Cisco Meraki Security Appliance MX60, czyli firewall w chmurze

W ostatnim czasie postanowiliśmy przyjrzeć się zaporze ogniowej pochodzącej od Cisco Meraki, a dokładniej modelowi MX-60.

Ideą Cisco Meraki jest zarządzanie urządzeniami z poziomu chmury. Oznacza to, że możemy sterować wszystkimi urządzeniami z jednego miejsca (Meraki cloud daschboard) bez względu na to ,gdzie się one znajdują. Warunkiem koniecznym jest dostęp do Internetu, dzięki któremu urządzenia uzyskują dostęp do clouda.

Meraki podaje informację, iż do jednej chmury (daschboardu) możemy podłączyć do 10 000 urządzeń, czyli możemy tutaj mówić o dobrej skalowalności rozwiązania. Tym bardziej, iż podłączanie kolejnych urządzeń nie wymaga żadnych skomplikowanych operacji – wystarczy w odpowiednim miejscu wprowadzić numer seryjny urządzenia i gotowe!

Wracając do modelu MX60, już na wstępie należy przyznać, iż jest on całkiem nieźle wykonany. Kojarzy się to trochę z jakością urządzeń APPLE. Wiadomo, że wygląd urządzenia w tym przypadku to żaden wyróżnik, ale dobra jakość sprawia, że można je zainstalować niemal wszędzie i nie będzie straszyć 🙂

Jak inne urządzenia Meraki, tak i MX60 jest w pełni zarządzany z poziomu chmury. Poniżej znajduje się widok dashboardu po zalogowaniu się do systemu.

meraki_mx60_01

Co rzuca się w oczy po zalogowaniu się, to stan zdrowia całej sieci oraz podłączonych urządzeń. Mamy tutaj informacje o kondycji urządzenia, jego geo-lokalizacji, utylizacji interfejsów, ilości podłączonych klientów i wiele innych. I to wszystko prosto „z pudełka” bez żadnych dodatkowych konfiguracji. To wszystko powoduje, że zarządzenie sprzętem staje się banalnie proste. Ale pomimo tej prostoty, Meraki MX60 posiada wiele cech, które oczekuje się od rozwiązań klasy Enterprise, takich jak: content filtering, VPN (zarówno client-to-site, jak i site-2-site), integracja z Active Directory, zarządzanie ruchem (shaping) oraz wiele innych funkcji kontroli dostępu.

meraki_mx60_02

meraki_mx60_03

Jako firewall, MX60 oferuje w standardzie możliwość tworzenia reguł dostępu w oparciu o warstwę 7. Poniższe obrazy przedstawiają zakładki konfiguracyjne firewalla.

 

meraki_mx60_04

MX60 posiada również wbudowaną funkcjonalność VPN client-to-site, włączając w to mechanizmy kontroli dostępu. Konfiguracja jest bardzo prosta i przejrzysta. Mamy możliwość skonfigurowania kontroli dostępu w oparciu o lokalne poświadczenia, Active Directory, czy też RADIUSa.

meraki_mx60_05

meraki_mx60_06

Content filtering jest bardzo łatwy w obsłudze i wykorzystuje predefiniowane kategorie. W bardzo prosty sposób możemy zablokować witryny hazardowe, portale społecznościowe itp. Meraki dostarcza także aktualnych informacji na temat BOTNETów i innych zagrożeń. Bardzo ciekawym elementem filtrowania zawartości jest tzw. „Cheating (Academic), czyli reguły stają się odporne na manewrowanie słowami kluczowymi, które maja na celu oszukanie ww. reguł.

Funkcja IPS w Meraki MX60 wykorzystuje mechanizmy Sourcefire / Snort. Natomiast funkcja Anti-Phisingu wykorzystuje engine Kaspersky Anti-Phishing SafeStream . Czyli krótko mówiąc, mamy tutaj do czynienia ze skutecznym połączeniem mechanizmów firm trzecich.

Podsumowując, seria urządzeń Meraki jest bardzo łatwa w obsłudze i bardzo funkcjonalna w stosunku do ceny. Cena omawianego MX60 wynosi w przybliżeniu $500. Jest to dobra okazja, zakładając że prosto z pudełka dostajemy: Firewall, IPS, VPN, kontrolę dostępu na warstwie aplikacji, filtrowanie ruchu w oparciu o zawartość, optymalizacji sieci WAN i wiele innych funkcjonalności. Większość z tych funkcji można znaleźć tylko sprzęcie ENTERPRISE, który ceną zdecydowanie odbiega od prezentowanego tutaj MX60. Co do wydajności urządzenia, to oczywiście nie jest ono dedykowane do DC ale na pewno bardzo dobrze sprawdzi się w małych biurach, czy też w zastosowaniach domowych.

Poniżej znajduje tabela wydajności.

meraki_mx60_07

 

Mikołaj Lembicz
posiada ponad 8 letnie doświadczenie w administracji systemami informatycznymi dużych firm. Od blisko 3 lat odpowiedzialny jest za rozwój infrastruktury sieciowej opartej o rozwiązania Cisco / Cisco Meraki.