ОБЗОРЫ
Окончание. Начало см. в PC Week/ RE, № 34/2002, с. 24.
Брандмауэры для предприятий
В эту категорию продуктов входят аппаратные и программные реализации межсетевых экранов (МЭ). Аппаратные решения популярны не только среди малых и средних предприятий, удобство их использования и управления высоко ценят и крупные компании.
Что касается программных решений, то одни из них работают под управлением Windows или UNIX, другие включают в себя ОС с ПО межсетевого экрана; эти решения, как правило, основаны на операционной системе с удаленными из нее ненужными для экрана функциями.
Рынок межсетевых экранов очень широк. Производители систем защиты могут предложить решение для сети любого масштаба. Стоимость их от $2000 до $ 60 000 (впрочем, существуют и свободно распространяемые продукты, требующие затрат только на установку и настройку). Десятки производителей ведут конкурентную борьбу за средства, выделяемые компаниями на организацию защиты. И для каждого сектора рынка предлагается множество различных продуктов.
Производителям удалось значительно упростить использование межсетевых экранов и управление ими. Графические интерфейсы, инсталляционные программы-помощники и предварительно сконфигурированные устройства - все это способствовало приходу межсетевых экранов на массовый рынок. Жесткая конкуренция привела к серьезному снижению цен.
Проще становится инсталляция и управление экранами, расширяется их функциональность. Все экраны поддерживают VPN, обеспечивают преобразование сетевых адресов (Network Address Translation, NAT), фильтрацию пакетов по содержанию и высокую надежность. Средства антивирусной защиты и выявления внешних атак становятся непременными атрибутами брандмауэров.
Продукты для небольших предприятий представляют собой выделенные серверы с предустановленным и сконфигурированным на них ПО межсетевого экрана, VPN и ОС UNIX, Linux или BSD.
Компании и продукты
Cisco Systems (www.cisco.com)
Для корпоративного рынка Cisco предлагает серию аппаратно-программных межсетевых экранов Secure PIX Firewall, включающую модели PIX 506, 515 и 520 (недавно появились новые версии 506E, 515E и 525 соответственно).
Все устройства Secure PIX Firewall 520 и 525 работают с собственной защищенной операционной системой PIX OS. Пропускная способность моделей 520 и 525 составляет 370 Мбит/с. Брандмауэр Secure PIX Firewall 520 может одновременно обслуживать до 250 тыс. сеансов, а Secure PIX Firewall 525 - до 280 тыс. сеансов.
В качестве метода защиты Cisco использует Adaptive Security Algorithm (ASA) - разновидность алгоритма контекстной проверки. ASA запоминает адреса отправителей и получателей, порядковые номера TCP и другие данные, необходимые для определения соответствующих соединений. Оба устройства предоставляют характерные для VPN функции туннелирования и шифрования DES/ TripleDES.
В новой версии PIX OS 6.0 использован графический пользовательский интерфейс PIX Device Manager (PDM) вместо интерфейса командной строки. Кроме того, в этой версии улучшена поддержка функций межсетевого экрана для протоколов Voice over IP (VoIP).
Для малых и домашних офисов Cisco выпускает Secure PIX 506, для небольших предприятий и удаленных офисов - систему Secure PIX 515. Оба межсетевых экрана работают под управлением собственной PIX OS. Модель 506 имеет производительность 10 Мбит/с и поддерживает VPN с пропускной способностью 7 Мбит/с при шифровании TripleDES. Модель 515 (пропускная способность 120 Мбит/с) может обслуживать одновременно до 125 тыс. сеансов. Все межсетевые экраны и VPN компании Cisco управляются централизованно с помощью Cisco Secure Policy Manager.
Check Point Software Technologies (www.checkpoint.com)
Компания Check Point одной из первых реализовала технологию контекстной проверки. Она выпускает программное обеспечение FireWall-1 для защиты корпоративных сетей. Графический интерфейс FireWall-1 позволяет администраторам задавать правила организации защиты и управлять другими элементами системы безопасности, в том числе VPN и NAT.
FireWall-1 совместимо с ОС Windows NT/2000, Solaris, Red Hat Linux, HP-UX и AIX компании IBM. Само по себе FireWall-1 не реализует возможностей VPN, но взаимодействует с VPN-1 компании Check Point.
В Check Point Next Generation (NG) входит ПО межсетевого экрана и виртуальной частной сети, поставляемое на одном компакт-диске.
Кроме того, эта фирма модернизирует свою архитектуру защиты. Продукт NG реализует переработанную технологию контекстной проверки. ПО разделено на модули таким образом, что межсетевой экран, шифрование и другие функции могут функционировать на аппаратных устройствах от независимых производителей. Выпущены новые версии FireWall-1 и VPN-1.
В состав NG также входит интерфейс аппаратного ускорения, получивший название SecureXL. Некоторые производители оборудования, в том числе Intel и Broadcom, используют SecureXL в аппаратных процессорах для увеличения производительности специализированных устройств защиты. Компания RapidStream уже около года поставляет новое NG со своими устройствами.
Комплекс модулей FireWall-1/ VPN-1 является ядром системы безопасности в продуктах CheckPoint. Помимо функций межсетевого экрана на базе технологии Stateful Inspection он поддерживает аутентификацию пользователей, трансляцию адресов, контроль доступа по содержанию и аудит. Система централизованного управления на основе правил политики может управлять работой не только модулей FireWall-1, но и других продуктов - VPN-1, FloodGate-1.
Средства безопасности FireWall-1/VPN-1 компании CheckPoint поддерживают разнообразные схемы аутентификации: на основе паролей, хранящихся в FireWall-1, цифровых сертификатов X.509, систем аутентификации ОС, RADIUS, TACACS, SecurID и др. С помощью модуля Account Management, входящего в состав FireWall-1/VPN-1, в правилах доступа можно использовать информацию о пользователях и группах, хранящуюся во внешних базах учетных данных, поддерживающих протокол LDAP (например, NDS или Active Directory).
Поддержка цифровых сертификатов и инфраструктуры публичных ключей PKI в продуктах CheckPoint решает проблему масштабирования массовой аутентификации. Продукты FireWall-1/VPN-1 работают с системами PKI компаний Entrust, VeriSign, Netscape, Microsoft, Baltimore Technologies и Data Key, это делает возможным аутентификацию пользователей в гетерогенной среде, когда сертификаты изданы и подписаны различными сертифицирующими организациями. Система VPN-1 Certificate Manager (теперь она встроена в пакет NG b и отдельно не продается) включает сервер сертификатов Entrust Technologies и LDAP-совместимую службу каталогов Nescape Communications.
Хотя Check Point не выпускает аппаратных межсетевых экранов, она предлагает производителям оборудования лицензии на FireWall-1 и VPN-1.
CyberGuard (www.cyberguard.com)
Для предприятий фирма CyberGuard предлагает и программные, и аппаратные брандмауэры. Среди программных решений - CyberGuard Firewall для Windows NT и CyberGuard для UnixWare. Оба продукта - гибридные системы, объединяющие в себе функции динамической фильтрации пакетов и посредника. Администраторы могут комбинировать эти функции в зависимости от требований к сети.
Гибридное устройство KnightSTAR этой компании с пропускной способностью 200 Мбит/с работает под управлением UNIX. Оно поставляется в монтируемых в стойку корпусах 2U или 5U с пятью (расширяемыми до девяти) или девятью (расширяемыми до 25) 10/100 Мбит/с Ethernet-портами соответственно.
STARLord - устройство с пропускной способностью 700 Мбит/с, восемью 10/100 Мбит/с Ethernet-портами (их число можно увеличить до 12) и двумя портами Gigabit Ethernet. Это гибридный межсетевой экран с динамической фильтрацией пакетов и функциями посредника для протоколов HTTP и ftp.
KnightSTAR и STARLord совместимы с VPN, но требуют дополнительного аппаратного обеспечения.
Для сетей небольшого и среднего размеров компания предлагает устройство Fire, работающее под управлением защищенной версии UnixWare. Оно имеет пропускную способность 100 Мбит/с, поставляется с шестью портами Ethernet 10/100 Мбит/с и обеспечивает функции посредника не только для протоколов HTTP и telnet, но и для популярного приложения Real-Audio. Дистанционное управление Fire осуществляется с помощью браузера.
NetScreen Technologies (www.netscreen.com)
Для предприятий NetScreen выпускает NetScreen-500, серию NetScreen-200, модели NetScreen-100, -50, -25 и -5.
Межсетевой экран NetScreen-500 с пропускной способностью 700 Мбит/с может одновременно обслуживать 250 тыс. соединений. VPN работает на скорости 250 Мбит/с при использовании шифрования Triple DES и поддерживает до 10 тыс. туннелей. Допустимы различные комбинации трех 10/100 Мбит/с портов Ethernet или Gigabit Ethernet.
NetScreen-500
Администраторы могут реализовать защиту нескольких сетевых сегментов с помощью одного NetScreen-500 за счет создания Virtual System - отдельного домена внутри устройства с собственными правилами защиты и функциями управления. Устройство поддерживает 25 Virtual System. Все межсетевые экраны NetScreen работают под управлением операционной системы ScreenOS.
В NetScreen-100 предусмотрено три 10/100 Мбит/с Ethernet-порта с одновременным обслуживанием 128 тыс. сеансов TCP и 1000 туннелей VPN. Для повышения надежности и резервирования два устройства Net-Screen-100 можно объединить в конфигурацию главный - ведомый.
NetScreen-25
Семейство Net-Screen предоставляет защиту от SYN-атак и блокирует сканирование портов и зондирование системы.
NetScreen-25 имеет четыре порта 10BaseT и обеспечивает одновременное функционирование 4000 соединений и 25 туннелей VPN. Модель NetScreen-5 с двумя портами 10BaseT поддерживает 1000 соединений и 10 туннелей VPN.
RapidStream (www.rapidstream.com)
Для корпоративного рынка RapidStream производит модели 6100 и 8100. Межсетевой экран RapidStream 6100 с производительностью 270 Мбит/с может обслуживать одновременно 64 тыс. сеансов. Три порта Ethernet на 10/100 Мбит/с обеспечивают пропускную способность при организации VPN с 10 туннелями 180 Мбит/с. Концентратор VPN позволяет увеличить число туннелей до 8000.
RapidStream 8100
У RapidStream 8100 два порта Gigabit Ethernet, а пропускная способность межсетевого экрана составляет 600 Мбит/с. Это решение способно поддерживать 128 тыс. сеансов. VPN с использованием алгоритма шифрования TripleDES работает на скорости 360 Мбит/с и в стандартной конфигурации поддерживает до 20 тыс. IPSec-туннелей.
Межсетевые экраны управляются отдельно с помощью интерфейса командной строки и Web-ориентированного GUI на базе Java.
RapidStream 2100
Для небольших и средних предприятий компания поставляет модели 1000, 2000 и 4000. Экран Rapid-Stream 1000 работает с пропускной способностью 200 Мбит/с и одновременно поддерживает до 500 сеансов. Для сети VPN обеспечивается пропускная способность 50 Мбит/с, в ней может быть организовано до 10 туннелей.
RapidStream 2000 и RapidStream 4000 реализуют межсетевой экран с производительностью до 240 Мбит/с, каждый из них имеет три порта Ethernet 10/100 Мбит/с. Основные различия между этими моделями состоят в пропускной способности VPN: у модели RapidStream 2000 при шифровании TripleDES она составляет 20 Мбит/с (обеспечивает функционирование до 200 туннелей), а модели 4000 - 100 Мбит/с (до 400 туннелей).
Symantec (www.symantec.com)
Symantec в результате приобретения фирмы Axent Technologies получила VelociRaptor - аппаратный межсетевой экран с функциями посредника на прикладном уровне. Он поставляется с ПО межсетевого экрана Raptor 6.5 компании Axent и защищенным ядром Linux на сервере Cobalt RaQ.
VelociRaptor поддерживает NAT и имеет производительность 90 Мбит/с при четырех соединениях Ethernet 10/100 Мбит/с. В минимальной конфигурации обеспечивается защита до 25 уникальных IP-адресов. Устройство может быть масштабировано для защиты неограниченного числа IP-адресов.
Компания Symantec с весны 2001 г. стала выпускать межсетевой экран Raptor под названием Symantec Enterprise Firewall. Этот программный продукт работает под управлением Windows NT/2000, Solaris 2.6 или 2.7, Tru64, HP-UX и способен осуществлять контекстную проверку приложений.
В продукт включен модуль PowerVPN компании Axent для шифрования по алгоритмам DES и TripleDES. Пропускная способность VPN - 10 Мбит/с. Управлять устройством можно дистанционно через Microsoft Management Console.
Symantec Enterprise Firewall с гибридной архитектурой пригоден для удлинения периметра корпоративной сети за счет подключения филиалов и дистанционных пользователей, что достигается благодаря интеграции с продуктом Symantec Enterprise VPN (ранее известным как PowerVPN) и персональным межсетевым экраном.
Продукт поддерживает широкий спектр способов проверки подлинности (в том числе Radius, цифровые сертификаты, LDAP, проверку подлинности пользователей домена Windows NT).
Гибридная архитектура позволяет администратору работать с разнообразными службами. Например, он вправе разрешить передачу трафика HTTP в режиме контекстной проверки, но задействовать для ftp все функции посредника. Межсетевой экран включает в себя функции посредника для большинства протоколов: HTTP, ftp, telnet, H.323, RealAudio и RealVideo. Он также поддерживает аппаратную балансировку нагрузки с помощью RadWare и программную балансировку нагрузки посредством Rainfinity. Продукт отличается интуитивно понятным интерфейсом. Администратор может с консоли задавать правила безопасности для локальных и удаленных сетевых экранов, получать отчеты об управлении системой и журналы, регистрирующие события, связанные с ее безопасностью. Symantec Enterprise Firewall отвечает строгим современным требованиям к обеспечению безопасности, взаимодействию с другими продуктами и сертификации.
WatchGuard Technologies (www.watchguard.com)
Компания WatchGuard предлагает аппаратные межсетевые экраны Firebox 4500 и 2500, работающие под управлением ОС Linux с защищенным ядром. Пропускная способность брандмауэров составляет 197 Мбит/с в режиме пакетной фильтрации и 60 Мбит/с - в режиме посредника (прозрачный proxy) на прикладном уровне. Обе модели обслуживают одновременно до 5000 запросов пользователей, причем размер защищаемой сети не ограничен.
Оба межсетевых экрана могут поддерживать до 1000 туннелей VPN, но модель FireBox 4500 позволяет достичь более высоких, по сравнению с FireBox 2500, скоростей шифрования информации по алгоритму TripleDES: 100 Мбит/с против 70 Мбит/с соответственно.
FireBox 2500
Еще один продукт компании WatchGuard для корпоративного рынка - брандмауэр Firebox 1000, служащий для сетевой защиты и предоставления VPN предприятиям среднего уровня. В тестах по фильтрации 1400-байтных полнодуплексных UDP пакетов в IPSec-туннеле Firebox 1000 показал скорость 55 Мб/с. Этот межсетевой экран способен обрабатывать запросы до 1000 пользователей одновременно. Пропускная способность брандмауэра составляет 185 Мбит/с в режиме пакетной фильтрации и 43 Мбит/с - в режиме посредника на прикладном уровне.
Для небольших и средних предприятий и удаленных офисов компания выпускает продукты Firebox SOHO и Firebox 700. Последний способен обслуживать одновременно до 250 пользователей. Это межсетевой экран, поддерживающий как пакетную фильтрацию, так и фильтры - посредники приложений. Специалисты WatchGuard оценивают производительность Firebox 700 в 131 Мбит/с в режиме пакетной фильтрации и 43 Мбит/с - в режиме посредника. Firebox 700 позволяет создавать виртуальную частную сеть со 150 туннелями одновременно и выполнять шифрование TripleDES со скоростью 5 Мбит/с.
Firebox SOHO работает под управлением коммерческой ОС VxWorks и обеспечивает защиту 50 пользователей. Он поддерживает функционирование пакетных фильтров с пропускной способностью 9 бит/с, а также виртуальную частную сеть с пятью туннелями и пропускной способностью 1,3 Мбит/с (модификация SOHO/tc) при использовании шифрования TripleDES.
Администрирование систем безопасности
Брандмауэр может защитить ИС на трех уровнях: сетевом (контроль адресов), транспортном (“машины состояний” основных протоколов) или прикладном (прокси-системы). Он обеспечивает трансляцию адресов по алгоритмам NAT, скрывая внутренние IP-адреса в пакетах, отправляемых в Интернет. Сервис NAT поддерживает два режима трансляции: статический и динамический. При статической трансляции адреса пакетов заменяются в соответствии с задаваемыми правилами. Администратор может создать таблицу трансляции адресов на основе адресов источника, назначения и сервиса (задаваемого, например, номером TCP/UDP порта). При динамической трансляции внутренние адреса автоматически заменяются одним адресом, имеющим глобальное значение в Интернете. Функции NAT позволяют скрыть значения внутренних адресов сети или использовать в качестве внутренних частные адреса, к которым маршрутизация из Интернета не поддерживается, что во многих случаях надежно защищает корпоративную сеть от внешних атак.
Роль администратора в обеспечении сетевой безопасности своей организации не менее важна, чем роль межсетевого экрана. Ведь последний всего лишь ограничивает доступ к приложению извне, позволяя системному администратору изолировать основные серверы от внешнего мира.
Не следует переоценивать показатели пропускной способности - в реальных условиях они могут сильно отличаться от того, что сообщают производители. На нее влияют число заданных правил, объем и тип трафика. Например, большинство межсетевых экранов надежно обрабатывают большие пакеты, но при множестве сеансов с короткими пакетами могут вести себя нестабильно. Следует помнить о том, что межсетевой экран - всегда узкое место в сети. Если ориентироваться только на скорость, то лучше просто купить маршрутизатор.
Правила работы брандмауэра придется уточнять после каждой атаки и инсталляции нового приложения. Растущий бизнес может потребовать пересмотра политики безопасности, и нужен пользовательский интерфейс, который позволит легко это сделать.
Качество работы брандмауэра непосредственно зависит от того, какие инструкции задаст администратор. Даже самая передовая и совершенная технология будет бессильна, если его конфигурация подобна ситу. Эффективность брандмауэров по-прежнему существенно зависит от правил и политики защиты, за что в конечном итоге отвечает администратор.
