Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Средства управления многоузловыми межсетевыми экранами еще не готовы для внедрения на предприятиях

Майк Фратто

Наши испытания распределенных межсетевых экранов выявили заметные различия в их производительности, средствах управления и формирования отчетов.

Помните, как поется в песне Let ‘em in группы Wings: "Кто-то стучится в дверь, кто-то звонит в колокольчик. Сделай милость, открой дверь и впусти их". Если бы только управление многоузловыми межсетевыми экранами было таким простым! Но для современной компании с ее разбросанными по всему миру офисами в условиях растущей угрозы со стороны "вооруженных до зубов" взломщиков реализация стратегии защиты в распределенной среде и обеспечение безопасности сети становится невероятно сложной задачей.

Присутствуя в вашей сети, межсетевые экраны помогают предотвратить неавторизованный доступ пользователей из одного сетевого сегмента в другой. Какой бы ни была ваша сеть, - будь то сеть компании из списка Fortune 100 или сеть удаленного офиса, - если вы подключены к Интернет, то вам придется установить у себя по меньшей мере один межсетевой экран. Управление одним межсетевым экраном, как правило, представляет собой относительно простую задачу. Контролировать приходится всего-навсего одно устройство, и после инсталляции оно не требует особых забот. Однако если вы попытаетесь организовать защиту нескольких сетей, то вам потребуется кое-что получше простого пользовательского графического интерфейса управления. Мы испытали пять межсетевых экранов масштаба предприятия - Raptor Firewall 6.5 фирмы Axent Technologies (приобретена Symantec), VPN-1 Gateway фирмы Check Point, Cisco Secure PIX Firewall 520 фирмы Cisco Systems, NetScreen-100 1.66 фирмы NetScreen Technologies и Sidewinder 4.1 фирмы Secure Computing. Наши тесты обнаружили заметные различия в возможностях управления и формирования отчетов, а также в производительности этих продуктов.

Мы также приглашали принять участие в испытаниях компанию IBM, которая отказалась, так как к тому времени у нее еще не была готова новая версия, и Lucent Technologies, которая вообще не ответила на наше предложение. Что касается Network Associates, то она долго колебалась, и в итоге мы ничего не получили и от нее.

Нам особенно хотелось познакомиться со средствами, позволяющими управлять несколькими распределенными по сети устройствами. Все протестированные нами межсетевые экраны располагали некоторыми возможностями удаленного управления, но в их реализации мы обнаружили большие различия. Безопасное управление продуктом Sidewinder фирмы Secure Computing осуществляется через VPN-клиента X Window, в то время как программа Cisco Secure Policy Manager (CSPM) продукта Cisco Secure PIX предлагает управление стратегией защиты, не зависящее от нижележащей платформы. За исключением продукта фирмы Check Point, все протестированные нами межсетевые экраны требуют использовать в целях безопасности их собственных VPN-клиентов, а это означает использование управляющих станций на основе Windows. Мы установили межсетевые экраны в сети нашей лаборатории Real-World Labs и некоторое время работали таким образом. Мы обнаружили, что удаленное конфигурирование в основном происходит достаточно безболезненно. Вряд ли можно было заметить разницу между управлением межсетевым экраном из локальной подсети и управлением через соединение Frame Relay. Однако что действительно отличает один межсетевой экран от другого, так это регистрация событий и формирование отчетов. Не имея возможности выявлять проблемы на местах, мы были вынуждены полагаться на средства формирования отчетов управляющих станций.

Мы обнаружили значительные различия в этой области. Отчеты имеют решающее значение для управления firewall-системами вследствие широкого разнообразия атак, которым может подвергнуться система. То, что сначала может показаться просто необычным поведением сети, например, несколько отвергнутых попыток установления соединения, на самом деле может оказаться "медленным" - с целью избежать обнаружения - сканированием портов. Пока не разработаны автоматизированные средства корреляции событий, лучшую защиту сети по-прежнему способен обеспечить только администратор, регулярно просматривающий журналы регистрации событий. Ежедневный просмотр событий может показаться не таким уж важным делом, но рост числа заблокированных попыток соединения может сигнализировать о чем угодно, начиная от активной атаки и кончая неправильной настройкой отдельных сетевых устройств. Хорошие средства генерации отчетов должны предоставлять администраторам достаточно информации для того, чтобы они знали, когда нужно немедленно просмотреть журналы, чтобы не пропустить чего-либо важного. При необходимости должна предоставляться более подробная информация. По возможностям генерации отчетов, в том числе высокому уровню детализации предоставляемых администратору сведений, межсетевой экран фирмы Check Point превосходит все остальные продукты. В ходе его тестирования мы обнаружили, что можем легко выявить источники проблем с конфигурацией устройств, анализируя правила, инициировавшие те или иные записи в журнале.

Все протестированные нами межсетевые экраны прошли сертификацию Международной ассоциации по компьютерной безопасности ICSA (www.icsa.net). Мы сконфигурировали межсетевые экраны и базовые ОС таким образом, чтобы обеспечить, насколько возможно, безопасный режим работы путем отключения некоторых служб и использования самых последних обновлений системного ПО. Для выявления уязвимых мест в межсетевых экранах мы самостоятельно предприняли несколько хорошо известных атак, вместо того чтобы воспользоваться коммерческими продуктами, такими как Internet Scanner фирмы ISS или CyberCop Scanner фирмы Network Associates, поскольку посчитали, что поставщики обеспечили защиту своих продуктов от таких очевидных методов проверки.

Нашим первым шагом в тестировании было определение профиля каждого межсетевого экрана. Мы попытались узнать как можно больше о нем самом и о защищаемых им службах и о возможности обойти межсетевой экран и напрямую атаковать серверы. Когда мы сканировали firewall-системы с помощью программы Nmap, мы выявили все межсетевые экраны за исключением FireWall-1, о котором нам ничего не удалось узнать. Интересно отметить, что даже несмотря на то что программа Nmap не смогла распознать ОС некоторых firewall-систем, мы смогли определить наличие proxy-сервера. Нам удалось извлечь эту информацию благодаря тому, что сканирование нескольких IP-адресов сети, защищенной межсетевым экраном proxy-типа, возвращает одинаковую информацию. Вспомните, что proxy-серверы инициируют и поддерживают сетевые соединения "от имени" клиентов и серверов, поэтому именно они всегда отвечают на запросы на установление соединения для служб, которым они обеспечивают посредничество. Факт сканирования портов распознали почти все межсетевые экраны.

Все firewall-системы за исключением Raptor позволили нам успешно атаковать наш внутренний Web-сервер, проникнув сквозь межсетевой экран. Мы использовали атаку, при которой трафик, не являющийся трафиком HTTP, посылался нашему Web-серверу IIS 4 через 80-й TCP-порт. Такой трафик должен был быть остановлен прикладными модулями-посредниками (application proxy), поскольку он не соответствует протоколу HTTP. Модуль-посредник фирмы Axent сделал это. Sidewinder фирмы Secure Computing, который также представляет собой межсетевой экран c прикладными proxy-модулями, пропустил атаку. Secure Computing подтвердила существование проблемы и сообщила нам, что компании известно о ней с октября прошлого года. К тому времени, когда вы будете читать эту статью, должно появиться исправление этой ошибки. Межсетевые экраны, основанные на технологии Stateful Inspection, не способны остановить подобные атаки, потому что они не проверяют трафик на прикладном уровне.

В наших тестах на производительность единственным продуктом, который показал действительно хорошие результаты, был NetScreen-100. Мы много слышали о том, что он очень быстро работает с VPN, и убедились в этом. Его производительность, при распределении ключей по протоколу IKE, использовании шифрования 3DES и аутентификации MD5 достигает 126 Мбит/с. Эта почти вдвое выше производительности любого другого продукта. Тесты VPN подтвердили также наше предположение, что программные виртуальные частные сети не могут сравниться по быстродействию с аппаратными из-за отсутствия в них шифровальных акселераторов и ограниченной полосы пропускания используемой шины. Шифрование требует больших вычислительных ресурсов, и аппаратные устройства, такие как NetScreen-100, всегда будут превосходить по производительности VPN, реализованные программным путем. Но не путайте аппаратные средства с сетевыми устройствами. PIX Firewall 520 - это сетевое устройство, но шифрование в нем реализовано программным образом. Мы рассчитывали также увидеть разницу в производительности между межсетевыми экранами Stateful Inspection - их представляют продукты VPN-1 Gateway, NetScreen-100 и PIX Firewall 520 - и продуктами proxy-типа, представленными Raptor и Sidewinder, и мы не ошиблись. Производительность firewall-систем первого типа достигала приблизительно 150 Мбит/с, в то время как производительность систем типа proxy составляла около 60 Мбит/с, главным образом, потому, что последние проверяют каждый пакет на прикладном уровне, что требует большего объема вычислений. Таким образом, выбор между proxy-системами и Stateful Inspection - это выбор между более тщательной обработкой и более высокой производительностью.

По результатам наших испытаний первое место было присуждено продукту VPN-1 Gateway фирмы Check Point, в первую очередь за превосходные интерфейс управления, средства генерации отчетов и протоколирования, а также за высокую производительность. Второе место с небольшим отрывом занял PIX Firewall 520 фирмы Cisco Systems, благодаря своей программе CSPM, стабильной производительности и хорошим средствам протоколирования.

VPN-1 Gateway фирмы Check Point

Продукт VPN-1 Gateway вышел на первое место в наших испытаниях, но уже в этом году его отрыв от других firewall-систем может сократиться. Намечен выход существенно обновленных версий трех из его конкурентов - продуктов Cisco Secure PIX Firewall 520, Sidewinder и NetScreen-100.

VPN-1 Gateway фирмы Check Point представляет собой комплект из продуктов FireWall-1 и VPN-1. Кроме того, Check Point прислала нам свою плату VPN-1 Accelerator Card, увеличивающую пропускную способность виртуальной частной сети. Что позволило продукту VPN-1 Gateway занять первое место? У него замечательная система управления, он обладает отличной производительностью и одним из лучших среди виденных нами средств протоколирования событий. Отвечая тенденциям в области безопасности, фирма Check Point добавила к имеющимся средствам защиты, основанным на технологии Stateful Inspection, прикладные модули-посредники, разработанные для блокирования аномального трафика на прикладном уровне.

Когда мы предлагали поставщикам представить свои продукты, то попросили их прислать по два экземпляра каждой firewall-системы, включая и аппаратные средства, необходимые для тестирования VPN. Фирма Check Point прислала компьютер Ultra 60 компании Sun Microsystems, с двумя 360-МГц процессорами, оперативной памятью объемом 512 Мбайт и жестким диском Ultra SCSI. Чтобы обеспечить максимальную производительность, мы управляли системой FireWall-1 с выделенного сервера Windows NT.

Сразу после установки firewall-систем и подтверждения лицензий, мы смогли приступить к конфигурированию ПО. В отличие от ряда других VPN-устройств, которые потребовали от нас настройки каждого шлюза виртуальной частной сети в отдельности путем ввода одной и той же информации, управляющая станция VPN-1 Gateway предлагает более простую процедуру, позволяющую применить ту или иную стратегию защиты к указанным firewall-системам. Графический интерфейс управления предоставил для этого нам все необходимое. Мы избрали базовую стратегию защиты такой, чтобы виртуальная частная сеть на основе семейства протоколов IPsec использовала обмен ключами по протоколу IKE, шифрование 3DES и аутентификацию MD5. Прежде всего, мы проверили, насколько хорошо система Ultra 60 осуществляет маршрутизацию пакетов, запустив приложение SmartFlow из пакета Netcom SmartBits. При выключенной firewall-системе мы достигли производительности в 190 Мбит/с без заметной потери пакетов. Когда мы включили firewall-систему, производительность снизилась до 156 Мбит/с. Производительность виртуальной частной сети, даже с платой шифроускорителя VPN-1 Accelerator, мы смогли дотянуть всего лишь до 28 Мбит/с, после чего VPN-1 Gateway начал терять заметную часть пакетов - существенно выше установленного нами порога в 1%. По этому тесту продукт VPN-1 Gateway оказался на втором месте с большим отрывом от лидера NetScreen-100. Учтите, однако, что за исключением NetScreen-100 ни один из соперников не сумел приблизиться к VPN-1 Gateway по производительности виртуальной частной сети. И хотя маловероятно, что весь ваш трафик будет шифроваться, но если доля VPN-трафика у вас значительна, необходимо учесть этот верхний предел.

Конфигурирование системы FireWall-1 действительно является несложной процедурой. Подобно другим firewall-системам, основанным на использовании правил, задать стратегию защиты в FireWall-1 означает указать, по какому протоколу кому и к чему разрешен доступ. Нам понравились некоторые, казалось бы, незначительные возможности управляющего интерфейса, а именно сокрытие правил от просмотра и их отключение. Последнее особенно кстати при редактировании и изменении стратегии защиты firewall-системы. Правила можно устанавливать и проверять, и в случае нарушения работы сетевых приложений, послужившее его причиной правило может быть временно отключено.

Графический пользовательский интерфейс управления позволяет работать одновременно с несколькими межсетевыми экранами, при этом вся стратегия защиты задается в одном большом "плоском" файле, содержащем все правила. Для облегчения ориентации, управляющий интерфейс предоставляет средства для выделения цветом сетевых ресурсов и групп объектов. Но мы отнюдь не были ослеплены таким симпатичным интерфейсом. Управление firewall-системой иногда может оказаться сложным делом. А управление несколькими firewall-системами - это всегда сложное дело, связанное с повседневными проблемами, такими как добавление и модификация правил, поиск и устранение неполадок и необходимость контроля общего состояния системы защиты. Однако способности продукта фирмы Check Point к масштабированию не выходят далеко за пределы поддержки нескольких firewall-систем и других устройств, поскольку база правил становится слишком длинной и запутанной. Мы сочли полезным наличие поля комментария для каждого объекта. Продукт VPN-1 Gateway обладает уникальной способностью фильтровать вывод правил на экран на основе заданных критериев, таких как служба, адрес назначения или источника. Это может оказаться полезным при чрезмерном разрастании базы правил.

С точки зрения средств протоколирования VPN-1 Gateway превосходит другие продукты. Хотя это далеко не самая заметная функция межсетевого экрана, без хороших средств протоколирования вам пришлось бы работать вслепую. Некоторые аномальные события могут не инициировать уведомлений или аварийных сигналов, даже при использовании локальной или внешней IDS-системы. Например, медленное "горизонтальное" сканирование портов останется незамеченным большинством firewall- и IDS-систем, но его "след" останется в регистрационном журнале. При управлении несколькими firewall-системами, удобно иметь все журналы в одном месте, но с ростом их числа вы быстро окажетесь буквально затопленными данными. Задав набор фильтров, мы сократили количество выводимых на экран записей, оставив только те, которые представляли для нас интерес.

Мы установили правила, разрешающие входящий HTTP-трафик для двух серверов и исходящий HTTP-трафик. Затем мы запустили имитатор компонента уязвимости iishack фирмы eEye Digital Security и смогли проникнуть на наш Web-сервер. Однако VPN-1 Gateway имеет уникальную функцию под названием Security Servers, которая защищает от атак серверы HTTP, FTP и SMTP. Security Servers проверяет синтаксис протоколов прикладного уровня. Чтобы задействовать ее, мы сначала определили защищаемый ресурс в графическом управляющем интерфейсе, указав IP-адрес сервера и разрешенные HTTP-методы, такие как get и post. Затем мы модифицировали правила для входящего трафика HTTP, чтобы активизировать HTTP Security Server. После этого мы обнаружили, что уже не можем преодолеть систему защиты.

Распределенные firewall-системы. Информация для руководителей

В эпоху глобализации нет ничего необычного в том, что в одной организации имеется несколько подключенных к Интернет узлов, каждый со своей собственной firewall-системой. Вы могли бы управлять каждым межсетевым экраном на месте, но это потребовало бы выделить для каждого из узлов персонал, разбирающийся в вопросах сетевой защиты. Проведение корпоративной политики безопасности было бы в этом случае намного сложнее. Централизованное управление большим числом firewall-систем намного удобнее для поддержания работы защищенной сети.

Мы протестировали возможности систем Raptor Firewall 6.5 фирмы Axent, VPN-1 Gateway фирмы Check Point Software Technologies, Cisco Secure PIX Firewall 520 фирмы Cisco Systems, NetScreen-100 1.66 фирмы NetScreen Technologies и Sidewinder 4.1 фирмы Secure Computing.

Существуют две формы централизованного управления: либо стратегия защиты вырабатывается централизованно и применяется ко всем firewall-системам, как в продуктах фирм Check Point и Cisco, либо каждая система конфигурируется отдельно через общий графический интерфейс пользователя,- метод, используемый фирмами NetScreen и Axent. Первый метод лучше поддается масштабированию. Стратегия защиты определяется один раз, а станция управления определяет, какие именно правила необходимо сообщить каждой из firewall-систем. Второй метод лучше подходит для небольших сетей, но при его использовании по мере роста базы правил и числа систем растут и накладные расходы на управление. Продукт VPN-1 Gateway фирмы Check Point, представляющий собой комбинацию ПО FireWall-1 и VPN-1, получил первое место за масштабируемость системы управления, превосходные средства протоколирования и высокую скорость передачи пакетов. Однако пропускная способность виртуальной частной сети у этой системы составляет всего 30 Мбит/с, так что не стоит подключать ее к линии T3.

В ходе нашего тестирования мы столкнулись с несколькими настоящими сюрпризами в области производительности и защиты. За исключением NetScreen-100, пропускная способность ВЧС для большинства продуктов составляет от силы 30 Мбит/с. У NetScreen-100 она составляет 152 Мбит/с. Передачу пакетов все продукты выполняют довольно быстро, хотя системы proxy-типа, такие как Raptor Firewall и Sidewinder, как правило, работают медленнее, взамен предоставляя более высокий уровень защиты. Системы proxy-типа проверяют трафик и обеспечивают защиту на прикладном уровне и выше, обеспечивая, таким образом, более строгий контроль. Это, однако, не означает, что системы на основе на технологии Stateful Inspection, не обеспечивают защиты. Просто это два типа firewall-систем различного назначения. Независимо от этого различия, с помощью сканирования портов мы смогли узнать многое о самих firewall-системах и сетях, которые они защищают. Еще важнее то, что нам с успехом удалось атаковать серверы, которые, как предполагалось, защищены (за исключением защищенных модулями-посредниками HTTP Raptor Firewall и VPN-1 Gateway). В большинстве случаев это стало возможным не в результате ошибок, имеющихся в firewall-системе, но вследствие того, что мы смогли использовать ее слабые стороны, атакуя на уровне выше сетевого. Вывод: защищайте свои серверы на прикладном уровне.

Cisco Secure PIX Firewall 520 фирмы Cisco Systems

Продукт Cisco Secure PIX Firewall 520 фирмы Cisco Systems, представляющий собой аппаратную реализацию межсетевого экрана, чрезвычайно привлекателен в точки зрения производительности, но несколько менее привлекателен с точки зрения управления. Его интерфейс командной строки трудно назвать дружественным, даже если вы знакомы с фирменной сетевой операционной системой фирмы Cisco - IOS (Internetwork Operating System). Однако компания обеспечила поддержку более дружественного графического интерфейса в своем средстве управления стратегией защиты Cisco Secure Policy Manager. Менеджер CSPM предназначен для сетей с большим числом межсетевых экранов. Но будьте готовы к тому, что вам придется потратить некоторое время на изучение CSPM и постижение его парадигмы, отличающейся от общепринятых стратегий управления firewall-системами. Мы нашли, что производительность виртуальной частной сети PIX Firewall заметно ниже, чем VPN-1 Gateway и NetScreen-100, но пропускная способность этой firewall-системы, составляющая приблизительно 150 Мбит/с, заслуживает уважения.

CSPM - это шаг вперед, но это средство, вне всякого сомнения, потребует от вас изменить подход к защите вашей сети. Следуя парадигме этого продукта, подобной той, что воплощена в пакете CiscoWorks2000, необходимо сначала с помощью графического интерфейса построить модель сети, а затем распределить информацию о конфигурации системы защиты по всем удаленным устройствам. Посмотрев на командную строку PIX, мы решили, что графический пользовательский интерфейс - это огромное улучшение. К сожалению, CSPM не может ни распознавать устройства, ни импортировать существующие сценарии конфигурации, поэтому если вы поместите CSPM в действующую сеть, вам придется через него переконфигурировать интерфейсы и списки контроля доступа всех систем PIX. К счастью, имеется возможность проверять конфигурацию перед применением ее к той или иной системе PIX, и мы настоятельно рекомендуем вам делать это, чтобы убедиться в отсутствии ошибок в настройках. Эту мудрость мы постигли на собственном горьком опыте в ходе наших испытаний.

Просмотр конфигурации системы защиты, созданной с помощью CSPM, занимает много времени. Хотя устройства PIX Firewall действуют на основе правил, он использует списки контроля доступа для обработки входящего трафика и туннели для обработки исходящего. Синтаксис ACL необычен: вместо правил, устанавливающих, какому трафику и куда разрешено проходить, определяется модель доступа по умолчанию, а затем к ней добавляются исключения. Другими словами, в случае обычного синтаксиса ACL достаточно установить правило: "Разрешить трафик из Интернет на порт 80 узла web.here.com". А для системы PIX требуется задать ACL-правило из двух записей: "Запретить весь HTTP-трафик", а затем "Исключая порт 80 узла web.here.com". Результат в обоих случаях одинаков, но работать с общепринятым синтаксисом проще, особенно, с ростом количества правил.

После того, как мы смоделировали нашу сеть, мы смогли реализовать нашу стратегию защиты. Используя блок-схемы и условные логические конструкции, подходящие более программистам, нежели администраторам, мы привели ее в действие. CSPM просматривает конфигурацию, выявляя несогласованности, и затем создает конфигурационный файл. Мы проверили каждую конфигурацию, чтобы убедиться в ее правильности, и затем разослали информацию всем устройствам PIX, которые, кстати говоря, можно переконфигурировать "на лету".

Создание VPN-сетей в CSPM-менеджере - это несложное дело, сопровождающееся относительно малым числом ошибок. Как и в случае с VPN-1 Gateway, мы задали стратегию защиты виртуальной частной сети с разделяемыми секретами, завершив общую картину добавлением информации об устройствах PIX и о защищаемых ими сетях. CSPM-менеджер немедленно сгенерировал записи схем и маршрутов, необходимые для работы каждого устройства PIX. Мы нашли такую одношаговую конфигурацию существенным улучшением по сравнению с конфигурированием каждого устройства в отдельности. Однако когда мы решили изменить конфигурацию, мы столкнулись с проблемой, которая отняла у нас некоторое время: мы удалили опцию IPsec, но CSPM при этом не сгенерировал команду удаления этой опции из конфигурации устройств PIX. Поэтому она осталась в силе, и наша ВЧС не смогла работать. В конце концов, мы нашли причину. Конфигурации можно сохранять локально, но в CSPM отсутствуют средства контроля версий, имеющиеся в CiscoWorks2000. Фирма Cisco планирует решить как эту проблему, так и другие, путем интеграции CSPM с CiscoWorks2000. Это должно также обеспечить обнаружение устройств и импорт конфигураций.

Мы сумели, как мы и ожидали, пробиться сквозь firewall-систему PIX и получить доступ к нашему Web-серверу. В отличие от VPN-1 Gateway, PIX Firewall 520 не предлагает возможности проверки синтаксиса HTTP, которая становится настоятельной необходимостью для компаний, держащих свой собственный Web-узел. Однако PIX благополучно блокировал все наши атаки на сетевом уровне, а протоколирование, хотя и грубое, было вполне достаточным для быстрого отслеживания событий, хотя оно даже не приближается по качеству к VPN-1 Gateway.

Мы были удивлены медлительностью системы PIX в ходе испытаний ее пропускной способности при поддержке IPsec. ВЧС едва дотянула до 17 Мбит/с, после чего потери пакетов превысили 1%. Это ставит данный продукт ниже VPN-1 Gateway и NetScreen-100. Однако в тестах пропускной способности данной firewall-системы она достигла показателя в 150 Мбит/с.

Методика тестирования

При тестировании firewall-систем трудно избежать ошибок. Найти надежные инструменты, которые работают со всеми системами, довольно трудно. Для тестирования на производительность мы использовали средство SmartFlow фирмы SmartFlow, которое генерирует TCP- и UDP-пакеты. Мы использовали SmartFlow также для тестирования ВЧС. Все пять межсетевых экранов были сконфигурированы одинаково и использовали распределение ключей по протоколу IKE, шифрование на основе алгоритма 3DES и аутентификацию HMAC-MD5. Их конфигурация предполагала, что они будут пропускать весь VPN-трафик. До начала тестирования мы установили ВЧС и определили приемлемый уровень потерь в 1%. При передаче пакетов размером 128, 512 и 1400 байт мы не выявили никакой зависимости потери пакетов от их размеров. Тесты подтвердили наши предположения о том, что программные firewall-системы не могут соревноваться с аппаратными системами по производительности ВЧС. Пропускная способность ВЧС для программных систем оказалась намного ниже скорости канала T3, в то время как производительность NetScreen-100 достигает впечатляющей цифры в 126 Мбит/с.

Кроме того, мы измеряли пропускную способность сети с помощью программного средства Chariot фирмы Ganymede Software, установленного на 10 серверах. Без межсетевого экрана пропускная способность составила 182 Мбит/с. И опять мы не были удивлены полученными результатами. Здравый смысл подсказывает, что межсетевые экраны proxy-типа работают медленнее системы inspection-типа, и наши тесты подтвердили это - системы inspection-типа оказались более чем вдвое быстрее систем proxy-типа. Справедливости ради надо отметить, что вместе с Raptor Firewall фирмы Axent мы были вынуждены использовать универсальный модуль-посредник, поскольку он выполняет более строгую проверку синтаксиса HTTP.

В ходе тестирования защиты мы предприняли все возможные меры для повышения защищенности ОС firewall-систем. Мы запускали только те службы, которые были необходимы, и ограничили наш набор правил, позволяя пропускать только строго заданные типы трафика. Мы поместили наш источник атак за маршрутизатором таким образом, чтобы иметь прямой доступ к firewall-системе. Для проверки защиты мы предпочли не использовать коммерческие сканеры, такие как Internet Scanner фирмы ISS, а вместо этого поискали в Интернет реально использующиеся средства. Два инструмента обеспечили нам то, что было необходимо: мы исследовали firewall-системы с помощью программы Nmap (www.insecure.org). Она позволяет сканировать хосты и обычно идентифицирует используемые операционные системы. За исключением VPN-1 Gateway, нам во всех случаях удавалось определить ОС межсетевого экрана. Мы смогли получить достаточно информации, чтобы определить наличие firewall-системы. Все системы оставляли определенные порты TCP открытыми. Для взлома же нашего Web-сервера IIS 4.0 мы использовали exploit-программу под названием iishack, разработанную фирмой eEye Digital Security (www.eEye.com).

рис.1 Схема тестирования

1 - Общедоступная сеть
2 - Межсетевой экран
3 - Виртуальная частная сеть
4 - Маршрутизатор
5 - Атакующий компьютер
6 - "Троянский сервер"
7 - Управляющий и атакующий компьютер
8 - HTTP-сервер под управлением Linux
9 - HTTP-сервер под управлением Windows NT

Raptor Firewall 6.5 фирмы Axent Technologies

Продукт Raptor Firewall 6.5 фирмы Axent давно пользуется репутацией firewall-системы, обеспечивающей надежную защиту как на сетевом, так и на прикладном уровне, и наши испытания это подтвердили. Данный продукт оказался единственным, способным отразить атаки прикладного уровня на сервер IIS. Удаленное управление firewall-системой достаточно удобно. Оно осуществляется через приложение, использующее ПО Microsoft Management Console (MMC). Raptor отнюдь не самый быстрый межсетевой экран среди протестированных нами, в тестах ВЧС он занял последнее место с пропускной способностью 16 Мбит/с, а в тестах на производительность показал всего 63 Мбит/с. Это существенно ниже показателей продуктов компаний Check Point, Cisco и NetScreen.

Однако в наших тестах по отражению атак Raptor Firewall выглядел блестяще. При использовании той же стратегии защиты, что и в случае остальных firewall-систем, мы не смогли ни получить контроль над Web-сервером, ни нарушить его работу. Exploit-компонент iishack работал как обычно, но когда мы попытались подключиться к Web-серверу через telnet, то нам было отказано в доступе. Внимательно просмотрев регистрационные журналы, мы нашли сообщение HTTP-демона системы Raptor Firewall о заблокированной попытке подключения, содержащее некорректный URL-указатель. К сожалению, Raptor может быть обнаружен простым сканированием портов. Если вы удаленным образом управляете Raptor Firewall, то у вас будут открыты порты 416, 417 и 418 вместе с информацией обо всех запущенных службах. Этих данных, скорее всего, будет достаточно для идентификации Raptor. Но важнее то, что когда мы сканировали порты защищенной внутренней сети, каждый IP-адрес сообщал одни и те же данные. Это указывает на то, что ответы, по-видимому, приходят от firewall-системы proxy-типа, а не от самих хостов. Тем не менее, Raptor оказался единственным межсетевым экраном, определившим нашу атаку с помощью программы Nmap, и не позволил нам сканировать защищаемые хосты.

Как и в случаях с другими протестированными firewall-системами, перед началом реализации нашей стратегии защиты мы сначала определили сетевые объекты. Но здесь установка правил оказалась более сложной. В отличие от Sidewinder, другой протестированной нами системы proxy-типа, Raptor Firewall потребовал, чтобы мы установили в правилах адреса источников и адреса назначения и настаивал, чтобы мы также указали интерфейс, через который мы предполагаем пропускать входящий и исходящий трафик. Это связано с тем, что, будучи системой proxy-типа, Raptor действует как хост, инициирующий и прекращающий TCP-соединения. Кроме того, при конфигурировании правил доступа через HTTP и FTP мы были вынуждены определить команды, которые будет пропускать соответствующий посредник, например, мы должны были явно задать указатели URL, начинающиеся с ftp:// или gopher://.

Raptor отличается от всех остальных рассмотренных нами здесь firewall-систем тем, что его правила не действуют по иерархическому принципу "сверху вниз". Вместо этого он следит за входящим трафиком и подыскивает наиболее соответствующее для него правило. Хотя это может показаться необычным, модель "наилучшего соответствия" заставляет нас тщательнее думать о том, как конкретно мы реализуем нашу стратегию защиты. Иерархии правил, используемые в других системах, намного "снисходительнее" к ошибкам. Здесь же конкретное правило имеет приоритет над общим. Например, мы установили правило разрешить HTTP-трафик во внутренней сети. Кроме того, мы установили правило, согласно которому HTTP-трафик к одному из наших Web-узлов - Tweety,- не пропускается. Второе правило имело приоритет над первым, и мы не смогли получить доступ к Tweety.

Пропускная способность ВЧС при использовании Raptor оказалась крайне низкой. Мы достигли уровня всего лишь 16 Мбит/с, когда Raptor начал катастрофически сбрасывать пакеты. При 14 Мбит/с приблизительно на 26 тыс. пакетов приходилось максимум 75 сброшенных - вполне приемлемая цифра. Но при 16 Мбит/с доля потерянных пакетов составила свыше 90%. После достижения этого порога ВЧС прекратила передавать трафик, и мы были вынуждены перезапустить firewall-систему. Фирма Axent не дала нам ответа на вопрос о причине данного сбоя. В любом случае, не пытайтесь подключить Raptor к Интернет через соединение T3 и при этом работать в виртуальной частной сети.

Управление firewall-системой, как локальное, так и удаленное, осуществляется через приложение консоли MMC. Работая с простым графическим интерфейсом системы Raptor, мы нашли, что с учетом широкого набора функциональных возможностей конфигурация представляет собой не требующий особых усилий процесс. "Спускаясь" вниз по ветвям "управляющего дерева", мы могли обращаться почти к любому элементу firewall-системы. Дополнительные возможности предоставляются посредством нажатия правой кнопки мыши. Особенно полезными мы нашли отчеты о произведенном конфигурировании. Raptor обеспечивает широкие возможности для создания отчетов, содержащих детальную информацию о конфигурации как системы в целом, так и различных сочетаний ее элементов. Используя этот инструмент, мы имели возможность точно увидеть, как определены правила, не заглядывая в каждое из них в отдельности.

Хотя мы и смогли подключиться и управлять несколькими системами Raptor через MMC-консоль, у нас не было возможности управлять всеми устройствами как единым целым, как мы могли это делать, работая с продуктами фирм Check Point и Cisco. Здесь каждая firewall-система представляет собой отдельную сущность и должна конфигурироваться отдельно, что во многом напоминает интерфейс удаленного управления продукта NetScreen-100. Это становится критически важным при настройке ВЧС. Установка параметров ВЧС не представляет особой сложности, но очень утомительна. Работая с VPN-1 Gateway и PIX Firewall 520, мы могли определять стратегию защиты ВЧС, устанавливать взаимоотношения между шлюзами и распределять информацию по firewall-системам за один шаг. Используя продукты Raptor Firewall, NetScreen-100 и Sidewinder мы вынуждены были работать с каждой системой в отдельности, вводя одни и те же параметры по несколько раз. Это неизменно ведет к незначительным на вид, но порою фатальным ошибкам.

Откровенно говоря, возможности средств генерации отчетов системы Raptor оставляют желать много лучшего. Данный продукт особенно слаб в области детализированного протоколирования сеансов связи и представления этой информации в отчетах. Хотя наши тесты на производительность и защиту сгенерировали довольно большой объем записей в журналах, разобраться в них было довольно трудно. Отвергнутые попытки доступа порождали по три записи в журнале, но эти три записи редко следуют друг за другом. Некоторые из записей о событиях не содержали соответствующих IP-адресов источника или назначения, а некоторые были совершенно непостижимы для понимания. Еще хуже то, что отсутствует способ немедленно определить, были ли отклонены те или иные попытки установления соединений. При сканировании портов просто сообщалось о попытках соединений. Мы были вынуждены всякий раз открывать окно детализации для того, чтобы понять причину каждого заинтересовавшего нас события.

NetScreen-100 1.66 фирмы NetScreen Technologies

рис.2 Производительность ВЧС

1 - NetScreen
2 - Check Point
3 - Secure Computing
4 - Cisco
5 - Axent

NetScreen-100 представляет собой малогабаритное устройство высотой 1U. Эта firewall-система, использующая технологию Stateful Inspection и фирменные специализированные микросхемы (ASIC), создана для работы в высокоскоростной сети. Кроме того, она проста в управлении и конфигурировании. Мы использовали как новую программу Global Manager, так и более старый Web-интерфейс, и нашли их в равной степени полезными для управления системой. Но они весьма далеки от таких более отшлифованных управляющих программ, как графический интерфейс управления фирмы Check Point или CSPM фирмы Cisco. Точно так же, средства протоколирования и генерации отчетов продукта NetScreen-100 слабее, чем у его соперников: они оставляют без внимания важные детали и не делают никакого различия между уровнями важности предупреждений.

Если вам нужна высокая производительность, то NetScreen-100 создан для вас. Используя алгоритмы защиты 3DES и MD5, мы пропускали туннелированный трафик IPsec со скоростью почти 120 Мбит/с, что в полтора раза превышает скорость любого из VPN-устройств, протестированных нами в прошлом году. Столь же быстрым NetScreen-100 оказался и при фильтрации пакетов, достигнув скорости в 154 Мбит/с. Версия 2.0 должна обеспечить еще более высокую производительность.

Управляющая программа Global Manager с графическим пользовательским интерфейсом, которая поставляется вместе с NetScreen-100, предназначена для управления несколькими удаленными firewall-системами. Устройства отображаются в левом окне, а параметры конфигурации устанавливаются в правом. Хотя можно отобразить сразу все firewall-системы в вашей сети, стратегия безопасности вручную указывается для каждой системы в отдельности. При большом количестве firewall-систем начальное конфигурирование может оказаться длительной процедурой. Global Manager также предлагает рационализированный процесс конфигурации, описание которого приведено ниже. Мы создали файл конфигурации и сохранили его в среде Global Manager. Затем мы переименовали и вручную отредактировали этот файл, внеся в него касающуюся конкретных узлов информацию, такую как IP-адреса, после чего сконфигурировали второе устройство NetScreen-100, "перетащив" новый файл конфигурации на соответствующую пиктограмму устройства. В процессе работы с Global Manager мы обнаружили ошибку в ПО NetScreen-100. По умолчанию правила добавлялись в конец списка правил, ниже нашего основного правила отклонять доступ, если не указано иное. Мы были вынуждены передвинуть их, чтобы они оказались выше этого основного правила. Однако это не возымело действия, пока NetScreen-100 не был перезапущен. Компании известна эта проблема, и к тому времени, когда вы будете читать эту статью, ошибка должна быть исправлена.

В основном нам удавалось переконфигурировать NetScreen-100 "на лету" через управляющий Web-интерфейс. Однако некоторые действия, такие как конфигурирование сетевого интерфейса или изменение пароля администратора, требуют перезагрузки из-за способа, которым браузер кэширует страницы. Например, ключ сеанса, который используется для проверки HTTP-запросов, изменяется, когда изменяется пароль. Так как Web-браузер сначала берет информацию из своего локального кэша, то запрос будет отклонен, и администратору придется регистрироваться заново при обращении к каждой новой странице. Проще перезагрузиться. Все изменения, которые вводятся через командную строку, всегда осуществляются динамически.

Средства генерации отчетов продукта NetScreen-100 находятся на одном уровне с Raptor Firewall. К сожалению, они не поведают вам многого. Действительно, работая с Global Manager, мы не могли определить, какая из записей журнала относится к прошедшему трафику, а какая к блокированному. Кроме того, когда NetScreen-100 не находит словесное обозначение порта TCP, к которому осуществляется доступ, вместо того чтобы сообщить номер порта, система сообщает, что служба неизвестна. Невозможно проследить, что произошло - мы не могли определить, с каким правилом связано конкретное событие. Нам пришлось долго метаться между средством генерации отчетов и Global Manager, пытаясь установить соответствия между событиями и правилами.

Мы смогли прорваться сквозь защиту на наш Web-сервер IIS, даже несмотря на то что NetScreen-100 выполняет проверку мобильного кода. Инженеры компании быстро установили причину и пообещали выпустить исправление для борьбы с данной конкретной атакой. NetScreen-100 может заблокировать мобильный код только путем поиска тегов HTML, указывающих на присутствие компонентов Java, JavaScript, ActiveX и других видов мобильного кода. Поскольку мы загружали исполняемые коды в чистом виде, то система была вообще не в состоянии осуществлять проверку.

Sidewinder 4.1 фирмы Secure Computing

рис.3 Пропускная способность firewall-систем пакетов в секунду

Check Point 111 428,6
NetScreen 110 000,0
Cisco 107 142,9
Secure Computing 45 000,0
Axent 45 000,0
0 40 80 120 160 Мбайт/с
Примечание: значения в пакетах в секунду являются приближенными, так как предполагалось, что все пакеты имеют размер 1400 байтов.

Продукт Sidewinder обладает некоторыми интересными возможностями защиты, такими как SecureOS и изоляция стеков сетевых протоколов, но мы обнаружили, что он сложен в установке и управлении. Дополнительные функции увеличивают сложность вместо того, чтобы отвечать поставленной цели - обеспечению безопасности межсетевого трафика. Хотя Sidewinder и обеспечит блокирование входящего трафика, вам потребуется целая команда администраторов для конфигурирования и поддержки межсетевого экрана и его модулей-посредников. К счастью, компания Secure Computing исправила многие недостатки Sidewinder в версии 5 этого продукта, которая должна выйти к тому времени, когда вы будете читать этот обзор. Мы также рекомендуем вам держать в штате администраторов, которые могут управлять ПО Sendmail и DNS, потому что Sidewinder работает с этими службами в их естественном виде, а чтобы они хорошо работали, их необходимо уметь настраивать.

Если вам необходимо безопасное удаленное управление, единственный выход для вас - это работать с приложением X Window для ОС Windows 95/98/NT и VPN-клиентом. Конечно, вы можете также присоединиться к firewall-системе через telnet и VPN, если вы умеете работать с командными оболочками Unix. Разработчики данной firewall-системы proxy-типа сделали очень много для того, чтобы обезопасить ее собственную ОС в случае взлома защиты. Используя фирменное средство Type Enforcement, можно ограничить доступ к ней как для администраторов, так и для неавторизованных пользователей. Поскольку межсетевой экран должен общаться с неизвестными компьютерами напрямую, имеется вероятность, что та или иная служба окажется взломанной и тем самым предоставит доступ к ОС межсетевого экрана. И хотя в этом случае злоумышленник сможет проникнуть в firewall-систему, его возможности будут строго ограничены процессом, к которому он получил доступ. Например, в случае взлома SMTP у него будет доступ только к некоторым SMTP-файлам и процессам firewall-системы.

Удивительно, но атаковать наш Web-сервер, защищенный межсетевым экраном Sidewinder, оказалось простым делом. Даже несмотря на то что фирма Secure Computing уверяла нас в том, что система Sidewinder проверяет синтаксис протокола HTTP, и что она будет сбрасывать неправильные команды, мы смогли подключиться через telnet через порт 80, и, проведя атаку iishack, прорваться сквозь бастион Sidewinder. Этот межсетевой экран proxy-типа оставил наши серверы уязвимыми для атак на прикладном уровне. Компания Secure Computing сообщила, что знает о существовании этой ошибки, и что она будет скорректирована в дополнении к версии 4.1 и в новой версии 5. Синтаксис HTTP проверяет лишь модуль-посредник HTTP, но полезен он только в случае, если Web-браузеры настроены на использование proxy-сервера.

Sidewinder запускает защищенную версию службы Sendmail как на внутреннем, так и на внешнем интерфейсах. По умолчанию они сконфигурированы как открытые ретрансляторы электронной почты (open mail relays). Хотя угрозы для безопасности здесь нет, это оставляет вас уязвимыми для спамеров, которые могут завалить "мусорной" почтой вашу firewall-систему. Куда только подевался прежний сетевой этикет! Мы настроили нашу firewall-систему таким образом, чтобы она не ретранслировала электронную почту, но эти настройки описываются только в дополнительных учебных брошюрах, а не в основной документации. Secure Computing ответила на наше беспокойство, сообщив, что хотя она могла бы изменить конфигурацию по умолчанию, компания не собирается тратить на это свои ресурсы, а будет разрабатывать новые функции. По достоинству оценив такую прямоту компании Secure Computing, мы все же подумали, что это довольно странная позиция для поставщика средств обеспечения защиты.

У Sidewinder слабые средства генерации отчетов. Если вы хотите получать отчеты в реальном времени, единственная доступная возможность - это запустить Unix-команду tail -f с именем файла регистрационного журнала в качестве аргумента и организовать конвейерный вывод командой grep, чтобы отфильтровать мусор. Это означает, что на firewall-системе будет постоянно открыт сеанс управления, отправляющий данные о событиях во внешний файл системного регистрационного журнала или на удаленный терминал. Ни один из этих вариантов не выглядит очень привлекательным. С помощью Sidewinder могут быть сгенерированы ретроспективные отчеты, но эти отчеты представляются посредством простейшего интерфейса X Window. Огромным шагом вперед это, определенно, не назовешь.

Таблица 1. Распределенные firewall-системы: результаты тестирования

Критерий оценки

Значимость критерия, %

VPN-1 Gateway и VPN-1 Accelerator Card компании Check Point

Secure PIX Firewall 520 компании Cisco Systems

Raptor Firewall 6.5 компании AXENT Technologies

NetScreen-100 1.66 компании NetScreen Technoligies

Sidewinder 4.1 фирмы Secure Computing

Управление

30

4

4

3

3

2

Средства генерации отчетов

30

5

2

2

2

2

Функции защиты

20

5

5

3

3

3

Производительность firewall-системы

10

5

3

5

5

3

Производительность ВЧС

10

3

2

5

5

2

Итоговая оценка

 

4.50

4.00

3.30

3.10

2.30

Примечание. Оценки выставлялись по пятибалльной системе.

Таблица 2. Сравнительные характеристики распределенных firewall-систем

 

Raptor Firewall 6.5 компании AXENT Technologies

VPN-1 Gateway и VPN-1 Accelerator Card компании Check Point

Secure PIX Firewall 520 компании Cisco Systems

NetScreen-100 1.66 компании NetScreen Technoligies

Sidewinder 4.1 фирмы Secure Computing

Поддерживаемые ОС

Compaq Tru64, HP HP-UX 11.x, Linux, Microsoft Windows 2000, NT 4.x, Sun Solaris 2.6 и 2.7(32-разрядная)

HP HP-UX 10.20/11.0 ( 32-разрядная), IBM AIX 4.2.1/4.3.2, Microsoft Windows NT SP3+, Red Hat Linux 6.0/6.1, Sun Solaris 2.6/2.7 ( 32-разрядная)

Н/п

Н/п

Н/п

Количество поддерживаемых интерфейсов

16 - Windows; 28 - Unix

В зависимости от платформы

6

3

4

Многопроцессорная работа

В зависимости от платформы

Н/п

Н/п

o

Сертификации

ICSA

ICSA, Common Criteria EAL2

ICSA, TTAP, Common Criteria

ICSA

ICSA

Характеристики firewall-системы:

Тип firewall-системы

Proxy с фильтрацией

Proxy и Stateful Inspection

Stateful Inspection

Stateful Inspection

Proxy

Фильтрация URL

о

Собственная поддержка фильтрации информационного наполнения

o

o

o

Типы фильтров прикладного уровня

Exec, FTP, login, shell, SMTP, SQL, telnet

FTP, rlogin, SMTP, telnet

DNS, H.323, SMTP, другие

FTP

FTP, SQL proxy, X.400

Блокирование мобильного кода

o

Трансляция сетевых адресов

Обнаружение сканирования портов

o

Ограничения в зависимости от времени суток

o

Аутентификация пользователей

Поддерживаемые типы аутентификации

Axent Defender, CryptoCards, Gateway Password, Window NT Domain, RADIUS, SDI, S/Key, TACACS+

Axent Defender, внутренний пароль FireWall-1, пароль ОС, RADIUS, SecurID, S/Key, TACACS/TACACS+, цифровой сертификат X.509

CryptoCards, RADIUS, SecureID, TACACS+

Внутренняя база данных, RADIUS

Fortezza, пароль, Safeword, SecureID, SNK

Обработка событий в соответствии с требованиями пользователя

Управление:

Интерфейс удаленного управление (ИУУ)

•, с шифрованием

•, без шифрования, с шифрованием или через клиент ВЧС

•, без шифрования, с шифрованием или через клиент ВЧС

•, без шифрования, с шифрованием или через клиент ВЧС

•, без шифрования или через клиент ВЧС

Число систем, управляемых через ИУУ

Любое

20-30

Несколько сотен

1000 через NetScreen Global Manager

Н/д

Поддержка многоуровневого управления

o

о

о

Журнал контроля

o

o

• :

Поддержка управления по внешнему каналу

•, через модем

o

•, через модем

o

Протоколирование и генерация отчетов

Поддерживаемые методы протоколирования

Простой ASCII-файл

Формат файлов регистрационного журнала FireWall-1/VPN-1 Gateway

Удаленный, системный журнал

Электронная почта, системный журнал, Web

Средства контроля системы Sidewinder, системный журнал

Передача результатов протоколирование в центр управления

Вручную

Фильтрация и сортировка записей регистрационных журналов

o

o

Способ оповещения

Звуковой, электронной почтой, через пейджер, ловушку SNMP

Звуковой, электронной почтой, через пейджер, ловушку SNMP

Электронной почтой, через пейджер

Электронной почтой, через пейджер, ловушку SNMP

Электронной почтой, через пейджер, ловушку SNMP

Поддержка ВЧС

Поддерживаемые протоколы защиты

IPsec, SwlPe

IPsec, FWZ, SSL

IKE, IPsec, PPTP, SKIP, фирменные

IPsec

IPsec

Алгоритмы шифрования

RC2, DES, 3DES

DES-40, DES-56, DES-168, RC2, RC4, RC5, CAST, фирменные

DES-56, DES-168 (3DES), MD5 Hash, null

DES, 3DES

DES, 3DES, RC4 ( 40-бит и 128-бит)

Алгоритмы аутентификации

IKE, статические

MD5, SHA-1, фирменные

CryptoCards, RADIUS, SecureID, TACACS+

MD5, SHA-1

SHA-1, MD5 (1996)

Поддержка шифрования на аппаратном уровне

Нет

Шифрование, генерация ключей

Нет

Генерация ключей

Нет

Коротко о продуктах:

VPN-1 Gateway
Цена: начиная от 3 495 долл.; с VPN-1 Accelerator 3 995 долл.
Фирма: Software Technologies
Адрес в Интернет: www.checkpoint.com

Cisco Secure PIX Firewall 520
Цена: начиная от 9 000 долл.
Фирма: Cisco Systems
Адрес в Интернет: www.cisco.com

Raptor Firewall 6.5
Цена: 1 995 долл.
Фирма: Axent Technologies
Адрес в Интернет: www.axent.com

NetScreen-100 1.66
Цена: 9 995 долл. для неограниченного числа пользователей
Фирма: NetScreen Technologies
Адрес в Интернет: www.netscreen.com

Sidewinder 4.1
Цена: 6900 долл. для 100 пользователей
Фирма: Secure Computing
Адрес в Интернет: www.securecomputing.com





  
9 '2000
СОДЕРЖАНИЕ

колонка редактора

• Пусть всегда будет сеть

локальные сети

• Анализаторы ЛВС второго поколения

• Проектируем сеть устройств памяти

• Характеристики кабельных систем UTP и проблемы совместимости кабельных компонентов

услуги сетей связи

• "Отпрыск" HTTP повышает масштабируемость IP-телефонии

• Выбрать поставщика Интернет-услуг? Не так это просто

• TDMoIP: эволюционный подход к передаче речи по IP-сетям

• Системы VSAT на выставке "Связь-Экспокомм-2000"

новые продукты

• Система ИКС от Samsung, Универсальная платформа FlexGain, ZENworks for Servers гарантирует администраторам душевное спокойствие, Cisco: с новыми силами за рынок продуктов среднего уровня

корпоративные сети

• Лучшие продукты 2000 года

• Удаленное администрирование Windows NT

• Почему ваша сеть стала работать медленно? Откройте ей "второе дыхание" Часть II

защита данных

• Обеспечение сетевой безопасности SOHO

• Как защитить сеть, не мешая пользователям

электронная коммерция

• Google предпочитает Linux

бизнес

• Информационные системы для муниципальных образований

• Корпоративный переполох

только на сервере

• К быстродействию сети через программное обеспечение

• Средства управления многоузловыми межсетевыми экранами еще не готовы для внедрения на предприятиях

• NetServer LH 6000: высокая производительность в корпоративных сетях


• КАЛЕЙДОСКОП



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх