seerozha (seerozha) wrote,
seerozha
seerozha

ESET NOD32 Firewall - обзор возможностей

Сегодня немного о решениях класса "шлюз организации внешнего доступа для корпоративной сети"

У одной известной коммерческой организации Южного Федерального Округа имеется несколько офисов (в том числе в Ростове-на-Дону, Краснодаре, и прочих) с тем или иным (достаточно значительным) количеством сетевых узлов внутри. Локальные вычислительные сети этих офисов необходимо объединять в единое логическое пространство для доступа к централизованным ИТ-службам, а также выпускать пользователей наружу через NAT и организовывать дополнительные сервисы по учету и защите - Firewall, DHCP, учет трафика через IPCAD или NetFlow, прокси и так далее.

В настоящее время этот функционал реализован на решениях класса OpenSource, которые необходимо обслуживать и поддерживать. Периодически у руководства возникают вопросы - "а почему бы нам не заменить имеющееся решение на аппаратное". Проведенные поиски привели меня к одному интересному продукту - ESET NOD32 Firewall (http://www.3dnews.ru/software-news/eset_nod32_firewall_dlya_korporativnih_polzovatelei/).

Основные характеристики этих решений, которые мне удалось найти, следующие:

Устройство

ESET NOD32 Firewall SMB

ESET NOD32 Business SMB

ESET NOD32 Firewall Corporate

База сервера

Dell PowerEdge R200

Dell PowerEdge R200

Dell PowerEdge 1950

Корпус

Rack 19” 1U

Rack 19” 1U

Rack 19” 1U

Число поддерживаемых пользователей

до 100

100 – 249

250 - 1000

CPU

Dual-Core Intel Xeon 3065

Quad-Core Intel Xeon 3220

2xDual Core Intel Xeon 5260

RAM

3 Gb

3 Gb

4 Gb

HDDs

2x160 Gb SATA

2x146 Gb SAS 3.5” 15k

2x146 Gb SAS 3.5” 15k

RAID Controller

SAS 6iR RAID0

SAS 6iR RAID1

SAS 6iR/PERC 6i  RAID1

Сетевой интерфейс

3-4 GbE

4-6GbE

6-10 GbE (опционально – 6 GbE+2x1000Base-SX)

Производительность файрвола

500 Mbps

1500 Mbps

3000 Mbps

Параллельные соединения

250 000

1 000 000

2 000 000

Производительность VPN

100 Mbps

250 Mbps

500 Mbps

Количество eMail в день

10 000

100 000

200 000

Стоимость покупки

169 000 руб.

288 000 руб.

504 000 руб.

Стоимость продления в год

62 000 руб.

138 000 руб.

200 000 руб.


Кратко прокомментирую - устройства реализованы на основе brand-серверов Dell, и рассчитаны на различную сетевую нагрузку.
Я связался с техподдержкой (весьма вменяемые люди, кстати), и после непродолжительных переговоров мне предоставили Web-интерфейс на уже смонтированное и включенное в работу устройство с правами на просмотр элементов интерфейса управления. Кроме того, они ответили на ряд наших вопросов по технической части (см. ниже в форме "мой вопрос" - "их ответ" - "мой комментарий".

Постановка задачи:
1 офис в г. № 1, количество активных IP-адресов во внутренней ЛВС – до 1500 шт.
1 офис в г. № 2, количество активных IP-адресов во внутренней ЛВС – до 100 шт.
1 офис в г. № 3, количество активных IP-адресов во внутренней ЛВС – до 100 шт.
1 офис в г. № 4, количество активных IP-адресов во внутренней ЛВС – до 200 шт.
1 офис в г. № 5, количество активных IP-адресов во внутренней ЛВС – до 100 шт.
1 офис в г. № 6, количество активных IP-адресов во внутренней ЛВС – до 300 шт.

В.: Реализуется ли функционал по обеспечению базового подключения офиса к внешним сетям (функционал маршрутизации ROUTING, трансляции адресов NAT); поддержка маршрутизации на два канала и возможность автоматического переключения между ними при отказах связи ?
О.: Да.

В.: Реализуется ли обеспечение дополнительных сетевых сервисов (автоматическое назначение адресов DHCP с закреплением определенных внутренних IP-адресов за одними и теми же МАС-адресами, DNS-сервера) ?
О.: Да.

В.: Реализовано ли обеспечение учета сетевого трафика с его детализацией до сетевого уровня включительно, и возможность получения данных учета по RSH (ipcad) или NetFlow ?
О: Есть возможность получения данных по NetFlow c помощью NTOP (см. ntop.org)

В. Реализована ли пакетная фильтрация сетевого трафика на сетевом и транспортном уровнях; возможность организации «проброса» портов и нескольких DMZ ?
О.: Да.

В. Реализовано ли обеспечение функционала сервисов eMail-прокси (автоматическая проверка всех входящих и исходящих писем на вирусные вложения и спам), «черные» и «белые» списки, поддержка основных технологий фильтрации спама (RBL, DNSBL, SPF) ?
О.: Да.

 В.: Реализовано ли обеспечение функционала HTTP/HTTPS-прокси (автоматическая проверка всего Интернет-трафика на вирусные вложения), управление списками доступа пользователей и групп пользователей к внешним сайтам (обязательна поддержка разрешений и блокировок по регулярным выражениям), крайне желательна возможность авторизации пользователей через Microsoft Active ведение учета Интернет-трафика с детализацией по пользователям ?
О.: Есть управление по спискам доступа (ACL) с возможностью указать регулярное выражение для источника, адреса, домена. Учет Интернет трафика возможен с помощью экспорта журнала прокси в csv файл и обработки его сторонними средствами (н-р в Excel). Остальное есть и поддерживается.

 В.: Реализована ли возможность построения между маршрутизаторами туннелей IP-IP, обеспечивающими «прозрачное» взаимодействие между компьютерами, находящимися за различными маршрутизаторами ?
О.: Поддерживаются VPN шлюз-шлюз туннели в режиме моста (единая сеть) и роутера (объединение разных сетей).
 

В.: Реализовано ли наличие средств архивации настроек (всех !!!) и их оперативного восстановления ?
О.: Да.

В.: Реализовано ли наличие VPN-сервера для подключения одиночных пользователей ?
О.: Да.

В.: Сколько составляет эффективное энергопотребление каждого из трех указанных решений, причем интересуют не паспортные данные серверов Dell, являющихся аппаратной платформой, а реальные, полученные из опыта эксплуатации (если такие данные имеются) ? Существуют ли рекомендации по системе гарантированного электропитания, которой должны быть оснащены такие сервера (учитывая, что они постоянно интенсивно работаю) ?
О. Энергопотребление не больше заявленных DELL значений. Как и для любых серверов работающих постоянно, рекомендуется подключать их к ИБП с соответствующей мощностью. При размещении одиночных серверов в комнате с вентиляцией – дополнительного охлаждения не требуется. 

В.: В описании характеристик маршрутизатора есть термин «параллельные соединения». Что конкретно имеется в виду ? Количество одновременных активных TCP-сессий ?
О.: Да.

В.: Каковы гарантийные условия замены устройства при его отказе ? Отказ устройства в основном офисе для нас является безусловной первоочередной проблемой. Сколько времени реально займет замена ?
О.: Замена серверно платформы не более 5 рабочих дней. Обычно срок реакции – сутки. Новый сервер отправляется экспресс-доставкой. Гарантия на серверные платформы DELL – 2 года. Замена производится через партнера ESET.

В.: Возможна ли конфигурация маршрутизаторов, при котором один работает основным, а другой резервным, и при отказе основного автоматически переключается в рабочий режим (из интерфейса управления вообще-то видно, что режим работы в кластере предусмотрен, необходимо более подробное описание – как это реализовано) ?
О.: Да, можно настроить чтобы при отказе какой либо службы на первичной ноде, поднималась вторичная с аналогичной конфигурацией. Используется drbd и heartbeat.

В.: Насколько различается производительность системы при включенных и выключенных механизмах IDS/IPS ? Есть какие-либо фактические данные ?
О.: Практически не отличается, т.к. в решении довольно мощная аппаратная часть.

В.: Достаточно часто VPN-клиенты различных государственных организаций (например, Сбербанка РФ) используют для организации защищенных каналов связи не IP-протокол в качестве транспорта, а другие – как это реализовано ?
О.: Этого нет. Поддержку шифрования по ГОСТ можно добавить. Но это тоже IP.

В.: Судя по WEB-интерфейсу, имеется поддержка SIP. Это SIP-Proxy, полнофункциональный SIP-сервер или еще что-то ? Будут ли проблемы при работе с видеоконференциями при использовании H.323 ?
О.: Это SIP прокси. Возможность его использования зависит от подключаемого оборудования и его настроек. (надо пробовать).

В.: В каком формате ведутся журналы ? Возможен ли их централизованный сбор (например, через syslogd, Microsoft SMS/MOM или еще как-нибудь) ?
О.: Журналы можно экспортировать в csv формат для дальнейшей обработки. Есть удобная система поиска по журналам. Журнал syslog можно получать удаленно по 514-му порту.


В.: Есть ли поддержка SNMP, если есть – то каких версий ?
О.: Нет.

В.: Можно ли получить руководство пользователя, чтобы более точно понять, как именно с точки зрения администрирования решаются те или иные задачи ?
О.: Да оно есть в сети. http://enf.esetnod32.ru/help/

В.: Какие документы нужно оформлять для заказа оборудования на тестирование, и на какой срок нам его предоставят ?
О.: Все документы оформляются между партнером и ESET. Заказчик подписывает с партнером гарантийное письмо. Сервер на тестирование предоставляется на 2 недели. Аплаинс будет предоставлен в течении 3 дней с момента подписания всех документов.

 

Tags: eset nod32 firewall, firewall, аппаратный шлюз, шлюз
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments