Что такое Virtual Wire
Firewall - это сетевое устройство и оно обычно выглядит в сети как свит и/или как роутер. Однако еще один важный режим я хочу осветить особо: Virtual Wire. Вот здесь есть замечательная статья, про различные режимы подключения Firewall к сети. Мы сегодня обсудим режим Virtual Wire.
В этом режиме мы разрезаем любой существующий кабель нашей сети и образовавшиеся два конца кабеля вставляем в порты межсетевого экрана. Межсетевой экран в режиме "виртуальная линия" или Virtual Wire пробрасывает прозрачно фреймы с одного интерфейса на другой и обратно. Такая схема используется в IPS - она там называется inline.
Плюсы подключения через Virtual Wire
Для многих существующих сетей очень важно сохранить топологию. Однако, теперь появились требования по безопасности и их как-то надо реализовать. Например, это сети ICS/SCADA предприятий, медицинских учреждений и др. Топология сети остается прежней для всех сетевых устройств при подключении Firewall в сеть способом Virtual Wire - как был кабель между какими-то устройствами, так он и остался. Однако с точки зрения логического элемента - это полноценный межсетевой экран, который видит, собирает и анализирует пакеты вплоть до 7 уровня модели OSI ISO и до файлов. Это позволяет начать контролировать сетевые потоки и блокировать несанкционированные. Также в режиме Virtual Wire возможно включить трансляцию адресов (NAT) и даже включить расшифрование SSL и SSH. Такая схема может быть реализована в ЦОД между двумя маршрутизаторами. Устройство не принимает участия в маршрутизации и даже в построении дерева Spanning Tree - сетевым администраторам это устройство не приносит каких задач новых и тем более проблем. А вот для сотрудников отдела безопасности это отличный агент контроля и защиты сетевого трафика. Вы прозрачно имеете возможность включить анализ приложений, файлов в них, движки IPS, антивируса, anti-spyware, Threat Intelligence, DNS Sinkhlong и др.
Минусы подключения Virtual Wire
В этом режиме вы не можете полноценно участвовать в L2 и L3 режимах, то есть не можете маршрутизировать VLAN или обычные L3 соединения. Однако для этого есть как раз режимы L2 и L3.
Дополнительные возможности
В крупных сетях используют Etherchannel для объединения сетевых устройств и несколько подключений Virtual Wire благополучно включаются в разрыв нескольких каналов, которые образуют Etherchannel и анализируют их, собирая их фреймы и пакеты в сетевые потоки и файлы.
Также этот режим можно использовать для подключения межсетевого экрана в среде виртуализации. Для виртуальной среды трафик ходит по маршрутам без дополнительных хопов, а вот в реальности весь трафик проходит через Firewall.