Поддержка цифровой подписи
Смена IP-адресов
Определение политики защиты
Подводя черту

Большинство современных брандмауэров не выполняют фильтрацию содержимого и служат лишь для контроля за входящими и исходящими соединениями, что оставляет систему уязвимой со стороны различных исполняемых кодов. Чтобы прикрыть эту лазейку, продукт SafeGate 1.0 фирмы Security7 Software фильтрует загружаемое содержимое.

Продукт способен работать как автономно, так и в виде дополнения к имеющейся системе на базе брандмауэра. SafeGate "заглядывает" внутрь каждого программного модуля Java, Active X, DLL или EXE и "на лету" выполняет его анализ на основе заданных вами правил защиты. Если объект не соответствует этим критериям, SafeGate запрещает его применение в клиентской системе.

SafeGate действует как автономный шлюз, что отличает его от других средств фильтрации содержимого, основанных на модулях-посредниках (proxy). К ним относится, например, Norton AntiVirus (NAV) Firewall фирмы Symantec, который действует совместно с брандмауером как средство проверки данных на входе сети. Кроме блокирования содержимого SafeGate хорошо приспособлен к отслеживанию трафика (для NAV эта задача в принципе невыполнима).

Поддержка цифровой подписи

SafeGate легко инсталлировать, применять и настраивать. Он может достаточно хорошо масштабироваться, чтобы справляться с интенсивным трафиком крупных сетей. Он даже работает с управляющими элементами, на которых стоит цифровая подпись Центра сертификации (Certificate Authority, или CA), удостоверяющая происхождение данного элемента. Например, если CA выясняет, что управляющий элемент был выпущен и подписан Microsoft, то он удостоверяет действенность его цифровой подписи. Фирма Security7 заявляет, что SafeGate является первым средством фильтрации, которое полностью поддерживает цифровую подпись.

При необходимости продукт способен также разархивировать ZIP-, JAR- и CAB-файлы, чтобы исследовать их содержимое для обработки согласно заданным правилам защиты. Кроме того, SafeGate основан на использовании шлюза, поэтому обеспечивает централизованное управление установленными в сети шлюзами.

Поскольку SafeGate тесно связан с ядром ОС, он обеспечивает более высокую производительность, чем продукты, работающие в пользовательском режиме. Основанная на ядре архитектура в сочетании с технологией разбиения объектов на более мелкие фрагменты дают возможность очень быстро анализировать в режиме реального времени аплеты и компонентные объекты, не оказывая особого влияния на производительность сети. В этом отношении архитектура SafeGate существенно отличается от архитектуры других средств фильтрации содержимого, таких как основанный на посредниках NAV Firewall.

Смена IP-адресов

Инсталляция продукта сравнительно проста, но кое-что надо заранее спланировать. Чтобы SafeGate мог выполнять свою работу, ваш Internet-трафик должен проходить через него. Я обнаружил, что простейший способ ввести это средство в топологию сети состоит в том, чтобы поместить его между внутренней сетью и брандмауэром.

Ваш брандмауэр уже имеет собственную IP-адресацию, а рабочие станции, скорее всего, используют один из адресов брандмауэра в качестве TCP/IP-шлюза. Поэтому вместо того, чтобы переконфигурировать все рабочие станции, задавая новый адрес шлюза, удобнее просто сменить адрес брандмауера. При этом нужно передать его старые адреса серверу SafeGate и настроить этот сервер на использование нового адреса брандмауера в качестве собственного шлюза. При такой схеме трафик следует от рабочей станции к SafeGate, затем передается брандмауэру и выходит в Internet - это требует минимальных усилий и настроек. Входящий трафик проследует тем же путем в обратном направлении и будет обследован сервером SafeGate на пути в вашу сеть в соответствии с политикой защиты, заданной в системе SafeGate.

Программа инсталляции SafeGate предлагает три способа установки этого ПО. Можно установить все компоненты (Control Center, база данных, служба Gateway, Policy Manager и Audit Viewer) на одну машину. Другая возможность заключается в том, чтобы установить службу Gateway на одну машину, а остальные компоненты - на рабочую станцию администратора по безопасности. Наконец, если вы имеете дело с сетью на крупном предприятии, где управленческие задачи скорее всего распределены между несколькими администраторами, то можно установить службу Gateway на одной машине, Control Center и базу данных - на другой, а средства управления (Policy Manager и Audit Viewer) - на третьей.

Служба Gateway работает под Windows NT, а остальные компоненты - как под Windows NT, так и под Windows 95.

Определение политики защиты

Установив SafeGate, необходимо определить, каким образом сервер должен отсеивать содержание. Это осуществляется с помощью модуля Policy Manager, который имеет "мастер" Quick Setup Wizard, делающий задачу начальной настройки достаточно безболезненной. Определив правила защиты, вы можете передать их на выбранные вами шлюзы SafeGate.

SafeGate добавляет весьма ценный защитный слой к традиционным брандмауэрам. Неважно, установлены они уже или нет, но если ваша сеть подключена к Internet, я бы рекомендовал вам внимательно присмотреться к продукту SafeGate.

Подводя черту

SafeGate 1.0
Это ПО фильтрации содержимого представляет собой важное недостающее звено для многих реализаций брандмауэров и отфильтровывает загружаемые из Internet потенциально опасные исполняемые модули.
Производитель: Security7 Software (http://www.security7.com)
Достоинства: высокая производительность; тесная связь с ядром ОС; гибкая настройка; хорошая масштабируемость; поддержка исполняемых файлов с цифровой подписью
Недостатки: высокая стоимость
Платформы: для Gateway - Windows NT; для компонентов управления - Windows 95 или Windows NT
Стоимость: 3990 дол. - до 100 рабочих станций; 8990 дол. - неограниченное число рабочих станций


Эдвардс (Edwards) - сетевой инженер и консультант из фирмы Netropolis Technology Group (NTg). С ним можно связаться по адресу mark@ntshop.net.

Поделитесь материалом с коллегами и друзьями