У одной известной коммерческой организации Южного Федерального Округа имеется несколько офисов (в том числе в Ростове-на-Дону, Краснодаре, и прочих) с тем или иным (достаточно значительным) количеством сетевых узлов внутри. Локальные вычислительные сети этих офисов необходимо объединять в единое логическое пространство для доступа к централизованным ИТ-службам, а также выпускать пользователей наружу через NAT и организовывать дополнительные сервисы по учету и защите - Firewall, DHCP, учет трафика через IPCAD или NetFlow, прокси и так далее.
В настоящее время этот функционал реализован на решениях класса OpenSource, которые необходимо обслуживать и поддерживать. Периодически у руководства возникают вопросы - "а почему бы нам не заменить имеющееся решение на аппаратное". Проведенные поиски привели меня к одному интересному продукту - ESET NOD32 Firewall (http://www.3dnews.ru/software-news/eset_nod32_firewall_dlya_korporativnih_polzovatelei/).
Основные характеристики этих решений, которые мне удалось найти, следующие:
Устройство | ESET NOD32 Firewall SMB | ESET NOD32 Business SMB | ESET NOD32 Firewall Corporate |
База сервера | Dell PowerEdge R200 | Dell PowerEdge R200 | Dell PowerEdge 1950 |
Корпус | Rack | Rack | Rack |
Число поддерживаемых пользователей | до 100 | 100 – 249 | 250 - 1000 |
CPU | Dual-Core Intel Xeon 3065 | Quad-Core Intel Xeon 3220 | 2xDual Core Intel Xeon 5260 |
RAM | 3 Gb | 3 Gb | 4 Gb |
HDDs | 2x160 Gb SATA | 2x146 Gb SAS | 2x146 Gb SAS |
RAID Controller | SAS 6iR RAID0 | SAS 6iR RAID1 | SAS 6iR/PERC 6i RAID1 |
Сетевой интерфейс | 3-4 GbE | 4-6GbE | 6-10 GbE (опционально – 6 GbE+2x1000Base-SX) |
Производительность файрвола | 500 Mbps | 1500 Mbps | 3000 Mbps |
Параллельные соединения | 250 000 | 1 000 000 | 2 000 000 |
Производительность VPN | 100 Mbps | 250 Mbps | 500 Mbps |
Количество eMail в день | 10 000 | 100 000 | 200 000 |
Стоимость покупки | 169 000 руб. | 288 000 руб. | 504 000 руб. |
Стоимость продления в год | 62 000 руб. | 138 000 руб. | 200 000 руб. |
Я связался с техподдержкой (весьма вменяемые люди, кстати), и после непродолжительных переговоров мне предоставили Web-интерфейс на уже смонтированное и включенное в работу устройство с правами на просмотр элементов интерфейса управления. Кроме того, они ответили на ряд наших вопросов по технической части (см. ниже в форме "мой вопрос" - "их ответ" - "мой комментарий".
Постановка задачи:
1 офис в г. № 1, количество активных IP-адресов во внутренней ЛВС – до 1500 шт.
1 офис в г. № 2, количество активных IP-адресов во внутренней ЛВС – до 100 шт.
1 офис в г. № 3, количество активных IP-адресов во внутренней ЛВС – до 100 шт.
1 офис в г. № 4, количество активных IP-адресов во внутренней ЛВС – до 200 шт.
1 офис в г. № 5, количество активных IP-адресов во внутренней ЛВС – до 100 шт.
1 офис в г. № 6, количество активных IP-адресов во внутренней ЛВС – до 300 шт.
В.: Реализуется ли функционал по обеспечению базового подключения офиса к внешним сетям (функционал маршрутизации ROUTING, трансляции адресов NAT); поддержка маршрутизации на два канала и возможность автоматического переключения между ними при отказах связи ?
О.: Да.
В.: Реализуется ли обеспечение дополнительных сетевых сервисов (автоматическое назначение адресов DHCP с закреплением определенных внутренних IP-адресов за одними и теми же МАС-адресами, DNS-сервера) ?
О.: Да.
В.: Реализовано ли обеспечение учета сетевого трафика с его детализацией до сетевого уровня включительно, и возможность получения данных учета по RSH (ipcad) или NetFlow ?
О: Есть возможность получения данных по NetFlow c помощью NTOP (см. ntop.org)
В. Реализована ли пакетная фильтрация сетевого трафика на сетевом и транспортном уровнях; возможность организации «проброса» портов и нескольких DMZ ?
О.: Да.
В. Реализовано ли обеспечение функционала сервисов eMail-прокси (автоматическая проверка всех входящих и исходящих писем на вирусные вложения и спам), «черные» и «белые» списки, поддержка основных технологий фильтрации спама (RBL, DNSBL, SPF) ?
О.: Да.
В.: Реализовано ли обеспечение функционала HTTP/HTTPS-прокси (автоматическая проверка всего Интернет-трафика на вирусные вложения), управление списками доступа пользователей и групп пользователей к внешним сайтам (обязательна поддержка разрешений и блокировок по регулярным выражениям), крайне желательна возможность авторизации пользователей через Microsoft Active ведение учета Интернет-трафика с детализацией по пользователям ?
О.: Есть управление по спискам доступа (ACL) с возможностью указать регулярное выражение для источника, адреса, домена. Учет Интернет трафика возможен с помощью экспорта журнала прокси в csv файл и обработки его сторонними средствами (н-р в Excel). Остальное есть и поддерживается.
В.: Реализована ли возможность построения между маршрутизаторами туннелей IP-IP, обеспечивающими «прозрачное» взаимодействие между компьютерами, находящимися за различными маршрутизаторами ?
О.: Поддерживаются VPN шлюз-шлюз туннели в режиме моста (единая сеть) и роутера (объединение разных сетей).
В.: Реализовано ли наличие средств архивации настроек (всех !!!) и их оперативного восстановления ?
О.: Да.
В.: Реализовано ли наличие VPN-сервера для подключения одиночных пользователей ?
О.: Да.
В.: Сколько составляет эффективное энергопотребление каждого из трех указанных решений, причем интересуют не паспортные данные серверов Dell, являющихся аппаратной платформой, а реальные, полученные из опыта эксплуатации (если такие данные имеются) ? Существуют ли рекомендации по системе гарантированного электропитания, которой должны быть оснащены такие сервера (учитывая, что они постоянно интенсивно работаю) ?
О. Энергопотребление не больше заявленных DELL значений. Как и для любых серверов работающих постоянно, рекомендуется подключать их к ИБП с соответствующей мощностью. При размещении одиночных серверов в комнате с вентиляцией – дополнительного охлаждения не требуется.
В.: В описании характеристик маршрутизатора есть термин «параллельные соединения». Что конкретно имеется в виду ? Количество одновременных активных TCP-сессий ?
О.: Да.
В.: Каковы гарантийные условия замены устройства при его отказе ? Отказ устройства в основном офисе для нас является безусловной первоочередной проблемой. Сколько времени реально займет замена ?
О.: Замена серверно платформы не более 5 рабочих дней. Обычно срок реакции – сутки. Новый сервер отправляется экспресс-доставкой. Гарантия на серверные платформы DELL – 2 года. Замена производится через партнера ESET.
В.: Возможна ли конфигурация маршрутизаторов, при котором один работает основным, а другой резервным, и при отказе основного автоматически переключается в рабочий режим (из интерфейса управления вообще-то видно, что режим работы в кластере предусмотрен, необходимо более подробное описание – как это реализовано) ?
О.: Да, можно настроить чтобы при отказе какой либо службы на первичной ноде, поднималась вторичная с аналогичной конфигурацией. Используется drbd и heartbeat.
В.: Насколько различается производительность системы при включенных и выключенных механизмах IDS/IPS ? Есть какие-либо фактические данные ?
О.: Практически не отличается, т.к. в решении довольно мощная аппаратная часть.
В.: Достаточно часто VPN-клиенты различных государственных организаций (например, Сбербанка РФ) используют для организации защищенных каналов связи не IP-протокол в качестве транспорта, а другие – как это реализовано ?
О.: Этого нет. Поддержку шифрования по ГОСТ можно добавить. Но это тоже IP.
В.: Судя по WEB-интерфейсу, имеется поддержка SIP. Это SIP-Proxy, полнофункциональный SIP-сервер или еще что-то ? Будут ли проблемы при работе с видеоконференциями при использовании H.323 ?
О.: Это SIP прокси. Возможность его использования зависит от подключаемого оборудования и его настроек. (надо пробовать).
В.: В каком формате ведутся журналы ? Возможен ли их централизованный сбор (например, через syslogd, Microsoft SMS/MOM или еще как-нибудь) ?
О.: Журналы можно экспортировать в csv формат для дальнейшей обработки. Есть удобная система поиска по журналам. Журнал syslog можно получать удаленно по 514-му порту.
В.: Есть ли поддержка SNMP, если есть – то каких версий ?
О.: Нет.
В.: Можно ли получить руководство пользователя, чтобы более точно понять, как именно с точки зрения администрирования решаются те или иные задачи ?
О.: Да оно есть в сети. http://enf.esetnod32.ru/help/
В.: Какие документы нужно оформлять для заказа оборудования на тестирование, и на какой срок нам его предоставят ?
О.: Все документы оформляются между партнером и ESET. Заказчик подписывает с партнером гарантийное письмо. Сервер на тестирование предоставляется на 2 недели. Аплаинс будет предоставлен в течении 3 дней с момента подписания всех документов.