Какие Next-Generation Firewall вы используете?

Обсуждение техподдержки всего, для чего не нашлось соответствующего раздела.
slavik_ru(ripev)
Сообщения: 64
Зарегистрирован: 01 янв 1970 03:00

Какие Next-Generation Firewall вы используете?

Сообщение slavik_ru(ripev) » 01 май 2015 07:13

Вышел свежий отчет по рынку firewalls:
http://connect.paloaltonetworks.com/gar ... 15-success

Что используете? что нравится, а что нет?

Nathan Murr
Сообщения: 9
Зарегистрирован: 01 янв 1970 03:00

Какие Next-Generation Firewall вы используете?

Сообщение Nathan Murr » 01 май 2015 12:44

Начали полномасштабно выпиливать везде чекпоинты и ставить PAN. Довольны. Удобный и простой gui+cli , хорошее журналирование и дебаг. Много фич из коробки. Простой, но в то же время умный qos. Богатая KB и документация на сайте производителя + халявный 6-часовой вводный видео урок по модельному ряду, архитектуре, функционалу/фичам и базовой настройке.

Из огорчений пока разве что суппорт (пока что оказывает строго реселлер/партнер), довольно медленная навигация и commit в web-gui особенно на удаленных площадках, скупая поддержка фич (qos/netflow и т.п.) на саб и агрегатных (LACP) интерфейсах. Ну еще немного непривычно что это всё же ZBF, весь NAT в т.ч (помимо security) на это завязан и иногда легкая путаница возникает.

Позабавило "login.php" в адресной строке браузера при auth в web gui :-)

slavik_ru(ripev)
Сообщения: 64
Зарегистрирован: 01 янв 1970 03:00

Какие Next-Generation Firewall вы используете?

Сообщение slavik_ru(ripev) » 01 май 2015 13:34

to Nathan Murr:
Интересно, что Checkpoint и PAN в report единственные обозначены как лидеры рынка.

ZBF - это Zone Based Firewall?

Можно ли в PAN настраивать политику доступа в одном месте, чтобы потом соответствующие изменения система сама внедряла на всех железках?

Например, нужно разрешить доступ пользователя А к ресурсу Б. Путь от А до Б идет через 4 firewalls.
Ты прописываешь политику, что A разрешено идти к Б, а система сама соответствующие изменения на всех нужных железках.


Еще слышал, что в PAN можно делать политики для пользователей на основе именно пользователя, а не IP адресов. Как это работает? Стабильно?

Dmitriy Nikolaev(dimon)
Сообщения: 18
Зарегистрирован: 01 янв 1970 03:00

Какие Next-Generation Firewall вы используете?

Сообщение Dmitriy Nikolaev(dimon) » 01 май 2015 15:18

to Nathan Murr:
променяли одного технологического лидера рынка на другого? правильно говорят, что откаты это мировое явление.

Nathan Murr
Сообщения: 9
Зарегистрирован: 01 янв 1970 03:00

Какие Next-Generation Firewall вы используете?

Сообщение Nathan Murr » 01 май 2015 16:20

какие откаты, о чем вы? Обычный анализ стоимости апгрейда имеющегося изжившего себя железа (EoS), софта до r.75 хотя бы, необходимых модулей (например application control software blade, a/v, IPs/Ids), соответствующих лицензий и контрактов на суппорт. В нашем случае сыграло не в пользу ЧП, хотя лет 10 с переменным успехом пользовались - нареканий действительно было много, но не к безопасности.

Собстно PAN образован выходцами из ЧП.
Централизованный менеджмент железок есть - Panorama. У ЧП есть для этого smart domain, аналогичная штука, только у pan все через web gui, толстых клиентов нет. По конкретному сценарию что вы указали (от а до б через 4 FW) честно не знаю, надо смотреть.

User ID действительно есть. Источников мэппинга user to ip много, включая анализ внешних логов и agent приложения.

Pavel Podbelniy(PavelP)
Сообщения: 2
Зарегистрирован: 01 янв 1970 03:00

Какие Next-Generation Firewall вы используете?

Сообщение Pavel Podbelniy(PavelP) » 02 май 2015 03:32

Мы думали брать PAN'ы, но отказались от этой затеи и остались с джунами. Чему я очень рад. 56е и 58е коробки справляются со своей задачей, с тех поддержкой покамест серьезных проблем не было.

Меня вообще очень смущает понятие next-generation. Очередной маркетинговый bs.

Dmitriy Nikolaev(dimon)
Сообщения: 18
Зарегистрирован: 01 янв 1970 03:00

Какие Next-Generation Firewall вы используете?

Сообщение Dmitriy Nikolaev(dimon) » 02 май 2015 13:49

to Nathan Murr:
Вопрос стоимости бы решился, переговорами с СР о предоставлении дополнительного уровня скидок, вы же не по MSRP покупаете в конце концов. А вот миграция правил с CP на PAN - это же вручную скорее всего нужно делать, плюс персонал обучать, хороший скил траблшутинга инженеру за пару курсов тяжело получить, нужна практика, плюс изза недостатка опыта скорее всего будут проблемы на стадии внедрения - это все где вы косвенно проигрываете в деньгах с таким решением.

Nathan Murr
Сообщения: 9
Зарегистрирован: 01 янв 1970 03:00

Какие Next-Generation Firewall вы используете?

Сообщение Nathan Murr » 02 май 2015 14:49

Утилита миграции правил есть, собственно на нескольких сайтах уже все обкатали и проблем нет (пока). Для текущих потребностей хватает бесплатного вводного курса и официальной документации, хотя и очное обучение заложили конечно, с расчетом на запуск доп фич и модулей.
Касательно "решения" вопроса стоимости и скидок - по-медленнее пожалуйста я записываю (с)
Опять же, в нашем конкретном случае, с нашими объемами, количеством сайтов, спецификой каналов на них, количеством и опытом персонала и т.д. И т.п. Это оказалось целесообразным. Ни разу не означает, что кому-то еще подойдет этот же путь.

А какое счастье, что есть возможность разграничить административный доступ к правилам по vrf (хотя там это по другому называется) и делегировать девелоперам бесконечную возню со своими бесконечными пре-продакшн энвайронментами. Уже за одно только это, учитывая как разгрузит персонал и позволит сфокусироваться на выполнении других, более интересных и важных задач.

P.S.
Схожая ситуация сейчас с private wan от AT&T, к слову.

Pavel Podbelniy(PavelP)
Сообщения: 2
Зарегистрирован: 01 янв 1970 03:00

Какие Next-Generation Firewall вы используете?

Сообщение Pavel Podbelniy(PavelP) » 02 май 2015 15:08

to Nathan Murr:
У вас девы самостоятельно фаеры тюнят?!

Nathan Murr
Сообщения: 9
Зарегистрирован: 01 янв 1970 03:00

Какие Next-Generation Firewall вы используете?

Сообщение Nathan Murr » 02 май 2015 16:00

В AWS - да, но через change control process с нашим review. А в собственных ДЦ - Я сказал есть возможность :-) но да, очень хотим частично делегировать, благо разграничение доступа позволяет грамотно это сделать. Ну и привычный им веб гуи, плюс app id и content id упрощают задачу для неискушенных в сетях.


Вернуться в «Техническая поддержка: Прочее»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость