Таблица 3.1. Аппаратные межсетевые экраны для сетевой среды с невысокой надежностью
| SonicWall 170 | Cisco PIX 501 | Symantec Firewall/VPN | |
| Цена в долларах | 410 | 495 | 499 |
| Контроль на прикладном уровне с учетом состояния | Нет | Нет | Нет |
| Контроль прикладного протокола | Да (ограничено) | Да (ограничено) | Да (ограничено) |
| Проверка пакетов на соответствие заданным условиям | Да | Да | Да |
| Прозрачная аутентификация Windows | Нет | Нет | Нет |
| Протоколирование всех имен пользователей и приложений Web и Winsock | Нет | Нет | Нет |
| Контроль на прикладном уровне через туннели SSL | Нет | Нет | Нет |
| Поддержка Exchange | Нет | Нет | Нет |
| Контроль шлюзового и клиентского трафика VPN на прикладном уровне | Нет | Нет | Нет |
| Обнаружение и предотвращение несанкционированного доступа | Да | Да | Да |
| Сервер удаленного доступа VPN и шлюз VPN | Да | Да | Нет |
| VPN-клиент | Нет | Нет | Нет |
| 10/100-Мбит/с порты ЛВС | 5 | 4 | 4 |
| Порты WAN | 1 | 1 | 1 |
| Балансировка нагрузки | Нет | Нет | Нет |
| Число пользователей | 10 | 10 | 15-25 |
| Передача функций отказавшего межсетевого экрана исправному устройству | Аналоговый коммутируемый доступ через внешний модем | Нет | Аналоговый коммутируемый доступ через внешний модем |
| Переключение Internet-провайдера и объединение полосы пропускания | Нет | Нет | Нет |
| Настройка | Web-интерфейс | Командная строка и Web-интерфейс | Web-интерфейс |
| Процессор | SonicWall Security Processor | AMD SC520 | ARM7 |
| Web-кэширование и proxy-сервер | Нет | Нет | Нет |
Варианты для малых и средних предприятий с высокими требованиями к безопасности
В тех организациях, где защите приходится уделять много внимания, к межсетевым экранам предъявляются гораздо более высокие требования. Повышенная безопасность может быть вызвана условиями закона, характером бизнеса (например, в отраслях с острой конкуренцией необходимо охранять коммерческие секреты) или желанием владельца получить достойную защиту по разумной цене. В малых и средних компаниях с высокими требованиями к безопасности к межсетевому экрану относятся, как к страхованию автомобиля. Такие организации готовы заплатить вперед, чтобы предотвратить потенциальную катастрофу.
Проблемы обеспечения высокого уровня безопасности
При выборе межсетевого экрана с повышенным уровнем защиты необходимо учитывать ряд дополнительных требований.
· Следует протоколировать обращения из корпоративной сети в Internet. Как минимум, требуется записывать имя пользователя и приложение, задействованное при попытках получить доступ к ресурсам через межсетевой экран. Рекомендуется также указывать имена сайтов и тип контента.
· Необходим механизм настройки межсетевого экрана на блокирование запуска приложений, которые представляют опасность для сети и целостности данных - например, одноранговых (P2P) сетей и программ мгновенного обмена сообщениями (Instant Messaging - IM).
· Межсетевой экран должен останавливать как входящий, так и исходящий несанкционированный трафик, с проверкой пакетов на соответствие заданным условиям и контролем на прикладном уровне по всем интерфейсам, в том числе VPN.
· Межсетевой экран должен обеспечивать проверку пакетов на соответствие заданным условиям и контроль на прикладном уровне для входящего трафика, проходящего через межсетевой экран в корпоративную сеть, чтобы удаленные пользователи могли обращаться к данным предприятия извне. Проверка на соответствие заданным условиям должна производиться над данными, зашифрованными для передачи по линиям связи.
· Блокировать или смягчать действие червей, вирусов, шпионских программ и других угроз для целостности данных на периметре сети; контроль на прикладном уровне необходим на всех этапах.
· Если требуется доступ к важной бизнес - информации, следует предусмотреть механизмы обеспечения отказоустойчивости.
Несмотря на высокие требования к безопасности, предъявляемые некоторыми малыми предприятиями, эти компании все же остаются малыми и не располагают бюджетом крупных корпораций. В среднем малая организация готова потратить до 3000 долл. на решение для обеспечения безопасности, срок эксплуатации которого составит 3-4 года. Ежедневная цена решения с учетом амортизации (около 2 долл. в день) невелика по сравнению с потенциальными финансовыми потерями, которые могут стать следствием выбора ненадежного решения.
Выбор устройств
В таблице 3.2 приведены аппаратные межсетевые экраны, которые обеспечивают приемлемую сетевую безопасность для нуждающихся в серьезной защите малых и средних предприятий. SonicWALL Pro 3060 и Cisco PIX-515E-RDMZ компании Cisco Systems — традиционные аппаратные межсетевые экраны. NS6200 компании Network Engines на базе Microsoft ISA Server 2004 и SGS 5420 компании Symantec представляют собой продукты, которые обычно называют «программными» межсетевыми экранами — они работают на базе универсальной операционной системы или имеют жесткие диски (иногда присутствуют оба компонента). NS6200 относится к «третьему поколению» межсетевых экранов, в котором стабильность и надежность аппаратного межсетевого экрана сочетаются с гибкостью, удобством обновления и готовностью отразить новейшие угрозы программного продукта. Характеристики SGS 5420 — промежуточные: он не работает с универсальной операционной системой, но располагает жестким диском.
Для безопасности сети рекомендуется устройства Network Engines и Symantec, которые превосходят традиционные аппаратные модели с проверкой пакетов на соответствие заданным условиям. Главное различие заключается в глубине контроля на прикладном уровне, обеспечиваемом этими двумя устройствами, по сравнению с межсетевыми экранами SonicWALL и Cisco.
Для контроля на прикладном уровне в межсетевых экранов этого класса можно использовать встраиваемые и внешние модули расширения (например, для борьбы с вирусами, фильтрации загружаемых файлов, фильтрации почты, блокирования всплывающей рекламы, анализа Web-контента). При этом из-за высокой цены устройства могут оказаться недосягаемыми для малых и средних предприятий.
В конечном итоге было отдано межсетевому экрану Network Engines предпочтение перед устройством Symantec благодаря достоинствам, решающим для создания сетевой среды с высоким уровнем безопасности.
· Прозрачная аутентификация всех исходящих соединений через межсетевой экран. В среде с высоким уровнем безопасности для регистрации в домене требуется двухфакторная аутентификация. Благодаря прозрачной аутентификации, пользователи не могут обмениваться учетными данными для доступа к Internet, так как система никогда не выводит на экран окно регистрации. В результате повышаются достоверность данных в журнале и эффективность дальнейшего расследования на основе этой информации.
· Полное протоколирование всех входящих и исходящих соединений через межсетевой экран. Эти сведения, в том числе об именах пользователей и приложениях, задействованных для доступа к любым ресурсам через межсетевой экран, незаменимы при выполнении аудита на соответствие законодательству и в ходе административных, уголовных и гражданских расследований.
· Контроль на прикладном уровне туннелей SSL (Secure Sockets Layer - уровень защищенных гнезд). Устройство NS6200 на базе ISA Server 2004 выполняет контроль на прикладном уровне входящих соединений SSL через межсетевой экран. Такие соединения могут использоваться для обращений к частным данным на сервере Microsoft Outlook Web Access (OWA) или Microsoft SharePoint Portal Server. В отличие от других межсетевых экранов в таблице 3.2, NS6200 может дешифровать SSL-соединение в межсетевом экране, передать заголовки и данные в механизм прикладного управления межсетевого экрана, а затем заново зашифровать данные для сквозной пересылки по безопасному шифрованному соединению.
· Проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне по всем VPN-интерфейсам. Данная проверка охватывает VPN удаленного доступа и шлюзовые соединения между сайтами. Каналы VPN нередко оказываются слабым звеном во многих межсетевых экранов, так как подключенные к VPN машины, как правило, рассматриваются как "доверенные" и не подвергаются контролю на прикладном уровне. Такой подход был главной причиной атаки червя Blaster на сети, в остальном защищенные от внешней угрозы. Опасности, аналогичные Blaster, все еще существуют, и VPN-соединения по-прежнему могут служить средой их распространения. NS6200 открывает каналы VPN для контроля на прикладном уровне и блокирует нападения на межсетевом экране.
Даже вместе с дорогостоящими модулями расширения для контроля на прикладном уровне ни один из остальных межсетевых экранов в табл. 3.2 не располагает функциями безопасности, реализованными в NS6200.
Более масштабные сети с высоким уровнем защиты
Средним и крупным предприятиям, а также их филиалам свойственны похожие требования к безопасности. Как и небольшим компаниям с надежной защитой, им требуются исчерпывающая проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне, полное протоколирование и функции управления доступом пользователей/групп через межсетевой экран. Основное различие между надежно защищенной крупной компанией и малым предприятием заключается в гораздо больших финансовых возможностях корпорации, которые соответствуют требованиям информационной безопасности.
Таким фирмам не нужны самые технологичные и производительные межсетевые экраны стоимостью 35 тыс. долл., им скорее требуется надежная информационная защита. Единственная атака на прикладном уровне может привести к потерям, исчисляемым миллионами долларов.