Руководство по определению необходимого уровня производительности
Продукты ProSecure™ by NETGEAR® STM контролируют использование Интернета в организации и защищают от исходящего из Интернета зловредного ПО, спама, вирусов и предотвращают доступ к подозрительным сайтам. Поскольку через ProSecure™ by NETGEAR® STM идет весь трафик между организацией и Интернетом, то необходимо правильно выбрать мощность приставки в соответствии с конкретными требованиями организации к производительности.
Нет стандартной методологии для выбора модели, т.к. использование Интернета сильно зависит от специфики организации. Поэтому NETGEAR® применяет несколько спецификаций для оценки возможности применения продуктов STM:
Пропускная способность
Сначала нужно определить пропускную способность канала между внутренней сетью компании и Интернетом — этот параметр задает трафик, который будет проходить через STM.
Concurrent Clients
Concurrent Clients — это число клиентов, которые одновременно обращаются к Интернету через STM. Рейтинг NETGEAR® STM Appliances Concurrent Client подразумевает, что каждый клиент участвует в «среднем» сеансе работы в Web с несколькими соединениями и web-сайтами.
Обычно число одновременно работающих пользователей меньше общего числа пользователей в организации. Например, если в компании 1000 пользователей, то обычно не более 800 из них имеют доступ к Интернету через компьютер. В среднем не более 75% этих пользователей (75% x 800 = 600) могут одновременно работать в офисе. Наконец, только 50% этих пользователей (50% x 600 = 300) могут одновременно путешествовать по Web-сайтам.
Concurrently Scanned HTTP Connections
Пользователи, активно просматривающие Web, в среднем обычно одновременно используют 3 активных соединения HTTP (с учетом работы с интенсивно загружающими каналы связи Интернет-приложениями). Максимальное число соединений может быть больше при очень интенсивной загрузке Интернет-канала или при работе с такими приложениями, как Peer 2 Peer.
Трафик электронной почты
Интенсивность обмена электронной почты сильно зависит от конкретной организации, а также от объема приходящего спама. Например, если в среднем пользователь каждый день отправляет и получает 30 писем в час и еще 70% трафика создает спам, то на долю пользователя приходится 100 писем в час. Если в организации 200 пользователей, то трафик электронной почты равен 200 тыс. писем в час.
Сравнением моделей приставок STM
| Мощность моделей STM |
STM150 |
STM300 |
STM600 |
| Пропускная способность (Мбит/сек) |
43 |
149 |
239 |
| Одновременно работающие клиенты |
145 |
333 |
600 |
| Одновременно сканируемые соединения HTTP |
1000 |
2000 |
4000 |
| Пропускная способность SMTP (писем/час) |
139,000 |
420,000 |
960,000 |
Пример определения нужного уровня производительности
При определении необходимого конкретной организации уровня производительности STM учитываются показатели пропускной способности, одновременно работающих пользователей и соединений, скорость обработки Email. Ниже даны примеры типичных организаций с рекомендацией по выбору приставок STM.
| Характеристики организации |
Рекомендуемая модель STM |
10 (Мбит/сек) Пропускная способность
100 Одновременно работающие клиенты
300 Одновременно сканируемые соединения HTTP
100,000 Писем в час |
STM150 |
40 (Мбит/сек) Пропускная способность
250 Одновременно работающие клиенты
800 Одновременно сканируемые соединения HTTP
300,000 Писем в час |
STM300 |
120 (Мбит/сек) Пропускная способность
500 Одновременно работающие клиенты
1600 Одновременно сканируемые соединения HTTP
700,000 Писем в час |
STM600 |
Рекомендации по развертыванию
Продукты безопасности ProSecure™ by NETGEAR® STM — это прозрачный мост Inline, который можно установить в любом месте сети без ее специальной настройки или дополнительного оборудования.
Ниже описаны типичные сценарии развертывания STM. В зависимости от сети и сегментов, которые нужно защитить, можно использовать один из этих сценариев или их комбинацию.
Развертывание на уровне шлюза
При развертывании на уровне шлюза одна приставка STM устанавливается на уровне шлюз между межсетевым экраном и коммутатором ядра LAN, обеспечивая защиту сети от всех угроз Web и Email, которые попадают в сеть через шлюз и выходят из нее. При таком развертывании STM сканирует трафик как Web, так и Email.
Примечание: При развертывании на уровне шлюза рекомендуется установить STM за межсетевым экраном для использования его функционала при отражении атак DoS, которые часто не связаны с трафиком Web и Email.
Рисунок 1 Развертывание на уровне шлюза
Развертывание на уровне группы серверов
При развертывании на уровне группы серверов одна приставка STM устанавливается на уровне шлюза, а другая — перед группой серверов. Это обеспечивает распределение сетевого трафика и специальную защиту сервера почты от спама и писем с вредоносным ПО. STM на уровне шлюза сканирует только трафик Web, а другая приставка перед группой серверов — только трафик электронной почты.
Рисунок 2 Развертывание на уровне группы серверов
Развертывание на уровне сегментов LAN
При развертывании на уровне сегментов LAN перед каждым сетевым сегментом устанавливается по одной приставке STM. Это обеспечивает распределение сетевого трафика и защиту сегментов сети от угроз Web и Email, которые могут проходить через шлюз или исходить из других сегментов. При таком развертывании все STM сканируют трафик как Web, так и Email.
Рисунок 3 Развертывание на уровне сегментов LAN
