Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Семь межсетевых экранов масштаба предприятия

Питер Морриси

Высокая производительность и управляемость – основные требования, предъявляемые к firewall-системам (межсетевым экранам) масштаба предприятия. Но что еще, кроме этого, они должны обеспечивать?

Чтобы ответить на поставленный вопрос, мы провели испытания межсетевых экранов для ОС Unix, Windows NT, а также продуктов типа «черный ящик» и сравнили firewall-системы на основе модулей-посредников (proxy) с системами, базирующимися на технологии Stateful Inspection (контроль состояния протокола).

Необходимо подчеркнуть, что межсетевой экран — это «главная линия обороны» вашей сети, ее защита от несанкционированного вторжения. Без него сеть, облегчающая пользователям доступ к жизненно важным корпоративным данным, может обеспечить кому угодно не менее легкое проникновение в вашу информационную систему, воспользовавшись как известными, так и вновь появившимися уязвимыми местами в защите. Эта возможность, в сочетании с недостаточными средствами защиты таких операционных систем, как Unix и Windows NT, приводит к тому, что подобное вторжение становится лишь вопросом времени. Централизованное управление доступом обеспечивает любая firewall-система, но только хорошая система позволит вам тщательно сбалансировать уровни доступности и безопасности ваших данных.

Но даже такое необходимое средство, как межсетевой экран, не является панацеей от целого ряда более сложных проблем. Например, приобретя firewall-систему, будьте готовы затратить значительное время на определение тех видов доступа, которые вы намерены предоставлять через нее. Вам следует учесть все уязвимые места ОС каждого хоста вашей сети, поскольку даже самая лучшая firewall-система все-таки должна «разрешать» определенный уровень доступа, и квалифицированный взломщик может воспользоваться им, чтобы получить любую нужную ему информацию о внутренней сетевой инфраструктуре. К счастью, существует некоторый инструментарий, помогающий вам справиться с этой сложной задачей (см.: Сети и системы связи. 1998. № 10. С. 139).

Со времени наших последних испытаний firewall-систем (см.: Сети и системы связи. 1997. № 6. С. 114) появились новые поставщики, желающие извлечь прибыль из распространенного среди пользователей убеждения о необходимости применять подобные продукты для обеспечения безопасности. В этот раз, проводя испытания систем защиты, мы решили сосредоточить свое внимание на высокопроизводительных межсетевых экранах с эффективными средствами управления, пригодными для использования в среде сети предприятия. Мы выбрали восемь поставщиков, продукты которых, по нашему мнению, соответствуют этим критериям, и послали каждому соответствующий запрос, где четко обозначили наши требования к тестируемым продуктам. Семь из восьми выбранных нами поставщиков — компании AXENT Technologies (представившая продукт Raptor Firewall), Check Point Software Technologies (FireWall-1), Cisco Systems (PIX Firewall 520), CyberGuard (Firewall), NetGuard (Guardian), NetScreen Technologies (NetScreen-100) и Secure Computing (SecureZone) — согласились принять участие в тестировании. Одна только фирма Network Associates отклонила наше предложение предоставить для тестирования свой продукт, не указав при этом причин своего отказа.

В результате исследования функциональных характеристик и средств управления представленных продуктов, их возможностей отличать санкционированный и несанкционированный доступы мы пришли к выводу, что они заслуживают того хорошего впечатления, которое сложилось о них на уже вполне сформировавшемся рынке firewall-систем. В целом самые лучшие функциональные характеристики, средства управления и протоколирования событий предлагает продукт FireWall-1 фирмы Check Point. Администрирование firewall-системы компании Check Point осуществляется через удобный интерфейс, упрощающий работу благодаря разумному использованию цвета и графики. Кроме того, эта система обладает превосходными средствами протоколирования и мониторинга.

На нас также произвели сильное впечатление мощные прикладные модули-посредники продукта Raptor компании AXENT. Впрочем, каждый из семи проверенных нами продуктов в чем-то превосходил остальные. Только проанализировав ваши потребности, вы можете окончательно определить, который из них подойдет вам лучше всего.

Предоставляя свой продукт для тестирования, каждый поставщик по своему усмотрению выбрал аппаратную платформу и ОС для его инсталляции. Компании Check Point, AXENT и CyberGuard предлагают версии ПО как для Unix, так и для Windows NT, поэтому они были вынуждены сделать выбор между этими ОС. Учитывая наши требования к производительности, мы не были удивлены, когда все три поставщика предпочли Unix. Компании CyberGuard и Secure Computing прислали в лабораторию свои собственные «усиленные» версии Unix, установленные на платформе Intel. И лишь компания NetGuard представила ПО для испытаний с ОС Windows NT. Продукт PIX компании Cisco, также использующий аппаратные средства Intel, работает под управлением собственной фирменной ОС и, по существу, представляет собой решение типа «черный ящик». Другое решение типа «черный ящик» предложено компанией NetScreen, использующей собственные специализированные интегральные микросхемы (Application-Specific Integrated Circuit — ASIC).

Proxy или Stateful Inspection?

В технологии Stateful Inspection применяются специальные таблицы, с помощью которых отслеживаются состояния каждого соединения и команды прикладного уровня и соответственно регулируется трафик. Проверка на основе таблиц осуществляется до начала взаимодействия данных с ОС firewall-системы, при этом содержащаяся в заголовках пакетов первичная информация передается через firewall-систему неизмененной, если это разрешено установленной политикой безопасности.

Сторонники proxy-технологии утверждают, что она гарантирует более высокий уровень безопасности, поскольку прикладные модули-посредники, созданные для перехвата сеансов связи по определенным протоколам, разрешают проводить только необходимые, безопасные и допустимые операции. На это приверженцы Stateful Inspection заявляют, что она может обеспечить такой же уровень безопасности при передаче трафика, но при этом нет необходимости жертвовать производительностью из-за дублирования firewall-системой каждого сетевого приложения. Продукт Raptor компании AXENT, имеющий наиболее внушительный набор модулей-посредников, также предоставляет ряд возможностей для управления системой защиты, отсутствующих в FireWall-1 — самом лучшем продукте среди поддерживающих технологию Stateful Inspection, но «расплачивается» за это снижением общей производительности.

Другой недостаток proxy-технологии — ваша полная зависимость от поставщика в плане предоставления им модулей-посредников для каждого из необходимых вам приложений.

И хотя в ходе нашего тестирования все proxy-решения обеспечивали доступ к данным по не поддерживаемым их поставщиками протоколам, их модули-посредники общего назначения были бесполезны из-за отсутствия соответствующих приложений для анализа трафика. Более того, эти посредники сами могут вызвать снижение производительности. Подробный анализ доводов за и против использования технологии посредников и Stateful Inspection вы найдете по адресу http://www.networkcomputing.com/921/ 921f2.html.

Кроме продукта FireWall-1 компании Check Point, метод Stateful Inspection используется в firewall-системах компаний Cisco, NetGuard и NetScreen. Мы обнаружили, что в целом производительность этих систем выше производительности продуктов компаний AXENT, CyberGuard и Secure Computing, в которых применена proxy-технология. В действительности продукт PIX компании Cisco работает со скоростью, близкой к полной скорости канала (см. «Методика и результаты тестирования на производительность»).

Другие соображения

Отлаживая соединения по обе стороны межсетевого экрана proxy-типа с помощью различных анализаторов протоколов, мы обратили внимание на значительную трудность выполнения трассировки данных в этом случае, чем при использовании технологии Stateful Inspection. Причина этого явления состоит в том, что порты-источники и порядковые номера пакетов, обычно используемые для их идентификации, изменяются при перезаписи заголовка пакета, сильно затрудняя его визуальное определение. Мы были вынуждены тщательно исследовать уровень представления данных (модели OSI), чтобы найти зацепки, которые могли бы помочь идентифицировать пакеты. Если вы когда-либо пытались отслеживать статус пакетов в разных точках сети, то поймете, насколько трудна эта задача даже без ее дополнительного усложнения. Учтите, что при диагностировании проблем в случае использования трансляции сетевых адресов (Network Address Translation — NAT) у вас возникнут такие же сложности, поскольку заголовки пакетов при этом тоже изменяются.

Мы не проверяли способность каждого продукта защищать сеть от взлома, так как все они сертифицированы организацией International Computer Security Association (http://www.icsa.net), которая располагает соответствующим инструментарием и имеет необходимый персонал для проведения такого рода испытаний. Мы не думаем, что можем добавить к результатам их испытаний что-нибудь существенное. Но пусть наличие сертификата не успокаивает вас; не разрешайте доступ к вашей сети сверх абсолютно необходимой меры и не забывайте систематически устранять все возникающие уязвимые места на машинах, «спрятанных» за межсетевым экраном. Это поможет вам избежать ситуации, когда одна «взломанная» машина становится причиной разрушения всей системы защиты.

Во всех семи продуктах используется трансляция сетевых адресов, скрывающая подлинные адреса всех устройств, инициирующих соединения изнутри вашей сети, путем преобразования исходного адреса во внешний адрес firewall-системы. Это необходимо в тех случаях, если вы меняете поставщика услуг Интернет и не располагаете собственным пространством адресов, используете незарегистрированные адреса или просто хотите обеспечить связь через Интернет, скрыв при этом устройство вашей внутренней сети. Если же вы хотите предоставить доступ из Интернет к внутренним серверам вашей сети, то можете использовать дополнительные внешние адреса, которые напрямую отображаются в соответствующие внутренние адреса.

Firewall-система — это определенно подходящее место для организации виртуальной частной сети (ВЧС). Все протестированные нами системы, за исключением NetScreen-100, обладают такой возможностью.

FireWall-1 компании Check Point

Как и прежде, компания Check Point в своем продукте FireWall-1 предлагает мощную комбинацию средств контроля доступа, великолепной производительности и простоты управления. Мы тестировали версию 4.0 данного продукта, которая, скорее всего, уже появится на рынке к моменту выхода в свет этой статьи.

Хотя FireWall-1 и не относится к категории систем защиты на основе модулей-посредников, его возможности, обеспечиваемые технологией Stateful Inspection, приближаются к соответствующим возможностям proxy-систем. Например, в дополнение к NAT он аутентифицирует пользователей и защищает от внешних атак с применением синхронизирующих сообщений SYN и фрагментации пакетов. Для FTP-сеансов могут быть наложены ограничения на использование команд put и get, а также определенных имен файлов. В службе SMTP можно ограничить набор разрешенных команд и устроить так, чтобы отвергались любые сообщения, превышающие определенный размер. Возможны также проверка электронной почты на наличие вирусов и удаление информации заголовка исходящего сообщения, раскрывающей детали устройства внутренней сети. FireWall-1 препятствует выполнению потенциально опасных команд SMTP, таких, как debug. И хотя все перечисленное выше впечатляет, возможности модуля-посредника SMTP продукта Raptor еще шире — в частности, для предотвращения атак, приводящих к переполнению буфера, он может ограничивать размер заголовка для входящих сообщений.

FireWall-1 проверяет трафик HTTP на наличие ActiveX- и Java-компонентов и выполняет фильтрацию ссылок URL либо на основе информации, введенной вручную, либо с помощью средств фильтрации URL сторонних фирм. И здесь опять-таки больше возможностей у продукта Raptor: его модуль-посредник HTTP ограничивает размер ссылок URL для предотвращения переполнения буфера. И поскольку на самом деле Raptor содержит исполняемый код HTTP-сервера, то допустиўм только правильный синтаксис HTTP.

Пользовательский интерфейс FireWall-1 обеспечивает централизованное управление, упрощающее выработку и реализацию сложной стратегии защиты. Все хосты, сети и службы определяются как объекты с соответствующими пиктограммами. Весьма просто организуется вложенность объектов внутри групп, которые могут быть представлены своими собственными пиктограммами. Эти пиктограммы можно затем использовать при задании правил. Пиктограммы, отображающие различные уровни протоколирования и оповещения, определяются отдельными правилами.

Каждое правило содержит поле комментария для добавления всякой полезной информации. Иногда спустя месяцы или годы полезно узнать, зачем было установлено то или иное правило, а также дату и даже имя того, кто его внес.

В версии 4.0 добавлена возможность «закомментировать» (временно отменить) правило, пометив его красным крестиком. Кроме того, работая с этой версией продукта, мы временно «прятали» правила, что облегчало чтение длинных наборов правил. Разумеется, хороший пользовательский интерфейс, такой, как этот, сам по себе не гарантирует безопасность, но экономит время администратора и уменьшает вероятность ошибки. Еще он облегчает обучение работе с firewall-системой. Графический пользовательский интерфейс дает возможность удаленно управлять неограниченным числом модулей FireWall-1 и может быть использован для управления процессом фильтрации и выполнения его на маршрутизаторах производства Bay Networks, Cisco и 3Com и даже в системе PIX фирмы Cisco.

Из редактора стратегий системы FireWall-1 можно запустить программу просмотра регистрационных журналов Log Viewer. В зависимости от избранного уровня протоколирования событий она может показывать ассоциированный с каждым правилом порт, адрес отправителя и получателя пакета с указанием даты и времени каждого события. Эта информация отсортировывается в удобочитаемые колонки: все записи, представляющие принятые пакеты, выводятся текстом зеленого цвета, а представляющие удаленные или отвергнутые пакеты — красного. Нескольких щелчков кнопкой мыши было вполне достаточно для задания того, что именно должно быть отображено программой Log Viewer. Например, указав вывод регистрационных записей, относящихся только к удаленным и отвергнутым пакетам, мы легко обнаруживали попытки несанкционированного доступа. Это замечательный способ для выявления внезапных нарушений соединений, осуществляемых через firewall-систему — журнал регистрации событий покажет вам не только соответствующую службу, но и соответствующие IP-адреса. Учтите, что причина обрыва соединения может заключаться в том числе и в недавно установленной firewall-системе. Межсетевой экран Raptor компании AXENT — единственный среди протестированных продуктов, возможности средств протоколирования событий которого близки к имеющимся в FireWall-1. Но хотя журналы событий у Raptor обновляются быстро и предоставляют подробную информацию, она не распределяется по колонкам и не выделяется цветом, что значительно усложняет их чтение.

Трансляция сетевых адресов оказалась единственной областью, где пользовательский интерфейс системы FireWall-1 разочаровал нас. Например, чтобы установить статическое отображение адреса, вы должны пройти через целый ряд диалоговых окон для определения соответствующих объектов сети. После установки отображений правила генерируются автоматически, что и наблюдается в окне правил, очень похожем на окно редактора стратегий. Для каждого отображения были сгенерированы два правила, после чего мы пришли к выводу, что, просто глядя на дисплей, очень трудно понять конфигурацию сети. Кроме того, нам пришлось установить маршрут для каждого отображения с помощью командной строки Unix. Даже несмотря на то, что возможности управления в продукте PIX компании Cisco в целом хуже, чем в других продуктах, его однострочная команда для установки NAT оказалась гораздо более легкой для понимания. Более того, хотя при использовании NAT производительность системы FireWall-1 была лучше, чем производительность любой системы proxy-типа (включая Raptor, которая, как и FireWall-1, была установлена на платформе Sun Ultra 2), но заметно ниже, чем без NAT. Перед тестированием фирма Check Point честно предупредила нас о том, что использование трансляции адресов повлияет на производительность.

В рамках своей программы OPEC (Open Platform for Secure Enterprise Connectivity) компания Check Point снабжает API-интерфейсами сторонние фирмы-поставщики, разрабатывающие продукты, которые могут быть интегрированы с ее межсетевым экраном. В результате этого свыше сотни продуктов дополняют встроенные функции FireWall-1 средствами для обеспечения безопасности информационного наполнения, обнаружения вторжения, отказоустойчивости и формирования отчетов. В системе FireWall-1 для разработки макросов Stateful Inspection используется макроязык под названием «Inspect». Это дает возможность самостоятельно создавать новые службы даже для новых сложных протоколов (хотя «среднестатистический» пользователь вряд ли будет заниматься этим), а компании Check Point — определять новые протоколы для новых служб, которые легко могут быть загружены с ее Web-узла и добавлены к уже установленному продукту.

Raptor Firewall компании AXENT Technologies

Система Raptor Firewall компании AXENT обладает наиболее мощным набором модулей-посредников среди всех протестированных нами систем proxy-типа. Во многих случаях она проверяет передаваемые данные более тщательно, чем продукт компании Check Point. Хотя графический пользовательский интерфейс Raptor не столь изящен, как у FireWall-1, тем не менее он прост в понимании и использовании.

В отношении средств протоколирования событий в реальном времени Raptor уступает FireWall-1.

Самой сильной стороной Raptor является широкий диапазон возможностей его модулей-посредников. Это единственный продукт, предлагающий защиту серверов Windows NT. С его помощью контролируются команды чтения, записи и обновления, а выполнение функций SMB ограничивается только допустимыми операциями. Если вы используете СУБД Oracle, имейте в виду, что Raptor — единственный продукт, имеющий модуль-посредник SQL*Net, управляющий доступом к БД не только при чтении, но и при обновлении. Если же вы используете СУБД Sybase или Informix, это не принесет вам ощутимой пользы.

SMTP-посредник продукта Raptor ограничивает набор допустимых команд SMTP лишь теми, которым разрешено проходить через межсетевой экран, как это делают FireWall-1 и PIX — продукт компании Cisco. Как и FireWall-1, Raptor «убирает» информацию о внутренней сети из заголовка почтового сообщения. Но он оказался единственным продуктом, проверяющим заголовки на предмет приводящих к переполнению буфера атак и позволяющим отслеживать события в случае обнаружения попыток нарушения защиты. В Raptor переполнение буфера предупреждается с помощью ограничения размеров ссылок URL, передаваемых внутренним Web-серверам. Он распознает только «правильные» команды HTTP и удаляет пакеты с символами, которые могут быть использованы для атак через escape-последовательности. Кроме того, в этой системе есть не менее впечатляющие своими возможностями модули-посредники для протоколов NNTP (Network News Transfer Protocol) и NTP (Network Time Protocol).

HTTP-посредник системы Raptor оказался таким защищенным, что у нас даже возникли трудности с выполнением ряда тестов (см. «Методика и результаты тестирования на производительность»). Чтобы исключить эту проблему, мы пропускали HTTP-трафик через универсальный посредник, настроенный для работы через порт 8080. Производительность Raptor при этом была достаточной, но уступала производительности системы FireWall-1 и превосходила лишь производительность систем компаний CyberGuard и Guardian. Однако безусловным достоинством Raptor является отсутствие снижения производительности при использовании трансляции адресов. Напротив, работа с NAT заметно снижает производительность FireWall-1. Причина этого в том, что proxy-система сама изменяет заголовки пакетов. Другое преимущество Raptor — он, как и FireWall-1, работает на аппаратных средствах фирмы Sun, поэтому, когда в этом возникнет необходимость, вы сможете перейти на более производительную машину.

Как межсетевой экран proxy-типа, Raptor требует, чтобы все соединения осуществлялись непосредственно через него, при этом он подвергается риску быть атакованным. Для защиты самого экрана компания AXENT использует усиленную ОС, безопасность которой гарантируется путем отказа в процессе ее инсталляции от IP-переадресации и маршрутизации, а также от всех других необязательных процессов, приводящих к образованию в ОС «дыры». После инсталляции firewall-система продолжает мониторинг ОС, отслеживая новые процессы, способные нарушить защиту. В противоположность этому продукты SecureZone компании Secure Computing и Firewall компании CyberGuard поставляются с фирменными версиями Unix, обладающими встроенными средствами защиты.

Система Raptor рассматривает хосты, сети и службы как «элементы». Эта концепция подобна той, что применяет компания Check Point, использующая термин «объекты». В редакторе правил, который, как и все утилиты администрирования данной firewall-системы, запускается с панели управления задачами графического пользовательского интерфейса программы Hawk, эти элементы служат для создания стратегии защиты. И хотя Hawk прост в использовании, нам больше пришелся по душе интерфейс FireWall-1 за его цвета и графику, облегчающие чтение. Определение правил для proxy-систем отличается от решения подобной задачи в системах на базе технологии Stateful Inspection: в proxy-системах прохождение трафика любого приложения запрещено до тех пор, пока не начнет действовать соответствующая proxy-служба. Информация в журнале регистрации событий системы Raptor представлена с высокой степенью детализации; здесь приводятся IP-адреса отправителей и получателей пакетов, а также состояния предпринятых попыток соединения с отметками времени.

CyberGuard Firewall компании CyberGuard

Как и продукты компаний AXENT и Secure Computing, ПО CyberGuard Firewall компании CyberGuard представляет собой межсетевой экран proxy-типа. При большом числе модулей-посредников, функциональные возможности анализа пакетов у него не так богаты, как у Raptor. Компания CyberGuard предусмотрела в своем продукте возможность прямой фильтрации пакетов, и мы нашли его пользовательский интерфейс ясным и лаконичным.

Для укрепления ОС компания CyberGuard предприняла более серьезные меры, чем другие поставщики рассмотренных нами систем proxy-типа. Ее система Multiple Virtual Secure Environment (MVSE) тщательно изолирует все процессы, файлы и каталоги, разрешая только абсолютно необходимые соединения.

Пользовательский интерфейс CyberGuard Firewall состоит из полноэкранной консоли, работающей только на локальном мониторе системы. Верхняя панель меню служит для запуска всех необходимых приложений. Кроме того, меню предоставляет простой доступ к основным административным функциям, таким, как конфигурирование IP-адресов и IP-маршрутизации, что значительно облегчает их выполнение по сравнению с другими протестированными нами системами. Действующая стратегия защиты устанавливается в окне фильтрации пакетов, в верхней части которого содержится список правил, а в нижней — шаблон редактирования. С помощью шаблона легко задаются протоколы, которые вы хотите разрешить или запретить, и устанавливаются параметры регистрации событий путем ввода соответствующих правил (как в Firewall-1). Поскольку журналы могут заполняться очень быстро, это средство оказывается весьма кстати, если вы решите, что сведения о некоторых событиях вам не нужны. Для повышения удобочитаемости в продукте CyberGuard, как и в Firewall-1, используются цвет и графика. Вы можете поместить строку комментария над и под каждым правилом, но нам кажется, что при большом количестве правил это неудобно.

Хотя пользовательский интерфейс включает функции удаленного управления firewall-системой, нам удалось сделать это только из такой же полностью инсталлированной системы. Все остальные протестированные нами продукты позволяют запускать управляющее ПО firewall-системы абсолютно независимо от нее.

SecureZone компании Secure Computing

Рассмотренный в нашем предыдущем обзоре firewall-систем продукт SideWinder компании Secure Computing уступал остальным тестируемым продуктам в производительности и удобстве использования. С тех пор Secure Computing сделала значительный шаг вперед в обеих областях. ПО SecureZone прекрасно показало себя в наших испытаниях на производительность, а его новый пользовательский интерфейс превратил разработку стратегий безопасности в серию операций типа point-and-click для любой ОС, под управлением которой может работать виртуальная Java-машина.

SecureZone — это межсетевой экран proxy-типа с обширным набором модулей-посредников. Посредник FTP контролирует операции создания, удаления и переименования файлов и каталогов, а также операции get и put. HTTP-посредник фильтрует Java- и ActiveX-компоненты. Кроме того, в нем есть встроенный фильтр URL с дополнительной возможностью кэширования страниц. ПО SecureZone пока не обнаруживает вирусы, но появление этой функции планируется в его будущей версии.

Подобно компании CyberGuard, компания Secure Computing использует собственную версию ОС Unix, с которой интегрировано ПО защиты. Процесс конфигурирования функций firewall-системы оказался простым, при этом можно было использовать либо ниспадающие меню на локальной консоли, либо интерфейс удаленного управления. Продукты Raptor и Firewall-1, напротив, требовали инсталляции и конфигурирования ОС Solaris, что вовсе не является тривиальной задачей, впрочем, вам вряд ли придется делать это часто. В SecureZone используется механизм Type Enforcement для изоляции всех процессов и файлов, и к ним разрешается только абсолютно необходимый доступ. Это уменьшает вероятность захвата управления системой в случае ее взлома.

Основанный на Java-технологии пользовательский интерфейс и быстр и стабилен одновременно — два свойства, которые исторически не были характерными для Java-программ. Он существенно отличается от интерфейсов других продуктов тем, что построение стратегии защиты в нем выполняется с помощью диаграмм принятия решений, имеющих вид дерева. Мы разработали несколько вариантов политики безопасности для областей, представляющих различные интерфейсы, сети и ВЧС. Правила на этом дереве изображаются в виде блоков. Следующие за ними блоки содержат все разрешенные службы и связаны с наборами блоков, описывающих области, для которых разрешен доступ из других областей и наоборот. Дополнительные пиктограммы на экране служат для указания разрешения или запрета доступа и включения трансляции адресов. Такой подход требует некоторых навыков, но мы считаем, что в дальнейшем вам будет очень просто его использовать. Он может оказаться особенно полезным при наличии большого числа ВЧС, для которых требуются различные уровни доступа.

Cisco PIX Firewall 520 компании Cisco Systems

Производительность системы PIX значительно выше производительности любого из протестированных нами продуктов. Скорость ее работы достигает 150 Мбит/с, что лишь чуть-чуть ниже скорости, достигаемой на нашей главной магистрали в виде обыкновенного соединительного кабеля между двумя коммутаторами. Еще более замечателен тот факт, что использование трансляции сетевых адресов нисколько не снижает производительность. К несчастью, возможности управления системы PIX оказались далеко не такими хорошими, как мы рассчитывали, и были самыми слабыми среди всех протестированных продуктов. На нас произвела впечатление способность PIX блокировать потенциально опасные команды SMTP, однако в отличие от большинства остальных этот продукт не способен контролировать команды put и get протокола FTP.

Большинство задач управления лучше всего выполняются с помощью командной строки. Правда, это хорошо только в том случае, если, работая с интерфейсом командной строки маршрутизатора Cisco, вы чувствуете себя как дома. Тогда вас, возможно, не будет беспокоить отсутствие удобного графического пользовательского интерфейса управления. Действительно, вряд ли можно назвать совпадением тот факт, что многие команды и операции управления PIX Firewall 520 очень похожи на команды и операции, используемые на маршрутизаторах Cisco. Особенно простой оказалась операция установки NAT с помощью командной строки — она выполнялась даже проще, чем это делается с помощью большинства графических пользовательских интерфейсов. Тем не менее мы считаем, что устанавливать таким способом что-нибудь помимо очень простых стратегий безопасности, регламентирующих доступ к службам, хостам и сетям, чрезвычайно трудно. Самая большая проблема возникает при внесении изменений в стратегию защиты, включая модификацию последовательности выполнения правил: прежде чем вводить новый список правил старый должен быть удален, т. е. всю процедуру надо полностью повторить с самого начала. Эта особенность, заимствованная у маршрутизаторов Cisco, не дает администратору никаких преимуществ.

Мы получили Cisco PIX Firewall 520 вместе с управляющим приложением; для установки последнего требуется выделенный сервер Windows NT, доступ к которому можно осуществлять через Web. Однако использование Web-интерфейса для управления межсетевым экраном PIX позволяло нам только просматривать ее конфигурацию и вносить очень простые изменения. Как сообщили нам в компании Cisco, скоро будут выпущены новые программные средства, улучшающие возможности управления.

Протоколирование и мониторинг событий у PIX оказались намного слабее, чем у всех остальных продуктов. Протоколирование в реальном времени в нем отсутствует, а вся информация по зарегистрированным событиям отправляется на другую машину для внесения в системный журнал. Тем не менее на основе этого журнала можно организовать автоматическое оповещение об определенных событиях.

NetScreen-100 компании NetScreen Technologies

Как и продукт PIX компании Cisco, NetScreen-100 работает под управлением фирменной ОС. Но в отличие от PIX, работающего на платформе Intel, в нем используются фирменные специализированные микросхемы ASIC, что позволило создать недорогой и легкий в установке высокопроизводительный межсетевой экран. Его инсталляция сводится к простому присвоению IP-адресов соответствующим интерфейсам через последовательное соединение. После этого мы смогли выполнить все последующие задачи через Web-браузеры Netscape или Microsoft.

При отсутствии NAT лишь системы PIX и FireWall-1 обогнали NetScreen-100 по производительности. Однако и с NAT продукт компании NetScreen не снизил производительности, она была даже выше, чем у FireWall-1.

NetScreen-100 является единственным межсетевым экраном, способным пропускать пакеты, не маршрутизируя их. Благодаря этому любой находящийся за ним хост или маршрутизатор может использовать адрес шлюза маршрутизатора Интернет или любого другого маршрутизатора, обеспечивающего доступ к внешней сети. Это устраняет необходимость создания дополнительной подсети между межсетевым экраном и внешним маршрутизатором и делает необязательным перемещение адреса внешнего маршрутизатора на внутренний интерфейс firewall-системы, поэтому внутренние хосты не нуждаются в изменении адреса шлюза. Мы успешно осуществляли маршрутизацию не только в обычном режиме экранирования, но и в прозрачном режиме.

Управление доступом к сети в NetScreen-100 оказалось самым ограниченным среди всех протестированных нами продуктов. Мы убедились, что, помимо простой фильтрации пакетов, а также FTP- и URL-фильтрации, он больше ни на что не способен.

Guardian 3.0 Firewall for Windows компании NetGuard

Guardian — это единственный из всех поступивших в нашу лабораторию продуктов, который был установлен на компьютере с ОС Windows NT. Несмотря на простоту пользовательского интерфейса, его возможности по управлению доступом превзошли только возможности продукта компании NetScreen.

Производительность Guardian оказалась самой низкой среди всех протестированных нами продуктов. Когда мы поведали о своих результатах компании NetGuard, там все были искренне удивлены этому. В конце концов, мы заново переустановили ПО и тщательно повторили его конфигурирование. И все-таки в ходе повторных испытаний его работа не улучшилась. Компания NetGuard предложила нам прислать другую машину, но поскольку у нас истекло время, отведенное на тестирование, мы согласились принять на веру тот факт, что при тестировании Guardian в лабораториях KeyLabs с использования их продукта Firebench, он показал производительность 60 Мбит/с, т. е. на 50% выше, чем 40 Мбит/с, полученные в ходе наших испытаний. Производительность продукта, протестированного в KeyLabs, была достигнута на 200-МГц машине, тогда как мы проводили испытания на 233-МГц машине. При включении режима трансляции сетевых адресов производительность ПО компании NetGuard серьезно снизилась. На основании наших испытаний можно сделать следующий вывод: у вас не будет проблем с поддержкой нескольких линий T1 и 10-Мбит/с Ethernet даже при наличии NAT, но вам следует быть осторожными, если вы попытаетесь пойти дальше.

Интерфейс Guardian похож на интерфейс Firewall-1. Мы определили сети и хосты как объекты, которые могут быть добавлены к правилам фильтрации, перечисленным в таблице.

В ней используются простые пиктограммы, обозначающие действия, выполняемые над соответствующим данному правилу трафиком. Хотя интерфейс Guardian несколько уступает интерфейсу Firewall-1, мы обнаружили, что задавать правила с его помощью достаточно просто. Интерфейсная пользовательская программа может выполняться на любой машине под управлением ОС Windows NT или Windows 95/98. Также легко удаленно управлять серверами Windows NT с установленными на них межсетевыми экранами.

Средства управления доступом оказались довольно ограниченными. Будучи несколько лучше NetScreen-100 в этом отношении, Guardian не способен на что-либо большее, кроме простого контроля доступа на основе IP-адреса и номера порта. Тем не менее одной из уникальных функций Guardian является способность вести наблюдение за несанкционированными попытками доступа в сеть через службу telnet.





  
2 '1999
СОДЕРЖАНИЕ

колонка редактора

• Гонка порталов

локальные сети

• Пригодна ли существующая проводка для Gigabit Ethernet?

• Две тысячи и одна проблема

• Многопроводные телекоммуникационные кабели (витые пары и экранирование)

• NAS: простота и эффективность

• Как выбрать концентратор Fast Ethernet

бизнес

• Этапы сделки. Все по полочкам

интернет и интрасети

• Java готовится к штурму предприятий (окончание)

• Web-аутсорсинг

корпоративные сети

• Системы обмена сообщениями на новом витке развития

• Комплексные решения по управлению информационной средой предприятия

• Эх, прокачу! или Модемы стандарта V.90

услуги сетей связи

• Sync Research поднимает управление сетями Frame Relay на новый уровень

• Система сигнализации B-ISDN UNI 3.x: функционирование и тестирование. Часть 1

• Развитие фиксированной спутниковой связи в России и странах СНГ

• Система абонентского радиодоступа из России, для России

• «Тупая сеть» как светлое будущее телекоммуникаций. Часть 1

защита данных

• Семь межсетевых экранов масштаба предприятия



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх