konstrukce firewallu

[Ing. Pavel PaJaSoft Janoušek]

Lubos Moscovic <mailto:herrman na herrman.sk> wrote:
> Ja zase vychadzam z nazoru, ze clovek je tvor omylny, to je dovolim si
> tvrdit taktiez vcelku pravdive, a tak pri vacsich podnikoch s vacsimi
> sietami je mozno (podla mojho nazoru) vhodnejsie zvolit radsej
> rozlozenie na viacero strojov co okrem inych vyhod prinesie aj moznost
> formulovat jasnejsie, zrozumitelnejsie, ci prehladnejsie
> pravidla. Ano,

	Delegování odpovědnosti, práv atd., na která zřejmě narážíte v tomto
případě nemá smysl, protože vše se opět centralizuje v "připojení k
Internetu" (takže buď připojení je nebo není funkční - mezi těmito stavy
budete těžko hledat něco mezi) - takže administrativně náročnější prostorové
oddělení a dekompozice problému - kupodivu v konečném důsledku je spíše na
škodu... Leda že byste dekomponoval i administrátorskou pozici a nekončilo
to v centrálním JEDINÉM bodě... - třeba každé patro managuje po stránce
zdrojů nějaká konkrétní osoba, každé patro je připojeno ke "sdíleným"
prostředkům, které obhospodařuje další a vše končí v Internetu... - pak to
má smysl...

	Naopak tříštění konfigurace tam, kde to z logického hlediska návrhu
není možné je akorát cesta, jak si zadělat na vyšší chybovost, které se
chceme vyhnout... Pochopil bych, kdyby skutečný supervizor definoval
bezpečnostní zóny - Internet, Intranet, DMZ, VPN apod. a konkrétní podobu
těchto zón by vtiskli už jiní... - ale dekomponovat supervizora je zpravidla
nereálné a přiznám se, že jsem se s ním v této podobě ještě nesetkal...

	A jelikož původní tazatel nepracoval s abstraktvním/logickým modelem
zón, ale s konkrétní implementací/nasazením jedno strojové konfigurace s
více ETH porty a více strojové konfiguraci s ETH porty pro "tak akorát
routování" (= 2 kusy), tvrdím, že z tohoto pohledu má varianta více strojů
větší nezanedbatelné náklady bez adekvátního vyvážení na straně přidané
hodnoty. A už raději vůbec neuvažuji o tom, že mu to zaměstnavatel nakonec
"upraví" třeba tak, že mu oznámí, že po HW stránce stačí výkon tak na ten
bod jedna dáme DNS apod. a na ten bod dva třeba mail server... (jako typická
ukázka myšlení se kterým se běžně setkávám)... pak jakákoli snaha o
systematický přístum a řešení problematiky jde do ...

	Naopak za příklad bych si vzal třeba enterprise řešení HW firewallů
(zpravidla blackboxů), kde je jasně patrno, že nejprve se prostřednictvím
jedné inteligentní krabičky (obhospodařované supervisorem) definují zóny a
ty se pak obhospodařovávají jinými krabičkami, jejichž správu mohou mít na
starost jiní... - tímto eufemismem chci říci pouze to, že "krabička" =
entita v modelu a konkrétní implementace je podružná (a ve velkých firmách
je zpravidla entita v modelu skutečně konkrétní (a osamocená) reálná HW
"krabička").

	A nehledíme-li na finanční náročnost, tak musíme dojít ke zjištění,
že nakonfigurovat HW krabičku, zazálohovat konfiguraci a při poruše tuto
krabičku vyměnit a obnovit konfiguraci je opravdu jednodušší (po všech
stránkách) než obhospodařovávat Linuxový routero-server s množstvím
poruchových dílů...

PS: Autor tohoto příspěvku má také raději Linuxové routery s vyššími
konfigurovatelnými možnosti z hlediska síťové topologie, integrace do
stávající infrastruktury, customizace atd..., ale také chápe, že ne všude je
tento přístup oceněn, neřkne-li doceněn.

-------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)             FoNet, spol. s r. o.
Technicka podpora, Intranet/Internet     Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz         Tel.: +420  5  4324 4749
WWW:    http://WWW.FoNet.Cz/           E-mail: mailto:Info na FoNet.Cz
-------------------------------------------------------------------