Корпоративный интернет-шлюз — голова ИТ-инфраструктуры, но в случае любых проблем он мгновенно превращается в другую часть тела… для компании.

Выбор интернет-шлюза зависит от множества обстоятельств: выделенного бюджета, квалификации и пристрастий к аппаратным и программным решениям ответственного за сеть админа, размера сети, необходимости наличия сертификатов и т.д. Наверное, эта статья не для познавших Дао гуру, которые с помощью подручных средств вроде третьего пенька, бубна и какой-то матери играючи могут обеспечить бесперебойный доступ в интернет и контроль трафика для сотен машин. Мы поговорим о вещах более стандартных и приземленных: как выбрать корпоративный интернет-шлюз и что в нем должно быть?



Аппаратное или программное решение?


В первую очередь, стоит определиться: выбрать аппаратное решение или же программное. Большинство аппаратных решений выпускаются преднастроенными и работают по принципу «поставил и забыл». В условиях ограниченного бюджета и при недостаточной квалификации лучше (от греха подальше) использовать аппаратное решение.

Кастомизацией настроек и количеством возможностей контроля и управления сетью при таком подходе приходится пожертвовать. Программные же решения обычно предполагают постоянный контроль работы сети, анализ статистики, настройку параметров фильтрации, выбор режима работы, добавления пользователей, изменение политик безопасности, – в общем, разумное использование имеющегося функционала. Поэтому если нужно заточить продукт под себя «от и до» и иметь полный набор инструментов для управления сетью – необходимо соответствующее программное решение и собственный корпоративный сервер.

Необходимый функционал корпоративного интернет-шлюза


Интернет-шлюз организует бесперебойную работу в интернете всех работников фирмы, поэтому прокси-сервер, на базе которого он выполнен, должен обладать достаточным функционалом, удобным интерфейсом и возможностью гибкой настройки сети и прав доступа: VIP-пользователям обеспечить полный доступ к сети, а рядовым отрубить ВКонтакте и любимые форумы. Также важно легко управлять скоростью пользователей, устанавливать приоритеты для различных видов трафика (например, повысить приоритет IP-телефонии для обеспечения качественной связи и понизить для архивов). Не стоит забывать и о поддержке VPN и NAT. Крайне полезна возможность удаленного администрирования, чтобы львиную долю проблем с сетью можно было решать, не выходя из дома.

Встроенный прокси-сервер помогает контролировать и экономить интернет-трафик: он позволяет анализировать запросы пользователей, загружаемые сайты и их элементы и действовать в строгом соответствии с установленными правилами. Обычно от интернет-шлюза требуются следующие функции фильтрации трафика:

  • наличие контентной фильтрации,
  • возможность фильтрации HTTPS,
  • назначение фильтров в зависимости по времени,
  • на определенные группы пользователей,
  • наличие готовых шаблонов для правил.

Часто используются системы каскадирования прокси, возможность перенаправления трафика разных пользователей на разные вышестоящие прокси, причем с разными способами и типами авторизации.

Отдельно стоит сказать о статистике, которая для интернет-шлюза является не «третьим видом лжи», а важным источником информации о поведении пользователя. Благодаря статистике можно в любое время узнать, кто из пользователей забивает Интернет-канал, на каких ресурсах зависают сотрудники и когда пора блокировать сайты и резать лимит трафика.



Кроме того, интернет-шлюз обеспечивает защиту корпоративной сети от внешних воздействий. Особенно надежная защита важна в случае, когда по тем или иным причинам не только пользователи сидят под Windows, но и сам сервер (не будем разводить холивар на тему, почему под Windows, но практика показывает, так бывает весьма часто). В таком случае антивирус и фаервол необходимы как воздух. Также нужен модуль защиты от фишинга и, главное, прямые руки того, кто все это великолепие настраивает.

Отдельная тема – наличие сертификатов безопасности, которые, во-первых, определенную безопасность гарантируют (абы кому их не выдают), а во-вторых, в случае наличия сертификата ФСТЭК, интернет-шлюз не вызовет подозрения в ходе «всеми горячо любимых» бюрократических проверок организации.

Основные проблемы сисадминов с интернет-шлюзом


Каждый раз при размещении нового сервера или службы у сисадмина возникает проблема: как «вписать» новую постоянно работающую службу или сервер в уже устоявшуюся сеть.

Как подстроить NAT и другие сетевые службы для ее корректной работы, будет ли данный сервер в AD, могут ли на нем размещаться другие сетевые службы или сервер должен быть выделенным. Это не зависит от способа реализации – это вопрос сетевого планирования.

Основные проблемы при использовании программных шлюзов следующие. В первую очередь это знакомая многим ситуация: старый админ уволился, а новый гений в процессе работы сбил корректно работающие настройки и понятия не имеет, почему ничего не работает, и что же теперь делать. Тяжелый случай – прошлый админ корректно все настроил через фряху, а админ – любитель Windows полез разбираться с печальными для себя и предприятия последствиями. Часто у новичков встречается некорректная настройка фильтров из-за нежелания прочесть мануал и понять, что же там написано. Или просто пользователь поставил программу и понятия не имеет, а что же с ней делать.

В общем, интернет-шлюз – это инструмент, который нужно подбирать в зависимости от решаемых задач, вкусов и компетентности отвечающего за безопасную и бесперебойную работу сети сисадмина. Главное, чтобы сеть работала как часы и выполняла важнейшую возложенную на нее функцию обеспечения коммуникации организации с внешним миром.

Благодарим вас за внимание и ждем ваших комментариев.

Предыдущие посты:

Комментарии (21)


  1. ibKpoxa
    13.05.2015 17:25
    +11

    Так как же выбрать корпоративный интернет-шлюз?


    1. blind_oracle
      13.05.2015 17:29
      +12

      Ну здрасьте, купить Traffic Inspector конечно же.


      1. ibKpoxa
        13.05.2015 17:38
        +6

        Ну не знаю, у меня на шлюзе есть BGP, а Traffic Inspector его не умеет, шлюз ли это.


        1. blind_oracle
          13.05.2015 17:44
          -2

          Да, проблема. Нужно им Feature Request отправить.


        1. foxnetwork
          13.05.2015 20:29

          Мне казалось, самому ТИ это и не надо уметь. BGP, кстати, кое-как умеет Windows 2012 R2, на котором может быть запущен TI,


  1. sigmatik
    13.05.2015 17:33
    +2

    >>Программные же решения обычно предполагают постоянный контроль работы сети, анализ статистики, настройку параметров фильтрации, выбор режима работы, добавления пользователей, изменение политик безопасности

    То есть вы намекаете на то, что аппаратные решения не требуют настройки параметров фильтрации и добавление пользователей? То есть это типа ни к чему, все итак будет тип топ? :)


    1. Smart_Soft Автор
      14.05.2015 10:31
      -3

      Во-первых «обычно», а во-вторых на железных решениях в любом случае выполнены преднастройки системы хоть в каком-то виде. Пользователь не начинает работу с установки ОС, настройки ее параметров. Практически так, они требуют минимальные настройки.


  1. lvx
    13.05.2015 18:42
    +1

    Кажется, ваш сайт оказался не готов к эффекту от поста.


    1. Smart_Soft Автор
      14.05.2015 08:25
      -3

      К какому эффекту?


    1. Smart_Soft Автор
      14.05.2015 08:32
      -3

      Вы думаете переходы с Хабра могут повлиять на сайт? Это были технические нюансы, наши специалисты вчера их оперативно решили.


      1. titulusdesiderio
        14.05.2015 12:15
        +1

        Вы неспособны обрабатывать траффик на свой сайт, при этом продаёте ПО его обрабатывающее? Спасибо, не надо.


        1. Smart_Soft Автор
          14.05.2015 12:29
          -2

          Дело не в траффике. Мы способны на многое!


          1. titulusdesiderio
            14.05.2015 16:29

            Извините. Зря я на вас набросился.
            Но, как говориться, встречают по одёжке.


  1. netvolart
    13.05.2015 22:39
    +3

    Большинство аппаратных решений выпускаются преднастроенными и работают по принципу «поставил и забыл». В условиях ограниченного бюджета и при недостаточной квалификации лучше (от греха подальше) использовать аппаратное решение.

    Вы серьёзно? Juniper,Cisco ASA «Поставил и забыл» при «ограниченном» бюджете и недостаточной квалификации?


    1. Smart_Soft Автор
      14.05.2015 10:30
      -3

      Мы хотели поделиться опытом работы в сегменте SMB.


    1. JDima
      14.05.2015 13:50
      +1

      А с чего вдруг ASA стала аппаратным решением? Это же 100% софтовая реализация — как базового форвардинга с NAT/ACL, так и тем более фич NGFW. Вот FWSM — аппаратная штука, но она давно EOL, и она не лезет выше L4.

      По-моему, аппаратных решений указанного класса (с хотя бы простейшей URL фильтрацией) вообще в природе не существует, нет ни у кого настолько продвинутых ASIC'ов. Судя по контексту статьи, товарищ Smart_Soft путает понятия «appliance» (относится к ASA, которая может быть как огороженным физическим сервером с предустановленным ПО и в некоторых случаях чуть нестандартной компоновкой внутренних шин, так и настолько же огороженной виртуалкой внутри VMWare, без доступа администратора в шелл ОС) и собственно «аппаратное решение» (обработка реализована не на general-purpose CPU, а на специализированной логике).

      Продолжая про ASA — она умеет до хрена и больше с точки зрения указанных задач, включая «постоянный контроль работы сети, анализ статистики, настройку параметров фильтрации, выбор режима работы, добавления пользователей, изменение политик безопасности».

      А подлинно аппаратные устройства вроде цискиных линеек ASR в роли «корпоративного шлюза» никто и не использует, они недостаточно application-aware, вот на бордере с провайдерами — запросто.


      1. netvolart
        14.05.2015 14:51
        -1

        Ох глубоко вы копнули. Три раза перечитать пришлось)
        Ну тут ясно же, что речь точно не идет об выполнении функций ASIC-ами.
        В широком смысле программное: cофт, который ставится на сервер. Сервер мы выставляем наружу.
        Аппаратное: отдельное решение (appliance или виртуалка не важно в данном контексте.) Да-да, я знаю, что его тоже можно рассматривать как софт циски поставленный на *nix.

        По теме:
        Smart_Soft объяснили, что позиционируют решение больше для SMB. Вполне вероятно, что для небольшой организации (где на Internet Edge часто используют сервер с виндой/фряхой) как раз с «ограниченным» бюджетом использование TI имеет смысл. При условии не большой цены TI.




      1. timoor
        15.05.2015 12:03

        Ну и не стоит забывать, что таки в этом «аппаратном решении» вшит вполне себе Linux.


        1. JDima
          15.05.2015 13:03

          Не стоит забывать, что тот Linux отвечает почти исключительно за доступ администратора к железке, за обмен информацией с другими железками и за программирование той логики, которая собственно передает данные. В передаче данных он участвовать не должен.


  1. r00tGER
    14.05.2015 12:17
    +1

    По моему, в прошлом посте о «воскрешении» TI, его наоборот с почестями похоронили.


    1. Smart_Soft Автор
      14.05.2015 12:31
      -3

      Если вы читаете наш блог, значит TI жив и здоров, да еще и в прекрасном настроении)