Анонс подкаста. telecom №94 \\\\\20.12 14:00 Мск
Близится новый год, а значит людей, пишущих файрволы, попросили отодвинуться от консолей на два фута.
Этим неловким моментом мы бессовестно и воспользуемся…
Так как тема сложная многим не знакомая, мы начнем с азов и заявим сразу две части (а, может, и три!).
Здесь всё как с бэкапами:
— Кто-то ещё не настраивает файрволы,
— Кто-то уже настраивает,
— А кто-то, конечно же, настраивает, и проверяет, что они действительно работают, защищая нас от непрошенных «поганеньких» пакетиков.
В первой части выпуска будем обсуждать базовые «кирпичики» и их взаимосвязь с другими сетевыми штуками.
Вторую часть всецело посветим взаимодействию со смежными технологиями и, конечно же, scale out.
Лучшее место для ваших вопросов.
Кто:
Про что:
Этим неловким моментом мы бессовестно и воспользуемся…
Так как тема сложная многим не знакомая, мы начнем с азов и заявим сразу две части (а, может, и три!).
Здесь всё как с бэкапами:
— Кто-то ещё не настраивает файрволы,
— Кто-то уже настраивает,
— А кто-то, конечно же, настраивает, и проверяет, что они действительно работают, защищая нас от непрошенных «поганеньких» пакетиков.
В первой части выпуска будем обсуждать базовые «кирпичики» и их взаимосвязь с другими сетевыми штуками.
Вторую часть всецело посветим взаимодействию со смежными технологиями и, конечно же, scale out.
Лучшее место для ваших вопросов.
Кто:
- Борис Лыточкин — он же Злой NOC. Сетевой прораб Яндекса с 12-летним стажем, обладатель ачивки «сломал Яндекс». Отвечает за сеть в офисах компании и служебные сети дата-центров.
- Илья Сомов. Сетевой прораб и разнорабочий с 8-летним стажем, любитель нестандартных технологий и решений. Отвечает за транспортную сеть компании и служебные сети дата-центров.
Про что:
- Мухи отдельно, котлеты отдельно. Разбираемся в различиях:
- Роутеров и файрволов
- Аппаратных файрволов от тазиков
- NAT от firewall
- Области, где требуется фильтрация (сегментация) пакетов:
- Граница Автономной Системы (border) — много полосы, потенциальная асимметрия
- ACL со стороны апстрима — зачем может быть нужно?
- Групп сетей availability zone, проект, серверный/пользовательский
- На конечных устройствах серверах, ноутбуках, ПК, мобильники — зачем вообще, от кого защищаемся
- AntiDDoS, bypass (on wire/programmable)
- Address planing — взаимосвязь количества правил фильтрации и количества маршрутов на сети
- Типы файрволов:
- L3/L4 пакетные фильтры — stateless TCAM-based
- Full-software processing L3/L4/dumb DPI — iptables/nftables/ipfw/pf/etc
- DPI (snort/suricata): RST generation vs filtering
- DPI + TCAM-based acceleration
- DPI и IPS, почему это не одно и то же
- Режим работы файрвола — stateless vs stateful: что хранится в state, как используется
0 комментариев