Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Остановить варваров на подступах к сети!

Кейт Шульц

Новое поколение аппаратно-реализуемых межсетевых экранов поддерживает виртуальные частные сети.

Сегодня никто не сомневается в том, что межсетевой экран (firewall-система), устанавливаемый на границе корпоративной сети и Интернет, является важнейшим элементом сетевой инфраструктуры компании. Обеспечение надежной защиты конфиденциальных данных от посягательства компьютерных взломщиков одновременно с предоставлением легитимным пользователям контролируемого доступа как во внутреннюю сеть, так и в Интернет, представляет собой довольно виртуозное дело, посильное не всякому межсетевому экрану. Здесь нужны лучшие из лучших.

В настоящее время существуют два типа реализации межсетевых экранов: программный и аппаратный. Firewall-cистемы первого типа являются классическими и представляют собой приложения, работающие поверх операционной системы. К ним относятся, например, продукты таких компаний, как Check Point Software Technologies и Secure Computing. Одним из аргументов против межсетевых экранов этого типа является то, что хотя firewall-приложения сами по себе и являются вполне безопасными и надежными, нет никакой гарантии в том, что вам не придется столкнуться с возможными отказами или "дырами" на уровне самой операционной системы. Поставщики ПО межсетевого экранирования делают все возможное для усиления операционных систем. Но исходный код операционной системы не всегда бывает для них доступен, что имеет место в случае ОС Microsoft Windows NT, а это не позволяет в полной мере устранить все ее потенциально уязвимые места.

Межсетевые экраны второго типа, т.е. реализуемые аппаратно, как правило, размещаются в опломбированном корпусе, препятствующем всякому случайному или преднамеренному изменению прикладного кода и кода ОС. Одни аппаратные firewall-системы используют ОС, хранимую во флэш-памяти, другие - традиционный жесткий диск и существенно переработанное ядро ОС Unix. Важным моментом здесь является то, что во избежание каких-либо повреждений последней вы полностью лишаетесь доступа к ее компонентам.

Но независимо от своей программной или аппаратной природы любой межсетевой экран обязательно использует правила, определяющие, какие пакеты данных он должен пропускать беспрепятственно, а какие -- отбрасывать. Правила могут носить как самый общий характер (например: "пропускать любой HTTP-трафик из внутренней сети наружу"), так и быть вполне определенными (например: "пропускать только входящий HTTP-трафик с такого-то удаленного IP-адреса на Web-сервер с таким-то адресом и только в такое-то время суток, и т. д.").

Поддерживаемые службы

Лучшие межсетевые экраны обычно располагают целым рядом встроенных IP-служб. Это позволяет довольно легко выстраивать политику сетевой безопасности. Если нужная вам IP-служба отсутствует в перечне служб, встроенных в продукт при изготовлении, вы можете доустановить ее собственноручно. Такой детализированный контроль возможностей на самом низком уровне является отличительной чертой любой хорошей firewall-системы.

Только не слишком надейтесь на то, что данные всех ваших приложений будут без проблем проходить через межсетевой экран. Хотя большинство приложений действительно легко преодолевают "огненные стены", существуют и такие, как, например, сверхпопулярный клиент ICQ, которые не очень-то "дружат" со средствами сетевой безопасности. А приложения, использующие динамическое распределение портов TCP/IP из числа возможных способны пробить брешь в любой firewall-системе. Создание заказных служб, расширяющих диапазон используемых портов, также неизбежно приведет к ослаблению защитных свойств межсетевого экрана. В случае же с ICQ безопасность вашей сети будет подвергнута такому риску, что лучше бы вообще запретить пропуск трафика данного приложения.

Немало сил и энергии было потрачено в спорах относительно достоинств и недостатков каждого из трех механизмов, используемых сегодня в firewall-системах, основанных соответственно на фильтрации пакетов (packet-filtering), использовании модулей-посредников для фильтрации трафика приложений (application-filtering proxy), и контекстной проверке состояния протокола (stateful inspection). Ни один из этих механизмов сетевого экранирования не является (да и вряд ли когда-нибудь будет) универсальным. Межсетевые экраны, основанные на фильтрации пакетов, возможно, обладают наибольшей скоростью передачи данных, но они обеспечивают лишь самый низкий уровень сетевой безопасности среди всех типов firewall-систем. Продукты, основанные на фильтрации трафика приложений, поддерживают довольно высокий уровень безопасности и вместе с тем реально упрощают добавление новых защищенных IP-служб к списку уже имеющихся. Но в виду значительных накладных расходов они теряют свои преимущества с точки зрения производительности. Для систем, основанных на технологии stateful Inspection, характерны и высокое быстродействие, и хорошие защитные свойства, но им недостает гибкости при добавлении новых заказных служб. Каждый из защитных механизмов имеет свои плюсы и минусы, и многие из лидирующих продуктов межсетевого экранирования сочетают в себе те или иные их возможности, добиваясь наивысшего уровня сетевой безопасности и детализации управления ею.

В лабораторных испытаниях этого года, посвященных межсетевым экранам, мы снова решили сконцентрировать свои усилия на аппаратно-реализуемых firewall-системах, но слегка ослабили наши критерии отбора, допустив к испытаниям и устройства, имеющие программную реализацию отдельных функций. Из тринадцати потенциальных участников тестирования лишь пять компаний прислали нам свои продукты. Таким образом, чтобы назвать лучшую firewall-систему 2000 года, мы предоставили возможность померяться силами следующим продуктам: Interceptor фирмы eSoft, NetScreen-100 фирмы NetScreen Technologies, S9500 Security Appliance фирмы Netopia, SonicWall Pro фирмы SonicWall (ранее известной как Sonic Systems) и WatchGuard LiveSecurity System фирмы WatchGuard Technologies.

Функциональные возможности

Еще несколько лет назад набор доступных функций и возможностей межсетевых экранов заметно варьировался от продукта к продукту. Тогда выбор конкретной системы из числа имеющихся в продаже межсетевых экранов сводился лишь к тому, чтобы найти продукт, наиболее удовлетворяющий вам по набору необходимых функций, и только. Теперь ситуация изменилась.

В последнее время функциональность многих firewall-систем стала вполне сравнимой. Подобно другим продуктам общего назначения, сегодняшние устройства межсетевого экранирования располагают схожими наборами основных возможностей.

Стандартной функцией аппаратных firewall-систем стала трансляция сетевых адресов (Network Address Translation -- NAT). Многие такие системы способны отображать не только несколько внутренних IP-адресов на один внешний IP-адрес (трансляция типа many-to-one), но и один внутренний IP-адрес на один внешний IP-адрес (трансляция типа one-to-one). Это позволяет обеспечивать простой доступ из внешней сети к конкретным серверам, "спрятанным" за межсетевым экраном, и вместе с тем маскировать истинные адреса этих серверов от внешнего мира.

Другой особенностью межсетевых экранов данного типа является то, что все они работают на основе одного лишь стека протоколов TCP/IP. С повсеместным распространением Сети и, в особенности, в связи с окончательным переводом операционной системы NetWare фирмы Novel на протокол IP, поддержка нескольких сетевых протоколов перестала быть реальным требованием сегодняшнего дня.

Нас порадовало то, что в ходе нашего тестирования мы могли управлять всеми нашими продуктами посредством графического пользовательского интерфейса (Graphical User Interface -- GUI). Кроме того, все эти продукты, исключая WatchGuard LiveSecurity System, допускают управление ими через любой Web-браузер. Система WatchGuard LiveSecurity System использует в качестве графической среды настройки Windows-утилиту. Избавив вас от старомодной командной строки, графический интерфейс сводит к минимуму ошибки конфигурирования системы.

Одной из наиболее примечательных возможностей аппаратно-реализуемых межсетевых экранов является поддержка ими виртуальных частных сетей (ВЧС, Virtual Private Network -- VPN). Виртуальная частная сеть представляет собой защищенное посредством шифрования соединение через сеть общего пользования, например, Интернет, двух и более доверенных конечных сетевых узлов. В качестве последних могут выступать центральный офис, зарубежный филиал, удаленный компьютер "домашнего" офиса сотрудника или делового партнера компании. Алгоритмы и уровень шифрования данных, методы обработки ключей шифрования, а также число одновременно организуемых VPN-сеансов могут варьироваться от продукта к продукту. Все протестированные нами межсетевые экраны поддерживают алгоритмы и уровни шифрования, рекомендованные для семейства протоколов IPSec: DES - с ключом длиной 56 бит и 3DES - с ключом длиной 168 бит. Продукт S9500 Security Appliance поддерживает также и алгоритм DES с ключом шифрования длиной 40 бит.

На удаленной клиентской стороне лишь продукт WatchGuard поддерживает соединения по протоколу L2TP фирмы Cisco, а устройство S9500 Security Appliance оказалось единственным продуктом, не позволившим устанавливать соединения по протоколу PPTP фирмы Microsoft. Число одновременно поддерживаемых VPN-сеансов широко варьируется от продукта к продукту -- от минимальных 50 у WatchGuard LiveSecurity System, до впечатляющих 6400 у SonicWall Pro.

Все пять протестированных нами межсетевых экранов поддерживали в том или ином виде фильтрацию трафика по его информационному наполнению. Некоторые firewall-системы, например, S9500 Security Appliance и Netscreen-100, переадресуют трафик на отдельный сервер фильтрации, тогда как продукт SonicWall поддерживает внутренний список подлежащих фильтрации данных. Некоторые продукты способны блокировать лишь передачу определенного информационного наполнения Web-узлов, тогда как другие отсеивают также ActiveX- и Java-компоненты.

Объявляем лидеров

Второй год подряд по результатам наших лабораторных испытаний межсетевых экранов на первом месте оказалась система WatchGuard LiveSecurity System. Обеспечивая высочайшую степень сетевой защиты, поддержку ВЧС на базе семейства протоколов IPSec, мониторинг и регистрацию событий, продукт фирмы WatchGuard Technologies является лучшим среди аппаратно-реализуемых firewall-систем, имеющихся сегодня в продаже. На втором месте, лишь с небольшим отставанием от лидера, оказался продукт NetScreen-100. Хотя он и значительно дороже всех остальных продуктов, в нем одном сочетаются функции межсетевого экранирования, выравнивания нагрузки и профилирования трафика.

Interceptor фирмы eSoft

Продукт Interceptor фирмы eSoft оказался единственным среди протестированных нами межсетевых экранов, в котором используется механизм фильтрации приложений. Interceptor построен на базе опломбированного ПК и наделен широким набором средств и возможностей мониторинга и управления через Web-браузер путем установления безопасного сеанса связи. Он оснащен рядом сетевых интерфейсов, в частности, Ethernet и T1, что позволяет без труда устанавливать его практически в любом месте сети. Хотя по сравнению с другими продуктами Interceptor не вполне "невидим" для взломщиков, мы так и не смогли найти ни одной "лазейки" в его системе защиты. Несмотря на то что управление политикой безопасности в нем не столь изящно, как в системе WatchGuard, тем не менее, оно позволяет выполнить всю необходимую работу.

Продукт Interceptor, основанный на ПК с процессором Pentium II, реализует несколько отличную от других firewall-систем стратегию сетевой защиты. Этот продукт является полноценным фильтром приложений, и сканер сетевой безопасности фирмы Internet Security Systems (ISS) обнаружил запущенные на нем модули-посредники, даже те, для которых еще не были установлены правила. Например, в случае, когда правила были установлены только для исходящего трафика, сканер ISS сообщил, что на Interceptor запущены почти все proxy-модули. Но, несмотря на то что нам так легко удавалось распознавать модули-посредники, поиски "лазеек" в его защите так и не увенчались успехом.

Interceptor работает на базе "усиленной" ОС Unix, из которой удалены все ненужные для реализации защитных функций службы. Так что вы лишены всякой возможности осуществить локальный доступ к нему, подключив клавиатуру и монитор. Все операции мониторинга и управления Interceptor реализуются через Web-браузер по протоколу SSL, но задавать правила все же проще с помощью программы-мастера (policy wizard). Используя интуитивно понятный интерфейс, программа-мастер шаг за шагом проводит вас через процедуру создания правил для входящего и исходящего трафика. Interceptor относится к числу межсетевых экранов, ориентированных на строго заданный порядок правил политики сетевой защиты. Во избежание нежелательных сюрпризов, перепроверяйте очередность следования ваших правил.

Перечень установленных на Interceptor модулей-посредников выглядит солидно, но все же не является исчерпывающим. Вы можете добавить нужные вам proxy-модули, определив порты, которые они должны использовать -- и только. Отметим попутно, что продукт NetScreen-100 допускает гораздо более тонкий контроль над специализированными службами, позволяя задавать порты-источники, порты назначения и тип транспортного протокола. Протокол H.323 не поддерживается продуктом Interceptor в полном объеме, что ограничивает сеансы видеоконференций NetMeeting и им подобных передачей одного лишь голоса.

Но чем Interceptor действительно выгодно отличается от других продуктов, так это своими возможностями управления. Вы можете выполнять не только самые обычные задачи, такие как назначение IP-адресов и определение маршрутов, но и назначать/отменять доверенный статус любого интерфейса, а также proxy-модулей для протоколов DHCP и SMTP. Вы также можете определить механизмы продвижения данных DNS и фильтрации пакетов. И все это посредством Web-интерфейса.

С точки зрения поддержки ВЧС Interceptor не уступает большинству других протестированных нами продуктов и способен одновременно поддерживать до 256 туннелей PPTP и IPSec. В настоящее время для управления ключами шифрования в нем используется протокол SKIP фирмы Sun, но в ближайшее время планируется обеспечить и поддержку механизма обмена ключами IKE (Internet Key Exchange). Для аутентификации используются внутренняя база данных, служба RADIUS, либо внешняя система аутентификации ACE Server.

Средства протоколирования событий и генерации отчетов Interceptor выдают весьма полезные результаты анализа трафика за сутки и за неделю. Но чтобы собирать всю необходимую статистическую информацию, вам все же придется приобрести дополнительный продукт Interview, использующий для формирования отчетов по загруженности firewall-системы и анализу трафика средство построения отчетов Crystal Reports. Мониторинг системы в режиме реального времени возможен только при использовании браузера Netscape, так как Internet Explorer не способен корректно обрабатывать дескриптор обновления HTML-страниц.

Средства выдачи предупреждающих сообщений продукта Interceptor были в числе лучших и, в случае превышения установленных порогов срабатывания, позволяли оповещать об исключительных событиях в сети по электронной почте, через пейджер или ловушки SNMP.

Настройка Interceptor немного отличается от настройки других межсетевых экранов. Чтобы запустить его, вы, прежде всего, должны создать загрузочную дискету, используя для этого программу-мастер установки Setup Wizard, находящуюся на поставляемом вместе с продуктом компакт-диске. Программа-мастер предлагает вам ввести такую информацию, как доверенный IP-адрес, номер подсети и имя, назначаемое firewall-системе при первой загрузке. Все остальные операции по настройке Interceptor выполняются через Web-браузер.

В соответствии с оценками, полученными Interceptor в номинациях "цена", "поддержка VPN" и "функциональные возможности", он оказался в середине нашей "табели о рангах". Мы остались довольны программой-мастером установки правил, позволяющей свести к минимуму число ошибок при формировании политики сетевой безопасности, и наличием модуля-посредника для почтовых приложений SMTP. После реализации поддержки механизма обмена ключами IKE в ближайшем будущем его службу VPN также можно будет считать полностью укомплектованной.

S9500 Security Appliance фирмы Netopia

Продукт S9500 Security Appliance ориентирован в первую очередь на применение в сетях малых и средних по величине предприятий. В нем успешно сочетаются традиционные подходы к реализации межсетевого экранирования и самые современные методы управления пропускной способностью сетевых каналов. В лице этого продукта вы получаете мощную firewall-систему, основанную на технологии stateful inspection и нашпигованную множеством встроенных IP-служб. Также как и NetScreen-100, продукт S9500 поддерживает профилирование трафика по интерфейсам и службам, но выпускается он лишь с 10-Мбит/с портами Ethernet. Межсетевой экран S9500 обеспечивает первоклассную защиту, легко устанавливается и конфигурируется через любой Web-браузер. Несмотря на то что протоколирование событий реализовано в нем довольно неплохо, возможности по выдаче предупреждающих сообщений оставляют желать лучшего.

Попытка сказать, что система S9500 имеет тот же набор функциональных возможностей, что и другие межсетевые экраны, рассматриваемые в нашем обзоре, означала бы искажение действительного положения вещей. Дело в том, что программное ядро этой firewall-системы, используемое фирмой Netopia по лицензионному соглашению с компанией NetScreen Technologies, содержит те же механизмы управления пропускной способностью сетевых соединений, что и продукт NetScreen-100. И тем не менее, набор функций управления линейной пропускной способностью S9500 является лишь частью соответствующего функционального набора NetScreen-100. Как уже говорилось, межсетевой экран S9500, основанный на технологии stateful inspection, не только обеспечивает надежную и вместе с тем гибкую защиту сети от несанкционированного вторжения извне, но и предоставляет широкий набор встроенных IP-служб. Если же потребуется дополнительно установить нужную вам службу, то к вашим услугам целый набор функций, обеспечивающих гибкий контроль за этим процессом.

Процесс формирования и поддержки правил политики безопасности у системы S9500 относительно прост. Щелкая кнопкой мышки на пиктограммах источников, приемников и служб и выбирая необходимые действия межсетевого экрана по отношению к их трафику ("пропустить" или "запретить"), можно легко задать политику безопасности, используя любой имеющийся под рукой браузер. В отличие от SonicWall Pro и WatchGuard LiveSecurity System продукту S9500 далеко не безразличен порядок следования правил политики сетевой безопасности. Все заботы по отслеживанию очередности правил вам придется взять на себя, так как никакого встроенного инструментария на этот счет не существует. Для аутентификации пользователей используется либо внутренняя база учетных пользовательских данных, либо внешний сервер RADIUS.

Что касается функций продукта S9500 в части управления пропускной способностью каналов, то они нам действительно понравились. Так же как и в NetScreen-100 вы можете определить ее минимальные и максимальные значения в Кбит/с для каждой службы. Это позволяет вам контролировать, какая часть полосы пропускания вашего соединения с Интернет будет использоваться той или иной службой. Например, для нашей тестовой линии ISDN мы ограничили скорость передачи FTP-трафика через систему S9500 на уровне 30 Кбит/с, а оставшиеся 98 Кбит/с нашего соединения выделили в безраздельное пользование протоколу HTTP. Нам понравилось то, что механизм профилирования трафика не зависит от интерфейса. Таким образом, вы можете выделять своим внутренним пользователям большую часть полосы пропускания, чем своим внешним пользователям.

При инсталляции S9500 мы использовали фирменное руководство Netopia по подготовке продукта к работе. Ввод схемы IP-адресации нашей сети прошел нормально. Следует, однако, еще раз отметить, что S9500 выпускается только с портами Ethernet на 10 Мбит/с. Все остальные межсетевые экраны имеют двухскоростные 10/100-Мбит/с порты Ethernet, что облегчает их подключение к уже существующей сетевой инфраструктуре. Все операции по конфигурированию системы можно выполнить посредством Web-браузера, интерфейс которого отличается простотой и удобством компоновки.

Средства организации ВЧС firewall-системы S9500 оказались в числе лучших среди протестированных нами. Продукт полностью поддерживает алгоритмы шифрования DES с ключами длиной 40 и 56 бит, а также 168-разрядный алгоритм 3DES для удаленных пользователей, использующих для безопасного обмена информацией технологию IPSec. Для аутентификации пользователей применяется алгоритм MD5, а вот алгоритм SHA-1 не поддерживается вовсе. В настоящее время распределение ключей удаленных пользователей в S9500 производится вручную, и только для туннелей между firewall-системами реализован автоматический механизм обмена ключами IKE. Межсетевой экран фирмы Netopia оказался единственным не поддерживающим PPTP-клиента фирмы Microsoft.

Все хорошие firewall-системы должны предоставлять детальную информацию о зарегистрированных событиях, и продукт S9500, безусловно, преуспел в этом деле. Вы можете отслеживать статистику по трафику в реальном масштабе времени, анализировать предупреждающие сообщения и протоколировать события. Всю предоставляемую вам информацию вы можете просмотреть через интерфейс Web-браузера или скачать на портативный ПК и проанализировать в удобное для вас время. Чтобы разгрузить систему S9500 от операций по протоколированию событий, ее можно использовать в качестве клиента сервера SYSLOG. Слабой его стороной является то, что он может пересылать уведомляющие сообщения только по электронной почте. Другие же продукты, например, WatchGuard LiveSecurity System, помимо электронной почты могут переправлять их на пейджер или каким-либо иным способом сигнализировать об опасности.

Продукт S9500 Security Appliance представляет собой надежную многофункциональную firewall-систему, сочетающую в себе развитые средства межсетевого экранирования, профилирования трафика и регистрации событий. Его возможности по организации ВЧС и выдаче предупреждающих сообщений несколько уступают аналогичным возможностям других межсетевых экранов, протестированных нами, но их вполне достаточно для многих не очень требовательных в этом отношении сетевых инфраструктур.

NetScreen-100 фирмы NetScreen Technologies

Если вы хотите, чтобы ваш межсетевой экран не просто обеспечивал защиту вашей сети, но делал и кое-что еще, вам следует обратить внимание на продукт NetScreen-100. Система фирмы NetScreen Technologies наделена всеми стандартными функциями межсетевых экранов, а также возможностями управления полосой пропускания каналов связи и распределения нагрузки на серверы. NetScreen-100, размещаемый в монтируемом в стойку шасси высотой 1U (44,5 мм), выпускается с полным набором IP-служб и БД сигнатур атак для обнаружения сетевых вторжений. Он поставляется с тремя 10/100-Мбит/с интерфейсами Ethernet и способен одновременно поддерживать до 1000 VPN-сеансов. Несмотря на то что NetScreen-100 является самым дорогим межсетевым экраном среди протестированных нами, он будет прекрасным выбором для тех, кому требуется повышенная информационная безопасность. Для выполнения некоторых команд NetScreen-100 следует использовать интерфейс командной строки.

Firewall-система NetScreen-100, использующая механизм Stateful Inspection, была одной из самых лучших в наших тестах по сканированию межсетевых экранов. Она выглядела абсолютно "прозрачной" при ее сканировании с помощью ПО фирмы ISS даже тогда, когда были задействованы правила доступа. Мы были приятно удивлены огромным количеством встроенных IP-служб и высокой степенью детализации управления созданием специализированных служб.

В связи с тем, что устройства NetScreen и Netopia используют одно и то же программное ядро, реализованные в них возможности во многом совпадают. Но, несмотря на общность конфигурации этих продуктов, в них все же имеются отдельные различия. Так система S9500 предоставляет только шесть опций для настройки конкретных событий, которые она должна детектировать. Среди них: внешние атаки типа ping-of-death, атаки потоками пакетов синхронизации (SYN flood) и подмена IP-адресов (IP spoofing). Продукт NetScreen-100 предоставляет десять дополнительных опций настройки для таких атак, как потоки пакетов ICMP и UDP, сканирование IP-портов, Winnuke и др. Для атак потоками пакетов SYN, ICMP и UDP предусмотрена установка пороговых значений в виде числа зафиксированных событий в минуту. Продукт S9500 позволяет устанавливать пороги только для событий типа SYN flood.

Средства управления политикой безопасности NetScreen-100 практически совпадают с таковыми, имеющимися у продукта S9500, и точно так же ориентированы на соблюдение строгого порядка следования правил. Формализация принятой политики безопасности является делом нескольких минут и легко осуществляется посредством интерфейса HTML. Так же как и в S9500, с помощью нескольких щелчков кнопкой мыши вы можете определить политику, выбрать нужную вам службу и задать профиль трафика. Для аутентификации NetScreen-100 использует не только их внутренние учетные записи и службу RADIUS, но и сервер SecureID.

Продукт NetScreen-100 стоит 9995 долл., то есть как минимум в два раза дороже любого из остальных межсетевых экранов, протестированных нами, зато вместе с ним вы получаете не только обычные функции межсетевого экранирования, но и многое другое. Одной из функций, полностью отсутствующих в других протестированных нами продуктах, является выравнивание нагрузки для виртуальных IP-адресов. Любой трафик, поступающий на межсетевой экран с соответствующего разрешенному для прохождения адреса, порта или службы, будет автоматически направляться на ближайший доступный сервер, установленный в "демилитаризованной зоне" (ДМЗ). При этом сразу восьми физическим хостам с числом служб до шести включительно может быть выделен один виртуальный адрес. Для распределения нагрузки между хостами используются следующие алгоритмы: циклический (Round Robin), циклический с весовыми коэффициентами, (Weighted Round Robin), наименьшего числа задействованных соединений (Least Connections) и наименьшего числа задействованных соединений с весовыми коэффициентами (Weighted Least Connections).

Продукт NetScreen-100 обеспечивает мощную поддержку виртуальных частных сетей и способен удовлетворить большинство корпоративных потребностей в этой части. Он может одновременно создавать до 1000 VPN-туннелей с клиентами PPTP фирмы Microsoft и клиентами IPSec (как с 56-разрядным алгоритмом шифрования DES, так и 168-разрядным 3DES), а также туннелей с другими firewall-системами. Так же как и продукт фирмы Netopia, NetScreen-100 не поддерживает инфраструктуру открытых ключей PKI, но для аутентификации пользователей вы можете выбрать один из реализованных в нем методов -- MD5, либо SHA-1.

Средства регистрации событий и генерации отчетов NetScreen-100 не уступают имеющимся в других firewall-системах, рассмотренных в нашем обзоре, и позволяют фиксировать данные как на самом межсетевом экране, так и на внешнем сервере SYSLOG. Хотя средства оповещения этого продукта и чуть лучше аналогичных средств S9500, так как могут уведомлять администратора о тревожных событиях еще и через SNMP-прерывания, они все же не такие всеобъемлющие, как в WatchGuard LiveSecurity System. Для централизованного управления системой NetScreen-100 необходимо приобрести дополнительную управляющую утилиту NetScreen Global.

NetScreen-100 -- это нечто большее, чем просто межсетевой экран. В "одном флаконе" вы получаете непробиваемую систему защиты, средство профилирования трафика и распределитель серверной нагрузки. Но за эти возможности приходится платить. Если вам нужны только функции межсетевого экранирования и службы ВЧС, то за все остальное вам придется переплачивать.

SonicWall Pro фирмы SonicWall

Продукт SonicWall Pro фирмы SonicWall (ранее известной как Sonic Systems) - это усовершенствованная версия продукта, испытанного нами ранее. Система SonicWall Pro, также основанная на технологии Stateful Inspection, -- это монтируемое в стойку устройство высотой 1U, поддерживающее самое большое среди протестированных нами продуктов число туннелей VPN. Почти не изменившись с прошлого года, он, тем не менее, легко пресекал все попытки сканера ISS проникнуть в нашу сеть, обеспечивая при этом полноценный доступ нашим внешним пользователям.

Несмотря на свою самую низкую по сравнению с другими протестированными продуктами стоимость, SonicWall Pro обеспечивает мощную сетевую защиту и высокую производительность. Этот межсетевой экран более чем успешно справился со всеми массированными атаками, направленными против него с нашего сканирующего ПК, оснащенного ПО фирмы ISS. Если не считать частичную модернизацию встроенного в ПЗУ программного обеспечения, представленный на испытания продукт SonicWall Pro почти ничем не отличался от того межсетевого экрана, который мы уже видели раньше.

SonicWall Pro выпускается с тремя 10/100-Мбит/с интерфейсами Ethernet, что гарантирует минимум изменений в архитектуре корпоративной сети. Все операции установки и конфигурирования продукта доступны через Web-браузер, но в отличие от предыдущей версии этой системы, вы можете использовать теперь программу-мастер конфигурирования. Она автоматически запускается при первом же подключении к SonicWall Pro посредством браузера и поэтапно проводит вас через всю процедуру назначения сетевых адресов. По ее завершении можно приступать к формальному определению политики сетевой безопасности.

SonicWall Pro имеет такой же солидный список предустановленных IP-служб, как и Interceptor, но не такой исчерпывающий, как продукт фирмы WatchGuard. С тех пор как мы последний раз рассматривали SonicWall Pro, в него была добавлена поддержка протокола передачи мультимедиа-потоков Н.323 и механизма обмена ключами IKE.

SonicWall Pro -- единственный среди всех пяти межсетевых экранов, способный обрабатывать как видео-, так аудиопотоки приложений Н.323. Некоторые продукты, участвующие в обзоре, например, система WatchGuard, лишь частично поддерживали такие приложения. Хотя процедура добавления новых служб была довольно простой и сводилась лишь к установке нового порта и протокола, той высокой степени детализации контроля при определении пользовательских служб, которую мы нашли в NetScreen, здесь, не оказалось.

Так же как и для межсетевого экрана WatchGuard, очередность правил политики безопасности в SonicWall Pro не играет никакой роли, поскольку он сам сортирует правила так, чтобы они работали корректно. Сама политика легко задается с помощью Web-интерфейса. Для этого достаточно указать тип политики - для входящего или исходящего трафика - и вид службы, которую вы собираетесь использовать. Мы очень быстро справились с установкой политики безопасности как входящих, так и исходящих соединений.

Чем SonicWall Pro особенно отличился в наших тестах, так это своими возможностями по одновременной обработке огромного числа VPN-сеансов. В каждый момент времени он может поддерживать до 6400 туннелей, то есть, значительно больше, чем любой другой межсетевой экран, рассматриваемый в нашем обзоре. Удаленные пользователи могут обмениваться данными с SonicWall Pro через туннели, применяя для этого VPN-клиенты IPSec и алгоритмы шифрования DES с ключами длиной 56 бит и 3DES с ключами длиной 168 бит, либо работая по протоколу PPTP. Компания SonicWall успешно опробовала свой продукт с версией протокола PPTP для ОС Windows 2000.

Слабой стороной SonicWall Pro остаются его средства регистрации событий и выдачи предупреждающих сообщений, которые по-прежнему не дотягивают до тех норм, которые мы на них установили. Чтобы обеспечить генерацию более содержательных отчетов, всю регистрируемую информацию можно обрабатывать на сервере SYSLOG. Функции же мониторинга реального времени этого продукта не так хорошо развиты, как у Interceptor и WatchGuard LiveSecurity System, да и средства оповещения о тревожных ситуациях высылают уведомления лишь по электронной почте и на пейджер.

Несмотря на то что в целом SonicWall Pro относится к лучшим межсетевым экранам, среди тех, что нам приходилось когда-либо видеть, те немногие недостатки, которые его производитель так и не удосужился устранить, не позволили ему занять первое место. Мощная поддержка протокола Н.323, низкая цена и большое число одновременно организуемых VPN-туннелей делают продукт SonicWall Pro превосходным выбором для организаций, не нуждающихся в тщательной генерации отчетов.

WatchGuard LiveSecurity System фирмы WatchGuard Technologies

Победитель прошлогоднего тестирования WatchGuard LiveSecurity System вновь оказался на верхней ступени нашего пьедестала почета. Основанная все на той же многоуровневой модели безопасности, использующей фильтрацию пакетов, модули-посредники и динамический контроль состояния протокола, настоящая версия продукта выгодно отличалась своим улучшенным пользовательским интерфейсом и большей простотой и вместе с тем обеспечивала все тот же высокий уровень сетевой защиты. Firewall-система WatchGuard LiveSecurity System, размещаемая в монтируемом в стойку корпусе высотой 2U, использует для поддержки ВЧС не только протокол PPTP, но и IPSec. Однако предоставленная версия продукта WatchGuard могла обрабатывать не более 50 виртуальных туннелей.

WatchGuard LiveSecurity System позволяет явно определять все правила политикb безопасности для входящего и исходящего трафика с высокой степенью детализации. Список предварительно установленных модулей-посредников и фильтров буквально поразил нас своим изобилием: сюда вошли фильтры для трафика БД SQL, приложений Clarnet (для передачи речи по протоколу IP), Lotus Notes, Timbuktu и многие другие. Так же как и другие межсетевые экраны, основанные на технологии Stateful Inspection, продукт WatchGuard LiveSecurity System легко отражал все попытки сканера ISS прозондировать нашу сеть.

Продукт WatchGuard LiveSecurity System состоит из четырех ключевых компонентов: WatchGuard LiveSecurity System Broadcast Service, WatchGuard Security Suite (этот компонент содержит программное обеспечение для механизмов межсетевого экранирования и VPN), WatchGuard Policy Manager и само устройство WatchGuard Firebox II. Наличие у Firebox II трех 10/100-Мбит/с интерфейсов Ethernet облегчает его установку в уже существующую сеть. Одним из наиболее понравившихся нам компонентов LiveSecurity является его служба Broadcast Service. Нам действительно пришелся по душе активный подход Broadcast Service к формированию сводок, которые он рассылает всем пользователям.

Настройка WatchGuard LiveSecurity System несколько отличается от настройки других межсетевых экранов. Все назначаемые интерфейсам адреса и парольная информация сначала вводятся в поля конфигурационной Windows-утилиты, а затем загружаются в Firebox через кабель последовательного интерфейса, включаемый в комплект поставки. Если на Firebox установлена самая свежая версия зашитого в ПЗУ программного обеспечения и загружена вся необходимая IP-информация, можно открыть приложение LiveSecurity Controle Center и, задав политику безопасности, завершить процедуру конфигурирования. Управлять этим межсетевым экраном можно исключительно с помощью утилиты LiveSecurity Controle Center - ни Web-браузер, ни какие-либо другие методы здесь неприменимы.

С помощью утилиты Policy Manager очень легко настраивать правила доступа. В отличие от некоторых рассматриваемых здесь продуктов, таких как S9500, NetScreen-100 и Interceptor, очередность правил в WatchGuard LiveSecurity System не играет никакой роли. Вы просто выбираете службу, которую собираетесь контролировать, из списка предустановленных при изготовлении продукта служб, или добавляете свою собственную, выбираете требуемое действие (разрешить/запретить) и, например, указываете на необходимость аутентификации пользователей. Policy Manager устанавливает новое правило немедленно.

Когда мы тестировали эту систему в прошлый раз, чтобы осуществлять ее мониторинг или установить политику безопасности, нам приходилось запускать разные приложения. В данной же версии вы можете использовать все эти инструментальные средства, не покидая LiveSecurity Controle Center. Утилита Firebox Monitor -- это эффективное средство для графического отображения проходящего через межсетевой экран трафика в реальном времени. Взглянуть же на статистические данные можно, воспользовавшись специальной программой просмотра файлов регистрации. Host Watch - это небольшая, но изящно написанная утилита, отображающая IP-адрес, имя хоста (если таковое имеется) и направление IP-трафика (исходящий или входящий). Общая консоль позволяет выполнять мониторинг и управлять сразу несколькими устройствами Firebox, что заметно упрощает администрирование всех межсетевых экранов, установленных в сети предприятия.

Другим отличием текущей версии WatchGuard LiveSecurity System от прошлогодней является наличие в ней поддержки удаленных клиентов IPSec. Если раньше вы могли создавать только туннели на базе протокола PPTP, то теперь у вас есть и реально действующий VPN-клиент IPSec. WatchGuard также поддерживает протокол туннелирования L2TP фирмы Cisco и алгоритм MD5. Криптостойкость ваших VPN-туннелей варьируется в зависимости от длины ключа, которая может изменяться в пределах от 40 до 168 бит. Жаль, конечно, что рассматриваемая версия продукта могла обрабатывать одновременно не более 50 VPN-сеансов.

Простой в использовании и управлении межсетевой экран WatchGuard LiveSecurity System, получивший наивысшие оценки по результатам наших лабораторных испытаний, с лихвой удовлетворит все ваши потребности в отношении защиты вашей корпоративной сети. Он предоставляет первоклассные средства мониторинга и генерации отчетов и обеспечивает непробиваемую защиту.

Методика тестирования

Чтобы выжать из наших межсетевых экранов все, на что они способны, мы разработали сценарий, имитирующий реальную архитектуру корпоративной сети. Точно так же, как и вы установили бы одну из этих firewall-систем между своей собственной сетью и Интернет, мы разместили их между отдельными сетевыми сегментами. Доверенная, или частная сеть, представляла собой 10/100-Мгц коммутируемую сеть Ethernet, включающую файловый сервер ALR Revolution MP, оснащенный двумя процессорами Pentium и работающий под управлением ОС Windows NT, и нашу управляющую станцию, представляющую собой ПК Compaq ProlLiant 800, оснащенный двумя процессорами Pentium Pro.

В качестве "чужой" сети мы использовали 10-Мгц сеть Ethernet, в которой был установлен ПК Gateway ALR 7200, оснащенный двумя процессорами Pentium III и работающий под управлением Windows NT Workstation 4.0, и ISDN-маршрутизатор Cisco 804, связывающий эту сеть с Интернет. На ПК мы установили сканер безопасности Internet Scanner 6.0 фирмы Internet Security Systems (ISS). Кроме того, для организации туннелей VPN между конечными точками сети и межсетевыми экранами, мы использовали портативный компьютер Satellite 4070CDS фирмы Toshiba.

Для подключения наших серверов общего пользования -- Web-сервера и почтового сервера -- мы задействовали еще один коммутируемый 10/100-Мгц сегмент Ethernet, связанный с межсетевыми экранами через ДМЗ-интерфейс. В качестве общедоступного хоста использовался компьютер Compaq ProlLiant 1600, на который мы установили ОС Windows NT Server 4.0 и сервер IIS 4.0.

Так же как и в прошлом году, мы провели наши испытания в три этапа. В ходе первого этапа мы проверяли работу межсетевых экранов в режиме полного блокирования, так как нам была нужна информация о том, насколько хорошо они изолируют сеть от всех видов внешнего трафика. На следующем этапе мы установили политику безопасности, которая разрешала прохождение входящего почтового и Web-трафика на наш хост, установленный в "демилитаризованной зоне", а также обеспечивала беспрепятственный выход за пределы доверенной всем авторизованным пользователям. Мы настроили сканер ISS так, чтобы подвергнуть наш межсетевой экран самым жестким и массированным атакам. Персональный компьютер Gateway ALR 7200 был настолько быстродействующим, что процедура сканирования, на которую раньше уходило около часа, теперь завершалась где-то за 20 минут.

В задачи последнего этапа тестирования входило создание туннеля VPN между портативным компьютером фирмы Toshiba и межсетевым экраном и сканирование последнего с наружной стороны туннеля с целью выявления в нем каких-либо уязвимых мест. Нас интересовало, не приводит ли создание туннеля к появлению "дыр" в защите межсетевого экрана.

Фирма Internet Security Systems (www.iss.net) предоставила нам свой сканер безопасности Internet Scanner 6.0.1. При всесторонней проверке сети на наличие слабых мест в ее системе защиты этот инструмент должен использоваться обязательно. Internet Scanner укажет вам любые неправильные настройки и параметры конфигурирования вашей firewall-системы, так что вы сможете исправить их гораздо раньше, чем предприимчивые хакеры успеют ими воспользоваться.

Межсетевой экран как единая точка отказа

Чтобы добиться коэффициента готовности на уровне 99,99%, вы объединяете свои серверы в кластеры. Если один сервер "падает", другой тут же "заступает на вахту". В вашей коммутационном помещении установлены резервные маршрутизаторы и коммутаторы. Так что, если одно из первичных устройств, вдруг, откажет, трафик автоматически переключится на вторичное устройство, и, как ни в чем не бывало, будет передаваться по сети. Вы используете серверы с резервными источниками питания, жесткие диски, заменяемые в "горячем" режиме, и источники бесперебойного питания - все это обеспечивает высокую готовность сети в случае выхода из строя соответствующих первичных устройств. Так почему же при таком всеохватывающем резервировании компонентов сетевой архитектуры мы по-прежнему используем один-единственный межсетевой экран?

Процветание коммерческих предприятий сегодня в немалой степени определяется их присутствием в Интернет. Это подтверждается и тем фактом, что они тратят огромные деньги на то, чтобы объединить свои серверы в кластеры, а жесткие диски в массивы RAID. И при всем при этом такой важный компонент сетевой архитектуры, как межсетевой экран, отказ которого способен привести к тотальному краху всей информационной инфраструктуры предприятия, в буквальном смысле брошен на произвол судьбы. Очень часто межсетевой экран является единственной транспортной артерией, соединяющей корпоративную сеть огромной компании с Интернет. А ведь этого не должно быть!

В результате применения отказоустойчивых решений некоторых компаний, таких как Radware, firewall-система наконец-то перестает быть единственным потенциально опасным местом корпоративной сети. Продукт FireProof фирмы Radware, например, позволяет устанавливать в сети несколько межсетевых экранов, обеспечивая увеличение их суммарной пропускной способности и возможности резервирования сети на уровне firewall-систем. И не беспокойтесь о том, что теперь сам FireProof становится центром возможных отказов. Установка дополнительного резервного модуля FireProof позволяет реализовать эффективное отказоустойчивое решение, предохраняющее сеть от возможных аварий. И это вполне логично: уж если применять избыточность, то на всех уровнях одновременно.

Присмотритесь к своей сети более внимательно и постарайтесь выявить все те ее компоненты и соединения, которые могли бы стать возможным источником отказов. Очень часто именно межсетевой экран остается вне поля зрения, но пора этому положить конец.

WatchGuard не сдает позиции

В лабораторных испытаниях этого года приняли участие пять продуктов, два из которых мы уже тестировали в прошлом году, а три другие являются совершенно новыми устройствами. С каждым годом становится все труднее и труднее отобрать один межсетевой экран среди множества других. Все они наделены примерно одинаковыми функциями по обеспечению сетевой безопасности, и все они оправдали или даже превзошли наши ожидания. И для того, чтобы выстроить их по ранжиру, нам не оставалось ничего другого, как быть слишком придирчивыми по отношению к ним.

Второй год подряд продукту WatchGuard LiveSecurity System фирмы WatchGuard Technologies присуждается почетный титул победителя. Он имеет превосходные средства управления и мониторинга и обеспечивает сверхнадежное межсетевое экранирование. И если в прошлом году приходилось обходиться без удаленного VPN-клиента IPSec, то в этом он стал доступен.

Второе место в нашем тестировании получил новый межсетевой экран NetScreen-100 фирмы NetScreen Technologies. NetScreen-100 не только имеет фантастические возможности по межсетевому экранированию, но также обеспечивает профилирование трафика и распределение нагрузки на серверы. Однако эти дополнительные возможности привели к значительному его удорожанию: цена NetScreen-100 более чем в два раза превышает цену любого из протестированных нами продуктов. С другой стороны, если вы будете покупать NetScreen-100 для узлов, где уже установлены устройства профилирования трафика или выравнивания нагрузки на серверы, вам придется дополнительно платить за то, что у вас уже имеется.

Аппаратно реализуемые firewall-системы: результаты тестирования

Критерий оценки

Значимость критерия, %

Interceptor фирмы eSoft

S9500 Security Appliance фирмы Netopia

NetScreen-100 фирмы NetScreen Technologies

SonicWall Pro фирмы SonicWall

WatchGuard LiveSecurity System фирмы WatchGuard Technologies.

Средства экранирования и поддержки VPN

30

A-

B+

A

A-

A

Простота администрирования

20

A-

A-

A

A

A

Инсталляция

15

A-

A-

A

A

A-

Выдача предупреждающих сообщений/протоколирование событий/формирование отчетов

15

A

B+

A-

B+

A

Отношение "Цена/Качество"

20

A-

B+

B+

A

A

Итоговая оценка

100

A-

B+

A-

A-

A

Примечание: A -- отлично, B -- хорошо, C -- удовлетворительно, D -- неудовлетворительно

Плюсы и минусы аппаратно реализуемых межсетевых экранов

Interceptor фирмы eSoft
Достоинства:
* Надежная защита и гибкий интерфейс
Недостаток:
* Прикладные модули-посредники могут быть обнаружены

S9500 Security Appliance фирмы Netopia
Достоинство:
* Профилирование трафика в дополнение к функциям межсетевого экранирования
Недостаток:
* Неразвитые средства выдачи предупреждающих сообщений

NetScreen-100 фирмы NetScreen Technologies
Достоинство:
* Сочетание функций сетевой защиты, профилирования трафика и распределения нагрузки на серверы в одном устройстве
Недостаток:
* Самый дорогой из всех протестированных межсетевых экранов

SonicWall Pro фирмы SonicWall
Достоинства:

* Превосходные защитные свойства и большое число одновременно обрабатываемых VPN-туннелей
Недостаток:

* Примитивные средства генерации отчетов и выдачи предупреждающих сообщений

WatchGuard LiveSecurity System фирмы WatchGuard
Достоинство:

* Великолепные средства мониторинга, выдачи предупреждающих сообщений и сетевой защиты
Недостаток
* Низкое максимальное число одновременно поддерживаемых VPN-туннелей

Межсетевые экраны. Термины и сокращения

Вас приводит в замешательство непрерывная череда аббревиатур и терминов, используемых при описании современных устройств сетевой защиты и, в частности, межсетевых экранов? К счастью для вас, у нас имеется специальное Официальное руководство InternetWeek по сокращениям в области межсетевых экранов и систем защиты (Official InternetWeek Firewall and Security Acronym Guide - OIWFSAG), выдержки из которого мы и приводим здесь.
* 3DES (Triple Data Encryption Standard) - метод шифрования данных, в котором используются ключи длиной до 168 бит.
* ACE Server - система аутентификации пользователей фирмы Security Dynamics.
* Application Filter (proxy) - фильтр приложений (модуль-посредник). Модель безопасности, использующая для защиты корпоративной сети от посягательств со стороны внешней сети, такой как Интернет, специальные приложения, выступающие в качестве посредников для IP-служб.
* DES (Data Encryption Standard) - стандарт шифрования данных, основанный на использовании ключей шифрования длиной 56 бит.
* DHCP (Dynamic Host Configuration Protocol) - протокол динамического конфигурирования хоста. Используется для централизованного динамического назначения IP-адресов запрашивающим их сетевым клиентам.
* FTP (File Transfer Protocol) - протокол передачи файлов. Служба, обеспечивающая пересылку файлов между локальными и удаленными компьютерами.
* Н.323 - стандарт МСЭ, определяющий требования к видеоконференциям, реализуемым посредством сети с коммутацией пакетов, например, Интернет.
* IKE (Internet Key Exchange) - механизм обмена ключами IPSec, ранее известный как ISAKMP/Oakley. Служит для согласования параметров IPSec-соединений и установления соглашений по безопасности (Security Association - SA).
* IPSec (IP Security) - семейство протоколов безопасной передачи информации. Обеспечивает аутентификацию, проверку целостности данных и шифрование IP-пакетов при передаче их через сеть Интернет. В отличие от протокола SSL, службы которого функционируют на транспортном уровне модели OSI, протокол IPSec работает на сетевом уровне.
* L2TP (Layer 2 Tunneling Protocol) - протокол туннелирования, сочетающий возможности протоколов PPTP (Point-To-Point Tunneling Protocol) фирмы Microsoft и L2F (Layer 2 Forwarding) фирмы Cisco.
* MD5 (Message Digest 5) - популярный алгоритм хэширования, разработанный Рональдом Ривестом (известным также в качестве одного из авторов алгоритма шифрования с открытым ключом -- RSA).
* PPTP (Point-To-Point-Tunneling Protocol) - протокол туннелирования, разработанный фирмой Microsoft для безопасной передачи данных по сети Интернет.
* RADIUS (Remote Authentication Dial-In User Service) - служба удаленной аутентификации пользователей, работающих в режиме доступа по коммутируемым линиям. Протокол контроля доступа, использующий для аутентификации метод "запрос--подтверждение".
* SecureID - метод аутентификации, использующий для аутентификации пользователей жетоны доступа.
* SHA-1 (Secure Hash Algorithm 1) - алгоритм хэширования, используемый для генерации цифровых подписей.
* SKIP (Simple Key-Management for Internet Protocol) - простой протокол управления ключами в IP-сетях. Спецификация, разработанная фирмой Sun Microsystems для управления ключами в IP-сетях и ВЧС.
* SSL (Secure Sockets Layer) - протокол SSL. Технология транспортного уровня, обеспечивающая безопасную передачу данных между Web-браузером и Web-сервером.
* Stateful Inspection -- контроль состояния протокола. Метод аутентификации и безопасной передачи данных через межсетевой экран.
* VPN (Virtual Private Network) - виртуальная частная сеть. Метод создания безопасного "туннеля" между двумя конечными точками посредством сетей общего пользования, подобных Интернет.

Коротко о продуктах

Interceptor
Цена: 3745 долл.; 18 645 долл. со 100 удаленными клиентами VPN
Фирма: eSoft
www.esoft.com

S9500 Security Appliance
Цена: 3695 долл.; по вопросу стоимости продукта со 100 удаленными клиентами VPN следует связаться с производителем
Фирма: Netopia
www.netopia.com

NetScreen-100
Цена: 9995 долл.; 14 999 долл. со 100 удаленными клиентами VPN
Фирма: NetScreen Technologies
www.netscreen.com

SonicWall Pro
Цена: 2995 долл.; 8490 долл. со 100 удаленными клиентами VPN
Фирма: SonicWall
www.sonicwall.com

WatchGuard LiveSecurity System
Цена: 4990 долл.; 11 390 долл. со 100 удаленными клиентами VPN
Фирма: WatchGuard Technologies
www.watchguard.com


http://i-beauty.moscow/ клей для наращивания ресниц купить в москве.




  
7 '2000
СОДЕРЖАНИЕ

колонка редактора

• Аутсорсинг как средство борьбы с энтропией в сетях

локальные сети

• Эволюция кабельных стандартов

• Компактные специализированные файл-серверы

• Тестируем 11-Мбит/с оборудование для беспроводных ЛВС

услуги сетей связи

• Интегрированные устройства доступа: мощь и интеллект на границе

• IP-телефония "седлает" радиоволну

• Телефонное время и деньги

• Тестирование кабелей для служб xDSL

• Перспективы развития и услуги ГП КС

новые продукты

• Solaris 8 - лучшая платформа для Web-сервераб, Definity переходит на IP-телефонию: просто смени ПО

только на сервере

• Остановите варваров на подступах к сети

• Dell PowerEdge 4400 - мощный сервер для сети отдела предприятия

корпоративные сети

• Реализация агентов SNMP для управления сетями связи

• Этот восхитительный, восхитительный мир IP

• Три сервера SMB

электронная коммерция

• Метаязык на века

• Малый бизнес получает доступ в Интернет

• "Интернетизация" ERP-систем

бизнес

• Высоконадежным системам - "железную" поддержку

• СКС SYSTIMAX - дорога в будущее

защита данных

• Обеспечение безопасности Web-приложений


• КАЛЕЙДОСКОП



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх