Вернуться на главную страницу Algo.ru  
 

Как выбрать подходящий брандмауэр

 

 

     

Имейте в виду, что за последние годы технология брандмауэров ушла далеко вперед...

17 мая 2001
–> вернуться на System Integration (reviews)

Лаура Тейлор (Laura Taylor), ZDNet Business & Technology
Select the right firewall

Если вы решили обновить брандмауэр в сети своей компании или установить его впервые, то имейте в виду, что за последние годы технология брандмауэров ушла далеко вперед. Как же выбрать оптимальное решение?

Прежде чем обращаться к поставщикам брандмауэров, оцените потребности своей организации. Составляя список предъявляемых к брандмауэру требований, в первую очередь перечислите самые необходимые функции и технические характеристики, а затем решите, какие возможности желательно добавить. Список обязательных требований поможет сократить перечень потенциальных поставщиков.

В процессе выбора вам помогут следующие вопросы:

Какого типа брандмауэр требуется организации: proxy, с кумулятивным анализом пакетов или гибридный?

Proxy-брандмауэры фильтруют сервисы на уровне приложений и, по существу, создают виртуальное соединение, скрывая внутренний IP-адрес клиента и пряча топологию внутренней сети от внешнего мира. Если proxy-брандмауэр имеет модуль обнаружения проникновений, он способен анализировать характер трафика и часто предотвращает атаки типа denial of service (DoS), — однако не все брандмауэры изначально включают такие средства.

Работа брандмауэра с кумулятивным анализом пакетов основана на фильтрации пакетов на сетевом уровне. Такие брандмауэры исследуют поля заголовка пакетов, составляющих протокол: IP-адрес источника, IP-адрес получателя, порты TCP/UDP источника и порты TCP/UDP получателя. «Кумулятивный» означает, что брандмауэр может запоминать предыдущие состояния соединений и впоследствии обновлять эту информацию в динамических таблицах соединений. Он оценивает последующие операции, сравнивая их с предшествующей историей соединений. Брандмауэр Firewall-1 компании Check Point идет еще дальше и собирает информацию о состоянии приложения, используя ее для принятия решений, связанных с RPC (Remote Procedure Call) и UDP (User Data Protocol).

Гибридные брандмауэры новейшего типа сочетают особенности брандмауэров с кумулятивным анализом пакетов и proxy-брандмауэров.

Нужен ли вам брандмауэр корпоративного класса?

Корпоративный аппаратный брандмауэр представляет собой готовый аппаратно-программный комплекс, в котором все компоненты уже установлены и по возможности настроены. Он управляет политикой защиты всего предприятия. Это решение наилучшим образом подходит для тех организаций, которым требуется несколько брандмауэров, управляемых из одного центрального пункта. Корпоративный брандмауэр обязательно должен допускать контроль с центральной панели управления. В качестве примеров лучших корпоративных брандмауэров можно назвать Firewall-1 от Check Point, VelociRaptor от Symantec и Firebox II от Watchguard.

Нужны ли встроенные средства повышения надежности?

Наличие таких средств означает, что в случае отказа брандмауэра все его функции прозрачно переходят к резервному брандмауэру. Обычные ИТ-подразделения компаний, как правило, в этом не нуждаются. При условии, если их единственный брандмауэр тщательно настроен, аккуратно обслуживается, и если выполняются все необходимые процедуры резервного копирования. Но когда речь идет о крупном сервис-провайдере, от брандмауэра которого зависят сотни клиентов, то в этом случае требуется решение повышенной надежности. Иначе, если брандмауэр выйдет из строя, вы рискуете оставить всю сеть беззащитной, а то и совсем неработоспособной. Некоторые аппаратные брандмауэры, такие как устройства семейства Nokia IP600, особенно хорошо переключаются на резервные системы. В частности, Nokia IP650 представляет собой машину с процессором Pentium II 450 МГц, на которой установлено программное обеспечение VPN-1 и Firewall-1 от Check Point.

Чтобы добиться повышенной надежности от программного брандмауэра, нужно приобрести по два комплекта оборудования и программных пакета, а затем установить поверх них специальное ПО, такое как пакет Stonebeat компании Stonesoft. Так что, если вам нужна повышенная надежность, лучше всего, вероятно, воспользоваться аппаратным брандмауэром.

Аппаратный или программный брандмауэр?

Аппаратные брандмауэры поставляются со встроенным программным обеспечением и привязаны к аппаратной платформе, что упрощает их установку и настройку по сравнению с чисто программными решениями. Если вы устанавливаете брандмауэр в ответ на покушение, совершенное на вашу сеть, такое ускоренное внедрение может оказаться критически важным критерием выбора. Аппаратные брандмауэры не обязательно автоматически обеспечивают более надежную защиту. Их реальные преимущества — в коротком времени установки, экономии средств и дополнительных возможностях, таких как повышенная надежность и распределение нагрузки.

В число лучших аппаратных брандмауэров входят:

  • Nokia IP650
  • Symantec/AXENT VelociRaptor
  • Cisco PIX 535
  • Watchguard Firebox II Plus
  • Cyberguard KnightSTAR
  • RapidStream 8000.

Важнейшим преимуществом программных брандмауэров является повышенная гибкость и стабильность. Главный их недостаток состоит в более длительных сроках подготовки к работе и внедрения. Из-за расширенных возможностей конфигурации программных брандмауэров для их правильной настройки часто требуется дополнительное время, а следовательно, и дополнительные расходы.

Если вы решили, что для вашей организации лучше всего подойдет программный брандмауэр, вам потребуется определить, на какую платформу его устанавливать. К числу типичных платформ для установки брандмауэров относятся Solaris, HP-UX, Linux, OpenBSD, FreeBSD, NetBSD, Windows NT или 2000, NetWare и даже MacOS.

В большинстве случаев Unix-брандмауэры — более осмотрительный выбор по сравнению с Windows NT или 2000, так как операционные системы Unix легче укрепить и запереть. Особенно хорошей платформой для брандмауэров считается OpenBSD, один из вариантов Unix, так как эта система уже имеет встроенные дополнительные средства защиты.

Однако выбор платформы может зависеть еще от одного условия — операционной системы, которая уже используется. Опыт в области обращения с имеющейся платформой может перевесить дополнительные средства защиты незнакомой операционной системы, которую вашему персоналу придется осваивать заново.

Насколько важны быстродействие и производительность брандмауэра?

Если ваша сеть представляет собой простейшую конфигурацию для работы с электронной почтой, принтерами и файлами, и если никто не жалуется на ее производительность, никакой необходимости в брандмауэре, оптимизированном с точки зрения быстродействия, очевидно, нет.

К числу приложений, которые обычно влияют на производительность сети, относятся потоковые аудио и видео, а также виртуальные частные сети (VPN — Virtual Private Network). Если через брандмауэр проходят медиапотоки, генерируемые такими программами, как RealVideo 8, CU-SeeMe или Netscape CoolTalk, заказывайте брандмауэр как минимум с 256 Мбайт оперативной памяти, способный управлять большим количеством одновременных соединений.

Для сетей с повышенными требованиями к производительности особенно хорошо подходит аппаратный брандмауэр Netscreen-1000. Он может обеспечить до 700 тыс. одновременных соединений при максимальной пропускной способности 1 Гбит/с.

Нужны ли вам возможности VPN?

Если в компании практикуется шифрование данных, передаваемых между офисами, выбирайте брандмауэр со встроенными функциями VPN. Он должен поддерживать также VPN-клиент защищенного удаленного доступа. Причем программное обеспечение VPN должно использовать IPSec, наиболее популярный стандарт в области протоколов шифрования виртуальных частных сетей, так как большинство дополнительных сервисов и продуктов защиты работает именно с протоколом IPSec.

Какие требуются средства аутентификации?

В большинстве организаций есть пользователи, которые должны входить в сеть дистанционно — либо через VPN, либо через коммутируемую телефонную сеть. Узнайте, какие механизмы аутентификации имеются у тех брандмауэров, которые вы оцениваете. К типичным способам аутентификации относятся аутентификация пользователя, аутентификация клиента и аутентификация сеанса. Наиболее широко используется аутентификация пользователя; она позволяет пользователю обращаться к корпоративной сети из любых удаленных мест. При аутентификации клиента проверяется удаленный IP-адрес. Механизм аутентификации сеанса проверяет само соединение, назначая ему одноразовый идентификатор соединения. Аутентификация сеанса обычно применяется при связи через VPN и требует наличия цифрового сертификата, жетона или открытого ключа.

Планируете ли вы использовать или уже используете в своей сети NAT? Какие функции NAT вам требуются?

Большинство брандмауэров поддерживает механизм Network Address Translation (NAT), который обычно применяется в тех случаях, когда частные, внутренние IP-адреса приходится преобразовывать в легальные, или открытые IP-адреса. Некоторые компании до выхода в Интернет пользовались чужими — нелегальными IP-адресами. (Нелегальный IP-адрес — это такой адрес, который не был выделен NIC или другим регистратором.) Иногда компании начинают пользоваться нелегальными адресами, когда у них кончаются легальные. Так как в Интернете частные адреса работать не будут, перед отправкой пакетов в другие сети их приходится преобразовывать в открытые, или «нормальные» IP-адреса.

Обычно NAT преобразует IP-адреса по схеме «один в один» (host-to-host), то есть для пакетов, отправляемых за брандмауэр, каждому внутреннему адресу ставится в соответствие один легальный адрес. Такое преобразование иногда называют статическим преобразованием адресов. Переадресовка сети — удаление нелегальных адресов и замена их легальными — часто вызывает массу проблем. Например, если в организации множество жизненно важных приложений или систем зависит от некоторой системы с нелегальным адресом, ввод в действие нового, легального адреса может привести к длительному перерыву в работе, что часто бывает неприемлемо или чревато крупными убытками. В таких случаях NAT представляет собой эффективное решение для компаний, имеющих проблемы с управлением IP-адресами.

Разные брандмауэры поддерживают разные дополнительные возможности NAT. В более сложных конфигурациях «много к одному» (network-to-host) несколько внутренних IP-адресов преобразуются в один внешний IP-адрес. Это может потребоваться, например, если у вас есть набор адресов DHCP, которые нужно перевести на один внешний адрес. Конфигурации NAT «много ко многим» (network-to-network) преобразуют группу частных внутренних IP-адресов в группу легальных открытых адресов. Конфигурации NAT «много к одному» или «много ко многим» особенно полезны в системах с распределением нагрузки. Если же распределять нагрузку входящего в сеть трафика не нужно, то достаточно брандмауэра, поддерживающего простейшую конфигурацию NAT «один к одному».

Должна ли поддерживаться возможность ограничения трафика по времени?

При ее наличии можно определять, какой тип входного трафика разрешен в течение определенных интервалов времени. Допустим, что у вас есть стратегический партнер, который еженедельно обновляет базу данных на вашем сервере. Процесс обновления может создать повышенный трафик в сети, поэтому лучше разрешить его только в период с 2 до 4 часов ночи. Наложив ограничение по времени на входящий трафик, вы сможете легче прогнозировать нагрузку в сети и управлять ею.

Какие требуются дополнительные средства мониторинга и регистрации?

Все брандмауэры имеют встроенные средства контроля и регистрации. Узнайте, могут ли файлы логов без вмешательства оператора расти до бесконечности и предоставляет ли поставщик средства автоматического архивирования или перехвата. Перехват лога — это схема, при которой по истечении определенного срока файл лога автоматически начинается заново. Очевидно, что без архивирования файлов такая мера нежелательна. При архивировании логов прежде, чем они переписываются, создается том, или набор файлов логов, который выводится в off-line. Иногда они компрессируются, а иногда зашифровываются. Если вам придется администрировать более одного брандмауэра, выясните, могут ли несколько файлов логов автоматически загружаться в менеджер корпоративной консоли. Особенно важно, чтобы брандмауэр регистрировал любые попытки модификации набора правил брандмауэра.

Нужно ли фильтровать контент или обеспечить защиту от вирусов?

Если на вашем сервере установлено ПО, отфильтровывающее нежелательный входящий контент, обратите внимание на брандмауэры, поддерживающие фильтры контента или профили. При фильтровании контента вы задаете профили для запрещенного контента разного типа и указываете в этих профилях сайты, доступ к которым должен быть заблокирован. Затем можно поручить брандмауэру блокировать скопом все, что содержится в профиле.

Некоторые брандмауэры содержат антивирусные модули, которые можно подключать к средствам защиты контента. Антивирусный модуль задерживает вирусы в брандмауэре, не пропуская их к настольным ПК, а также предотвращает распространение вирусов из вашей организации во внешний мир. Тот же модуль может предотвратить попадание вирусов в вашу сеть, — если только входящая электронная почта не идет в обход брандмауэра. Чаще всего, если брандмауэр поддерживает антивирусное ПО, то соответствующие модули предоставляются на выбор. Например, Check Point Firewall-1 поддерживает антивирусные пакеты Symantec, Trend Micro, Aladdin Knowledge Systems и F-Secure.

Сколько времени и какая квалификация необходимы для задания правил брандмауэра?

Набор правил сообщает брандмауэру, какие пакеты пропускать из тех или иных источников. Брандмауэры крупных и средних сетей могут содержать сотни правил. В большинстве брандмауэров правила указываются в определенном порядке, так как если пакет отвечает критериям нескольких правил, то применяется только первое правило по списку. Задание набора правил может вылиться в довольно длительную и утомительную процедуру.

Некоторые брандмауэры проверяют правила независимо от их очередности. Например, предположим, что требуется заблокировать гигантскую сеть плохих парней, но в этой сети есть один хороший малый по имени Боб, которого нужно впустить. Если за правилом Allow Bob следует Disallow bad guys, Боб будет фактически заблокирован, так как после правила, которое разрешает ему доступ, следует запрещающее правило. Интеллектуальный брандмауэр, способный выполнять правила независимо от очередности, знает, что Disallow bad guys нужно выполнять первым, а Allow Bob — вторым, так как запрещающее правило относится ко всем плохим парням, а затем в нем делается исключение, позволяющее войти в сеть Бобу.

Автоматическая проверка правил независимо от очередности — одно из важнейших преимуществ брандмауэра, так как это экономит массу времени в процессе задания набора правил. Сегодня, насколько я знаю, только брандмауэры Symantec Enterprise Firewall и Raptor выполняют проверку правил независимо от очередности.

Есть ли у вас ресурсы для самостоятельного обслуживания брандмауэра?

Если в вашей организации нет штатного специалиста по сетевой защите и вы не планируете завести его в ближайшее время, вам потребуются услуги сторонней компании по обслуживанию брандмауэра. Большинство поставщиков таких услуг поддерживает брандмауэры лишь одного-двух типов, так что поищите такого, который обслуживает продукт, отвечающий вашим требованиям. Не связывайтесь с сервис-провайдерами, которые не в состоянии предоставить вам «Описание уровня обслуживания» (Service Level Description) — документ, в котором четко определены все детали процедуры обслуживания и из которого вы получаете полное представление о том, на что можете рассчитывать как заказчик.

Вот и все. Теперь вы легко выберете оптимальное решение, если вам понятно, каким образом ваша организация может использовать все эти возможности брандмауэров.


–> вернуться на канал System Integration (reviews)