Когда вы хотите купить NGFW, то нужно что-то написать в офис производителя, чтобы он подобрал вам модель.
Что нужно прислать в заявке:
1. Планируемый максимальный защищаемый объем трафика в секунду. (Если NGFW будет защищать периметр или ЦОД, то посмотрите вашу максимальную скорость трафика на периметре или в ЦОД во всех направлениях: входящий + исходящий на всех интерфейсах.) Например: хотим NGFW для защиты трафика на скоростях в пике до 10 Гбит/с.
2. Число хостов в сети, которые генерируют трафик. (На самом деле инженеру для оценки нужно число новых соединений в секунду. Опыт показывает, что каждый хост создает в среднем 0,1 новых соединения в секунду. Но лучше взять с запасом по соединению на каждый хост в секунду. То есть для 10000 хостов число новых соединений в секунду будет 10000.) Пример запроса: у нас 10000 хостов в сети (посчитайте все сервера, компьютеры, роутеры, принтеры и другой IoT)
3. Если есть публичные ресурсы к которым ходит весь Интернет, то сколько новых соединений в секунду в пике бывает на эти ресурсы (если получится это оценить). Слово новых - ключевое. Не путайте число новых соединений с числом одновременных соединений. Обычно это можно посмотреть на графике системы мониторинга, которая обычно у всех есть. Завышать не нужно, потому что сам сервер может не выдержать число новых соединений в секунду, которые вы запросили. Обычно еще стоит WAF или DDOS, который как раз режет число новых соединений, и на самом деле NGFW тоже содержит функции сдерживания числа новых соединений в секунду. (Если у вас есть F5 или A10 или еще какие-то балансировщики - это тоже надо упомянуть. Но это отдельный разговор.) Пример: Число новых соединений в секунду в пике на наши веб сервера: 1000 HTTP(S) соединений в секунду.
4. Нужна ли подписка Threat Prevention, которая включит обновления антивируса, IPS, anti-spyware, TI, DNS Sinkholing. У некоторых производителей подписка anti-spyware называется anti-bot.
5. Нужна ли подписка URL Filtering. Обычно в ЦОД она не требуется.
6. Нужна ли подписка Wildfire - песочница облачная и также встроенная (у Palo Alto Networks внутри NGFW есть Machine Learning, который обнаруживает zero day на лету)
7. Нужна ли подписка Global Protect (функционал HIP для удаленных сотрудников, позволяющий пускать только защищенные компьютеры в сеть компании )
8. Нужна ли подписка DNS Security для определения DGA доменов.
9. Нужна ли подписка Autofocus для расследования инцидентов и подключения к TIP.
10. Нужна ли подписка IoT для контроля устройств IoT в вашей сети. Замечу, что контроль ICS/ SCADA уже входит в стандартную поставку.
10. Будет это кластер из 2 устройств или standalone.
11. На сколько лет посчитать подписки и поддержку. Обычно заплатить за 3 года сразу дешевле чем три раза покупать по одному. Пример: Нужны все подписки на 5 лет.
