Перед лицом все более комплексных угроз из Internet проявляется тенденция к созданию многоуровневых систем безопасности и интегрированного специализированного оборудования. Несколько систем обеспечения безопасности обычно объединяется в готовом к немедленному применению и простом в обращении устройстве, которое представляет собой легко администрируемое и поэтому недорогое решение для защиты.

Цен?т?раль?ным ком?по?нен?том лю?бой ин?ф?ра?стру?к?ту?ры обес?пе?че?ния без?о?пас?но?сти ИТ яв?ля?ет?ся бранд?мау?эр. Он пред?ста?в?ля?ет со? бой ба?зу для за?щи?ты се?тей от не?санк?ци?о?ни?ро?ван?но?го до?с?ту?па из?вне и эф?фе?к?ти?вен лишь в том слу?чае, ес?ли че?рез не?го про?хо?дит весь тра?фик дан?ных ме?ж?ду ча?ст?ной се?тью и Internet. Он ис?сле?ду?ет все па?ке?ты и про?пу?с?ка?ет толь?ко за?слу?жи?ва?ю?щие до?ве?рие и раз?ре?шен?ные пра?ви?ла?ми. Ме?ж?ду тем бранд?мау?э?ры все ча?ще вклю?ча?ют в со?став мно?го?функ?ци?о?наль?ных «ор?га?нов без?о?пас?но?сти» — все упа?ко?ва?но в ком?пакт?ном се?те?вом уст?рой?ст?ве с под?держ?кой це?ло?го ря?да функ?ций, вклю?чая за?щи?ту от ви?ру?сов и спа?ма, об?на?ру?же?ние и пре?дот?вра?ще?ние втор?же?ний (Intrus?tion Detection/Prevention Sys?tem, IDS/IPS), фильт?ра?цию кон?тен?та и вир?ту?аль?ные ча?ст?ные се?ти (Virtual Private Networks, VPN). Про?из?во?ди?те?ли стре?мят?ся пред?ло?жить про?стой в ис?поль?зо?ва?нии ин?ст?ру?мент для за?щи?ты от всех форм уг?роз. При вы?бо?ре же осо?бое вни?ма?ние сле?ду?ет об?ра?щать на ре?а?ли?за?цию же?ла?е?мых функ?ций.

Как пра?ви?ло, речь идет о срав?ни?тель?но тес?но ин?тег?ри?ро?ван?ных уст?рой?ст?вах со все?ми не?об?хо?ди?мы?ми ком?по?нен?та?ми — цен?т?раль?ным про?цес?со?ром, па?мя?тью и се?те?вы?ми ин?тер?фей?са?ми. Опе?ра?ци?он?ная си?с?те?ма и про?грамм?ное обес?пе?че?ние ча?с?то вы?пол?не?ны в ви?де встро?ен?но?го ПО на флэш-ком?по?нен?те, что, с од?ной сто?ро?ны, об?лег?ча?ет об?но?в?ле?ние, а с дру?гой — по?вы?ша?ет сте?пень за?щи?ты от пе?ре?за?пи?си ви?ру?са?ми или от атак ха?ке?ров.

В боль?шин?ст?ве слу?ча?ев в ка?че?ст?ве ОС ус?та?на?в?ли?ва?ют?ся адап?ти?ро?ван?ные укрепленные вер?сии обыч?ных опе?ра?ци?он?ных си?с?тем, а про?грамм?ное обес?пе?че?ние пред?ста?в?ля?ет со?бой соб?ст?вен?ную раз?ра?бот?ку про?из?во?ди?те?ля. Ус?т?рой?ст?ва пред?ла?га?ют?ся в раз?нообраз?ных ис?пол?не?ни?ях, что?бы они мог?ли удо?в?ле?тво?рять раз?лич?ным сце?на?ри?ям при?ме?не?ния. Не?ко?то?рые ва?ри?ан?ты мо?де?лей по?ми?мо ин?тег?ри?ро?ван?ных в них функ?ций от?ли?ча?ют?ся, к при?ме?ру, ти?пом и ко?ли?че?ст?вом се?те?вых ин?тер?фей?сов, про?из?во?ди?тель?но?стью цен?т?раль?но?го про?цес?со?ра и про?грамм?ны?ми ком?по?нен?та?ми.

Спе?ци?а?ли?зи?ро?ван?ное обо?ру?до?ва?ние обес?пе?че?ния без?о?пас?но?сти по?ста?в?ля?ет?ся уже го?то?вым к ис?поль?зо?ва?нию, что яв?ля?ет?ся его зна?читель?ным пре?и?му?ще?ст?вом. Все вклю?чен?ные ком?по?нен?ты со?г?ла?со?ва?ны друг с дру?гом и за?ра?нее скон?фи?гу?ри?ро?ва?ны. Адап?та?ция не?об?хо?ди?ма лишь при на?ли?чии весь?ма спе?ци?фич?ных тре?бо?ва?ний. Это не толь?ко эко?но?мит ра?бо?чее вре?мя, но и сни?жа?ет риск по?я?в?ле?ния но?вых «дыр» в си?с?те?ме без?о?пас?но?сти из-за до?пу?щен?ных во вре?мя кон?фи?гу?ра?ции оши?бок. Сла?бые ме?с?та ге?те?ро?ген?ных ре?ше?ний обес?пе?че?ния без?о?пас?но?сти, воз?ник?шие в ре?зуль?та?те не?пра?виль?ной кон?фи?гу?ра?ции, впо?с?лед?ст?вии слож?но об?на?ру?жить и уст?ра?нить. Между тем, ес?ли в си?с?те?ме без?о?пас?но?сти уст?рой?ст?ва об?на?ру?жи?ва?ет?ся «ды?ра», то она, как пра?ви?ло, бы?ст?ро уст?ра?ня?ет?ся пу?тем об?но?в?ле?ния встро?ен?но?го про?грамм?но?го обес?пе?че?ния.

Ес?ли уст?рой?ст?во име?ет не?сколь?ко не?за?ви?си?мых пор?тов Ethernet, то сеть мож?но раз?де?лить та?ким об?ра?зом, что?бы кли?ен?ты и парт?не?ры по?лу?ча?ли до?с?туп к раз?ным об?ще?до?с?туп?ным сер?ве?рам (к при?ме?ру, сер?ве?рам Web, элек?трон?но?го биз?не?са и элек?трон?ной поч?ты). Кро?ме то?го, при по?мо?щи со?от?вет?ст?ву?ю?щих со?еди?не?ний ме?ж?ду пор?та?ми и сер?ве?ра?ми по?сто?ян?ные де?ло?вые парт?не?ры мо?гут быть от?де?ле?ны от тех, до?ве?рие к ко?то?рым по?ка еще не оце?не?но од?но?знач?но (см. Рисунок 1).

Ри?су?нок 1. По?то?ки тра?фи?ка че?рез раз?лич?ные пор?ты мож?но це?ле?на?пра?в?лен?но диф?фе?рен?ци?ро?вать.

В слу?чае ис?поль?зо?ва?ния мно?го?функ?ци?о?наль?ных уст?ройств обес?пе?че?ния без?о?пас?но?сти весь по?ток дан?ных под?вер?га?ет?ся ря?ду про?ве?рок. У не?ко?то?рых про?из?во?ди?те?лей, в ча?ст?но?сти у Symantec, с бранд?мау?э?ром тес?но вза?и?мо?дей?ст?ву?ет ин?тег?ри?ро?ван?ная си?с?те?ма об?на?ру?же?ния втор?же?ний (Intrusion De?tec?tion System, IDS). Ес?ли в ре?зуль?та?те про?вер?ки тра?фи?ка Inter?net и поч?то?во?го тра?фи?ка на из?вест?ные ти?пы атак бы?ло вы?яв?ле?но на?ру?ше?ние пра?вил без?о?пас?но?сти, бранд?мау?эр не?мед?лен?но при?ни?ма?ет ме?ры про?ти?во?дей?ст?вия: к при?ме?ру, бло?ки?ру?ет па?ке?ты, по?сту?па?ю?щие с по?до?з?ри?тель?но?го IP-ад?ре?са. При по?мо?щи тех?но?ло?гии Applica?tion Proxy ме?ха?низм бранд?мау?э?ра ана?ли?зи?ру?ет все па?ке?ты дан?ных на на?ли?чие по?до?з?ри?тель?но?го син?та?к?си?са, не?обыч?ных сим?во?лов и не?дей?ст?ви?тель?ных ко?манд и функ?ций. Тра?фик Internet, элек?трон?ной поч?ты и FTP до?пол?ни?тель?но про?ве?ря?ет?ся на ви?ру?сы и фильт?ру?ет?ся в со?от?вет?ст?вии с пра?ви?ла?ми (см. Рисунок 2).

Ри?су?нок 2. Прин?цип ра?бо?ты уст?ройств обес?пе?че?ния без?о?пас?но?сти Symantec Gateway.

Сов?ме?ст?ная ра?бо?та всех функ?ций обес?пе?че?ния без?о?пас?но?сти не толь?ко сни?жа?ет сто?и?мость при?об?ре?те?ния, ин?стал?ля?ции и ад?ми?ни?ст?ри?ро?ва?ния ре?ше?ния, но и об?лег?ча?ет уп?ра?в?ле?ние им. В боль?шин?ст?ве слу?ча?ев в стан?дарт?ный па?кет по?став?ки вхо?дит ин?тег?ри?ро?ван?ная кон?соль уп?ра?в?ле?ния, при по?мо?щи ко?то?рой мож?но кон?фи?гу?ри?ро?вать все функ?ции без?о?пас?но?сти. До?пол?ни?тель?но мо?жет по?тре?бо?вать?ся ин?тер?фейс Web для уда?лен?но?го уп?ра?в?ле?ния че?рез Inter?net. Не?ма?ло?важ?но так?же на?ли?чие об?щей стру?к?ту?ры от?чет?но?сти для всех функ?ций. Это об?лег?ча?ет ана?лиз и оцен?ку дан?ных без?о?пас?но?сти.

МА?ЛЫЕ ПРЕД?ПРИ?Я?ТИЯ

При?о?б?ре?те?ние ин?тег?ри?ро?ван?но?го ре?ше?ния обес?пе?че?ния без?о?пас?но?сти впол?не се?бя оп?рав?ды?ва?ет уже в слу?чае пред?при?ятия с ко?ли?че?ст?вом со?т?руд?ни?ков око?ло де?ся?ти че?ло?век. Важ?ней?ши?ми кри?те?ри?я?ми яв?ля?ют?ся про?сто?та ин?стал?ля?ции и ма?к?си?маль?но ав?то?ма?ти?зи?ро?ван?ная за?щи?та от ши?ро?ко?го спек?т?ра уг?роз. Бла?го?да?ря ис?поль?зо?ва?нию IPSec-со?в?ме?с?ти?мой тех?но?ло?гии вир?ту?аль?ных ча?ст?ных се?тей пре?до?с?та?в?ля?ет?ся вза?им?ная ау?тен?ти?фи?ка?ция шлю?зов, кон?фи?ден?ци?аль?ность и шиф?ро?ва?ние для обес?пе?че?ния це?ло?ст?но?сти пе?ре?да?чи дан?ных по об?ще?до?с?туп?ным се?тям. Ин?тег?ри?ро?ван?ный гло?баль?ный тун?нель VPN от?ве?ча?ет не толь?ко за кон?т?роль тра?фи?ка дан?ных, но и за эф?фе?к?тив?ную пе?ре?да?чу дан?ных ме?ж?ду фи?ли?а?ла?ми и цен?т?раль?ным офи?сом или про?вай?де?ром ус?луг.

СРЕД?НИЕ И КРУП?НЫЕ ПРЕД?ПРИ?Я?ТИЯ

Пред?при?я?ти?ям с не?сколь?ки?ми фи?ли?а?ла?ми спе?ци?а?ли?зи?ро?ван?ные уст?рой?ст?ва обес?пе?че?ния без?о?пас?но?сти пред?ла?га?ют не?до?ро?гие и про?стые в уп?ра?в?ле?нии ре?ше?ния для рас?ши?ре?ния функ?ци?о?наль?но?сти бранд?мау?э?ров. В иде?аль?ном слу?чае они оп?ти?ми?зи?ро?ва?ны для ис?поль?зо?ва?ния ка?бель?ных и DSL-со?еди?не?ний и под?дер?жи?ва?ют рас?ши?рен?ные се?те?вые функ?ции: ди?на?ми?че?скую DNS, транс?ля?цию се?те?вых ад?ре?сов и но?ме?ров пор?тов (Network Address Translation/Port Address Transla?tion, NAT/PAT — ме?то?ды для ото?бра?же?ния ча?ст?ных IP-ад?ре?сов в об?ще?до?с?туп?ные), про?то?кол двух?то?чеч?но?го со?еди?не?ния по Ethernet (Point-to-Point Protocol over Ether??net, PPPoE; он ис?поль?зу?ет?ся при со?еди?не?нии с Internet по DSL) и IPSec PassThrough. Эти функ?ции от?ве?ча?ют за «рост» бранд?мау?э?ра по ме?ре из?ме?не?ний тре?бо?ва?ний к се?ти. Кро?ме то?го, фи?ли?а?лам тре?бу?ет?ся до?с?туп к кор?по?ра?тив?ной се?ти че?рез вир?ту?аль?ную ча?ст?ную сеть IPSec по прин?ци?пу «шлюз—шлюз», а уда?лен?ным ра?бот?ни?кам — «уда?лен?ный кли?ент—шлюз».

ОЧЕНЬ КРУП?НЫЕ ПРЕД?ПРИ?Я?ТИЯ

Эта осо?бая ка?те?го?рия уст?ройств обес?пе?че?ния без?о?пас?но?сти долж?на быть рас?счи?та?на на са?мую вы?со?кую про?пу?ск?ную спо?соб?ность. Ско?рость пе?ре?да?чи дан?ных в 60 Мбит/с в этом слу?чае яв?ля?ет?ся ми?ни?му?мом. Круп?ные пред?при?ятия пре?ж?де все?го ну?ж?да?ют?ся в про?пу?ск?ной спо?соб?но?сти, го?тов?но?сти си?с?тем и мас?шта?би?ру?е?мо?сти. Важ?но, что?бы не?сколь?ко уст?ройств мож?но бы?ло объ?е?ди?нять в кла?стер для обес?пе?че?ния вы?со?кой сте?пе?ни го?тов?но?сти и без?от?каз?но?сти си?с?те?мы. Кла?стер по?з?во?ля?ет не толь?ко рас?пре?де?лять тра?фик дан?ных ме?ж?ду ни?ми, но и от?кры?ва?ет воз?мож?ность очень про?стой адап?та?ции про?из?во?ди?тель?но?сти к воз?ро?с?шим по?треб?но?стям вслед?ст?вие рас?ту?щей на?груз?ки на сеть.

При экс?плу?а?та?ции кла?сте?ров все уз?лы долж?ны сле?дить друг за дру?гом. Ес?ли од?но из уст?ройств от?ка?зы?ва?ет, то дру?гие ав?то?ма?ти?че?ски бе?рут на се?бя вы?пол?не?ние его за?дач и тем са?мым га?ран?ти?ру?ют не?пре?рыв?ную за?щи?ту се?ти. Кро?ме то?го, важ?но, что?бы эти уст?рой?ст?ва пред?ла?га?ли ши?ро?кий спектр ме?то?дов ау?тен?ти?фи?ка?ции, в том чис?ле ау?тен?ти?фи?ка?цию по внеш?не?му ка?на?лу (Out-of-Band Authenti?ca?tion, OOBA), LDAP, Bellcore Skey, Gate?way Password, Cryptocard и Secu?reID, а так?же про?то?ко?лы ау?тен?ти?фи?ка?ции TACACS и RADIUS.

Ус?т?рой?ст?во долж?но быть до?с?та?точ?но про?из?во?ди?тель?ным и спра?в?лять?ся с ана?ли?зом боль?шо?го объ?е?ма ин?фор?ма?ции, ко?гда не?об?хо?ди?мо на?блю?де?ние не толь?ко за от?дель?ны?ми па?ке?та?ми, но и за ло?ги?че?ским по?то?ком дан?ных.

ЗА?К?ЛЮ?ЧЕ?НИЕ

Ин?тег?ри?ро?ван?ные уст?рой?ст?ва обес?пе?че?ния без?о?пас?но?сти в от?ли?чие от клас?си?че?ских ре?ше?ний в ви?де бранд?мау?э?ров пред?ла?га?ют не?ко?то?рые пре?и?му?ще?ст?ва бла?го?да?ря сво?ему про?грамм?но?му и ап?па?рат?но?му обес?пе?че?нию. Пре?ж?де все?го, это то, что их сто?и?мость не слиш?ком вы?со?ка, по?сколь?ку ус?та?нов?ка, экс?плу?а?та?ция и об?слу?жи?ва?ние тре?бу?ют мень?ших за?трат. Кро?ме то?го, при их при?ме?не?нии сни?жа?ет?ся риск со?з?да?ния «дыр» в си?с?те?ме без?о?пас?но?сти из-за оши?бок при ин?стал?ля?ции и на?строй?ке, ко?то?рые по?том слож?но най?ти и ли?к?ви?ди?ро?вать. На?ко?нец, до?пол?ни?тель?ные функ?ции — VPN, ви?рус?ный ска?нер, IDS/IPS, фильт?ры спа?ма и т. д. — за?мет?но со?кра?ща?ют рас?хо?ды при ор?га?ни?за?ции за?щи?ты в рас?пре?де?лен?ных фи?ли?а?лах.

Бернд Би?лек — си?с?тем?ный ин?женер Sy?mantec Deutschland. С ним мож?но свя?зать?ся по ад?ре?су: sm@lan?li?ne.awi.de.


? AWi Verlag


Контрольный список

Какие факторы следует учитывать при выборе специализированного устройства защиты:

  • число пользователей/рабочих мест;
  • разновидности используемых/планируемых внешних соединений;
  • пропускная способность необходимых/желательных внешних подключений;
  • приложения, для которых необходимы внешние соединения;
  • число филиалов;
  • бюджетные ограничения;
  • необходимые/желательные функции защиты (брандмауэр, VPN, IDS/IPS, сканер вирусов и т. д.);
  • внутренние ресурсы;
  • обслуживание и эксплуатация;
  • суммарные расходы на инсталляцию и обслуживание (включая побочные траты);
  • интеграция имеющихся компонентов/устройств/инфраструктуры.