HomepageProdukty a služby

ICT a datové služby

• Servery
• VMware
• Cisco
• Aplikace
• Firewall
• WAN a VPN
• Monitoring
• Generická kabeláž
• Elektronika
• Velká kancelář
• Malá kancelář
• Czech ICT Alliance
• Produktové letáky
• Manuály, how-to
• Bulletiny
• Reference

Firewall

Pracovníci divize ICT již více než 11 let vyvíjejí a rozvíjejí náš vlastní firewall, v současnosti založený na nástrojích iptables.

Naše firewally jsou tedy linuxové, běžící na paravirtualizovaných operačních systémech SUSE LINUX. K virtualizaci využíváme hypervisor Citrix XenServer. Firewally jsou vždy stavové, někdy transparentní a díky virtualizaci i „mnohonásobné“. Tzn., že samotný firewall není obvykle tvořen pouze jediným virtuálním strojem (VM = Virtual Machine), ale celou sadou serverů s velmi úzce vymezenými vlastnostmi, schopnostmi a úkoly. Vždy vytváříme i jejich obraz, off-line uložený a vždy vytváříme i několik záložních kopií pro možnost bleskového obnovení při napadení (lze i automatizovat).

Vývoj vlastních firewallů (paketových filtrů) jsme zahájili poté, co jsme zjistili, že SuSEfirewall nám zdaleka ve všech případech nevyhoví a jiné, i komerční aplikace, jsou buď cenově nedostupné, nebo ne zcela dobře funkční, nebo je nelze upravit „k obrazu svému“. Proto jsme začali už u jádra Linux 2.0.x s ipfwadm, později na Linuxu 2.2.x jsme používali ipchains. Na jádrech Linux 2.4.x a 2.6.x nyní používáme iptables.

Jednoduchý a stručný popis funkcionality paketových filtrů, založených na iptables, zveřejnil v roce 2003 pan Martin Pavlíček v článku Linuxové DMZ - VII.

Operační systémy: openSUSE, SUSE LINUX Enterprise Server

Hypervisor: Citrix XenServer

Možné vlastnosti firewallu: nestavový, stavový, transparentní, všechny druhy adresních a portových překladů (NAT/NAPT), flexibilní a rozšiřitelná infrastruktura (řetězení, paralelizace, balancování, cluster, backup, ...), využití tc a iproute2 pro výstavbu QoS, paketové manipulace (TOS, DSCP, ECN, …)

Protokol: zatím výhradně IPv4

Ceny:
1.    v celkové ceně firewallu hraje samozřejmě roli cena hardware
2.    Hypervisor může být (podle licence) bezplatný
3.    Operační systém může být (podle licence) bezplatný
4.    Ceny samotného firewallu (implementace) se pohybují od 10 do 150 tis. Kč, cenové nabídce vždy předchází alespoň malá analýza potřeb a návrh požadované topologie.

Pro jednoduché, standardní topologie lze s výhodou použít vzorů, označených "modelové topologie", popsaných např. v článku Linuxové DMZ - III od pana Michala Vymazala.

Ke všem uvedeným položkám je možné zajistit komerční podporu. Komerční podporu (včetně dohledu, monitoringu atd.) lze samozřejmě zajistit i k samotnému firewallu.

V případě požadavku je možné celé řešení rozšířit i o implementaci aplikace Snort a to jak v IDS, tak IPS způsobu využití.

Pro více podrobností nás kontaktujte např. zde,
nebo pište na: ict(at)manag(dot)com