Компания NetScreen Technologies планирует начать выпуск устройств, которые объединят в себе межсетевой экран, механизмы поддержки виртуальной частной сети и ПО, предупреждающее несанкционированный доступ. Таким образом клиенты фирмы смогут обеспечивать полную безопасность своей сети, не устанавливая дополнительного оборудования.

Комбинированное устройство, имя которому пока не присвоено, должно появиться на рынке в ближайшие полтора года. Этот продукт позволит упростить обработку информации и снизить нагрузку на сеть при работе приложений, обеспечивающих ее безопасность. Кроме того, компания собирается обновить управляющее ПО NetScreen-Global. С его помощью можно будет централизованно настраивать политику предотвращения несанкционированного доступа.

Новая аппаратная платформа предназначена для выполнения в режиме реального времени всех функций, связанных с организацией защиты. «Конкурирующие с NetScreen компании TippingPoint Technologies, CrossBeam Systems и CloudShield также работают над созданием высокопроизводительного оборудования аналогичного назначения, — сообщил научный директор фирмы Gartner Джон Пескатор, курирующий вопросы сетевой безопасности. — Однако NetScreen уже сумела сформировать достаточно солидную клиентскую базу за счет продажи высокоскоростных межсетевых экранов, а также базирующихся на заказных микросхемах устройств, предназначенных для организации виртуальных частных сетей».

«Интеграция в едином продукте межсетевого экрана и средств предупреждения несанкционированных вторжений способствует централизации управления политикой безопасности, — пояснил Стивен Гилл, технический аналитик компании Greenwich Technology Partners, которая уже внедрила у себя оборудование поддержки VPN и межсетевых экранов NetScreen. — Межсетевой экран все равно изучает каждый пакет, проходящий через сеть, так почему бы ему одновременно не контролировать возможность несанкционированного доступа?»

«Для работы на гигабитных скоростях устройствам защиты требуются специализированные процессоры, например те, которые выпускает NetScreen, — отметил Пескатор. — Необходимо тщательно анализировать каждый пакет на аппаратном уровне».

Руководство NetScreen решило приобрести технологию обнаружения вторжений у компании OneSecure — разработчика программного обеспечения Intrusion Detection and Prevention (IDP), предназначенного для установки на ПК. В октябре NetScreen намерена купить пакет акций OneSecure на сумму 40,3 млн долл., после чего IDP будет продаваться под торговой маркой своего нового владельца. К середине следующего года фирма планирует довести производительность анонсированного устройства комплексной защиты сети до 1 Гбит/с, с тем чтобы оно не оказалось узким местом в сетях Gigabit Ethernet.

Поскольку программное обеспечение IDP предусматривает использование внешних средств хранения, для полной интеграции IDP с межсетевым экраном и ПО поддержки виртуальных частных сетей NetScreen потребуется оснастить аппаратную платформу дополнительной памятью. Представители разработчика сообщили, что на такую интеграцию уйдет около полутора лет.

Пескатор не рекомендует использовать подобные устройства для организации удаленных подключений к виртуальной частной сети через Internet. Дело в том, что при наличии большого количества удаленных соединений усложняется настройка параметров безопасности. Однако данное оборудование вполне подходит для организации связи между отдельными узлами виртуальной частной сети, так как в этом случае число отдельных VPN-соединений заметно сокращается.

Программные продукты, позволяющие предотвращать несанкционированный доступ, обеспечивают проверку трафика на наличие сигнатур, которые обычно присутствуют в отправленных злоумышленниками пакетах. Некоторые системы ищут заданные сигнатуры во всех пакетах — независимо от того, могут ли они причинить вред даже теоретически. Действительно, говорят сотрудники OneSecure, атаки типа Sendmail Wiz Attacks на серверы, работающие по протоколу SMTP (Simple Mail Transfer Protocol), имеют характерные сигнатуры. Но для предотвращения ущерба достаточно проанализировать лишь определенные управляющие пакеты соединения и, если сигнатура будет найдена, блокировать пользователя.

Стоимость нового оборудования будет обнародована после завершения работ по его проектированию.