telecom №96. Фаерволы. Часть 3

Два часа отборных ответов на отборные вопросы.
Мы заканчиваем цикл подкастов про фаерволы. Нам кажется, получилось достаточно хорошо, чтобы уже никогда не возвращаться к этому вопросу, а ссылаться на эти три эпизода.

Рассказывайте, как вам три выпуска на одну тему — норм или эребор?





Канал в телеграме: t.me/linkmeup_podcast
Канал на youtube: youtube.com/c/linkmeup-podcast
Подкаст доступен в iTunes, Google Подкастах, Яндекс Музыке, Castbox
Сообщество в вк: vk.com/linkmeup
Группа в фб: www.facebook.com/linkmeup.sdsm
Группа в linkedin: https://www.linkedin.com/groups/5076111​

Скачать все выпуски подкаста вы можете с яндекс-диска.
Добавить RSS в подкаст-плеер.

Пообщаться в общем чате в тг: t.me/linkmeup_chat

Поддержите проект:

telecom №95. Фаерволы. Стейты, NATы и хвосты^w scale-out

Встречаем продолжение нашумевшего выпуска про фаерволы №94.
Вместе с нашими гостями разбираемся в NAT, HA и вариантах scale.
Спойлер...


Кто:
  • Борис Лыточкин — он же Злой NOC. Сетевой прораб Яндекса с 12-летним стажем, обладатель ачивки «сломал Яндекс». Отвечает за сеть в офисах компании и служебные сети дата-центров.
  • Илья Сомов. Сетевой прораб и разнорабочий с 8-летним стажем, любитель нестандартных технологий и решений. Отвечает за транспортную сеть компании и служебные сети дата-центров.




Слайды к выпуску тут

Про что:
  • Режим работы фаервола — stateless vs stateful: что хранится в state, как используется

telecom №94. Фаерволы, файрволы, фаэрволы и файеэоывалорволы. Часть 1

Кто бы мог подумать, что самые громкие прения будут не вокруг «NAT как средство безопасности», а вокруг написания слова «Firewall» на русском.
Мы точно сделаем два выпуска, а, возможно, даже и все три.

Кто:
  • Борис Лыточкин — он же Злой NOC. Сетевой прораб Яндекса с 12-летним стажем, обладатель ачивки «сломал Яндекс». Отвечает за сеть в офисах компании и служебные сети дата-центров.
  • Илья Сомов. Сетевой прораб и разнорабочий с 8-летним стажем, любитель нестандартных технологий и решений. Отвечает за транспортную сеть компании и служебные сети дата-центров.
Про что: Фаерволы: виды, типы, классы, категории




А именно:
  • Мухи отдельно, котлеты отдельно. Разбираемся в различиях:
    • Роутеров и фаерволов
    • Аппаратных фаерволов от тазиков (программных на *nix*)
    • NAT от фаерволов
  • Области, где требуется фильтрация (сегментация) пакетов:
    • Граница Автономной Системы (border) — много полосы, потенциальная асимметрия
    • ACL со стороны апстрима — зачем может быть нужно?
    • Групп сетей availability zone, проект, серверный/пользовательский
    • На конечных устройствах серверах, ноутбуках, ПК, мобильники — зачем вообще, от кого защищаемся
    • AntiDDoS, bypass (on wire/programmable)
  • Address planing — взаимосвязь количества правил фильтрации и количества маршрутов на сети
  • Типы файрволов:
    • L3/L4 пакетные фильтры — stateless TCAM-based
    • Full-software processing L3/L4/dumb DPI — iptables/nftables/ipfw/pf/etc
    • DPI (snort/suricata): RST generation vs filtering
    • DPI + TCAM-based acceleration
    • DPI и IPS, почему это не одно и то же
  • Режим работы файрвола — stateless vs stateful: что хранится в state, как используется

Канал в телеграме: t.me/linkmeup_podcast
Канал на youtube: youtube.com/c/linkmeup-podcast
Подкаст доступен в iTunes, Google Подкастах, Яндекс Музыке, Castbox
Сообщество в вк: vk.com/linkmeup
Группа в фб: www.facebook.com/linkmeup.sdsm

Скачать все выпуски подкаста вы можете с яндекс-диска.
Добавить RSS в подкаст-плеер.

Пообщаться в общем чате в тг: t.me/linkmeup_chat

Поддержите нас:

telecom №73. Файрвол на x86

linkmeup знает, как дважды поговорить с Кодом Безопасности и избежать разговоров про Континент.
Мы за конструктив. Поэтому ловите два часа про linux kernel vs kernel bypass vs userspace, префиксные деревья, и как совместить входящую фильтрацию с исходящей, а также с маршрутизацией и NAT-трансляцией в одном действии, выполняемом за константное время.
В большой степени это повторение доклада с Highload 2018, но ведь его пока мало кто видел)

Кто:
  • Коростелев Павел. Руководитель отдела продвижения продуктов
  • Александр Самойлов. Ведущий программист
Про что:
  1. Как добиться высокой производительности: фильтрация трафика, обнаружение вторжений, шифрование.
  2. Как этим всем управлять? Почему мы жестко централизовали управление и переписали интерфейс управления
  3. Быть ли REST API? Или по старинке?
  4. Ответы на вопросы сообщества по Континенту (нет)

Полезное:

Скачать файл подкаста




Добавить RSS в подкаст-плеер.

Подкаст доступен в iTunes.

Скачать все выпуски подкаста вы можете с яндекс-диска.