Какие Next-Generation Firewall вы используете?

[slavik_ru(ripev)]

Вышел свежий отчет по рынку firewalls:
http://connect.paloaltonetworks.com/gar ... 15-success

Что используете? что нравится, а что нет?

[Nathan Murr]

Начали полномасштабно выпиливать везде чекпоинты и ставить PAN. Довольны. Удобный и простой gui+cli , хорошее журналирование и дебаг. Много фич из коробки. Простой, но в то же время умный qos. Богатая KB и документация на сайте производителя + халявный 6-часовой вводный видео урок по модельному ряду, архитектуре, функционалу/фичам и базовой настройке.

Из огорчений пока разве что суппорт (пока что оказывает строго реселлер/партнер), довольно медленная навигация и commit в web-gui особенно на удаленных площадках, скупая поддержка фич (qos/netflow и т.п.) на саб и агрегатных (LACP) интерфейсах. Ну еще немного непривычно что это всё же ZBF, весь NAT в т.ч (помимо security) на это завязан и иногда легкая путаница возникает.

Позабавило "login.php" в адресной строке браузера при auth в web gui

[slavik_ru(ripev)]

to Nathan Murr:
Интересно, что Checkpoint и PAN в report единственные обозначены как лидеры рынка.

ZBF - это Zone Based Firewall?

Можно ли в PAN настраивать политику доступа в одном месте, чтобы потом соответствующие изменения система сама внедряла на всех железках?

Например, нужно разрешить доступ пользователя А к ресурсу Б. Путь от А до Б идет через 4 firewalls.
Ты прописываешь политику, что A разрешено идти к Б, а система сама соответствующие изменения на всех нужных железках.


Еще слышал, что в PAN можно делать политики для пользователей на основе именно пользователя, а не IP адресов. Как это работает? Стабильно?

[Dmitriy Nikolaev(dimon)]

to Nathan Murr:
променяли одного технологического лидера рынка на другого? правильно говорят, что откаты это мировое явление.

[Nathan Murr]

какие откаты, о чем вы? Обычный анализ стоимости апгрейда имеющегося изжившего себя железа (EoS), софта до r.75 хотя бы, необходимых модулей (например application control software blade, a/v, IPs/Ids), соответствующих лицензий и контрактов на суппорт. В нашем случае сыграло не в пользу ЧП, хотя лет 10 с переменным успехом пользовались - нареканий действительно было много, но не к безопасности.

Собстно PAN образован выходцами из ЧП.
Централизованный менеджмент железок есть - Panorama. У ЧП есть для этого smart domain, аналогичная штука, только у pan все через web gui, толстых клиентов нет. По конкретному сценарию что вы указали (от а до б через 4 FW) честно не знаю, надо смотреть.

User ID действительно есть. Источников мэппинга user to ip много, включая анализ внешних логов и agent приложения.

[Pavel Podbelniy(PavelP)]

Мы думали брать PAN'ы, но отказались от этой затеи и остались с джунами. Чему я очень рад. 56е и 58е коробки справляются со своей задачей, с тех поддержкой покамест серьезных проблем не было.

Меня вообще очень смущает понятие next-generation. Очередной маркетинговый bs.

[Dmitriy Nikolaev(dimon)]

to Nathan Murr:
Вопрос стоимости бы решился, переговорами с СР о предоставлении дополнительного уровня скидок, вы же не по MSRP покупаете в конце концов. А вот миграция правил с CP на PAN - это же вручную скорее всего нужно делать, плюс персонал обучать, хороший скил траблшутинга инженеру за пару курсов тяжело получить, нужна практика, плюс изза недостатка опыта скорее всего будут проблемы на стадии внедрения - это все где вы косвенно проигрываете в деньгах с таким решением.

[Nathan Murr]

Утилита миграции правил есть, собственно на нескольких сайтах уже все обкатали и проблем нет (пока). Для текущих потребностей хватает бесплатного вводного курса и официальной документации, хотя и очное обучение заложили конечно, с расчетом на запуск доп фич и модулей.
Касательно "решения" вопроса стоимости и скидок - по-медленнее пожалуйста я записываю (с)
Опять же, в нашем конкретном случае, с нашими объемами, количеством сайтов, спецификой каналов на них, количеством и опытом персонала и т.д. И т.п. Это оказалось целесообразным. Ни разу не означает, что кому-то еще подойдет этот же путь.

А какое счастье, что есть возможность разграничить административный доступ к правилам по vrf (хотя там это по другому называется) и делегировать девелоперам бесконечную возню со своими бесконечными пре-продакшн энвайронментами. Уже за одно только это, учитывая как разгрузит персонал и позволит сфокусироваться на выполнении других, более интересных и важных задач.

P.S.
Схожая ситуация сейчас с private wan от AT&T, к слову.

[Pavel Podbelniy(PavelP)]

to Nathan Murr:
У вас девы самостоятельно фаеры тюнят?!

[Nathan Murr]

В AWS - да, но через change control process с нашим review. А в собственных ДЦ - Я сказал есть возможность но да, очень хотим частично делегировать, благо разграничение доступа позволяет грамотно это сделать. Ну и привычный им веб гуи, плюс app id и content id упрощают задачу для неискушенных в сетях.