В случае Safe@Office 500 речь идет о комбинации брандмауэра, решения для построения виртуальных частных сетей, антивирусного инструмента, системы предотвращения вторжения, а также специальных средств, обеспечивающих формирование трафика и фильтрацию контента Web. Благодаря программному обеспечению Check Point Embedded NGX 6.0, адаптированному для использования во встроенных системах производства SofaWare Technologies, устройство поддерживает ряд важных функций.
Для многих функций производитель предоставляет интерактивные услуги с автоматическими обновлениями, что гарантирует высокую защиту находящейся за устройством сетевой инфраструктуры, причем пользователю не приходится управлять его работой. Эта концепция наверняка понравится небольшим предприятиям, которые редко позволяют себе содержать в штате технического специалиста для обслуживания подобного оборудования. Благодаря небольшим размерам устройства (19,5 x 12 x 3 см), заключенного в корпус необычного, желто-оранжевого цвета, его можно поместить где угодно, в том числе на корпусе рабочей станции. Резиновые ножки обеспечивают надежную устойчивость металлического шасси и удерживают аппарат в одном положении, даже когда его стягивают с горизонтальной поверхности подключенные к нему сетевые кабели.
На обратной стороне находятся шесть сетевых разъемов RJ-45 для Fast Ethernet. Разъем с обозначением WAN зарезервирован для коммуникации с Internet. Четыре других предназначены для связи с локальной сетью и, что бывает достаточно часто при минимальных потребностях, помогут обойтись без дополнительного коммутатора. Шестой разъем с надписью «DMZ/WAN2» служит для организации «демилитаризованной зоны» (Demilitarized Zone, DMZ) или поддерживает нестандартно сконфигурированное подключение к глобальной сети, к примеру для обеспечения отказоустойчивой работы посредством еще одного соединения с Internet. Кроме того, на задней панели размещен интерфейс RS-232C для подключения модема, модуля ISDN или прямого доступа к консоли. Традиционный выключатель отсутст-вует: устройство начинает работать автоматически, как только вилка вставляется в розетку. На задней панели имеется небольшая кнопка перезапуска, позволяющая избежать «холодного старта» устройства посредством выдергивания электрического кабеля.
Блок питания снабжен кабелем длиной около 150 см и во время контрольного прогона нагрелся незначительно. Логотип «Проверенная безопасность» подтверждает, что блок питания отвечает требованиям Закона о безопасности устройств и продуктов. Как и другие сетевые устройства надлежащего качества, продукт Safe@Office помимо серийного номера обладает и МАС-адресом, который указан на наклейке. Однако хотелось бы, чтобы производитель указывал эту информацию в таком месте, где ее можно прочитать, не приподнимая устройство со всеми подключенными кабелями, что иногда оказывается довольно сложной задачей в условиях тесноты серверного шкафа. На той же наклейке обозначен тип устройства — SBX-166LHGE-3. На переднюю панель вынесено несколько светодиодов для индикации рабочего состояния устройства.
Safe@Office предлагается в виде двух моделей. Вариант мощностью 500 Вт снабжен интерфейсом подключения к беспроводной сети с двумя антеннами. Благодаря нестандартному расширению беспроводной сети Super G устройство справляется с трафиком данных объемом до 108 Мбит/с в частотном диапазоне 2,4 ГГц. Наличие обратной совместимости со стандартом 802.11g для скорости передачи данных 54 Мбит/с и проверенным стандартом 802.11b для скорости передачи 11 Мбит/с обеспечивает возможность построения соединений и со стандартными устройствами. В качестве бонуса на беспроводной версии установлено два разъема USB. С портами USB 2.0 устройство может работать в качестве сервера печати.
Тестируемое устройство Safe@Office 500 без функциональности WLAN начало работать быстро и без проблем. Интегрированный сервер DHCP запускается, как только подается питание. Подключенный клиентский компьютер получает временный IP-адрес. В соответствии с указаниями приложенного буклета было построено соединение с http://my.firewall. Первое административное действие состоит в задании пароля. Из соображений безопасности введение индивидуального пароля по запросу предпочтительнее вводу стандартного — спасибо разработчикам.
Обычно, до того как устройство будет доставлено к месту эксплуатации, проходит некоторое время, по-этому в качестве второго шага необходимо осуществить загрузку обновлений встроенного программного обеспечения через соответствующего партнера компании Check Point. В том же буклете содержится перечень необходимых действий. Дальнейшие шаги по конфигурированию поясняются на английском языке в подробной документации, содержащейся в формате PDF на приложенном к устройству компакт-диске. Бумажный вариант полного комплекта документации выглядел бы как 900-страничная книга.
Программный ассистент по инсталляции предлагает пользователю ввести наиболее важную информацию в диалоговом режиме. Safe@Office может работать со всеми распространенными подключениями к Internet — как с популярным соединением DSL, так и с широко распространенным в Америке кабельным модемом. Помимо этого, предусмотрена возможность конфигурации даже устаревшего аналогового модема стандарта V.90. Различные подключения к Internet предполагают высокую отказоустойчивость. В диалоговых окнах есть интересная функция обнаружения «мертвого соединения» (dead connection detection). При отказе стандартного шлюза подключения к Internet отправляется запрос ARP для идентификации ближайшего маршрутизатора. Затем на выбор предлагается один из трех методов для оценки успешности доступа к Internet через рассматриваемое устройство: запуск ping, разрешение имени DNS и обращение к шлюзу VPN.
ПРЕДОПРЕДЕЛЕННЫЕ НАСТРОЙКИ
После того как соединение с Internet установлено, наступает черед настройки брандмауэра. Safe@Office 500 предлагает три версии предопределенных базовых настроек с различными наборами правил. В варианте настроек Low блокируются все входящие соединения через внешний IP-адрес устройства, за исключением эха ICMP, т. е. команды ping. Данная установка подходит, скорее, не для длительной эксплуатации, а для поиска ошибок, поскольку исходящий трафик пропускается без ограничений. В конфигурации Medium блокируются все попытки прямого доступа извне, а исходящему трафику разрешается доступ ко всем открытым ресурсам Windows. Настройка High допускает лишь типичную функциональность Internet и обращение к виртуальной частной сети и таким образом ориентирована на длительную безопасную работу (см. Рисунок 1).
Для различных служб, например электронной почты, FTP или сервера Web, пользователь определяет внутренние цели с помощью IP-адреса. Составление собственных правил в пункте меню Rules («Правила») выполняется несколькими нажатиями кнопки мыши, если пользователь знаком с терминологией. Отдельные правила можно так же быстро активировать или дезактивировать, причем для изменения правила не придется переходить в соответствующее диалоговое окно. При желании система протоколирует принятые соединения.
Наряду с составлением правил можно воспользоваться технологией SmartDefense, которая в свою очередь базируется на технологии Application Intelligence компании Check Point. Под SmartDefense (интеллектуальная защита) производитель подразумевает проверку входящего трафика с помощью специальных аналитических инструментов. Речь идет об обеспечении соблюдения стандартов для протоколов, распознавании аномалий в протоколах и блокировке программ по требованию. В SmartDefense имеются настройки и для популярного пирингового программного обеспечения, к примеру Kazaa, BitTorrent или eMule, равно как и для мгновенного обмена сообщениями, скажем ICQ или Skype. Специальные механизмы позволяют блокировать эти программы даже тогда, когда они пытаются получить доступ через стандартный порт HTTP (см. Рисунок 2).
За назначение приоритетов сетевому трафику отвечает Traffic Shaper (формирователь трафика). Для каждого заданного правила коммуникации брандмауэра можно определить один из четырех уровней качества услуг и, к примеру, предоставить телефонному IP-соединению, построенному по стандарту Н.323, более высокий приоритет, нежели соединению для пересылки электронной почты.
В пункте VPN благодаря клиенту VPN для систем Windows предусматривается возможность предоставления внешним сотрудникам доступа к локальной сети. Для этого используются привычные алгоритмы: AES, 3DES, SHA1/MD5. Пункт Site-To-Site (от сети к сети) позволяет конфигурировать длительные защищенные соединения с другими сетями, а с помощью транзитной пересылки IPSec VPN реализуется зашифрованная коммуникация клиентского компьютера с другими филиалами.
Режим работы OfficeMode (офисный режим) позволяет клиентским компьютерам VPN общаться и между собой. Обычно он не задействуется, поскольку внутренняя коммуникация не производится по зашифрованным каналам виртуальных частных сетей, а ограничена локальной сетью. В режиме OfficeMode компьютеры-клиенты VPN получают отдельные адреса из пула DHCP IP.
ДРУГИЕ ФУНКЦИИ — ЗА ДОПОЛНИТЕЛЬНУЮ ПЛАТУ
Динамическая DNS от известного поставщика DynDNS предоставляется лишь в виде дополнительной услуги. Многие потенциально важные функциональные возможности, к примеру технологии защиты электронной почты от вирусов и спама, службы поиска уязвимостей или фильтрации контента Web, также доступны за отдельную плату.
Теоретически стандартный пакет способен обслуживать канал виртуальной частной сети с максимальной пропускной способностью в 20 Мбит/с. Для повышения производительности устройства Safe@Office предлагается решение PowerPack, которое позволяет повысить максимальную пропускную способность до 30 Мбит/с. После расширения количество одновременно активных туннелей VPN в режиме Site-To-Site возрастает с двух до 15, число лицензий безопасного доступа для удаленных клиентов VPN-1 SecuRemote увеличивается с пяти до 25. Отображение виртуальной локальной сети с разнесением четырех подключений по разным логическим сегментам также доступно только пользователям PowerPack.
В дополнение к графическому интерфейсу имеется консоль командной строки (Command Line Interface, CLI). Прямые команды можно отдавать в интерфейсе Web, через последовательное соединение или при помощи SSH. Если нужно отменить изменения конфигурации, то окажется полезной функция импорта или, соответственно, экспорта Safe@Office. Информация от системы мониторинга трафика сохраняется для последующего анализа в файле с расширением *.csv, а встроенный анализатор сети создает файлы в популярном формате CAP. Кроме того, устройство поддерживает интеграцию в среды управления SNMP и централизованную отправку сообщений Syslog.
ЗАКЛЮЧЕНИЕ
В целом Safe@Office оставляет хорошее впечатление. Небольшое устройство обладает широкими возможностями для администрирования, не предъявляя чрезмерных требований к не слишком опытному пользователю. За кулисами остается зрелая стратегия обеспечения безопасности, способная расширяться вместе с потребностями пользователя. Однако при невысокой стартовой цене в 300 евро не следует забывать о том, что речь идет лишь о «голой» базовой версии. Одно только расширение PowerPack стоит около 500 евро, а на антивирусную службу придется тратить примерно 179 евро в год. Однако тот, кому нужны несложные устройства, не требующие особых знаний для их администрирования и легко поддающиеся расширению в случае необходимости, примет, пожалуй, верное решение, купив устройство Safe@Office 500.
Томас Бэр — независимый журналист.
© AWi Verlag