Blog

Other languagesBosna i Hercegovina Bosna i Hercegovina   Slovenija Slovenija   Srbija Srbija   English English   

Nova generacija internet gateway mreže: sigurnost i visoka raspoloživost

Dizajn izlaza na internet (internet gateway) u organizacijskim mrežama gotovo uvijek se svodi na 2 zahtjeva: sigurnost i visoka raspoloživost.

Sigurnosni tretman mrežnog prometa se u pravilu postiže sa (sve) više sigurnosnih inline uređaja kroz koji prolazi promet: firewall, secure web gateway (web proxy), secure mail gateway (mail proxy), ATP inspekcija, DLP, IPS/IDS, SSL inspekcija, Deep Packet Inspection (DPI), itd.

Na “papiru” inline topologija može izgledati npr. ovako:

Tradicionalno, visoka raspoloživost u inline scenariju može se postići redundancijom mrežnog puta koristeći Spanning Tree Protocol (STP) kako bi se konstruirao alternativni mrežni put do gateway routera, uz često kombinaciju Cisco HSRP protokola za ostvarenje redundantnog default gateway-a. Tipičan prikaz ovakog rješenja je prikazan na slici niže:

Problem ovakve legacy arhitekture leži u novijim zahtjevima sigurnosti, poglavito u pojavi ATP inspection&mitigation uređaja (npr. Trend Micro ili Fireeye) i zahtjevima za vidljivošću SSL kriptiranih komunikacija: dakle, mrežni put od LAN-a do routera i interneta mora proći sve veći broj mogućih točaka ispada. Dodatni nedostaci ovakvog pristupa su:

  • podržana samo Active/Passive visoka dostupnost, tj. u svakom trenutku je samo pola mrežne opreme iskorišteno (Master/Slave način rada). Dakle, riječ je o ulaganju u hladni pogon.
  • Skalabilnost pati, tj. kada postoji potreba za širenjem kapaciteta nije jednostavno dodati novu opremu u lanac prometa.
  • Svi uređaji primaju ukupni promet iako možda nisu zainteresirani za sve pakete; stoga sizing svakog uređaja mora biti dimenzioniran tako da zadovolji ukupnu propusnost.
  • održavanje i administracija mreže postaje vrlo kompleksna, a STP protokol je poznat po izuzetno teškom troubleshootingu kada dođe do problema.

Uz Gigamon packet broker tehnologiju, dizajn internet gateway-a je moguće izmijeniti i ostvariti potpunu skalabilnost i fleksibilnost u doba sve većih zahtjeva sigurnosti i sve više mrežnih uređaja na putu prema internet gatewayu. Prednosti ovakve packet broker arhitekture su višestruke:

  • drastično pojednostavljeno održavanje i skalabilnost mreže: dodavanje, gašenje ili nadogradnje različitih uređaja moguće je raditi bez ispada mreže;
  • veća efikasnost i iskorištenje mrežnih uređaja odnosno svi uređaji ne moraju obrađivati sav promet: npr. upitna je potreba za obradom SIP i audio video media sadržaja na ATP rješenju. Ovime je moguće bitno revidirati zahtjeve za kapacitetom na pojedinim mrežnim uređajima te uz veću efikasnost ostvariti znatne uštede.
  • smanjen broj točaka ispada i mogućnost inline bypass-a (failopen);
  • integracija sa inline ali i out-of-band rješenjima kao što su SIEM, Netflow, IDS, itd.
  • mogućnost inteligentnog usmjeravanja prometa na različite alate tj. potrošače paketa: npr. SMTP promet samo na mail scanning rješenje ili samo meta podatke na SIEM (podaci o TCP sesiji, URL u http zahtjevu, vrsta sadržaja u odgovoru, podaci iz ssl certifikata i slično). Ovime mrežni alati postaju brži, posebno kada je riječ o mrežnoj analitici i sl.

Zanima vas više informacija?

Prije

Legacy topology

Poslije

Gigamon topology

 

Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?

Kontaktirajte nas!