Лента

Руководство покупателя: брандмауэры

Защитите сеть от варваров

Восемь рассматриваемых в обзоре брандмауэров способны защитить вашу сеть от посягательств компьютерных варваров и нечистоплотных конкурентов.

Рынок брандмауэров можно описать пятью словами: разные системы для разных клиентов. Каждый брандмауэр имеет собственную философию защиты. Прежде всего нужно выработать для своей организации политику сетевой безопасности и только после этого приступать к выбору наиболее подходящего продукта, который позволит ее реализовать.

Из восьми испытанных нами брандмауэров, работающих на нескольких платформах и обеспечивающих посредники прикладного уровня, мы выбрали четыре фаворита, которые способны решать серьезные проблемы сетевой безопасности.

Для небольших организаций, которые хотят защититься от "противников", сохраняя при этом возможность работы в Internet внутренних пользователей, наиболее подходящим экономичным решением является AltaVista Firewall компании Digital Equipment. Работая на платформе Windows NT, этот брандмауэр обеспечивает простую консоль управления, с помощью которой мы смогли установить и настроить систему быстрее, чем другие продукты. Однако AltaVista Firewall не обладает гибкостью, достаточной для крупных сетей. Например, для него все пользователи, находящиеся внутри защищаемой им сети, идентичны - независимо от того, кем они являются. Крупным организациям подойдет Eagle компании Raptor Systems, обладающий большей гибкостью в настройке его служб и задании пользователей и групп, которым разрешено проходить сквозь брандмауэр.

Организации, желающие предоставить внешним пользователям доступ к нескольким системам, находящимся в защищаемой брандмауэром сети, должны рассмотреть ПО Black Hole компании Milkyway Networks. Продукт обеспечивает менеджерам систем безопасности более широкие возможности, чем Eagle компании Raptor; он позволяет пропускать через защиту определенный трафик, сохраняя полный контроль над ним. Некоторые сетевые администраторы предпочитают фильтрацию пакетов - либо для обеспечения приемлемой производительности, либо для сохранения гибкости. Самый впечатляющий продукт в этой категории - Firewall-1 компании Check Point Software Technologies, который, кроме всего прочего, позволяет управлять системой, состоящей из нескольких брандмауэров. Все испытанные нами продукты, которые основаны на фильтрации пакетов, предоставляют определенную информацию о состоянии пакетов, проходящих через брандмауэры.

Выбор платформы

Мы испытывали только те продукты, которые могут работать на нескольких платформах, поскольку считаем, что пользователи должны иметь возможность выбора платформы, наилучшим образом подходящей для их сети. В тех случаях, когда это было возможно, мы рассматривали версии продуктов, предназначенные для платформы Windows NT компании Microsoft. Наш опыт показал, что системы, работающие под Windows NT, разительно отличаются от систем на базе Unix. Некоторые поставщики ранних брандмауэров кроме ПО включали в комплект поставки и оборудование, и теперь мы поняли, почему они это делали: настройка платформы Unix для работы таких продуктов на стандартном оборудовании Intel является весьма непростой задачей. В противоположность этому установка ПО брандмауэра на компьютер с Windows NT - задача достаточно тривиальная. По мере того как брандмауэры превращаются из специально сконструированных "крепостей" на базе Unix в продукты общего спроса, Windows NT становится для них наиболее подходящей платформой. Большинство испытанных нами продуктов обеспечивают возможность работы под Windows NT. К ним относятся AltaVista Firewall (Digital), Gauntlet (Trusted Information Systems - TIS), Firewall/Plus (Network-1), Firewall-1 (Check Point), Centri (Global Internet) и Eagle (Raptor).

Однако и Windows NT имеет свои проблемы. Мы обнаружили: если брандмауэр, использующий стек TCP/IP компании Microsoft (как все перечисленные продукты, кроме Firewall/Plus компании Network-1), работает под Windows NT, то простой запуск еще одной системы с тем же IP-адресом, что и у брандмауэра (случайность, которая легко может произойти), блокирует работу Windows NT, а вместе с ней и этого брандмауэра.

Брандмауэр PORTUS производства Livermore Software Laboratories International (LSLI), испытанный нами на системе Solaris компании Sun Microsystems, оказался единственным продуктом на базе Unix, который удалось запустить в нашей тестовой лаборатории. При этом нам пришлось немало повозиться с оборудованием, чтобы найти конфигурацию, приемлемую для работы Solaris. Остальные продукты на базе Unix, к которым относятся Black Hole компании Milkyway Networks и Gauntlet компании TIS, работают на BSDI Internet Server компании Berkeley Software Design. Эта ОС Unix оказалась настолько капризной, что мы просто не сумели запустить на ней ни один из указанных продуктов. Служба технической поддержки компании BSDI тоже оказалась не в состоянии заставить свою ОС работать на нашем оборудовании; в результате все три поставщика прислали нам предварительно сконфигурированное оборудование.

Философия безопасности и возможности брандмауэров

Испытывая брандмауэры, мы запускали Firewall Scanner компании Security Systems, и нам не удалось обнаружить каких-либо слабых мест ни в одном из тестируемых продуктов. Это нас не удивило, поскольку все они сертифицированы Национальной ассоциацией компьютерной безопасности (National Computer Security Association - NCSA). Однако это вовсе не означает, что в системе безопасности испытанных брандмауэров в принципе нет ни одного изъяна.

Традиционная система классификации брандмауэров начинается с функций фильтрации пакетов, аналогичных тем, которые встроены в большинство маршрутизаторов, и заканчивается посредниками прикладного уровня, способными "понимать" и фильтровать информацию на самом высоком уровне. Чтобы разобраться в разных брандмауэрах, необходимо понять, как через них проходит трафик. В общем случае брандмауэры делят весь окружающий мир на два лагеря: внутренний (доверенные пользователи) и внешний. Часто то, каким образом и насколько легко брандмауэры разрешают внутренним пользователям устанавливать соединения с внешнем миром, сильно отличается от того, как это происходит в противоположном направлении.

Хотя для Internet-ориентированных брандмауэров часто вполне достаточно наличия всего двух интерфейсов, многим организациям необходимы три интерфейса: один - для Internet, другой - для "публичных" серверов (Web-серверы, серверы новостей и FTP) и третий - для внутренней сети. Если же брандмауэры используются для внутренней сети организации, то для реализации корпоративной политики безопасности может потребоваться более трех ЛВС-соединений.

Firewall/Plus имеет самый "черно-белый взгляд" на то, кому можно доверять, а кому нет. Этот брандмауэр имеет только два интерфейса ЛВС. Один изображается дьяволом, другой - ангелом. AltaVista Firewall также имеет очень сильную ориентацию на деление "внешний - внутренний" и поддерживает лишь два интерфейса ЛВС. Все остальные продукты поддерживают по меньшей мере три интерфейса ЛВС.

Наиболее прозрачный доступ из внутренней сети во внешний мир обеспечивают брандмауэры, основанные на фильтрации пакетов, такие, например, как Firewall-1 компании Check Point. Фильтры пакетов допускают установление "неподдельных" TCP/IP-соединений из защищенной брандмауэром внутренней сети с внешними хостами, проверяя их лишь на соответствие установленной политике безопасности и правилам, заданным в брандмауэре. Главным достоинством таких брандмауэров является то, что они не изменяют IP-адреса проходящих через них пакетов. Это означает, что любой протокол прикладного уровня, использующий IP-адреса, будет корректно работать с этими брандмауэрами без каких-либо изменений или специального программирования.

Брандмауэры, поддерживающие посредники (proxy) прикладного или транспортного уровня, не являются столь прозрачными. Они выполняют над проходящими через них пакетами операцию, которая обычно называется преобразованием сетевых адресов (Network Address Translation - NAT). Как правило, адрес системы, находящейся внутри защищаемой брандмауэром сети, заменяется адресом самого брандмауэра. Если вы используете в своей сети частные (незарегистрированные) адреса и хотите подключиться к Internet, наличие NAT является для вас не просто полезной функцией, а обязательным требованием.

Проблема, связанная с этим подходом, состоит в том, что работа некоторых прикладных протоколов тесно связана с IP-адресами и требует их специальной обработки. Наиболее широко используемым протоколом является FTP. Вследствие его большой популярности все брандмауэры, выполняющие NAT, также включают в себя FTP-ориентированный посредник прикладного уровня. Black Hole компании Milkyway поддерживает оба режима работы: обычно он осуществляет NAT, но если это требуется для работы приложения, брандмауэр может работать и как сервер-посредник без изменения адресов (Milkyway называет это "белой дырой"). Firewall-1 компании Check Point, Centri компании Global Internet и Gauntlet производства TIS тоже до некоторой степени способны работать в обоих режимах.

Не все посредники ведут себя одинако. С точки зрения клиента главное различие между ними состоит в степени их "навязчивости". В случае "ненавязчивого" брандмауэра клиентская система пытается установить соединение через брандмауэр с внешним хостом, используя его IP-адрес. Брандмауэр перехватывает запрос на соединение и устанавливает другое соединение "от имени" пользователя, выступая в качестве посредника между этими двумя узлами. К "ненавязчивым" брандмауэрам-посредникам относятся Centri компании Global Internet, Eagle компании Raptor и Black Hole компании Milkyway. (Для описания подобных соединений не следует использовать термин "прозрачное", поскольку каждый производитель брандмауэров имеет собственное определение этого термина и "прозрачность" соединения у одного производителя может означать полную "непроницаемость" у другого.)

При "навязчивых" соединениях клиент должен явным образом установить соединение с брандмауэром, а затем сообщить брандмауэру, какое соединение тот должен установить. К числу "навязчивых" брандмауэров относятся PORTUS компании LSLI, AltaVista Firewall компании Digital и Gauntlet компании TIS. Хотя "навязчивое" соединение может показаться весьма неудобным решением, многие пользователи Internet даже не узнают, что происходит на самом деле. Популярные Web-браузеры, такие как Netscape Navigator и Microsoft Internet Explorer, имеют встроенную поддержку для работы с "навязчивыми" серверами-посредниками. Несколькими щелчками мышью можно настроить браузер для работы с таким брандмауэром. Посредники вызывают проблемы только при попытках использовать вместе с брандмауэрами необычные протоколы передачи.

Однако даже "ненавязчивые" серверы-посредники не являются гарантией успеха. Например, при тестировании ПО Eagle компании Raptor мы обнаружили, что его посредник неправильно синхронизирует концы соединения, что может привести к потере данных и другим неприятностям.

Интерфейс управления и GUI

Брандмауэры прошли длинный путь от первых систем на базе Unix. Сложные правила информационной защиты теперь могут создаваться относительно легко (к сожалению, не у всех продуктов). Хороший интерфейс настройки является важным компонентом брандмауэра, поскольку лишь в немногих организациях правила обеспечения безопасности никогда не меняются.

Однако наличие красивого графического пользовательского интерфейса (GUI) еще не гарантирует простоты конфигурирования. Например, Firewall/Plus компании Network-1 имеет графический интерфейс, с помощью которого могут выполняться все операции настройки, но пользы от него мало. Не существует простого способа, позволяющего задать диапазон портов, для которых разрешен доступ в обоих направлениях. Centri компании Global Internet также имеет приятный на вид интерфейс, но работа с ним постоянно приводила к сбою программы. К счастью, это никак не повлияло на безопасность, а лишь вызвало трудности при изменении конфигурации брандмауэра.

Оказалось, что удобнее всего конфигурировать PORTUS компании LSLI, Eagle компании Raptor, Black Hole компании Milkyway и AltaVista Firewall компании Digital. Можно сказать, что даже неловкий сетевой администратор вряд ли допустит такую ошибку, которая приведет к нарушению защитных функций этих брандмауэров. Компании Raptor и Milkyway хорошо поработали над упрощением среды настройки своих брандмауэров; администраторы могут легко реализовывать установленную в организации политику безопасности.

Firewall-1 компании Check Point также имеет хорошо продуманный графический интерфейс, однако чрезмерное упрощение некоторых концепций, реализованных в виде полей выбора (check box), может привести к серьезным последствиям. На самом деле, это проблема скорее документации, чем самого интерфейса, поскольку электронная документация к ПО Firewall-1 на редкость бедна. Тем не менее Firewall-1 предоставляет возможность, которой нет ни в одной другой испытанной нами системе, - возможность конфигурирования группы брандмауэров как единой системы. С помощью GUI можно задавать правила и устанавливать их на нескольких брандмауэрах и маршрутизаторах с фильтрацией пакетов по всей корпоративной сети. (Поддерживаются маршрутизаторы компаний Cisco Systems и Bay Networks.) Это облегчает поддержание корпоративных доменов безопасности в согласованном состоянии, что делает Firewall-1 прекрасным решением для тех организаций, которые нуждаются в нескольких внутренних брандмауэрах.

AltaVista Firewall компании Digital также имеет прекрасно спроектированный пользовательский интерфейс, который хорошо соответствует относительной простоте продукта. Этот продукт оказался самым простым в конфигурировании и управлении изо всех рассмотренных.

PORTUS компании LSLI и Gauntlet компании TIS, похоже, прочно застряли в эпохе редактирования текстовых файлов. Чтобы создать или изменить конфигурацию этих брандмауэров, необходимо воспользоваться текстовым редактором. Кроме того, вы должны точно знать, в какой из многочисленных конфигурационных файлов надо вносить изменения. PORTUS - достаточно простой брандмауэр, поэтому он не сильно пострадал от минималистского подхода к интерфейсу управления, однако для Gauntlet это непростительно. Являясь одним из самых старых и богатых функциями брандмауэров, он больше напоминает набор отдельных Unix-приложений, нежели интегрированную систему.

Компания TIS обеспечила экранный графический интерфейс, с чьей помощью можно управлять отдельными файлами, однако даже для выполнения простой настройки необходимо копаться в дополнительных конфигурационных файлах, в которых используется сложный синтаксис и специфические для продукта семантические выражения. Некоторым сетевым администраторам, наверное, понравится возможность такого глубокого погружения во "внутренности" системы, однако если сравнить Gauntlet с такими продуктами, как Black Hole и Eagle, то станет очевидным, что в этом отношении ему до них очень далеко.

Особое внимание мы хотели бы уделить графическому интерфейсу продукта Firewall/Plus. Компания Network-1 выбрала подход, скорее подходящий для анализатора сетевых протоколов, нежели для брандмауэра. ПО проверяет каждый передаваемый кадр на соответствие заданным правилам защиты и принимает решение, пропускать ли его. К преимуществам данного подхода следует отнести то, что Firewall/Plus может работать не только с IP-пакетами, но и с такими протоколами, как IPX, AppleTalk и DECnet.

К сожалению, Network-1 не скрывает от сетевых администраторов никакие сложные функции своего брандмауэра. Возможность постижения того, как вносить даже самые простые изменения в конфигурацию Firewall/Plus, находится почти за пределами человеческого разума (не считая специально обученных администраторов системы безопасности). Можно сравнить этот брандмауэр с Firewall-1 компании Check Point, который обеспечивает не менее сложные функции, однако все они скрыты от пользователей, так что администратор системы безопасности будет сталкиваться с ними только в случае особой необходимости. Хотя Firewall/Plus начинает свою работу с запуска "мастера" настройки, который устанавливает базовую конфигурацию, основанную на наборе недокументированных правил защиты, привести его в соответствие с существующей политикой защиты весьма нелегко. Изменение конфигурации работающего брандмауэра Firewall/Plus заняло у нас больше времени, чем было потрачено на любой другой продукт.

Гибкость и функции

Когда речь идет о брандмауэрах, слово "гибкость" может означать незащищенность. Некоторые продукты, такие как AltaVista Firewall компании Digital и PORTUS компании LSLI, не обеспечивают пользователям большой гибкости. Однако именно благодаря этому практически невозможно "подкрутить" брандмауэр так, чтобы создать незащищенную конфигурацию.

Брандмауэры восприимчивы к новым функциям почти так же, как продукты компании Microsoft. Например, Firewall-1 компании Check Point начинал свою "карьеру" как изощренный фильтр пакетов, сегодня же это еще и преобразователь адресов (NAT), шифрующий шлюз для виртуальной частной сети (Virtual Private Network - VPN) и, частично, сервер-посредник прикладного уровня.

Наибольшим набором функций обладает Gauntlet компании TIS. Являясь старейшим и постоянно совершенствуемым продуктом, он включает в себя больше посредников прикладного уровня, чем любой другой продукт. Брандмауэр также имеет широкий диапазон возможностей для аутентификации пользователей, в том числе четыре вида одноразовых паролей. Вы можете добавлять поддержку шифрованных соединений VPN, фильтрации пакетов, проверки целостности данных и фильтрации содержимого для HTTP-запросов, создавая с помощью этих функций сложную полнофункциональную систему. Список возможностей Gauntlet покорит сердце любого сетевого администратора, которому необходимо построить систему, удовлетворяющую строгим требованиям политики защиты, и который хочет проникнуть во "внутренности" брандмауэра.

Сильным конкурентом Gauntlet является Eagle компании Raptor, который предоставляет многие из функций, обеспечиваемых Gauntlet. Однако он имеет меньшее количество посредников прикладного уровня, в нем нет функций фильтрации пакетов и поддержки VPN в версии для Windows NT, которую мы испытывали (в Unix-версии поддержка VPN реализована). В качестве компенсации Eagle обеспечивает значительно более удобный пользовательский интерфейс управления и конфигурирования, а также встроенную функцию генерации отчетов в реальном времени о попытках вторжения в систему. Некоторые посредники, входящие в состав Eagle, явно страдают недостаточной зрелостью. Например, его функция SMTP-трансляции не поддерживает некоторых распространенных расширений RFC, в том числе PIPELINING, SIZE и 8BIT, а FTP-посредник оказался абсолютно нетерпимым к нашему тестовому клиенту.

Другие продукты достаточно сильно отличаются друг от друга по эффективности поддержки SMTP-трансляции, VPN и других функций. Ни в одном брандмауэре поддержка SMTP-трасляции не показалась нам достаточно интеллектуальной или хотя бы полезной. Обработка электронной почты с помощью почтовой команды sendmail ОС Unix, которую выполняют все испытанные нами брандмауэры, за исключением AltaVista Firewall, осуществляется так, что это немного похоже на игру маленького ребенка с очень хрупкими предметами. Мы настоятельно рекомендуем использовать защищенный почтовый сервер и направлять электронную почту через брандмауэр с помощью сервера-посредника, а не SMTP-транслятора.

Поддержка сетей VPN (которые иногда называют "зашифрованными туннелями") также находится в списке важнейших функций брандмауэров. С помощью VPN вы можете организовать защищенное соединение либо в пределах внутренней сети, либо через общедоступную сеть, такую как Internet. Встроенную поддержку VPN обеспечивают Firewall-1 (Check Point), Unix-версия Eagle (Raptor), Black Hole (Milkyway) и Gauntlet (TIS). Digital поддерживает VPN с помощью отдельного продукта под названием AltaVista Tunnel. Сети VPN чаще всего устанавливаются между двумя брандмауэрами для организации шифрованной связи. Однако сейчас настоятельно требуется новая функция - персональное туннелирование, которое дает конкретному пользователю, работающему в незащищенной сети (такой как Internet) возможность устанавливать защищенное соединение с корпоративной сетью через брандмауэр. В настоящее время персональное туннелирование обеспечивают только Digital и Raptor.

Брандмауэры также различаются широтой своих функций аутентификации. Для повышения степени защиты многие сетевые администраторы предпочитают использовать для доступа к сети удаленных, а иногда и локальных пользователей одноразовые пароли. К популярным средствам аутентификации относятся система S/Key, SecurID компании Security Dynamics Technologies и системы на основе DES компаний Digital Pathways и CryptoCard.

Некоторые новые возможности только начинают проникать в сферу брандмауэров. Одной из них является HTTP-фильтрация на основе анализа URL и содержимого передаваемой информации. В настоящее время фильтрацию содержимого можно использовать, в частности, для защиты от проникновения в локальную сеть Java-аплетов и управляющих элементов ActiveX. Первыми эту функцию начали поддерживать брандмауэры Centri (Global Internet), Gauntlet (TIS) и Firewall-1 (Check Point).

Отчеты и предупреждения

Наиболее слабыми функциями испытанных нами брандмауэров оказались выдача предупредительных сообщений и генерация отчетов. Мы утверждаем, что любой брандмауэр, который не способен посылать предупредительные сигналы при обнаружении нападения, является неполным. Наиболее изощренными в этой области оказались Eagle компании Raptor и AltaVista Firewall компании Digital. Eagle обеспечивает ряд возможностей предупреждения, основанных на частоте событий. Например, можно задать следующее правило: "Если кто-либо запрашивает сеанс telnet более 100 раз в течение 5 минут, это означает, что возникла угроза безопасности сети". Когда включена функция предупреждения, Eagle выдает звуковой сигнал, посылает электронное сообщение или предупреждает администратора иным способом.

В AltaVista Firewall использована иная стратегия. Определено несколько аварийных уровней (состояний) брандмауэра - зеленый, желтый, оранжевый и красный, на каждом из которых можно задавать события, инициирующие переход брандмауэра на следующий уровень и осуществление им определенных действий. Например, брандмауэр позволяет указать, что если обнаружено слишком много неудачных попыток установления сеанса telnet, нужно перейти в "желтое" состояние, запретить работу посредника telnet на два часа и послать вам соответствующее сообщение. Можно дать указание остановить работу брандмауэра в определенной ситуации, например при нехватке свободного пространства на жестком диске. Через некоторое время (для Windows NT оно составляет 2 часа) брандмауэр снижает свой уровень аварийности. AltaVista Firewall отображает свое текущее состояние графически, изменяя соответствующим образом цвет фона на консоли оператора. Нам понравилось наблюдать, как AltaVista Firewall переходит на "оранжевый" уровень, когда мы испытывали его с помощью Firewall Scanner компании ISS.

Брандмауэры, работающие под Unix, такие как PORTUS, Gauntlet и Black Hole, весьма далеки от этих ухищрений. Их производители, видимо, полагают, что сетевой администратор должен разработать некое средство для анализа журналов регистрации событий и формирования предупредительных сообщений. Большинство продуктов очень слабо справляются и с такой важной задачей, как составление итоговых отчетов и рассылка их сетевым администраторам. Например, Centri компании Global Internet систематически посылает по электронной почте длинные, с трудом воспринимаемые отчеты. Любой сетевой администратор, заваленный такой информацией, очень скоро начнет просто игнорировать ее, а значит, пропускать сообщения о реальных проблемах. ПО генерации отчетов, включенное компанией Raptor в систему Eagle, слабее среднего уровня, однако компания предлагает дополнительный пакет, призванный помочь администраторам в анализе сетевого трафика.

На фоне слабых возможностей генерации отчетов, отмеченных в большинстве продуктов, выделяются Gauntlet, AltaVista Firewall и Black Hole. Gauntlet и AltaVista Firewall автоматически генерируют и посылают отчеты через заданные интервалы времени. Брандмауэр Black Hole компании Milkyway имеет и вовсе уникальные возможности составления отчетов. Он хранит собранную информацию в реляционной базе данных (Postgres) и позволяет использовать для генерации отчетов либо предварительно написанные сценарии, либо SQL-запросы.

Что же в итоге?

Хотелось бы еще раз подчеркнуть, что брандмауэры не являются универсальными продуктами. Каждый из них разработан на основе определенной философии безопасности. Настройка, которая легко может быть выполнена в одном продукте, в другом вообще недопустима. Невозможно правильно выбрать брандмауэр для вашей организации, не решив, как вы будете его устанавливать, настраивать, поддерживать и администрировать. Надеемся, что наш обзор поможет вам сделать правильный выбор и дать достойный отпор компьютерным варварам.

Результаты тестирования брандмауэров

Брандмауэры: за и против

Как проводилось тестирование?

Мы обращали внимание на такие показатели как поддержка разных платформ, ширина диапазона основных возможностей, удобство интерфейса управления, гибкость, а также возможности генерации отчетов и выдачи предупредительных сигналов. Вследствие большого интереса пользователей к Windows NT мы, если это возможно, оценивали версии брандмауэров, предназначенные для работы на этой платформе. Испытательный компьютер был оснащен процессором Pentium 133 МГц и 32 Мбайтами ОЗУ. Для тестирования некоторых продуктов мы использовали готовые программно-аппаратные комплексы, предоставленные нам производителями.

Для каждой сети найдется свой брандмауэр

Отвечая на высокую активность пользователей в области Internet и интрасетей, производители брандмауэров бешеными темпами выпускают мощные продукты для Unix, Windows NT, а также готовые комплексы, простые в установке и настройке. В дополнение к традиционным функциям постоянно расширяется поддержка брандмауэрами виртуальных частных сетей (VPN) на базе Internet и совершенствуются средства управления брандмауэрами. Широкий спектр имеющихся на рынке продуктов должен облегчить поиск того единственного пакета, который в точности соответствует политике безопасности, принятой в компании, работая как шлюз прикладного уровня, посредник приложений или фильтр пакетов.

Самую высокую степень защиты обеспечивают брандмауэры прикладного и экспертного уровней. Проверяя информацию прикладного уровня на соответствие набору установленных правил безопасности, брандмауэры прикладного уровня решают, можно ли предоставить пользователю доступ к конкретному приложению. Если доступ разрешен, брандмауэр выполняет некоторый вид преобразования адресов пакетов и становится посредником в передаче пакетов между внутренней сетью и Internet, скрывая таким образом внутренние сетевые адреса от внешнего мира. Подавляющее большинство продуктов, рассмотренных в нашем обзоре, обеспечивает именно такой уровень защиты. Брандмауэры предоставляют возможности защиты доступа для разнообразных приложений, в том числе telnet, FTP, NFS, SMTP и др.

Ряд брандмауэров поддерживает передовую технологию фильтрации пакетов, которую иногда называют фильтрацией экспертного уровня, или фильтрацией с контролем состояния соединения (statefull inspection). Эта гибридная технология позволяет отслеживать контекст (или состояние) сетевого соединения, перехватывая пакеты на сетевом уровне и извлекая из них информацию прикладного уровня, которая используется для контроля за соединением. Среди поставщиков, обеспечивающих поддержку данной технологии, компании Check Point Software, Network-1 и некоторые другие, не принимавшие участия в наших испытаниях.

Айра Мачевски, аналитик по вопросам Internet из Giga Information Group, утверждает, что сейчас фильтрация экспертного уровня становится одной из функций маршрутизаторов и других устройств доступа к сети, которые раньше осуществляли фильтрацию пакетов только на основе сетевых адресов. Например, компании Bay Networks и Check Point заключили партнерское соглашение с целью переноса разработанной Check Point архитектуры брандмауэра экспертного уровня на маршрутизаторы Bay. Компания Cisco Systems разработала собственную технологию брандмауэра экспертного уровня и реализовала ее в продукте Cisco PIX Firewall.

Еще одной важной тенденцией на рынке брандмауэров является перенос ПО на новые платформы. До недавнего времени подавляющее большинство брандмауэров работало исключительно под Unix. Современные системы на базе Windows NT составляют им весьма серьезную конкуренцию, обеспечивая приемлемую защиту и удобство в управлении. Однако, как утверждает Тэд Джулиан, руководитель исследований в области Internet из компании IDC, Windows NT является относительно новой системой, которая имеет миллионы строк кода, и вполне возможно, что она имеет еще не выявленные изъяны системы защиты. Тем не менее, утверждает Джулиан, благодаря широкому распространению интерфейса Windows брандмауэры на базе NT значительно легче поддаются настройке, чем их конкуренты на базе Unix, что уменьшает вероятность нарушения системы защиты. "Вам нечего беспокоиться об NT, если вы работаете в небольшой или среднего размера компании, - говорит Майкл Зборэй, вице-президент по сетевой безопасности из компании Gartner Group. - Поставщики, среди которых Seattle Software Labs, Secure Computing и Cisco, поставляют готовые системы, которые требуют минимальной настройки и предлагают удобный для ее выполнения графический интерфейс.

Согласно некоторым исследованиям, вскоре ожидается широкое распространение виртуальных частных сетей (VPN) на базе Internet - защищенных областей общедоступной сети, которые создаются за счет шифрования передаваемых данных. "Наличие шифрованных каналов на базе Internet является обязательным для передачи любых важных данных по общедоступным каналам и очень важно для международных линий связи", - говорит Аллен Лейбовитц, президент компании Anzen Computing. По его словам, вы можете получить очень существенную экономию средств, договорившись со своим провайдером о соединении ваших офисов через Internet, вместо того чтобы использовать для этой цели арендованные линии.

Большинство поставщиков используют в своих брандмауэрах специализированное ПО шифрования данных. Однако ряд производителей брандмауэров и ПО TCP/IP вместе с компанией RSA Data Security пытаются разработать стандарты, которые должны обеспечить совместимость различного шифровального ПО. Эта инициатива получила название S/WAN и направлена на реализацию разработанного IETF стандарта безопасности IPSec в протоколе нового поколения IPv6.

Защита, которую обеспечивают современные брандмауэры, сейчас распространяется и на средства их администрирования. Достижения шифровальной технологии и развитые средства аутентификации способствуют более защищенному удаленному администрированию. Некоторые компании - например, Check Point, Raptor Systems и Trusted Information Systems - обеспечивают в своих продуктах централизованное управление несколькими брандмауэрами. Однако, как утверждает Питер Вогель, главный редактор бюллетеня The Firewall Report, публикуемого исследовательской фирмой Outlink, пользователи вскоре начнут требовать от поставщиков интегрированные средства управления политикой безопасности, охватывающие различные брандмауэры, маршрутизаторы и серверы.

Как утверждает Зборэй из Gartner Group, одним из аспектов, на который следует обратить внимание при выборе брандмауэра, является возраст исходного кода. Чем старше продукт, тем меньше вероятность появления неисправленной ошибки в его исходном коде. К числу проверенных производителей относится, например, компания Trusted Information Systems (TIS), которая кроме собственно брандмауэра поставляет ПО TIS Firewall Toolkit, используемое в качестве платформы для многих других брандмауэров. Рон Хэйл, главный менеджер по компьютерной безопасности компании Deloitte & Touche LLP, рекомендует после приобретения и установки ПО брандмауэра периодически проверять эффективность его работы. "Это не то же самое, что покупать сервер или базу данных, когда вы имеете долгосрочную гарантию работоспособности, - говорит он. - Продукт, который защищает вас сейчас, может не уберечь от будущих нападений". Хейл советует работать только с проверенными производителями надежных продуктов, и периодически устанавливать программные "заплаты", которые позволяют защищать сеть от новейших видов нападений из Internet.

CyberGuard Firewall 3.0

Когда наши испытания уже были завершены, мы обнаружили, что еще один производитель брандмауэров выпустил продукт, соответствующий нашим критериям отбора. Это CyberGuard Firewall 3.0 компании CyberGuard Software (www.cyberguardcorp.com). Ниже приведено краткое описание его возможностей (по материалам специального обзора для правительственных организаций, опубликованного в еженедельнике Network World 10 февраля 1997 г. - Прим. ред.).

CyberGuard Firewall 3.0 - это один из самых мощных брандмауэров, которые мы встречали. Работая на стандартной платформе Intel и поддерживая многопроцессорные системы, CyberGuard Firewall обеспечивает все функции и возможности своих предшественников без каких-либо заметных изъянов. Нам особенно понравилось то, что в комплект поставки брандмауэра входят две загрузочные дискеты и лента с резервной копией продукта. В случае фатального сбоя на сервере администратор без труда восстановит ПО с ленты и быстро запустить его. Нам также понравилось решение компании CyberGuard перенести ПО на ОС Unix, работающую на стандартной платформе Intel. В прошлом компания поставляла собственное патентованное оборудование, которое служило дополнительным средством безопасности, исключающим нелегальное копирование ПО. Однако если злоумышленники получали физический доступ к вашему брандмауэру, у вас могли возникнуть еще большие проблемы.

Установка

Поскольку в стоимость ПО компании CyberGuard входит плата за посещение вас техническим специалистом компании, трудно себе представить более простую установку брандмауэра. Достаточно высказать свои идеи относительно политики защиты, которую нужно реализовать, и представитель CyberGuard соответствующим образом сконфигурирует брандмауэр или поможет вам самостоятельно осуществить данную процедуру, если вы хотите научиться этому. При отсутствии у вас четкого представления о политике безопасности CyberGuard посоветует выбрать стандартный вариант конфигурации. Если вам нужно сконфигурировать систему самостоятельно - скажем, при восстановлении после сбоя, - весь процесс настройки не вызовет у вас особых затруднений. Потратив всего минут 15, мы смогли полностью перенастроить наш тестовый сервер.

Поскольку ПО разработано специально для поставляемого оборудования, не предоставляются никакие машинозависимые возможности настройки. И хотя мы предпочитаем открытую архитектуру, которая позволяет использовать собственный компьютер, получение предварительно сконфигурированного брандмауэра сильно сокращает необходимое время настройки системы. Даже такие продвинутые возможности как преобразование IP-адресов, реализованы настолько элегантно, что для их активизации необходимо выполнить всего одну простую операцию.

Администрирование

Изо всех испытанных нами продуктов консоль администратора в системе CyberGuard, несомненно, является наиболее элегантно реализованной и простой в использовании. Все элементы пользовательского интерфейса очень удобны: опции настройки всегда оказывались именно в том месте, где мы ожидали их обнаружить. В отличие от предыдущих версий продукта мы не нашли в интерфейсе администрирования никаких заметных изъянов.

Правила фильтрации пакетов отображаются на экране в виде простой для понимания таблицы и выполняются, начиная с ее верхней строчки. Создание новых правил - простая и интуитивная операция. Настройка таких сложных функций как преобразование IP-адресов и обнаружение IP-спуфинга (spoofing), выполняется с помощью простейших операций мышью, после чего эти функции немедленно вступают в действие. Такие "умные" возможности администрирования, несомненно, ускоряют процесс адаптации менеджеров информационных систем к мощным технологиям защиты.

Для выполнения удаленного администрирования CyberGuard поставляет дополнительный продукт.

Гибкость

Поддержка посредников (proxy) и фильтрации пакетов делает CyberGuard очень гибким решением. Преобразование IP-адресов - еще одна функция, которая позволяет сетевым администраторам конфигурировать брандмауэр для работы в конкретных условиях. Имеются посредники практически для всех популярных протоколов, в том числе Real-Audio и некоторых других протоколов UDP (User Datagram Protocol). CyberGuard также поддерживает широкий спектр способов аутентификации. Имеется возможность ограничения доступа на основе дат и времени.

Возможности защиты

Протестировав ПО CyberGuard в его исходной конфигурации, мы обнаружили, что брандмауэр не пропускает вообще никакой трафик. Когда мы задали свои правила доступа, он стал пропускать только тот трафик, который мы и намеревались разрешить.

Резюме

CyberGuard представляет собой надежное готовое решение, исключительно простое в настройке и администрировании. Благодаря поддержке многопроцессорных Intel-совместимых компьютеров старшего класса можно использовать CyberGuard Firewall в качестве брандмауэра интрасети и обеспечивать скорости 10Base-T и выше.

Решения о выборе брандмауэров не всегда очевидны

Продолжающаяся война между производителями Web-серверов и браузеров не может отвлечь внимание менеджеров информационных систем от одного из главных элементов корпоративной стратегии в отношении Internet - брандмауэра. Число производителей брандмауэров постоянно растет. Среди них - компании, специализирующиеся на средствах защиты (такие как Check Point Software Technologies, являющаяся лидером рынка брандмауэров), производители маршрутизаторов (например, Cisco) и компьютеров (Digital, IBM и Sun Microsystems).

Две крупные американские компании поделились своим опытом оценки и выбора брандмауэров. Одна из них выбрала Gauntlet компании Trusted Information Systems (TIS), а другая предпочла гибридное решение, состоящее из Gauntlet и Firewall-1 компании Check Point.

Гибридное решение

В 1994 г., когда First Union Capital Bank (шестой по величине банк в США) начал искать для себя подходящий брандмауэр, на рынке было не так тесно, а сами продукты обеспечивали не такие широкие возможности, как сейчас. "Нам пришлось сразу отказаться от большинства имеющихся на рынке продуктов, поскольку они не соответствовали нашим базовым критериям", - говорит Коламбус Купер, вице-президент банка First Union. По словам Купера, банку требовалось решение, которое усилило бы защиту на сетевом уровне, позволяло отслеживать действия на уровне операционной системы и обеспечило выдачу аварийных сигналов и предупреждений в графической форме. "Мы хотели получить контроль выше уровня маршрутизаторов - на уровне ОС Unix или хоста, - говорит Купер. - Маршрутизаторы не хранят информацию о состоянии, поэтому с их помощью невозможно получить никаких предупредительных сигналов. Кроме того, они не позволяют отслеживать события в реальном времени, чтобы получить важные сведения о том, как отрабатываются заданные правила защиты".

Купер потратил около трех месяцев, оценивая различные брандмауэры. По его словам, технические требования были единственным критерием оценки; стоимость не имела значения, поскольку потенциальные потери банка перевешивают любые разумные затраты. "Банк - это очень привлекательная цель для хакеров", - говорит Купер. Купер сокращал список имеющихся брандмауэров, пока в нем не осталось всего несколько продуктов, но никак не мог найти то, что устроило бы его во всех отношениях. И тогда он принял решение использовать "гибридный" подход: объединил ПО двух брандмауэров - Gauntlet компании TIS и Firewall-1 компании Check Point. (Gauntlet, который изначально работал под SunOS, к настоящему времени "переехал" на ОС Sun Solaris, работающую на сервере Sparc 20.) "Чтобы получить нужный нам набор возможностей, мы взяли отдельные части двух очень удачных, на наш взгляд, продуктов, - говорит Купер. - По существу, нам понравились некоторые функции прикладного уровня брандмауэра Gauntlet и возможности мониторинга продукта Firewall-1".

Купер установил ряд посредников брандмауэра Gauntlet для таких служб, как SMTP, FTP и HTTP. Firewall-1 использует вместо посредников альтернативный подход, называемый Stateful Inspection (фильтрация с контролем состояния), который обеспечивает поддержку приложений сторонних поставщиков через набор интерфейсов API. Поскольку Firewall-1 является лидирующим продуктом на рынке, для него имеется широкий выбор приложений независимых поставщиков, предназначенных для поиска вирусов, URL-фильтрации и т.д.

Банк First Union собирается и дальше использовать свое гибридное решение, даже несмотря на появление продуктов, обеспечивающих те функции, которые отсутствовали в брандмауэрах несколько лет назад, когда Купер принял решение о выборе продуктов. "Мы не испытываем никаких затруднений, поддерживая два продукта, и сегодня я бы принял такое же решение, - говорит Купер. - У нас была возможность его изменить, но мы от нее отказались".

Шифрование в глобальной интрасети

Как и большинство других высокотехнологичных компаний, Intersolv - разработчик программного обеспечения с годовым оборотом 150 млн дол. - начала использовать Internet несколько лет назад для маркетинга своих продуктов. И сразу же встал вопрос о выборе подходящего брандмауэра. По словам Фернандо Кампа, менеджера компании по информационным технологиям, в то время выбор было сделать несложно. "Trusted Information Systems оказалась единственной компанией, которая поставляла то, что нам было нужно, - говорит он. Камп признает, что существовали и другие хорошие продукты, однако для работы с ними обязательно требовались специалисты по Unix, а в то время сеть компании была полностью построена на базе продуктов Novell и никакого опыта работы с Unix Intersolv не имела. TIS же предоставила решение "под ключ", помогла с его установкой и обучила технический персонал компании.

"Нас не беспокоит, что сейчас, возможно, есть уже более совершенные брандмауэры, чем Gauntlet, - говорит Грег Геиринг, вице-президент по информационным службам компании Intersolv. - Для нас важнее то, что TIS обеспечивает непрерывную техническую поддержку своего продукта". По словам Геиринга, Gauntlet не только стал подходящим решением на тот момент, когда Intersolv его приобрела, но и превратился в один из долгосрочных элементов корпоративной стратегии защиты. Со времени установки компанией этого брандмауэра она развернула ПО корпоративного планирования ресурсов R3 компании SAP по всей своей интрасети международного масштаба. Защищенность транзакций, выполняемых данной системой, имеет для Intersolv жизненно важное значение. Gauntlet, единственный брандмауэр, для которого Госдепартамент США разрешил экспорт 56-битных шифровальных ключей, является одним из главных компонентов магистральной корпоративной интрасети.

"Примерно шесть месяцев назад мы решили посмотреть, какие продукты предлагают другие поставщики, - говорит Геиринг. - У нас не было никакой реальной причины заменять работающий брандмауэр, но поскольку на рынке появилось много новых продуктов, мы захотели их оценить". В результате компания пришла к выводу, что Gauntlet по-прежнему является для нее лучшим решением. Недавно Intersolv наняла одну аудиторскую компанию, утверждавшую, что она способна "взломать" защиту любого брандмауэра. "Нашу систему защиты им так и не удалось взломать", - похвалился Геиринг.