Сетевой шлюз
Сетевой шлюз — это устройство или ПО, позволяющее коммуницировать между собой сетям, построенным на основе разных протоколов и технологий.
Шлюз преобразует данные из одного протокола или формата в другой. Это необходимо, поскольку организации часто используют в своих локальных сетях отличные от интернета протоколы.
В настоящее время ввиду отсутствия конкурентов у TCP/IP, сетевой шлюз зачастую становится синонимом маршрутизатора. Шлюз соединяет сети, а маршрутизатор обычно доставляет данные внутри сети. Их функции все чаще объединяются. Например, маршрутизатор Wi-Fi является одновременно доставляющим данные маршрутизатором и шлюзом, который преобразует эти данные устройствам назначения.
Как работает сетевой шлюз?
Физический сетевой шлюз включает в себя входы/выходы, сетевые интерфейсные карты (NIC) и программное обеспечение для трансляции сетевых протоколов.
Шлюз обычно используется на сетевом уровне модели OSI, но теоретически может быть развернут на любом уровне. Автономные или виртуальные шлюзы могут быть размещены в любом месте сети, где требуется перевод данных. Такие шлюзы могут передавать данные в сеть и из сети или только в одном направлении.
Функции сетевого шлюза
Шлюз обеспечивает безопасность сети: поддерживает ограниченный доступ к определенным приложениям, сканирует и фильтрует данные.
Он должен быть настраиваемым и программируемым для работы с различными сетевыми протоколами. Это позволит обеспечить большую гибкость, повысить безопасность и отказоустойчивость.
Поскольку шлюз часто является единственным соединением между сетями, он становится местом для мониторинга и анализа сетевой активности: помогает в сборе информации из других частей сети, участвует в диагностике и устранении неполадок.
Выбираем корпоративный интернет-шлюз
Корпоративный интернет-шлюз — голова ИТ-инфраструктуры, но в случае любых проблем он мгновенно превращается в другую часть тела… для компании.
Выбор интернет-шлюза зависит от множества обстоятельств: выделенного бюджета, квалификации и пристрастий к аппаратным и программным решениям ответственного за сеть админа, размера сети, необходимости наличия сертификатов и т.д. Наверное, эта статья не для познавших Дао гуру, которые с помощью подручных средств вроде третьего пенька, бубна и какой-то матери играючи могут обеспечить бесперебойный доступ в интернет и контроль трафика для сотен машин. Мы поговорим о вещах более стандартных и приземленных: как выбрать корпоративный интернет-шлюз и что в нем должно быть?
Аппаратное или программное решение?
В первую очередь, стоит определиться: выбрать аппаратное решение или же программное. Большинство аппаратных решений выпускаются преднастроенными и работают по принципу «поставил и забыл». В условиях ограниченного бюджета и при недостаточной квалификации лучше (от греха подальше) использовать аппаратное решение.
Кастомизацией настроек и количеством возможностей контроля и управления сетью при таком подходе приходится пожертвовать. Программные же решения обычно предполагают постоянный контроль работы сети, анализ статистики, настройку параметров фильтрации, выбор режима работы, добавления пользователей, изменение политик безопасности, – в общем, разумное использование имеющегося функционала. Поэтому если нужно заточить продукт под себя «от и до» и иметь полный набор инструментов для управления сетью – необходимо соответствующее программное решение и собственный корпоративный сервер.
Необходимый функционал корпоративного интернет-шлюза
Интернет-шлюз организует бесперебойную работу в интернете всех работников фирмы, поэтому прокси-сервер, на базе которого он выполнен, должен обладать достаточным функционалом, удобным интерфейсом и возможностью гибкой настройки сети и прав доступа: VIP-пользователям обеспечить полный доступ к сети, а рядовым отрубить ВКонтакте и любимые форумы. Также важно легко управлять скоростью пользователей, устанавливать приоритеты для различных видов трафика (например, повысить приоритет IP-телефонии для обеспечения качественной связи и понизить для архивов). Не стоит забывать и о поддержке VPN и NAT. Крайне полезна возможность удаленного администрирования, чтобы львиную долю проблем с сетью можно было решать, не выходя из дома.
Встроенный прокси-сервер помогает контролировать и экономить интернет-трафик: он позволяет анализировать запросы пользователей, загружаемые сайты и их элементы и действовать в строгом соответствии с установленными правилами. Обычно от интернет-шлюза требуются следующие функции фильтрации трафика:
- наличие контентной фильтрации,
- возможность фильтрации HTTPS,
- назначение фильтров в зависимости по времени,
- на определенные группы пользователей,
- наличие готовых шаблонов для правил.
Отдельно стоит сказать о статистике, которая для интернет-шлюза является не «третьим видом лжи», а важным источником информации о поведении пользователя. Благодаря статистике можно в любое время узнать, кто из пользователей забивает Интернет-канал, на каких ресурсах зависают сотрудники и когда пора блокировать сайты и резать лимит трафика.
Кроме того, интернет-шлюз обеспечивает защиту корпоративной сети от внешних воздействий. Особенно надежная защита важна в случае, когда по тем или иным причинам не только пользователи сидят под Windows, но и сам сервер (не будем разводить холивар на тему, почему под Windows, но практика показывает, так бывает весьма часто). В таком случае антивирус и фаервол необходимы как воздух. Также нужен модуль защиты от фишинга и, главное, прямые руки того, кто все это великолепие настраивает.
Отдельная тема – наличие сертификатов безопасности, которые, во-первых, определенную безопасность гарантируют (абы кому их не выдают), а во-вторых, в случае наличия сертификата ФСТЭК, интернет-шлюз не вызовет подозрения в ходе «всеми горячо любимых» бюрократических проверок организации.
Основные проблемы сисадминов с интернет-шлюзом
Каждый раз при размещении нового сервера или службы у сисадмина возникает проблема: как «вписать» новую постоянно работающую службу или сервер в уже устоявшуюся сеть.
Как подстроить NAT и другие сетевые службы для ее корректной работы, будет ли данный сервер в AD, могут ли на нем размещаться другие сетевые службы или сервер должен быть выделенным. Это не зависит от способа реализации – это вопрос сетевого планирования.
Основные проблемы при использовании программных шлюзов следующие. В первую очередь это знакомая многим ситуация: старый админ уволился, а новый гений в процессе работы сбил корректно работающие настройки и понятия не имеет, почему ничего не работает, и что же теперь делать. Тяжелый случай – прошлый админ корректно все настроил через фряху, а админ – любитель Windows полез разбираться с печальными для себя и предприятия последствиями. Часто у новичков встречается некорректная настройка фильтров из-за нежелания прочесть мануал и понять, что же там написано. Или просто пользователь поставил программу и понятия не имеет, а что же с ней делать.
В общем, интернет-шлюз – это инструмент, который нужно подбирать в зависимости от решаемых задач, вкусов и компетентности отвечающего за безопасную и бесперебойную работу сети сисадмина. Главное, чтобы сеть работала как часы и выполняла важнейшую возложенную на нее функцию обеспечения коммуникации организации с внешним миром.
Благодарим вас за внимание и ждем ваших комментариев.