Варианты для малых и средних предприятий с высокими требованиями к безопасности

Мы продолжаем рассматривать представленные на рынке аппаратные брандмауэры. Во второй части статьи даются рекомендации по защите предприятия в зависимости от его размера, необходимого уровня безопасности и затрат. В первой части речь шла о решениях для малых и средних предприятий с умеренными требованиями к уровню безопасности. На этот раз мы расскажем о решениях, ориентированных на малые и средние предприятия с высокими требованиями к безопасности.

В тех организациях, где защите приходится уделять много внимания, к брандмауэрам предъявляются гораздо более высокие требования. Повышенная безопасность может быть вызвана условиями закона, характером бизнеса (например, в отраслях с острой конкуренцией необходимо охранять коммерческие секреты) или желанием владельца получить достойную защиту по разумной цене. В малых и средних компаниях с высокими требованиями к безопасности к брандмауэру относятся, как к страхованию автомобиля. Такие организации готовы заплатить вперед, чтобы предотвратить потенциальную катастрофу.

Проблемы обеспечения высокого уровня безопасности

Определения основных характеристик аппаратных брандмауэров были даны в первой части статьи. При выборе брандмауэра с повышенным уровнем защиты необходимо учитывать ряд дополнительных требований.

  • Следует протоколировать обращения из корпоративной сети в Internet. Как минимум, требуется записывать имя пользователя и приложение, задействованное при попытках получить доступ к ресурсам через брандмауэр. Рекомендуется также указывать имена сайтов и тип контента.
  • Необходим механизм настройки брандмауэра на блокирование запуска приложений, которые представляют опасность для сети и целостности данных - например, одноранговых (P2P) сетей и программ мгновенного обмена сообщениями (Instant Messaging - IM).
  • Брандмауэр должен останавливать как входящий, так и исходящий несанкционированный трафик, с проверкой пакетов на соответствие заданным условиям и контролем на прикладном уровне по всем интерфейсам, в том числе VPN.
  • Брандмауэр должен обеспечивать проверку пакетов на соответствие заданным условиям и контроль на прикладном уровне для входящего трафика, проходящего через брандмауэр в корпоративную сеть, чтобы удаленные пользователи могли обращаться к данным предприятия извне. Проверка на соответствие заданным условиям должна производиться над данными, зашифрованными для передачи по линиям связи.
  • Блокировать или смягчать действие червей, вирусов, шпионских программ и других угроз для целостности данных на периметре сети; контроль на прикладном уровне необходим на всех этапах.
  • Если требуется доступ к важной бизнес-информации, следует предусмотреть механизмы обеспечения отказоустойчивости.

Несмотря на высокие требования к безопасности, предъявляемые некоторыми малыми предприятиями, эти компании все же остаются малыми и не располагают бюджетом крупных корпораций. Опыт работы с небольшими фирмами показывает, что в среднем такая организация готова потратить до 3000 долл. на решение для обеспечения безопасности, срок эксплуатации которого составит 3-4 года. Ежедневная цена решения с учетом амортизации (около 2 долл. в день) невелика по сравнению с потенциальными финансовыми потерями, которые могут стать следствием выбора ненадежного решения.

Выбор устройств

В табл. 1 приведены аппаратные брандмауэры, которые обеспечивают приемлемую сетевую безопасность для нуждающихся в серьезной защите малых и средних предприятий. SonicWALL Pro 3060 и Cisco PIX-515E-RDMZ компании Cisco Systems — традиционные аппаратные брандмауэры. NS6200 компании Network Engines на базе Microsoft ISA Server 2004 и SGS 5420 компании Symantec представляют собой продукты, которые обычно называют «программными» брандмауэрами — они работают на базе универсальной операционной системы или имеют жесткие диски (иногда присутствуют оба компонента). NS6200 относится к «третьему поколению» брандмауэров, в котором стабильность и надежность аппаратного брандмауэра сочетаются с гибкостью, удобством обновления и готовностью отразить новейшие угрозы программного продукта. Характеристики SGS 5420 — промежуточные: он не работает с универсальной операционной системой, но располагает жестким диском.

Для безопасности сети мы рекомендуем устройства Network Engines и Symantec, которые превосходят традиционные аппаратные модели с проверкой пакетов на соответствие заданным условиям. Главное различие заключается в глубине контроля на прикладном уровне, обеспечиваемом этими двумя устройствами, по сравнению с брандмауэрами SonicWALL и Cisco.

Для контроля на прикладном уровне в брандмауэрах этого класса можно использовать встраиваемые и внешние модули расширения (например, для борьбы с вирусами, фильтрации загружаемых файлов, фильтрации почты, блокирования всплывающей рекламы, анализа Web-контента). При этом из-за высокой цены устройства могут оказаться недосягаемыми для малых и средних предприятий.

В конечном итоге мы отдали брандмауэру Network Engines предпочтение перед устройством Symantec благодаря достоинствам, решающим для создания сетевой среды с высоким уровнем безопасности.

  • Прозрачная аутентификация всех исходящих соединений через брандмауэр. В среде с высоким уровнем безопасности для регистрации в домене требуется двухфакторная аутентификация. Благодаря прозрачной аутентификации, пользователи не могут обмениваться учетными данными для доступа к Internet, так как система никогда не выводит на экран окно регистрации. В результате повышаются достоверность данных в журнале и эффективность дальнейшего расследования на основе этой информации.
  • Полное протоколирование всех входящих и исходящих соединений через брандмауэр. Эти сведения, в том числе об именах пользователей и приложениях, задействованных для доступа к любым ресурсам через брандмауэр, незаменимы при выполнении аудита на соответствие законодательству и в ходе административных, уголовных и гражданских расследований.
  • Контроль на прикладном уровне туннелей SSL (Secure Sockets Layer - уровень защищенных гнезд). Устройство NS6200 на базе ISA Server 2004 выполняет контроль на прикладном уровне входящих соединений SSL через брандмауэр. Такие соединения могут использоваться для обращений к частным данным на сервере Microsoft Outlook Web Access (OWA) или Microsoft SharePoint Portal Server. В отличие от других брандмауэров в табл. 1, NS6200 может дешифровать SSL-соединение в брандмауэре, передать заголовки и данные в механизм прикладного управления брандмауэра, а затем заново зашифровать данные для сквозной пересылки по безопасному шифрованному соединению.
  • Проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне по всем VPN-интерфейсам. Данная проверка охватывает VPN удаленного доступа и шлюзовые соединения между сайтами. Каналы VPN нередко оказываются слабым звеном во многих брандмауэрах, так как подключенные к VPN машины, как правило, рассматриваются как "доверенные" и не подвергаются контролю на прикладном уровне. Такой подход был главной причиной атаки червя Blaster на сети, в остальном защищенные от внешней угрозы. Опасности, аналогичные Blaster, все еще существуют, и VPN-соединения по-прежнему могут служить средой их распространения. NS6200 открывает каналы VPN для контроля на прикладном уровне и блокирует нападения на брандмауэре.

Даже вместе с дорогостоящими модулями расширения для контроля на прикладном уровне ни один из остальных брандмауэров в табл. 1 не располагает функциями безопасности, реализованными в NS6200.

Более масштабные сети с высоким уровнем защиты

Средним и крупным предприятиям, а также их филиалам свойственны похожие требования к безопасности. Как и небольшим компаниям с надежной защитой, им требуются исчерпывающая проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне, полное протоколирование и функции управления доступом пользователей/групп через брандмауэр. Основное различие между надежно защищенной крупной компанией и малым предприятием заключается в гораздо больших финансовых возможностях корпорации, которые соответствуют требованиям информационной безопасности.

Таким фирмам не нужны самые технологичные и производительные брандмауэры стоимостью 35 тыс. долл., им скорее требуется надежная информационная защита. Единственная атака на прикладном уровне может привести к потерям, исчисляемым миллионами долларов.

Выяснить, сколько денег организации этого типа готовы потратить на защиту брандмауэром, нелегко. Некоторые компании придают безопасности чрезвычайно большое значение и готовы заплатить более 10 тыс. долл. за превосходный брандмауэр с проверкой пакетов и контролем на прикладном уровне. С другой стороны, многие средние и крупные предприятия, которые нуждаются в надежной защите, неохотно платят более 2500 долл. за этот решающий компонент инфраструктуры сетевой безопасности. В целом большинство организаций такого размера охотно тратит от 5000 до 6000 долл. за хороший брандмауэр.

В табл. 2 показан выбор брандмауэров, обычно развертываемых в более крупных предприятиях с высоким уровнем безопасности. SonicWALL PRO 4060 и Cisco PIX 515E-UR-FE-BUN выполнены на основе традиционного аппаратного брандмауэра и обеспечивают соответствующий уровень сетевой безопасности. Проверка пакетов на соответствие заданным условиям — основа этих продуктов обеспечения безопасности, для ее реализации не требуется дорогостоящих модулей расширения. Обе модели отличаются высокой производительностью, но им не хватает возможностей балансировки нагрузки и передачи функций отказавшего устройства исправному, если они крайне необходимы для бесперебойного доступа к важнейшим данным.

В отличие от них, устройство RoadBLOCK F302PLUS на базе ISA Server 2004 компании RimApp обеспечивает исчерпывающий контроль на прикладном уровне по приемлемой цене. В стандартной конфигурации реализованы фильтры Web-узлов, проверка загружаемых из Internet файлов на вирусы и фильтры спама. Кроме того, с помощью модулей RainWall и RainConnect компании Rainfinity устройство RoadBLOCK обеспечивает балансировку нагрузки и передачу функций отказавшего устройства исправному как для аппаратных брандмауэров RoadBLOCK, так и для каналов связи Internet-провайдеров. Устройство RoadBLOCK поддерживает все упомянутые выше высокоуровневые функции подготовки отчетов и протоколирования и располагает мощными функциями управления пользовательским и групповым доступом из входящих и исходящих соединений через брандмауэр.

Оптимальный выбор

Высокоуровневые сетевые брандмауэры, представленные в данной статье, обеспечивают превосходный уровень безопасности и высокую производительность для средних и крупных предприятий. При выборе оптимального брандмауэра следует в первую очередь обратить внимание на контроль на прикладном уровне и исчерпывающие возможности протоколирования и подготовки отчетов о доступе пользователей и приложений. Кроме того, при выборе аппаратного брандмауэра важно помнить об отказоустойчивости.


Томас Шиндер - Ведущий автор контента для сайта http://www.isaserver.org. Совладелец компании TACteam (Trainers, Authors, Consultants), которая готовит материалы для технических и маркетинговых документов крупных корпораций, в том числе Microsoft. Соавтор книги Configuring ISA Server 2000 (издательство Syngress). tshinder@isaserver.org

Дебра Шиндер - Cовладелец компании TACteam, редактор WinXPnews и соавтор книги Scene of the Cybercrime (издательство Syngress). dshinder@tacteam.net