Аппаратный брандмауэр — нужен или нет в моём случае?

Доброго дня всем. Меня сюда привели вопросы, на которые нет своих ответов, только размышления. Передо мной стоит задача проектирования новой сети моей организации (200 пользователей), превращение плоской сети в сегментированную, замена текущих устаревших узлов коммутации и маршрутизации, а также появление в ней нового, чего раньше не было. В том числе речь зашла об аппаратном брандмауэре. Ранее на защите внешнего периметра стояло софтверное решение, которое давно потеряло свою актуальность, обновиться не было возможности. И вот сейчас, рассматривая продукцию на рынке, появились вопросы.
1. Под требования регуляторов организация не попадает, поэтому мы не скованы выбором только отечественных сертифицированных решений. Изначально выбор пал на Zyxel UTM Flex 200, но подписки AV, AS, CF и пр. не продаются для РФ и РБ. Думаю, что и с другими брендами такая же обстановка. Стоит ли приобретать NGFW железку иностранных брендов, если заранее известно, что плюшки подписок невозможны?
2. Допустим, обходными путями мы можем приобрести подписки, например, на другое государство с карты ин. банка. Может быть, кто-то подскажет будет ли это работать, если железо куплено на юрлицо в РФ, а подписки на другое юрлицо?
3. Если посмотреть в сторону отечественных решений (Usergate, Eltex, Ideco), то этой проблемы с оплатой нет. Но возникает вопрос более глобального плана. Стоит ли вообще приобретать устройство NGFW, если в организации отсутствует отдел ИБ, а есть только админы? Правильно ли я понимаю, что настроить и админить железку на уровне L2-L4 это совсем не тоже самое, как настраивать работу всего хозяйства на уровне L7. Ведь настройка и контроль за функционалом IDS/IPS действие не разовое, а постоянное, требующее наличие своего или стороннего SOC. Особенно если учесть, что у нас помимо традиционного офисного ПО, есть ещё и разработка, и тестирование, и удалённые сотрудники. Лично я понимаю, что в нашей ситуации SOC должен быть, но… я не собственник и не принимающий решения по финансированию. Так и стоит ли брать броневик с пулемётами, если в наличии нет стрелков, а есть только водитель? Верно ли утверждение, что UTM устройство, которое настроено лишь на уровне L2-L4 не будет отличаться от того же Микротика на этом же месте в сети.
  • Вопрос задан
  • 1097 просмотров
Пригласить эксперта
Ответы на вопрос 2
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
//COPY01 EXEC PGM=IEBGENER
Стоит ли приобретать NGFW железку иностранных брендов, если заранее известно, что плюшки подписок невозможны?

Разве только попонтоваться. Сегодня не подпадаете, завтра подпадете - кто знает, что там придумают завтра?
если железо куплено на юрлицо в РФ, а подписки на другое юрлицо?

Работать может и будет. А вот как это будет проводить ваша бухгалтерия - это уже совершенно отдельный вопрос...
Если посмотреть в сторону отечественных решений (Usergate, Eltex, Ideco)

Только не ideco :) Однажды меня попросили написать обзор на одну из моделей ideco, дали образ виртуалки, чтобы погонять. Ну я погонял, посмотрел, из чего оно состоит... и честно предупредил заказчика (а это был не ideco) - что положительный образ на это merde я написать не смогу, а отрицательный им наверное не нужен :D
Это была куча обычных приложений типа squid, strongswan etc, слепленная в одно и сверху покрытая тооооооненьким слоем их оболочки.
если в организации отсутствует отдел ИБ

На двести рыл по идее он должен уже появиться. И как раз маршрутизаторы, средства удаленного доступа, всевозможные раздачи и задачи прав - это будет по его части.
Ответ написан
@Drno
pfSense или микротик cloud hosted router \ аналогичный железный микротик
пока непонятно зачем Вам аппаратный брендмауэр

ну либо голая убунту в роли шлюза и там уже рулите как хотите в консольке)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы