Комментарии 3
тогда как KNBE обеспечивает централизованную работу с сетевой частью и упрощает управление конфигурацией устройств в целом.
Это как? Как упрощает? Без него чтоли не работает или работает как то не так? Если работает продукт как то не так значит он не работает, а если без KNBE фаервол неработает, то не упрощает, а делает возможным работать с фаерволом. Что в итоге делает кластер KNBE? Какую часть функционала фаервола он выполняет? Если политики и правила задаются через KSCМенее очевидной частью оказался именно KNBE: пока не разворачиваешь его руками, не до конца понимаешь, насколько он важен для нормальной жизни с системой. Это, пожалуй, главное отличие от более монолитных подходов, где backend‑логика сильнее скрыта от администратора.
Вот именно, чем он важен, какой функционал фаервола выполняет? А то написано чтов ажен, нужен, а что делает нислова... Просто содержит шаблоны которые можно потом раскатать по куче фаерволов?
Статья как то местома лозунгами, вроде только, вот вот сейчас пойдет подробнои бац, свова лозунг, это важно это нужно и никакой конкретики..
Зачемто подробно описаны действия по добавлению фаервола в KSN и сбору кластера, но об общшей архитектуре NGFW поверхостно прошлись, как и об его функционале, производительности .... хотел упоминуть что нислова о настройке политик, правил, зон и прочего, но увидел что обюещали еще статью :D
Спасибо за замечание, вопрос действительно справедливый, роль KNBE в статье можно было раскрыть конкретнее.
В текущей версии KNBE не является частью data plane и не выполняет функции самого фаервола: не фильтрует трафик, не принимает решения allow/deny, не занимается IDPS/AV/Web Control/DNS Security. Этим занимается сам NGFW, а политики, правила фильтрации и профили безопасности сейчас действительно задаются через KSC/OSMP.
Текущая роль KNBE ближе к централизованному управлению сетевой частью: интерфейсы, роли портов, VRF, маршруты, часть параметров динамической маршрутизации, сетевые шаблоны, регистрация устройств и HA-сценарии. То есть он не «делает фаервол рабочим», а выносит сетевую оркестрацию в отдельный backend-слой и позволяет управлять этим централизованно, особенно когда речь не об одной коробке, а о нескольких устройствах или кластере.
Описание функций KNBE в статье во многом опиралось на ближайшее развитие продукта. В релизе 1.2 планируется перенос механики работы с политиками и профилями безопасности в плоскость KNBE, поэтому его роль будет заметно шире, чем только сетевая оркестрация.
Согласен, что в первой части это стоило пояснить явно. На текущий момент KSC/OSMP — это политики, правила и профили безопасности, KNBE — сетевая конфигурация и оркестрация, сам NGFW — непосредственная обработка и защита трафика.
То есть настроить интерфейсы (в том числе сабинтерфейсы), роли портов (trusted/untrusted), агрегацию портов (lag, lacp....) без KNBE невозможно? (с использованием только OSMP)
Без KNBE не будет работать маршрутизация? невозможно указать статические маршруты, не будут работать протоколы динамической маршрутизации? Не будет работать HA кластер сетевых экранов?
Сам KNBE своими интерфейсами что ли участвует в маршрутизации? (то есть там интерфейсы в разных сетях), содержит таблицы маршрутизации? если содержит на себе таблицы маршрутизации и сетевой экран к нему обращается за таблицами это же добавляет огромные задержки в обработки пакетов?? А если KNBE участвует в маршрутизации как маршрутизатор, то это явно часть Data Plane, если содержит информацию о маршрутах Control Plane
Если KNBE выполняет функционал Control Plane или Data Plane, то без KNBE невозможно работа устройства.
А если у меня сетевые экраны стоят еще в филиалах, как он с KNBE будет работать? Обмен же будет идти через интернет канал и там огромные задержки, или в каждом филиале надо поднимать инфраструктуру KNBE?
Для управления политиками (загрузка изменение конфигурации) задержки не критичны, конфигурация (правила, политики и прочие настройки) загрузятся/применятся с OSMP на сетевые экраны, тут задержки не важны, а если на KNBE содержится часть (не дай бог весь) Control Plane или Data Plane как вообще это с филиальной сетью работать может?
В общем из статьи не сильно понятно для чего нужен кластер KNBE (обязателен ли он?) и какие реальные функции он выполняет? если он не обязателен, а при его (KNBE) наличии часть функций сетевого экрана выводится на него (KNBE ), то какой функционал выводится?
ps походу надо идти смотреть доки каспера
Kaspersky NGFW в проекте «ТУЧА»: развёртывание и первые настройки [часть 1]