Od firewallu k fireboxu (2)

28. 7. 2009

Sdílet

Experti tvrdí, že firewally zaměřené na servery musí pracovat při minimální rychlosti 10 Gb/s, aby dokázaly podporovat typické úrovně výkonu.

Pokračování včerejšího článku

Takové firewally také budou muset podporovat rozsáhlé zásady pro server, které zajistí bezpečné přenosy, jako jsou zálohy, a budou schopné rychlého sledování, kontroly a likvidace záškodnických přenosů. Správa, o které Snyder říká, že se může stát úplnou noční můrou, musí být navíc snadná.

„Mnoho společností dodávajících firewally nabízí centralizovanou správu, ale schopnost řídit mnoho firewallů se stovkami pravidel, vše pro jedno datové centrum, je vzácný produkt,“ říká Snyder. „V takovém případě raději zvolím slabší firewall s lepším nástrojem pro správu.“

Dodavatelé firewallů, jako jsou společnosti Check Point Software, Cisco a Juniper Networks, pracují na vytvoření IPS, správy a na dalších problémech. Zatímco možná neměli vysokou úroveň sledování aplikací a uživatelů jako má zařízení společnosti Palo Alto, zaměřují se na výkon datového centra a škálovatelnost. Tito dodavatelé však upozorňují, že takové možnosti sebou nesou ztráty výkonu, které pro mnoho podniků nemusí být přijatelné.

Uživatelé, kteří chtějí oddělit servery datového centra, si musí vybrat firewall, který není jenom velmi rychlý, ale nabízí také robustní správu, zásady a možnosti virtualizace, říká Tom Russell, starší produktový manažer společnosti Cisco. Tento dodavatel nedávno vydal jako příklad takového produktu model ASA-5580, který kombinuje firewall a VPN, nabízí propustnost 20 Gb/s a podporuje až 10 000 vzdálených uživatelů, 75 000 zásad a 150 000 připojení za sekundu.

Russel však říká, že prevence vniknutí u této úrovně firewallu nebyla na pořadu dne. Uvádí, že firewall s integrovanou funkcí IPS pracuje nejlépe při rychlostech menších než 1 Gb/s, a poznamenává, že podniky, které potřebují lepší výkon musí použít firewall a funkce IPS odděleně.

Jon Yun, manažer pro marketing produktů společnosti Juniper, souhlasí. „Při scénáři server-server a v závislosti na výkonu by byly integrované produkty IPS ideální. Ale jde-li o velké datové centrum nebo typ sítě poskytovatele služby, potom bude lépe vyhovovat oddělené zařízení,“ dodává. „Nyní nabízíme propustnost 30 Gb/s (v modelu NetScreen-5400). A pokud nasadíte takový firewall a budete ho virtualizovat, takže bude podporovat 10 různých serverů, stále poskytne hodně kapacity a propustnosti.“

Společnosti Check Point pracuje na tom, aby její software co nejlépe využíval vícejádrovou technologii čipů společnosti Intel. Cílem je udržet vysoký výkon při přidání funkcí, jako je IPS. „Snažíme se urychlit celou myšlenku sledování aplikací a inteligence,“ říká Bill Jensen, manažer pro marketing produktů řady VPN-1 společnosti Check Point. „Koupíte-li za 5 000 USD server od společnosti IBM nebo Dell, který v sobě má pár vícejádrových čipů společnosti Intel, a zapnete 70% inspekci aplikací v našem softwarovém firewallu, stále vám zbude propustnost 2 Gb/s, která je velmi vysoká.“

Firewally server-server na druhé straně nevyžadují tolik výkonu pro funkci IPS, říká Jensen, protože je lze specificky nastavit pro individuální serverové přenosy (oproti hraničním firewallům, které musí kontrolovat vše, co přichází směrem do podniku). „Jakmile však budete mít v datovém centru individuální servery v provedení rack, tak i když budete mít zapnutou nízkou úroveň inspekce, dojde k mnohem větší spotřebě výkonu.“ dodává.



Střety s rozpočtem

Uživatelé říkají, že kromě ztráty výkonu se také zvyšují rozpočtové nároky. Zdravotnické zařízení Baptist Healthcare System v Louisville (Kentucky, USA) používá firewally Cisco PIX pro svou hranici s vnějším světem a zavádí samostatná zařízení IBM-ISS IPS na hranici svého datového centra. Zatímco je ochrana typu NAC na každý server ideální, „musíme zavést silnější hraniční ochranu tam, kde je více nežádoucího zájmu o naše finance,“ říká Tom Taylor, podnikový správce infrastruktury klient/server ve zdravotnickém zařízení Baptist Healthcare.

ICTS24

Jim Laval, manažer pro sítě této organizace souhlasí. „Jenom zajistit schválení první fáze projektu IPS nám zabralo dva roky rozpočtového procesu a cena byla okolo 110 000 USD. Nemyslím, že bychom v brzké době řešili serverovou úroveň.“


Tento článek vyšel v tištěném SecurityWorldu 4/2008.