глобальной сети. Так же, зачастую в функционал межсетевых экранов входят следующие опции: VPN сервер (IPSec, L2TP, PPTP, SSL, site-to-site и др.); публикация TCP и UDP портов; биллинг Интернет трафика; разграничение доступа изнутри сети к ресурсам в глобальной сети, основываясь на аутентификационные данные, IP адрес; балансировка нагрузки и резервирование Интернет канала; анализ пакетов на предмет присутствия тел вируса, кода, предназначенного для кражи/повреждения/подмены информации; блокирования доступа к неблагоприятным ресурсам; защиты димилитаризованной зоны (почтовый сервер, веб сервер и прочее).Принцип работы
Межсетевой экран как правило располагается как можно ближе к границе сети Интернет провайдера, может использоваться схема с back-end и front-end фаерволами, использованием дополнительных маршрутизаторов перед фаерволом, либо сочетание простейших функций маршрутизации на фаерволах и подключение каналов от Интернет провайдеров напрямую в сервер фаервола. На сервере выполняется настройка фильтрации трафика, и прочие параметры безопасности в соответствии с политикой корпоративной безопасности. Возможно использование схемы с балансировкой нагрузки и отказоустойчивости, используя кластеризацию и использование контекстов, для отделения нескольких виртуальных конфигураций фаервола.Рис. 1 Схема решения Сервер FireWall / Файервол на 100 человек
Требования
Использование серверного процессора. Достаточный объем оперативной памяти. Использование нескольких гигабитный сетевых интерфейсов. Использование нескольких серверов для балансировки и резервирования.Причины снижения быстродействия
Не достаточный объем оперативной памяти, низкая производительность центрального процессора, нестабильный канал связи. Потеря пакетов из-за проблем с сетевыми интерфейсами. Монополизация Интернет канала. Большой объем видео трафика. Отсутствие балансировки нагрузки. Шифрование каналов с большим объемом трафика.Случаи неправильной настройки и их последствия
Отсутствует балансировка нагрузки и резервирование корпоративного фаервола. Неактуальность документации и регламента по работе фаервола. Спонтанно заводимые правила блокируют полезный трафик, либо разрешают неблагоприятный трафик.Возможные конфигурации серверов
Производитель | Решение | Стоимость решения | ||||||
---|---|---|---|---|---|---|---|---|
Dell |
|
|||||||
IBM |
|
|||||||
HP |
|
Дополнительные опции
Решение | Стоимость решения | ||||||
---|---|---|---|---|---|---|---|
|
Бесплатный софт
Наименование софта | Ссылка |
---|---|
CentOS | http://mirror.yandex.ru/centos/6.4/isos/x86_64/ |
Iptables | входит в состав ОС |
Squid | входит в состав ОС |
Sams | входит в состав ОС |
Openvpn | http://openvpn.net/index.php/access-server/overview.html |
Snort | http://www.snort.org/snort-downloads |
Платный софт
Софт платный
Наименование софта | Стоимость |
---|---|
Microsoft Windows Server Standard 2012 Single OLP NL 2Proc P73-05762, руб.
| |
Услуги для платного софта
Наименование работ | Полная стоимость |
---|---|
109000, руб.
| |
Услуги для бесплатного софта
Наименование работ | Полная стоимость |
---|---|
197000, руб.
| |