NextGeneration Firewally

NextGeneration Firewally pro ISP a poskytovatele služeb

Ochrana ISP sítě na perimetru je vnímána jako typická tradiční úloha firewallu. Tento mozek ISP sítě má však síť nejen chránit, ale dnes musí nabídnout mnohem víc. Na hranici ISP sítě, kam je nejčastěji v tomto prostředí moderní firewall nasazen je nutné řešit i:

  • Routing WAN vs. LAN vs. DMZ
  • Propojit perimetr LAN/DMZ routing (OSPF, iBGP) vs. globální WAN routing (eBGP)
  • NAT (Network Address Translation)
  • Security Firewall pravidla / politiky zón
  • IPv6 pokročilý filtering (v IPv6 může platit “NoNAT/SoMuchIPv6Fun”)
  • Základní DDoS ochranu (“Volume” metriky , “PacketBased” metriky)
  • Policing & Shaping
  • (NAT)SessionLog / Exporty hlaviček pro logování provozu
  • Poskytnutí virtuálního “Firewallingu” jako spravované služby zákazníkovi

Moderní firewally jsou často označovány jako tzv. NextGeneration firewally, dále již jen NGFW (z technického pohledu berme označení NG jako souhrn funkcionalit výše v kombinaci se schopnostmi firewallu pracovat až po sedmou vrstvu RM-OSI). Zatímco NGFW je typicky řešení postavené na HW chipu (Network Forwarding Chip) doplněné procesorem či procesory pro samotnou obsluhu jednotlivých procesů, řešení UTM, které je často srovnáváno s těmito NGFW boxy, je vesměs CPU based a míří na nižší objemy provozu dat avšak s pokročilejšími bezpečnostními funkcemi orientovanými spíše na SMB či Enterprise segment, tj. ochranu koncových stanic. Výkonné NGFW jsou tak v případě správné implementace ideálním komplexním řešením právě pro výše definované potřeby ISP s požadavkem na zvládnutí nemalého objemu provozu (typicky v jednotkách nebo desítkách Gbps).

NGFW typicky využívají rozdílného algoritmu pro tzv. “FirstSessionPacket” a “SubsequentPacket”, kdy úvodní paket typicky prochází jak HW chipem, tak i samotným hlavním CPU, aby se ověřila validita paketu/relace, sestavilo a nastavilo “Flow/Sekvence”a umožnilo následné konsekvenční procesování ostatních paketů relace právě již jen velmi výkonnými HW chipy.

 

Taková architektura zpracování provozu umožňuje procesování i násobků Gbps či 10Gbps provozu s miliony relací, a to současně s procesováním definovaných FW pravidel, NATu či IPv6 filteringu nebo i dalších výše uvedených funkcí. V porovnání s tradičním CPU based řešením je zde i další fundamentální odlišnost v podobě vlivu konfigurace pravidel na celkový výkon boxu. Zatímco na CPU based tradičním řešení je nutné při konfiguraci každého pravidla či podmínky NATu apod. nutno zvážit efekt na CPU, v případě NGFW a správného využití procesování na HW chipu lze i se stovkami či tisícovkami pravidel stále dosahovat maximálních propustností.

NGFW Huawei modelových řad USG 6500E a USG6600E nabízí právě boxy s touto NGFW architekturou s podporou širokého spektra funkcí vhodných právě do prostředí ISP, viz. požadavky výše, podporou 1G/10G i 40G rozhraní, a to vše s cenami, které u nižších modelů začínají na úrovni tradičních levných CPU based řešení (ceny v řádu desítek tisíc korun dle modelu pozitivně ohodnotilo již nemálo ISP v rámci ČR i SR, kteří toto řešení právě ve výše popsaném modelu používají).

Mezi klíčové požadavky na taková NGFW řešení patří schopnost realizovat NAT pro násobky provozu v řádu Gbps či 10Gbps, zvládnout statisíce či nižší milióny relací, a tomu odpovídající PPS, a to vše při využití i dalších výše uvedených funkcí. Obecná nutnost IPv4 NATu je často doprovázena požadavky na stovky až tisíce NAT pravidel i celou řadu navazujících NAT funkcí. Pro tyto funkce jsou uvedené modely Huawei USG výborně vybavené. Mezi další často implementované funkce na těchto Huawei USG patří především:

  • IPv4 NAT
  • NAT server / ServerMapping
  • NAT 1:1 (Bidirectional NAT)
  • Kombinace dynamického i statického NATu
  • Podmíněné kombinace „source“ & “destination” NAT
  • NAT Balancing
  • NAT ALG (NAT Application Layer Gateway)

Na tuto velmi komplexní skupinu NAT funkcí navíc navazuje celá řada dalších podporovaných NAT funkcionalit určených právě do rozsáhlých poskytovatelských sítí – tzv. CGN (Carrier Grade NAT funkce), jmenujme např.

  • NAT444
  • NAT6to4
  • IPv6 DS-Lite
  • atd.

S ohledem na narůstající objemy provozu v IPv6 je nutné počítat s potřebou i většího množství politik a pravidel právě souvisejích s různými metodami implementací IPv6 v ISP prostředí. Společným jmenovatelem pro různé IPv6 cesty je však vždy relativně vyšší počet FW pravidel související s jiným modelem (no)/NAT v IPv6 prostředí. I tento argument mluví ve prospěch těchto HW based řešení a jejich schopností procesovat vysoký výkon se současnou expanzí pravidel.

Jako další konsekvenční téma je vhodné domyslet logování provozu, ať již případným tradičním řešením v podobě možnosti exportu hlaviček (tradiční Netflow export na kolektory typu Flowmon, dnes již pod hlavičkou společnosti Kemp, či velmi efektivní, a přesto dostačující export samotného NAT session logu). Firewall pro každou NAT relaci vytváří záznam nejen do NAT tabulky, ale analogicky právě i do NAT session logu. Zde jsou pak k dispozici přesně ty údaje, které typicky potřebujete pro identifikaci uživatele či domácnosti. Máte k dispozici privátní i veřejnou adresu, timestamp i další údaje. Pro řešení logování provozu uživatelů a související povinnosti retence dat je tak k dispozici i tato možnost jako další zabudované funkce těchto NGFW bez nutnosti dalších rozsáhlých investic.

Vývojáři těchto modelových řad Huawei USG mysleli i na možnost virtuálních kontextů (tj. možnosti definovat v rámci jediného boxu vice virtuálních kontextů, včetně přidělení zdrojů a separace managementu).

Na rozdíl od většiny NGFW s proprietárním či relativně málo čitelným operačním systémem jsou NGFW Huawei postaveny na tradičním operačním systému Huawei VRP, tj. lze velmi dobře využít analogických konfiguračních zvyklostí z dalších platforem, jako např. Huawei switchů či routerů. K dispozici je ale např. i dnes stale častěji požadované API, např. v podobě kompletně dokumentovaného NetConf API. Pro případné skriptování či napojení na další systémy prostředí ISP lze využít i tradičního skriptingu via SSH. K dispozici je však i velmi efektivní a přehledné web GUI, které můžeme doporučit např. pro úvodní konfigurace či tvorbu template samotných nebo i diagnostiku a troubleshooting. Ten nabízí široké spektrum funkcí od základní diagnostiky a logování až po možnost podmíněného PCAPu (capture) definovaného provozu.

Vyzkoušejte i vy velmi dobře hodnocené možnosti těchto modelových řad Huawei USG NG FW. Již celá řada ISP v českém i slovenském prostředí využívá této platformy. V případě zájmu neváhejte požádat o vzdálený přístup do našeho labu na vybraná USG či přímo o zápujčku HW boxu či online konzultaci možností platformy Huawei NGFW USG 6500E/USG6600E.

 

description: ; keywords: ;