Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

RADWARE FireProof упрощает распределение нагрузки межсетевых экранов

Грегори Йеркса

На первый взгляд может показаться, что распределить трафик между двумя и более firewall-системами достаточно просто. Но, взявшись за это, вы можете столкнуться со значительными трудностями, начиная с возникновения проблем конфигурирования клиентского ПО и кончая появлением новых “слабых мест”.

Обычно для конфигурации сети, в которой трафик проходит через несколько firewall-систем, необходимо разрабатывать сложные схемы маршрутизации или применять специализированные межсетевые экраны. Конфигурирование маршрутизаторов для эффективного распределения нагрузки, в свою очередь, тоже требует применения соответствующего механизма, такого, как, например, протокол Hot Standby Routing Protocol (HSRP) фирмы Cisco Systems.

Некоторые межсетевые экраны, включая FireWall-1 фирмы Check Point Software Technologies, также могут передавать один другому информацию для обеспечения быстрого взаимного резервирования с минимальными потерями для сетевого трафика. Клиентские машины могут воспринимать две firewall-системы как два отдельных маршрута по умолчанию, и это способно осложнить процесс администрирования и работу, так как каждая из них будет являться точкой возможного отказа. Не влияет на распределение трафика и не дает возможности резервирования помещение клиентов в сегменты с разной конфигурацией и с различными шлюзами по умолчанию. И наконец, поддержка нескольких межсетевых экранов увеличивает объем работы, поскольку в таком случае растет число объектов управления, конфигурирования и мониторинга неисправностей.

Продукт FireProof фирмы RADWARE — это динамическая система распределения нагрузки, которая направляет трафик через межсетевые экраны и способна немедленно определять сбои в их работе.

С помощью FireProof конфигурирование всех клиентов сети выполняется одинаково, и для всей внутренней сети данное решение представляется как единая firewall-система. Добавление второго модуля FireProof обеспечивает полное ее резервирование путем создания высоконадежной конфигурации нескольких firewall-систем. FireProof работает с любым межсетевым экраном, поэтому вы можете не менять имеющееся у вас программное и аппаратное обеспечение.

В лаборатории Университета Висконсин-Мэдисон мы протестировали устройство FireProof вместе с межсетевым экраном NetScreen-100 фирмы NetScreen Technologies. До начала испытаний мы исследовали альтернативные методы реализации отказоустойчивой конфигурации нескольких firewall-систем, и это было непростой задачей (см. рис. “Альтернативная избыточная конфигурация firewall-систем”).

Наши тесты показали, что при наличии в корпоративной сети нескольких firewall-систем устройство FireProof является вполне уместным приобретением. Это отказоустойчивое решение упрощает процессы управления и резервирования, устраняя все сложности, связанные с конфигурацией маршрутизаторов и самой сети. Мы выяснили, что FireProof лучше всего использовать тогда, когда при наличии нескольких firewall-систем требуется обеспечить надежное межсетевое экранирование в отсутствие сложного использования дорогостоящего оборудования или фирменных протоколов. Дополнительный модуль FireProof для регулировки нагрузки повышает возможности резервирования; стоит он 6500 долл.

Мы создали доверенную сеть, “спрятав” ее за одиночным модулем FireProof и двумя firewall-системами NetScreen-100. После конфигурирования межсетевых экранов — задания IP-адресов и правил разграничения доступа по умолчанию — мы установили FireProof и направили клиентский трафик на IP-интерфейс FireProof, сконфигурировав последний в соответствии с информацией об IP-адресах firewall-систем и об их весах. Конфигурирование нового сетевого шлюза по умолчанию требует единовременного конфигурирования хостов в доверенной сети. Но этого можно избежать, если внести изменения в таблицу маршрутизации и назначить FireProof адрес для передачи пакетов по умолчанию.

Основная ценность продукта FireProof состоит в том, что с его помощью возможен выбор вариантов управления и распределения нагрузки. Во время тестирования мы без прерывания передачи трафика смогли добавить в сеть вторую firewall-систему. Более того, ПО FireProof помечает firewall-систему как отключенную, после чего прекращает посылать к ней трафик, позволяя безболезненно удалить ее из сети.

FireProof поддерживает несколько алгоритмов распределения нагрузки, включая карусельный метод (round-robin), методы наименьших объема трафика и количества пользователей. Нам особенно понравилась поддержка конфигурируемых SNMP-запросов: можно запрашивать значения как частных параметров SNMP программных и аппаратных firewall-систем, так и общедоступных параметров SNMP firewall-систем на базе ОС Microsoft Windows NT, таких, как FireWall-1. В соответствии с нуждами пользователей могут применяться модифицируемые варианты назначения весов для частных и для общедоступных параметров. Оценка нагрузки каждой firewall-системы на основании этих параметров имеет куда большее значение, чем время отклика при эхо-тестировании.

Управление FireProof мы осуществляли с помощью программного обеспечения Config Master фирмы RADWARE. Это легкое в использовании средство основано на протоколе SNMP. Используя мониторы производительности Config Master, работающие в режиме реального времени, мы определяли объем переданного трафика и число сброшенных пакетов. Кроме того, находясь в среде Config Master, мы получали информацию и о клиентских IP-соединениях. Тем не менее мы предпочли бы иметь кроссплатформенное средство управления либо Web-интерфейс (представители компании RADWARE заявляют, что в настоящий момент она работает над созданием средства управления, поддерживающего Web и Java).

Для проверки производительности и надежности FireProof мы выполнили контрольный тест с генерированием трафика и при этом выяснили, что производительности FireProof вполне достаточно для большинства каналов со средним трафиком от 80 до 83 Мбит/с. Что касается нас, то мы всего лишь с одним межсетевым экраном, установленным между доверенным и общедоступным сетевыми сегментами, достигли скорости 104 Мбит/с.

В то время как мы тестировали модель С устройства FireProof (на основе процессора Intel I960C), фирма RADWARE приступила к работе над моделью H (на основе процессора I960Н). Ожидается, что она будет иметь скорость, сопоставимую с той, какую обеспечивает соединительный кабель.

Мы рекомендуем использовать устройство FireProof в сетях со сравнительно низкими скоростями каналов и требующих высоконадежной конфигурации firewall-систем. Не лишне добавить, что в гигабитовых сетях и сетях Fast Ethernet могут возникать проблемы с производительностью.





  
10 '1999
СОДЕРЖАНИЕ

колонка редактора

• Почем фунт пакетов?

локальные сети

• Возможности и проблемы внедрения тонких клиентов

• Продукты для Gigabit Ethernet

• Технология 1000Base-T и медная проводка

бизнес

• IP-бухгалтерия от Cabletron

интернет и интрасети

• Использование технологии JDBC в приложениях Java

• Подготовка сети к групповому IP-вещанию

корпоративные сети

• Лучшие продукты 1999 года

• Организация резервных каналов. Практические советы

услуги сетей связи

• Visual поможет котролировать качество услуг АТМ

• WAP расширяет возможности мобильной связи

• Ох уж эти мобильные телефоны!

• Интеллектуальные услуги для тех, кто еще не в курсе

защита данных

• RADWARE FireProof упрощает распределение нагрузки межсетевых экранов

новые продукты

• Самый мощный NetServer; Новые маршрутизаторы Prestige



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх