To było naprawdę wielkie wyzwanie. Sprzęt klasy enterprise – Cisco ASA 5525 z FirePower. Klient ma około 150 oddziałów, czyli zapewne ponad 1000 pracowników. IPSEC VPN do oddziałów, VPN AnyConnect dla urządzeń mobilnych i notebooków plus cały ruch w centrali (7 różnych podsieci). Musieliśmy przenieść konfigurację ze starego urządzenia i uruchomić na nowym. Czas przestoju ? Nie dłuższy niż 5 min. Przygotowywaliśmy się przez 2 dni. Ale ostatecznie udało się. Docelowo uruchomiliśmy dwa firewalle w konfiguracji failover active – standby.
Awaria jednego urządzenia, lub nawet pojedynczego interfejsu powoduje zmianę aktywnego urządzenia w czasie poniżej 2 sekund. Co jest praktycznie niezauważalne dla pracowników.
Dodatkowo cały ruch jest analizowany poprzez firewall nowej generacji czyli FirePower. Twórcami rozwiązania była firma SourceFire – obecnie kupiona przez Cisco.
Firewall NG oferuje niesamowite rozwiązania pozwalające na rozróżnienie ruchu według niespotkanych wcześniej kryteriów. Możemy rozpoznać ruch mediów społecznościowych, skype, torrent lub kilku tysięcy innych aplikacji. Dodatkowo możemy zarządzać ruchem według lokalizacji (np. blokujemy ruch przychodzący z Afryki). W przypadku witryn www możemy zablokować konkretny typ treści np. hazard lub przemoc. A wszystko w powiązaniu z użytkownikami (np. active directory) – każdy użytkownik lub grupa może mieć inne uprawnienia. Oczywiście standardowo mamy do dyspozycji sygnatury zagrożeń i analizę zawartości przesyłanych plików.
Krótko mówiąc urządzenie z chirurgiczną precyzją kontroluje ruch w sieci.