Следующая статья рассматривает случай, когда Cato Socket используется как для WAN подключения, так и для Брандмауэр как сервис. В таком случае безопасность является основной целью развертывания. Эта статья менее актуальна для ситуаций, когда Cato Networks используется в основном для WAN/глобального соединения.
До недавнего времени было довольно распространено иметь топологию внутреннего L3-коммутатора, управляющего всеми внутренними VLANs. Основной коммутатор имел бы L3 интерфейс для каждой VLAN, выступая в качестве шлюза по умолчанию. Маршрутизация выполнялась внутри коммутатора, то есть трафик между VLANs оставался бы внутри коммутатора. Только трафик в Интернет или WAN направлялся бы к Брандмауэру. См. пример ниже:
В вышеописанной топологии маршрутизация между внутренними VLANs выполняется на L3-коммутаторе. Только интернет-трафик будет направляться к Брандмауэру для L4-инспекции. Редко встречается ACL (Списки Управления Доступом) между внутренними VLANs по следующим причинам:
-
Трудно управлять - ACL должны быть созданы с использованием CLI, что очень хлопотно.
-
Просмотр заблокированного трафика - журналы трафика в основном можно просматривать с помощью команд CLI, а не через понятные графические интерфейсы, которые есть у Брандмауэров на сегодняшний день.
-
Включение L3 ACL будет потреблять мощность ЦП коммутатора.
-
Очень сложно иметь изолированный VLAN, не имеющий корпоративного доступа.
Со временем большинство сетей имели неограниченную маршрутизацию и доступ между внутренними VLANs. Вспышку вируса в одной из VLANs было бы очень сложно (почти невозможно) сдержать.
С увеличением количества кибератак и распространением вредоносных программ сетевые конструкции начали переходить на L3 маршрутизацию на устройстве безопасности - Брандмауэре. Похож на топологию выше, но с одним основным отличием - все коммутаторы работают как L2 устройства, в то время как устройство Брандмауэра выполняло бы L3 маршрутизацию между внутренними VLANs. См. пример ниже:
В вышеописанной топологии Брандмауэр выступает в роли Router-on-a-stick. Трафик между ПК VLAN 10 и ПК VLAN 20 будет проходить через Брандмауэр.
Естественно, этот подход обеспечивает гораздо больший контроль и безопасность. Очень легко изолировать зараженный VLAN от сети. Также просто иметь VLAN с доступом только к Интернету (например, сеть для гостей).
Cato Socket поддерживает (в основном) две конфигурации:
-
VLAN - аналогично L3 маршрутизации на Брандмауэре, Socket имеет L3 интерфейс для каждой VLAN и действует как шлюз по умолчанию.
-
Маршрутизируемый диапазон - статическая маршрутизация. Используется в первой топологии, в которой Socket имеет маршруты через L3-коммутатор к внутренним VLANs.
Хотя обе сетевые конструкции поддерживаются Cato, в новом дизайне наилучшей практикой будет использование VLANs. Пока нет ограничений или специальных требований, лучший способ настроить Socket будет похож на L3 в топологии Брандмауэра. См. пример ниже:
-
Управление - Сокет может выступать в качестве шлюза по умолчанию для каждой VLAN + предоставлять Диапазон DHCP для каждой VLAN. Все управляется из Приложение Управления Cato.
-
Контроль - в случае вспышки вируса в одной из VLANs, эта VLAN может быть немедленно и легко изолирована либо с помощью правила Брандмауэра WAN, либо даже путем удаления шлюза по умолчанию для этой VLAN.
-
Безопасность - когда есть необходимость создать полностью изолированную VLAN, например Wifi для гостей, Сокет может легко заблокировать доступ WAN/корпоративный для этой сети и разрешить только доступ к Интернету.
-
Обратите внимание, что по дизайну весь трафик WAN идет к PoP. Это включает в себя как трафик от узла к узлу, так и меж-VLAN трафик. Это означает, что трафик между VLANs в одном офисе по умолчанию не будет маршрутизироваться в Сокете. Этот вопрос рассматривается в следующем разделе.
-
Создание и управление правилами безопасности между внутренними VLANs - на самом деле это не самое важное иметь сотни уникальных правил, разрешающих меж-VLAN трафик. Более важной является способность немедленно изолировать зараженную VLAN. Эффективную защиту обеспечат Расширенные Услуги безопасности Cato, такие как Антивирус и IPS. Антивирус и IPS обеспечат настоящую L7 инспекцию как для внутреннего, так и внешнего трафика.
-
Производительность - когда речь идет о перенаправлении маршрутизации меж-VLAN на устройство безопасности, возникает немедленная обеспокоенность относительно пропускной способности. Устаревшие L3 коммутаторы не имели безопасности, но явно обладали высокой производительностью. Чтобы решить этот вопрос, мы хотели бы предоставить некоторые факты:
-
Помимо дата-центров, в обычных офисах есть несколько VLANs, таких как Пользователи, Принтеры и Wifi для гостей. Когда вы задумываетесь об этом, нет никакой реальной причины разрешать трафик между этими VLANs. Они в основном нуждаются в доступе к корпоративным ресурсам в дата-центре или даже просто в доступе к облачным сервисам как Office 365, Skype и Salesforce.
-
Трафик небольшого объема, как от пользователей к принтерам, может прекрасно работать, доходя до PoP и возвращаясь от Socket. Пользователи не заметят разницы, если у задания на печать будет дополнительная задержка пакетов в 20мс, но IT администраторы получат гораздо лучшую безопасность и контроль.
-
Если высокоскоростная маршрутизация на 1Gbps все еще необходима, Socket Cato поддерживает возможность локальной маршрутизации. Локальная маршрутизация позволяет маршрутизацию в Socket, то есть трафик между парой VLANs останется в Socket. Этот вид конфигурации обходит L7 сервисы безопасности от Cato (Антивирус и IPS). Тем не менее, если есть какая-либо зараженная рабочая станция, как только она начнет общение с внешним C&C или вредоносным прокси, это будет обнаружено и произойдет оповещение.
-
0 комментариев
Войдите в службу, чтобы оставить комментарий.