Рынок межсетевых экранов изобилует продуктами. Будь то гигантский центр обработки данных или маленькая компания, производители систем защиты всегда могут предложить решение, в соответствии с потребностями конкретного предприятия.
Современный рынок межсетевых экранов (так называемых брандмауэров) — это рынок покупателей. Десятки производителей ведут конкурентную борьбу за средства, выделяемые компаниями (и не только теми, кто значится в списке Fortune 1000) на организацию защиты. И для каждого сектора рынка — от самых маленьких офисов до крупнейших провайдеров услуг — предлагается множество различных продуктов.
Одна из причин подобного изобилия — получившие широкую огласку атаки на сайты ведущих технологических компаний, таких, как Yahoo! и Microsoft, которые напомнили каждому из нас о потенциальной опасности работы в Internet.
Кроме того, производителям удалось значительно упростить использование межсетевых экранов и управление ими. Графические интерфейсы, инсталляционные программы-«помощники» и предварительно сконфигурированные устройства — все это способствовало превращению межсетевых экранов в технологию для массового рынка.
Наконец, жесткая конкуренция привела к тому, что эти средства безопасности стали по карману любой компании. Теперь многофункциональный корпоративный межсетевой экран можно приобрести примерно за 2000 долларов. Конечно, если захочется, за продукты старшего класса можно без труда выложить сумму от 30 до 60 тыс. долларов.
Помимо упрощения установки и управления, а также снижения стоимости межсетевых экранов, расширяется их функциональность. Теперь на рынке практически невозможно найти межсетевой экран, где бы не поддерживалась виртуальная частная сеть в том или ином виде (VPN). Кроме того, большинство экранов обеспечивает преобразование сетевых адресов (Network Address Translation, NAT), фильтрацию пакетов по содержанию и высокую готовность. Такие дополнения, как средства антивирусной защиты и выявление внешних атак, становятся их непременными атрибутами.
В этой статье рассматриваются предложения производителей, относящихся к трем категориям: продукты для небольших и средних предприятий (Small and Medium Business, SMB) и удаленных офисов, стандартные корпоративные системы и решения для крупных предприятий и центров обработки данных. Обратите внимание, что перечисленные здесь решения составляют лишь часть рынка межсетевых экранов.
МАЛЫЙ БИЗНЕС И УДАЛЕННЫЙ ОФИС
Потребности рынка продуктов для малых и средних предприятий и удаленных офисов послужили стимулом к созданию специализированных аппаратных устройств с функциями межсетевых экранов. Такие устройства, как правило, представляют собой выделенные серверы с предварительно установленным и сконфигурированным на них программным обеспечением межсетевого экрана, виртуальной частной сети и операционной системой. Хотя большинство из них работает под управлением той или иной версии UNIX или Linux, производители предлагают средства администрирования с графическим пользовательским интерфейсом (GUI), чтобы умиротворить тех администраторов, кто на дух не выносит интерфейс командной строки.
Компания NetScreen Technologies выпускает два устройства в категории продуктов для SMB и удаленных офисов: NetScreen-5 и NetScreen-10. Они обеспечивают производительность 10 Мбит/с и NAT, имеют предустановленные средства реализации VPN. Модуль контроля с сохранением состояния фильтрует пакеты, а с помощью специализированной заказной интегральной схемы реализованы алгоритмы правил доступа и шифрования. Все устройства серии Net-Screen предоставляют защиту от таких распространенных видов вторжений, как атаки SYN и потоки сообщений Internet Control Message Protocol (ICMP), а также блокируют сканирование портов, предотвращая зондирование системы.
NetScreen-10 имеет три порта 10BaseT и обеспечивает функционирование одновременно до 4000 соединений и до 100 туннелей VPN. Модель NetScreen-5 оснащается двумя портами 10BaseT и поддерживает одновременно до 1000 соединений и до 10 туннелей VPN.
Компания Symantec, хорошо известная своими антивирусными программами и утилитами, выпускаемыми под торговой маркой Norton, в 2000 г. приобрела компанию Axent Technologies, занимавшуюся вопросами защиты. В результате этой сделки Symantec получила VelociRaptor — аппаратный межсетевой экран с функциями посредника на прикладном уровне. Он поставляется с программным обеспечением межсетевого экрана Raptor 6.5 компании Axent и защищенным ядром Linux на сервере Cobalt RaQ.
VelociRaptor поддерживает NAT и производительность 90 Мбит/с при четырех соединениях Ethernet на 10/100 Мбит/с. В минимальной конфигурации обеспечивается защита до 25 уникальных IP-адресов. Устройство может быть масштабировано для защиты неограниченного числа IP-адресов.
В продукт включен модуль PowerVPN компании Axent для обеспечения шифрования по алгоритмам DES и TripleDES. Пропускная способность VPN — 10 Мбит/с. Управлять устройством можно удаленно через Microsoft Management Console.
Компания WatchGuard Technologies, известная на рынке аппаратных устройств межсетевой защиты, предлагает два продукта для небольших и средних предприятий и удаленных офисов: Firebox SOHO и Firebox II.
Firebox SOHO обеспечивает защиту до 50 пользователей и работает под управлением коммерческой операционной системы VxWorks. SOHO представляет собой межсетевой экран с контекстной проверкой и пропускной способностью 9 Мбит/с. Он также поддерживает дополнительно виртуальную частную сеть с пятью туннелями и пропускной способностью 1,3 Мбит/с при использовании шифрования TripleDES.
Firebox II работает на защищенном ядре Linux и способен обслуживать одновременно до 1000 пользователей. Это гибридный межсетевой экран с контекстной проверкой и посредниками для протоколов HTTP, SMTP и ftp. Специалисты WatchGuard оценивают производительность Firebox II в 95 Мбит/с в режиме контекстной проверки и в 25 Мбит/с — в режиме посредника. Firebox II позволяет создавать виртуальную частную сеть со 150 туннелями и выполнять шифрование TripleDES со скоростью 5,2 Мбит/с.
Оба продукта поставляются в комплекте с контрактом на LiveSecurity от компании WatchGuard — службу автоматической рассылки клиентам обновлений программного обеспечения, а также уведомлений о новых видах атак.
Компания Cisco Systems выпускает систему Secure PIX 506 для малых и домашних офисов и систему Secure PIX 515 для небольших предприятий и удаленных офисов. Оба межсетевых экрана работают под управлением собственной операционной системы PIX OS. Модель 506 имеет производительность 10 Мбит/с и поддерживает VPN с пропускной способностью 7 Мбит/с при шифровании TripleDES. Модель 515 (пропускная способность 120 Мбит/с) может обслуживать одновременно до 125 тыс. сеансов. Управление каждым межсетевым экраном и VPN компании Cisco осуществляется централизованно с помощью Cisco Secure Policy Manager.
Компания RapidStream, основанная в 1998 г., занимается исключительно аппаратными устройствами, реализующими функции межсетевых экранов и виртуальных частных сетей, причем она предлагает продукты, рассчитанные на все категории рынка — от SOHO до центров обработки данных. Каждый член семейства продуктов RapidStream использует механизм контекстной проверки и работает на защищенном ядре Linux.
RapidStream использует специализированную интегральную схему RapidCore для ускорения выполнения таких функций защиты, как обработка правил межсетевого экрана и шифрование VPN. Специальная архитектура устройства позволяет передавать пакеты в обход центрального процессора и системной шины непосредственно для обработки процессорами RapidCore.
Компания выпустила три продукта для рынка SMB: модели RapidStream 1000, 2000 и 4000. Представленный весной 2001 г. межсетевой экран Rapid-Stream 1000 работает с пропускной способностью 200 Мбит/с и одновременно поддерживает до 500 сеансов. Для сети VPN обеспечивается пропускная способность 50 Мбит/с, в ней может быть организовано до 10 туннелей.
RapidStream 2000 и RapidStream 4000 реализует межсетевой экран с производительностью до 240 Мбит/с, и каждый из них имеет три порта Ethernet на 10/100 Мбит/с. Основные различия между этими моделями состоят в пропускной способности VPN. Модель RapidStream 2000 при шифровании TripleDES имеет пропускную способность 20 Мбит/с и обеспечивает функционирование до 200 туннелей, а модель 4000 — 100 Мбит/с и поддерживает до 400 туннелей.
Компания PGP Security (подразделение Network Associates) предлагает большую серию так называемых e-ppliance (аппаратных «электронных приставок»), рассчитанных на применение компаниями самого разного размера. Модели PGP 5, PGP 10 и PGP 50 предназначены для рынка SOHO и удаленных офисов. PGP 5 поддерживает пять узлов и пять туннелей VPN; PGP 10 — 10 узлов, а PGP 50 (как следует из маркировки) — 50 узлов. Модернизация для поддержки VPN позволяет моделям PGP 10 и PGP 50 обслуживать соответственно 10 и 50 туннелей виртуальной частной сети.
PGP 75, PGP 100 и PGP 150 предназначены для крупных компаний и офисов филиалов. Каждое устройство имеет три порта Ethernet на 10/100 Мбит/с. PGP 75 поддерживает одновременно 25 туннелей VPN, PGP 100 — 100 туннелей, а PGP 150 — до 1000 туннелей. Кроме того, PGP 150 обеспечивает функции высокой готовности.
Для всех шести устройств предусмотрено управление с помощью графического интерфейса Web, что значительно упрощает установку и администрирование. Кроме того, несколько устройств можно администрировать удаленно и одновременно с одной консоли.
Компания SonicWALL, созданная в 1991 г., производит серию устройств для небольших компаний, в том числе TELE2, SOHO2 и XPRS2. Все межсетевые экраны компании Sonic используют контроль с сохранением состояния. TELE2 поддерживает пять пользователей; SOHO2 — 10 или 50, в зависимости от модели; XPRS2 рассчитан на работу неограниченного числа пользователей. Все три устройства имеют производительность 70 Мбит/с и способны одновременно поддерживать до 3000 соединений. Функции VPN реализованы в TELE2; модели SOHO2 и XPRS2 требуется дополнительно модернизировать для поддержки VPN. VPN работает на скорости 2 Мбит/с при шифровании по алгоритму TripleDES.
Компания CyberGuard ориентируется на сети небольшого и среднего размера, предлагая для них свое многофункциональное устройство Fire. Работая под управлением защищенной версии операционной системы Unix-Ware, это устройство имеет пропускную способность 100 Мбит/с и поставляется с шестью портами Ethernet на 10/100 Мбит/с. Оно обеспечивает функции посредника не только для таких протоколов, как HTTP и telnet, но и для популярного приложения Real-Audio. Удаленное управление Fire осуществляется с помощью браузера.
КОРПОРАТИВНЫЕ ОБЯЗАННОСТИ
В эту категорию продуктов входят как аппаратные, так и полностью программные реализации межсетевых экранов. Аппаратные решения популярны не только на рынке SMB, поскольку удобство их использования и управления высоко ценится и крупными предприятиями, где может не хватать специалистов по ИТ или эти специалисты могут работать со слишком большой нагрузкой.
Что касается программных решений, то некоторые из них работают под управлением Windows или UNIX. Другие включают в себя операционную систему с программным обеспечением межсетевого экрана; эти решения, как правило, имеют ОС, из которой удалены потенциально опасные и ненужные для работы межсетевого экрана функции.
Известный Gauntlet Firewall 6.0 компании PGP представляет собой программный продукт на базе технологии посредников. Он поддерживает функции посредника для более чем 35 различных протоколов и прикладных программ, в том числе NetMeeting, Real-Audio и RealVideo. Gauntlet способен также работать в режиме межсетевого экрана с контекстной проверкой.
Кроме того, PGP одной из первых реализовала так называемую технологию «настраиваемых посредников» (Adap-tive Proxy). В соответствии с подходом Adaptive Proxy межсетевой экран проверяет первые пакеты соединения на прикладном уровне, как и посредник на прикладном уровне. Если соединение выглядит безопасным, остальная часть транзакции проверяется на сетевом уровне с помощью механизма контекстной проверки. По словам представителей PGP, технология Adaptive Proxy таким образом обеспечивает ту же надежность защиты, что и в случае посредника, но при этом работает так же быстро, как и в случае контекстной проверки.
Gauntlet VPN поставляется вместе с Gauntlet Firewall 6.0. В его состав также входит антивирусное программное обеспечение McAfee, так что входящий трафик можно сканировать на наличие вирусов и вредоносного кода еще на шлюзе. Gauntlet 6.0 поддерживает также функции балансировки нагрузки, предлагаемые Cisco Systems, RadWare и F5.
Администратор может управлять до 500 межсетевыми экранами и VPN с одной консоли с помощью системы Global Enterprise Management System (GEMS) компании PGP (она поставляется вместе с программным обеспечением межсетевого экрана). GEMS представляет собой графический пользовательский интерфейс на базе Java и Web, который работает как под Windows NT, так и под UNIX.
Кроме того, PGP предлагает устройство для корпоративных сетей PGP 300. Оно работает с операционной системой Solaris и объединяет функции межсетевого экрана, виртуальной частной сети и антивирусные средства в одном, монтируемом в стойку устройстве. Использование технологии Adaptive Proxy позволяет обеспечить пропускную способность 80 Мбит/с для трафика HTTP.
Компания Symantec с весны 2001 г. стала выпускать межсетевой экран Raptor под названием Symantec Enter-prise Firewall. Этот программный продукт работает под управлением Windows NT/2000, Solaris, Tru64 или HP-UX. Если ранее он выполнял только функции посредника на прикладном уровне, то новый межсетевой экран будет обеспечивать аналог контекстной проверки, который в Symantec называют «контекстной проверкой приложений».
Благодаря гибридной архитектуре, администратор может работать с разнообразными службами. Например, он вправе разрешить передачу трафика HTTP в режиме контекстной проверки, но задействовать для ftp все функции посредника. Межсетевой экран включает в себя функции посредника для многих популярных протоколов, в том числе для HTTP, ftp, telnet, H.323, RealAudio и RealVideo. Он также поддерживает аппаратную балансировку нагрузки с помощью RadWare и программную балансировку нагрузки посредством Rainfinity.
Компания Check Point Software Technologies, одна из первых реализовавшая технологию контекстной проверки, выпускает программное обеспечение FireWall-1, предназначенное для корпоративных сетей. Графический интерфейс FireWall-1 позволяет администраторам задавать правила организации защиты и управлять другими элементами системы безопасности, в том числе VPN и NAT.
FireWall-1 совместим с несколькими операционными системами, в том числе Windows NT/2000, Solaris, Red Hat Linux, HP-UX и AIX компании IBM. Сам по себе FireWall-1 не реализует возможностей VPN, но взаимодействует с VPN-1 компании Check Point. Check Point 2000 объединяет в себе программное обеспечение межсетевого экрана и виртуальной частной сети, поставляемое на одном компакт-диске.
Хотя компания Check Point не выпускает аппаратных межсетевых экранов, она продает производителям оборудования лицензии на FireWall-1 и VPN-1. Например, популярная серия межсетевых экранов IP компании Nokia поставляется вместе с программным обеспечением межсетевого экрана и виртуальной частной сети компании Check Point на монтируемом в стойку аппаратном устройстве. Последнее решение Nokia — модель IP 530 — предназначено для средних и крупных предприятий. Она имеет производительность 500 Мбит/с и четыре порта Ethernet 10/100 Мбит/с. Кроме того, Nokia выпускает устройства для небольших компаний и офисов филиалов, а также для крупных предприятий.
Во время подготовки данной статьи компания Compaq Computer анонсировала серию устройств с функциями межсетевого экрана, под общим названием Compaq/Check Point Solution-Paq. Они представляют собой сочетание серверов ProLiant компании Compaq на базе процессоров Pentium и программного обеспечения межсетевого экрана и виртуальной частной сети компании Check Point. Устройства Compaq будут работать как под Windows 2000, так и под Linux. В состав продукта также входит программное обеспечение высокой готовности компании Rainfinity.
Кроме того, недавно компания Check Point анонсировала модернизацию своей архитектуры защиты. Это решение, получившее название Check Point Next Generation (NG), включает в себя переработанную технологию контекстной проверки. Модернизация позволит разделить программное обеспечение на модули таким образом, что межсетевой экран, шифрование и другие функции могут интегрироваться в аппаратное обеспечение независимых производителей, повышая его производительность. Выпуск новых версий FireWall-1 и VPN-1 должен начаться в конце второго — начале третьего квартала 2001 г.
Под маркой NG компания Check Point разрабатывает также интерфейс аппаратного ускорения, получивший название SecureXL. Некоторые производители оборудования, в том числе Intel и Broadcom, уже объявили о намерении использовать SecureXL для выпуска аппаратных процессоров для специализированных устройств защиты с тем, чтобы увеличить производительность программного обеспечения Check Point. Компания RapidStream собирается поставлять новое программное обеспечение Check Point со своими устройствами сразу после выпуска NG.
Система Sidewinder 5.1 компании Secure Computing представляет собой гибридный программный межсетевой экран, но она, в первую очередь, известна своей надежной технологией посредника прикладного уровня. И программный межсетевой экран, и SecureOS (защищенная операционная система на базе BSDI для Side-winder) поставляются на одном компакт-диске. Sidewinder 5.1 может одновременно поддерживать до 70 тыс. соединений. Кроме того, она оптимизирована под аппаратные ускорители PA 100 и CM 100 компании Intel, что способствует достижению большей производительности.
Межсетевой экран защищает от самых разнообразных атак, в том числе фальсификации IP-пакетов, перехвата сеансов, зондов, потоков SYN, реализующих атаку по типу отказ от обслуживания (Denial of Service, DoS), и переполнения буферов. Он также обеспечивает функции посредника для таких протоколов и сервисов, как HTTP, DNS, ftp и NetMeeting.
VPN в Sidewinder поддерживает цифровые сертификаты и LDAP для обеспечения интероперабельности инфраструктуры с открытыми ключами (PKI). Кроме того, Sidewinder 5.1 обеспечивает оперативное аппаратное резервирование и балансировку нагрузки с помощью решений от компаний RadWare и F5.
Компания Cisco Systems предлагает для корпоративного рынка два продукта с функциями межсетевого экрана: Secure PIX Firewall 520 и Secure PIX Firewall 525. Оба устройства работают с собственной защищенной операционной системой PIX OS. Пропускная способность моделей 520 и 525 составляет 370 Мбит/с. Secure PIX Firewall 520 может одновременно обслуживать до 250 тыс. сеансов, а Secure PIX Firewall 525 — до 280 тыс. сеансов.
В качестве метода защиты Cisco использует Adaptive Security Algorithm (ASA) — разновидность алгоритма контекстной проверки. ASA запоминает адреса отправителей и получателей, порядковые номера TCP и другие данные, необходимые для определения соответствующих соединений. Оба устройства предоставляют функции VPN, такие, как туннелирование и шифрование DES/TripleDES.
В апреле 2001 г. Cisco анонсировала очередной вариант программного обеспечения межсетевого экрана — PIX OS 6.0. Новое в нем — использование графического пользовательского интерфейса PIX Device Manager (PDM) в качестве альтернативы интерфейсу командной строки. Кроме того, в версии 6.0 улучшена поддержка функций межсетевого экрана для протоколов Voice over IP (VoIP).
Выпускаемые компанией Watch-Guard Technologies продукты корпоративного уровня предприятия — Firebox II Plus и Firebox II FastVPN, представляют собой гибридные устройства с функциями межсетевого экрана под управлением Linux с защищенным ядром. Пропускная способность экрана составляет 95 Мбит/с в режиме контекстной проверки и 47 Мбит/с — в режиме посредника на прикладном уровне. Обе модели обслуживают до 5 тыс. пользователей, и каждое устройство имеет три соединения Ethernet на 10/100 Мбит/с.
Хотя оба межсетевых экрана могут поддерживать до 330 туннелей VPN, FastVPN работает более чем в три раза быстрее, чем Firebox II Plus: первый имеет производительность 24 Мбит/с при шифровании TripleDES, а второй — 7,5 Мбит/с.
Компания WatchGuard много сделала для упрощения администрирования этих устройств с помощью серии утилит с графическим пользовательским интерфейсом. Например, информация о конфигурации представляется в виде пиктограмм для каждой поддерживаемой службы. Вместе с Firebox II Plus и FastVPN предлагается годичный контракт на услугу LiveSecurity.
RapidStream выпускает два высокопроизводительных решения для корпоративного рынка: RapidStream 6000 и RapidStream 8000. Как и другие продукты RapidStream, оба устройства реализуют технологию контекстной проверки.
Модель 6000 при работе в режиме межсетевого экрана имеет производительность 270 Мбит/с и может обслуживать одновременно 64 тыс. сеансов. Она оснащается тремя портами Ethernet на 10/100 Мбит/с. Пропускная способность при организации виртуальной частной сети с 10 туннелями равна 180 Мбит/с. Концентратор VPN позволяет увеличить число туннелей до 8000.
RapidStream 8000 имеет два порта Gigabit Ethernet, а пропускная способность межсетевого экрана составляет 600 Мбит/с. Это решение способно поддерживать 128 тыс. сеансов. VPN с использованием алгоритма шифрования TripleDES работает на скорости 360 Мбит/с и в стандартной конфигурации поддерживает 10 туннелей. Благодаря концентратору, число туннелей можно увеличить до 20 тысяч.
Управление каждым межсетевым экраном осуществляется отдельно с помощью интерфейса командной строки или GUI на базе Java. К маю 2001 г. RapidStream планирует предложить администраторам консоль управления с возможностью одновременного администрирования нескольких устройств.
Компания NetScreen Technologies выпускает модели NetScreen-100 и NetScreen-500. В NetScreen-100 предусмотрено три порта Ethernet на 10/100 Мбит/с с одновременной поддержкой 128 тыс. сеансов TCP и 1000 туннелей VPN. Два устройства Net-Screen-100 можно объединить в конфигурацию «главный-подчиненный», что обеспечивает надежное оперативное резервирование.
NetScreen-500, новейший межсетевой экран семейства NetScreen, имеет пропускную способность 700 Мбит/с и может одновременно обслуживать 250 тыс. соединений. VPN работает на скорости 250 Мбит/с при использовании шифрования Triple DES и поддерживает до 10 тыс. туннелей. Покупатели могут выбирать различные комбинации до трех портов Ethernet на 10/100 Мбит/с или Gigabit Ethernet.
Администраторы теперь получили возможность реализовать защиту нескольких сетевых сегментов с помощью одного NetScreen-500 за счет создания Virtual System. Virtual System представляет собой отдельный домен внутри устройства со своими собственными правилами реализации защиты и функциями управления. NetScreen-500 поддерживает до 25 Virtual System. Все межсетевые экраны NetScreen работают под управлением операционной системы ScreenOS.
Компания CyberGuard предлагает на корпоративном рынке как программные, так и аппаратные межсетевые экраны. Среди программных решений — CyberGuard Firewall для Windows NT и CyberGuard для UnixWare. Оба межсетевых экрана — гибридные системы, объединяющие в себе функции динамической фильтрации пакетов и посредника. Администраторы могут комбинировать эти функции в зависимости от требований к сети.
Гибридное устройство KnightSTAR компании CyberGuard реализует функции межсетевого экрана и работает под управлением операционной системы UNIX. KnightSTAR, имеющий пропускную способность 200 Мбит/с, поставляется в монтируемых в стойку корпусах высотой 2U или 5U. Первая модель имеет пять портов Ethernet на 10/100 Мбит/с, число которых может быть увеличено до девяти. Во втором варианте, высотой 5U, — девять портов Ethernet на 10/100 Мбит/с с возможностью расширения до 25 портов.
STARLord — устройство с пропускной способностью 700 Мбит/с; у него восемь портов Ethernet на 10/100 Мбит/с (их число можно увеличить до 12) и два порта Gigabit Ethernet. Это гибридный межсетевой экран с динамической фильтрацией пакетов и функциями посредника для таких распространенных протоколов, как HTTP и ftp.
И KnightSTAR, и STARLord совместимы с VPN, но при этом им требуется дополнительное аппаратное обеспечение.
Компания SonicWALL выпускает устройства SonicWALL PRO и PRO-VX, предназначенные для корпоративных заказчиков. Их пропускная способность при выполнении функций межсетевого экрана — 100 Мбит/с, одновременно может быть обслужено 6000 соединений. У каждой из этих приставок по три порта Ethernet на 10/100 Мбит/с.
Обе модели имеют функции VPN. Модель PRO поддерживает 100 туннелей VPN и пропускную способность 5 Мбит/с при шифровании TripleDES; SonicWALL PRO-VX — 1000 туннелей и пропускную способность при реализации VPN — 45 Мбит/с. Система управления Global Management System позволяет администрировать одновременно до 1000 межсетевых экранов SonicWALL. Версия начального уровня способна управлять одновременно 20 устройствами.
Internet Security and Acceleration (ISA) Server 2000 компании Microsoft сочетает в себе функции межсетевого экрана и программное обеспечение кэширования Web. Межсетевой экран — это гибридная система, выполняющая фильтрацию пакетов, контекстную проверку и функции посредника на прикладном уровне. Фильтры приложений работают с HTTP, SMTP, H.323 и потоковым мультимедиа. Система также интегрирована с функциями VPN-сервера Windows 2000 Server, благодаря чему обеспечиваются защищенные каналы передачи данных.
ISA Server содержит шаблоны, с помощью которых администратор может «запереть» Windows 2000 в целях обеспечения более надежной защиты. Среди этих шаблонов есть вариант Secure, который рекомендуется в тех случаях, когда на сервере работают и другие приложения, такие, как ISS, и Dedicated, который рекомендуется применять, когда ISA выполняет только функции межсетевого экрана. Интерфейс администрирования представляет собой подключаемый модуль консоли Microsoft Mana-gement Console (MMC).
Компания Stonesoft, хорошо известная своими решениями в области балансировки нагрузки и средств высокой готовности, вышла на рынок межсетевых экранов весной 2001 г. со StoneGate, программным межсетевым экраном и VPN, поставляемым в пакете с защищенной операционной системой Linux. Межсетевой экран объединяет технологии контекстной проверки и посредника на прикладном уровне. StoneGate имеет производительность 100 Мбит/с и обслуживает одновременно до 300 тыс. соединений.
StoneGate включает в себя технологию кластеризации, позволяя распределять нагрузку межсетевого экрана между несколькими устройствами. Кроме того, так называемая технология Multi-Link используется для балансировки нагрузки межсетевого экрана и распределения трафика виртуальной частной сети между несколькими провайдерами Internet, тем самым позволяя избежать неработоспособности всей системы вследствие единичного отказа.
ГИГАБИТНЫЕ РЕШЕНИЯ
Гигабитные межсетевые экраны устанавливаются на каналах передачи данных с очень большой пропускной способностью в крупных компаниях, например в центрах обработки данных, у провайдеров Internet или на ведущих предприятих различных отраслей промышленности.
NetScreen-1000 компании NetScreen Technologies использует алгоритмы параллельной обработки и специализированные интегральные схемы GigaScreen для выполнения функций межсетевого экрана и VPN с гигабитными скоростями. Компания Net-Screen построила свою аппаратную систему по модульному принципу. Процессорный модуль выполняет операции классификации пакетов, управления сеансами и контроль за соблюдением политики безопасности. Коммутирующий модуль распределяет трафик среди нескольких процессорных модулей. Он имеет один доверительный и один недоверительный порт Gigabit Ethernet и коммутирующую структуру с пропускной способностью 6 Гбит/с. Вспомогательный модуль имеет один порт управления по внешнему каналу, порт консоли и интерфейс высокой готовности, с помощью которого две системы NetScreen-1000 могут быть объединены в конфигурацию «главный-подчиненный».
В зависимости от требований потребителя, NetScreen-1000 выпускается с четырьмя (100ES) или шестью процессорными модулями (1000 SP). Net-Screen-1000ES поддерживает одновременно 300 тыс. сеансов, 15 тыс. туннелей VPN и пять Virtual System; NetScreen-1000SP — 500 тыс. сеансов, 25 тыс. туннелей VPN и 100 Virtual System.
Система Secure PIX Firewall 535 компании Cisco Systems представляет собой гигабитное устройство, реализующее функции межсетевого экрана. Полностью укомплектованное, оно имеет восемь портов Gigabit Ethernet или Ethernet на 10/100 Мбит/с и плату VPN Accelerator Card. Межсетевой экран может одновременно обслуживать 500 тыс. соединений. VPN поддерживает пропускную способность 100 Мбит/с при шифровании Triple-DES и 2 тыс. туннелей.
За счет приобретения дополнительных лицензий второе устройство можно сконфигурировать для работы в режиме «горячего» резервирования с целью обеспечения оперативного восстановления после сбоя. Переход на резервный аппарат выполняется незаметно для конечных пользователей. PIX 535 также имеет дополнительные источники питания постоянного или переменного тока с возможностью «горячей» замены, обеспечивающие более высокую отказоустойчивость.
Устройство PGP 1000 компании PGP Security представляет собой гигабитный межсетевой экран и VPN. Оно имеет два порта Gigabit Ethernet и четыре порта Ethernet на 10/100 Мбит/с и работает под управлением операционной системы Solaris 2.6. Средства администрирования с графическим интерфейсом Web помогут администраторам избавиться от рутинных операций командной строки.
PGP 1000 может работать в режиме контроля с сохранением состояния, в режиме посредника на прикладном уровне или в режиме Adaptive Proxy, причем администратор может комбинировать все три режима. Кроме того, PGP 1000 включает в себя антивирусный продукт McAfee и поддерживает программное обеспечение Full-Time Cluster компании Legato для обеспечения работы в режиме высокой готовности.
ВНИМАНИЕ, ЦЕЛЬСЯ, ОГОНЬ!
Сейчас самое благоприятное время для компаний, занятых поиском вариантов межсетевых экранов для своих сетей. Хотя количество предлагаемых продуктов кажется даже чрезмерным, это значит, что найти решение, отвечающее всем вашим требованиям, не составит особого труда.
На что следует обращать внимание при выборе подходящего продукта? Во-первых, убедитесь, что вас устраивает интерфейс управления, поскольку межсетевой экран — это не та система, которую можно установить и забыть о ней. Новые атаки и новые приложения заставят не раз менять правила его работы. Вновь создаваемые бизнес-процессы могут потребовать пересмотра вашей политики защиты. Таким образом, вам нужен интерфейс, который не заставит предпринимать неимоверных усилий, когда придется модифицировать правила политики безопасности межсетевого экрана.
Кроме того, не следует придавать чрезмерного значения высоким показателям производительности. Данные о пропускной способности, указанные в этой статье, предоставлены дилерами, так что производительность системы в условиях вашей конкретной компании может оказаться несколько иной. На пропускную способность влияет множество факторов, в том числе количество заданных вами правил, а также объем и тип трафика, поступающего на устройство. Например, большинство межсетевых экранов способны надежно выполнять обработку больших пакетов, но в случае множества сеансов с небольшими пакетами ведут себя нестабильно. Вдобавок, следует помнить о том, что межсетевые экраны образуют узкие места намеренно. Если скорость — единственный критерий, по которому вы судите о межсетевом экране, то лучше просто пойти и купить маршрутизатор.
И, наконец, последнее, но не менее важное. Помните, что качество работы межсетевого экрана напрямую зависит от того, какие инструкции задаст администратор. Даже самая передовая и совершенная технология окажется бессильна, если его конфигурация напоминает сито. Межсетевые экраны по-прежнему существенно зависят от правил и политики защиты, за что в конечном итоге отвечает администратор.
Эндрю Конри-Мюррей — редактор Network Magazine по вопросам бизнеса. С ним можно связаться по адресу: amurray@cmp.com.
Check Point Software Technologies Cisco Systems Compaq Computer CyberGuard Microsoft Nokia | PGP Security/Network Associates RapidStream Secure Computing SonicWALL Stonesoft Symantec WatchGuard Technologies |