Аппаратные брандмауэры для небольших и средних компаний

Джефф Джеймс (jjames@windowsitpro.com) — старший редактор журналов Windows IT Pro и SQL Server Magazine. Специализируется на виртуализации и терминальных службах

Как может измениться мир за несколько лет! В области аппаратных брандмауэров изменения оказались радикальными. «Произошел фундаментальный сдвиг в требованиях, предъявляемых к брандмауэрам, — рассказывает Димитрий Ара, менеджер по продуктам сетевой безопасности в компании SonicWALL. — В прошлом брандмауэры предназначались только для формирования периметра вокруг сети методом блокирования портов. Сегодня большинство угроз проходит через законные точки доступа, такие как порт HTTP 80, путем смешения вредоносных программ с легитимным трафиком».

Фред Коуст, руководитель службы маркетинга продуктов компании Check Point Software, продолжает: «Прошло время, когда брандмауэры использовались только для защиты портов и применения правил доступа. Чтобы сохранить эффективность современных брандмауэров, их функциональность значительно расширена. Они дополнены как новыми возможностями, так и функциями, заимствованными из других средств обеспечения безопасности».

Компания Gartner классифицирует новые модели как «брандмауэры следующего поколения». . Остальные приведены в таблице.

Встроенная система предотвращения несанкционированного доступа

Традиционно системы предотвращения несанкционированного доступа (IPS) были отдельными устройствами, но постепенно в большинстве брандмауэров появились встроенные функции IPS. Благодаря такой интеграции уменьшаются затраты и сложность, связанные с управлением двумя отдельными устройствами. Кроме того, брандмауэр становится эффективнее, так как с помощью IPS удается более точно определить, какой трафик следует разрешить. В примере, приведенном аналитиками компании Gartner Грегом Пискатором и Джоном Янгом, удачная интеграция между IPS и брандмауэром позволяет, в частности, предложить правило для блокирования адреса, из которого в систему IPS постоянно поступает вредоносный трафик".

Удостоверения

Еще одна ключевая особенность брандмауэров следующего поколения — возможность использовать удостоверения отдельных пользователей для назначения более детальных правил безопасности. «У удостоверений есть большие преимущества, — поясняет Коуст. — Можно связывать права доступа с пользователем, а не с устройствами, с которыми он работает, через существующие службы идентификации, такие как Active Directory». Благодаря расширенным возможностям, администраторы могут назначать специальные правила для определенных групп пользователей, например запретить всем сотрудникам отдела маркетинга публиковать данные в Facebook.

Распознавание приложений

Развивая возможности ограничения или разрешения трафика в зависимости от членства в группе, другая новая функция позволяет более точно управлять конкретными приложениями. Например, можно разрешить сотрудникам использовать Facebook для публикации изображений и общения с клиентами, но не обмена мгновенными сообщениями с друзьями или игр в рабочее время. Во многих новых брандмауэрах можно составить политики, которые разрешают доступ сотрудников к приложению, но запрещают использовать некоторые его функции, нарушающие установленные в компании правила.

Другие факторы

Клаус Гери, вице-президент по управлению продуктами для Европы в компании Barracuda Networks, рекомендует не только обращать внимание на новую функциональность брандмауэра, но и проверять, соответствует ли выбранная модель конкретным условиям применения.

* Подходящий набор функций. Гери предлагает убедиться, что выбранный брандмауэр соответствует уникальным нуждам конкретной ИТ-инфраструктуры. «Малым компаниям с очень небольшим внешним трафиком вряд ли требуется высокая пропускная способность. Зато могут пригодиться встроенные возможности для борьбы с вирусами и вредоносными программами. Позаботьтесь о том, чтобы получить необходимые функции», — замечает он.

* Не преувеличивайте и не преуменьшайте требований к брандмауэру. Покупка брандмауэра может быть крупным вложением, поэтому важно выбрать модель с подходящими размерами, форм-фактором и пропускной способностью. Такие функции, как глубокий анализ пакетов, визуализация пакетов и другие, могут замедлить прохождение данных через брандмауэр и мешать работе сотрудников.

* Удобство управления и эксплуатации. «Обязательно посмотрите, насколько просто установить, управлять и обслуживать брандмауэр, — подчеркивает Гери. — Некоторые из этих факторов сопряжены с затратами, которые могут оказаться весьма существенными. Насколько сложно обновить или заменить брандмауэр в случае неполадок? Насколько удачны и удобны инструменты диагностики и техническое обслуживание?»

* Оцените дополнительные преимущества. Наконец, Гери рекомендует обратить внимание на дополнительные выгоды, помимо четко определенного набора функций. Компаниям со строгими требованиями к аудиту и соответствию нормативным актам следует выбирать продукты, разработчики которых уделяли особое внимание этим аспектам, а для малых предприятий важнее всего простота использования и управляемость.

• Независимо от выбранной модели брандмауэра, полезно вспомнить слова Тони Хаулетта, автора Windows IT Pro и технического директора компании Network Security Services, специализирующейся на консультациях в области информационной безопасности. Я разговаривал с ним в 2008 году, и его комментарий по-прежнему актуален: «К аппаратному брандмауэру следует относиться как к любой операционной системе, поскольку он защищает вход в сеть компании. Регулярно проверяйте, установлены ли на брандмауэре необходимые обновления и проводится ли обслуживание».

Компания Barracuda Networks Check Point Software Technologies Cisco Fortinet Fortinet Juniper Networks SonicWALL Fortinet Juniper Networks SonicWALL

Продукт Barracuda NG Firewall 301 Check Point 4200 Security Appliance ASA 5512-X Midrange Security Appliance FortiGate-300C FortiGate-600 CSRX Series Services Gateways SonicWALL Network Security Appliance (NSA) 4500 FortiGate-600 CSRX Series Services Gateways SonicWALL Network Security Appliance (NSA) 4500

Цена в долларах 3499 + 599 ежегодно 4900 3995 4995 9995 От 699 4995 9995 От 699 4995.

Глубокий анализ пакетов Proxy, потоковый Потоковый Потоковый Proxy, потоковый Proxy, потоковый Proxy, потоковый Proxy Proxy, потоковый Proxy, потоковый Proxy

Встроенная система предотвращения несанкционированного доступа (IPS) Да Да Нет * Да Да Да Да Да Да Да

Встроенная система обнаружения несанкционированного доступа (IDS) Да Да Нет * Да Да Да Да Да Да Да

Ipv6 Да Да Нет Да Да Да Да Да Да Да

Удаленные клиенты Да Да Да Да Да Да Да Да Да Да

Распознавание приложений Да Да Да Да Да Да Да Да Да Да

Блокирование по удостоверению пользователя Да Да Да Да Да Да Да Да Да Да

Проверка пакетов на соответствие заданным условиям Да Да Да Да Да Да Да Да Да Да

Регистрация разрешенных пакетов в режиме реального времени Да Да Да Да Да Да Нет Да Да Нет

Регистрация отвергнутых пакетов в режиме реального времени Да Да Да Да Да Да Да Да Да Да

Сообщение о форматах вывода (например, HTML, PDF, Word, XML) Excel HTML, PDF С разделением запятыми (CSV), PDF HTML, PDF, Word HTML, PDF, Word, XML Excel, HTML, PDF, Word, XML Excel, HTML, IP Flow Information Export (IPFIX), Netflow, PDF, Syslog, Word HTML, PDF, Word, XML Excel, HTML, PDF, Word, XML Excel, HTML, IP Flow Information Export (IPFIX), Netflow, PDF, Syslog, Word

Сертификат ICSA Нет Да Нет Да Да Да Да Да Да Да

Визуализация пакетов Да Да Да Да Да Нет Да Да Нет Да

Службы DHCP и DNS Обе DHCP Обе Обе Обе Обе DHCP Обе Обе DHCP

Интерфейсы управления Интерфейс командной строки (CLI), PowerShell, Secure Shell (SSH) CLI, HTTP Secure (HTTPS), SSH, ГИП Windows CLI, HTTP, HTTPS, SSH CLI, HTTP, HTTPS, SSH, Telnet CLI, HTTP, HTTPS, SSH, Telnet CLI, HTTP, HTTPS, SSH, Telnet CLI, HTTP, HTTPS, SSH CLI, HTTP, HTTPS, SSH, Telnet CLI, HTTP, HTTPS, SSH, Telnet CLI, HTTP, HTTPS, SSH

* Функциональность IDS и IPS предоставляется через подключаемые модули.