Ce protejăm cu firewall-uri. ·Firewall cu filtrare de pachete. În loc să utilizeze programe intermediare specifice aplicației, firewall-urile la nivel de expert folosesc algoritmi speciali pentru a recunoaște și procesa datele la nivel de firewall.

Rețeaua are nevoie de protecție împotriva amenințărilor externe. Furtul de date, acces neautorizat iar deteriorarea poate afecta rețeaua și poate cauza pierderi grave. Utilizare programe specialeși dispozitive pentru a vă proteja de influențele distructive. În această recenzie vom vorbi despre firewall și vom analiza principalele sale tipuri.

Scopul firewall-urilor

Firewall-urile (Firewall-urile) sau firewall-urile sunt măsuri hardware și software pentru a preveni influențele negative din exterior. Un firewall funcționează ca un filtru: din întregul flux de trafic este filtrat doar traficul permis. Aceasta este prima linie de apărare între rețelele interne și cele externe, cum ar fi Internetul. Tehnologia a fost folosită de 25 de ani.

Nevoia de firewall-uri a apărut când a devenit clar că principiul conectivității complete la rețea nu mai funcționează. Calculatoarele au început să apară nu numai în universități și laboratoare. Odată cu răspândirea PC-urilor și a internetului, a devenit necesară separarea rețelelor interne de cele externe nesigure pentru a vă proteja de intruși și pentru a vă proteja computerul de hacking.

Pentru a proteja rețeaua corporativă, este instalat un firewall hardware - acesta poate fi dispozitiv separat sau parte a unui router. Cu toate acestea, această practică nu este întotdeauna aplicată. Mod alternativ- instalați un firewall software pe computerul care necesită protecție. Un exemplu este firewall-ul încorporat în Windows.

Este logic să utilizați un firewall software pe un laptop al companiei pe care îl utilizați într-o rețea securizată a companiei. În afara zidurilor organizației te găsești într-un mediu neprotejat - firewall instalat vă va proteja în călătoriile de afaceri, când lucrați în cafenele și restaurante.

Cum functioneazã firewall

Filtrarea traficului are loc pe baza unor reguli de securitate prestabilite. În acest scop, este creat un tabel special în care se introduce o descriere a datelor care sunt acceptabile și inacceptabile pentru transmitere. Firewall-ul nu permite trafic dacă una dintre regulile de blocare din tabel este declanșată.

Firewall-urile pot refuza sau permite accesul pe baza parametri diferiți: adrese IP, nume de domenii, protocoale și numere de porturi, precum și combinați-le.

adrese IP. Fiecare dispozitiv care utilizează protocolul IP are o adresă unică. Poți întreba adresa specifica sau interval pentru a opri încercările de a primi pachete. Sau invers - acordați acces doar la un anumit cerc de adrese IP.
Porturi. Acestea sunt punctele care oferă aplicațiilor acces la infrastructura de rețea. De exemplu, protocol ftp folosește portul 21, iar portul 80 este pentru aplicațiile utilizate pentru navigarea pe site-uri web. Acest lucru ne oferă posibilitatea de a împiedica accesul la anumite aplicații și servicii.
Numele domeniului. Adresa resursei Internet este, de asemenea, un parametru de filtrare. Puteți bloca traficul de pe unul sau mai multe site-uri. Utilizatorul va fi protejat de conținutul neadecvat, iar rețeaua de efecte dăunătoare.
Protocol. Firewall-ul este configurat pentru a permite traficul unui protocol sau pentru a bloca accesul la unul dintre ele. Tipul de protocol indică setul de parametri de securitate și sarcina pe care o îndeplinește aplicația pe care o folosește.

Tipuri de ITU

1. Server proxy

Unul dintre fondatorii ITU, care acționează ca o poartă pentru aplicații între interne și rețele externe. Serverele proxy au alte funcții, inclusiv protecția datelor și stocarea în cache. În plus, nu permit conexiuni directe din afara granițelor rețelei. Utilizarea de funcții suplimentare poate pune o presiune excesivă asupra performanței și poate reduce debitul.

2. Firewall cu monitorizarea stării sesiunii

Ecranele cu capacitatea de a monitoriza starea sesiunilor sunt deja o tehnologie consacrată. Decizia de a accepta sau de a bloca date este influențată de stare, port și protocol. Astfel de versiuni monitorizează toată activitatea imediat după deschiderea conexiunii până când aceasta este închisă. Sistemul decide dacă blochează sau nu traficul, pe baza regulilor și contextului stabilit de administrator. În al doilea caz, se iau în considerare datele pe care ITU le-a furnizat din conexiunile anterioare.

3. ITU Managementul unificat al amenințărilor (UTM)

Dispozitiv complex. De regulă, un astfel de firewall rezolvă 3 probleme:

monitorizează starea sesiunii;
previne intruziunile;
efectuează scanare antivirus.

Uneori, firewall-urile actualizate la versiunea UTM includ și alte funcționalități, de exemplu: managementul cloud.

4. Firewall de generație următoare (NGFW)

Un răspuns la amenințările moderne. Atacatorii dezvoltă în mod constant tehnologii de atac, găsesc noi vulnerabilități și se îmbunătățesc malwareși fac mai dificilă respingerea atacurilor la nivel de aplicație. Un astfel de firewall nu numai că filtrează pachetele și monitorizează starea sesiunilor. Este util în întreținere securitatea informatiei datorita urmatoarelor functii:

luarea în considerare a caracteristicilor aplicației, ceea ce face posibilă identificarea și neutralizarea programelor rău intenționate;
apărare împotriva atacurilor în curs de la sistemele infectate;
o bază de date actualizată care conține descrieri ale aplicațiilor și amenințărilor;
Monitorizarea traficului care este criptat folosind protocolul SSL.

5. Firewall de nouă generație cu protecție activă împotriva amenințărilor

Acest tip de firewall este o versiune îmbunătățită a NGFW. Acest dispozitiv ajută la protejarea împotriva amenințărilor avansate. Funcționalitatea suplimentară poate:

luați în considerare contextul și identificați resursele care sunt cele mai expuse riscului;
respinge rapid atacurile prin automatizarea securității, care gestionează în mod independent protecția și stabilește politici;
identificarea activităților care distrag atenția sau suspecte prin utilizarea corelării evenimentelor în rețea și pe computere;

Această versiune a paravanului de protecție NGFW introduce politici unificate care simplifică foarte mult administrarea.

Dezavantajele ITU

Firewall-urile protejează rețeaua de intruși. Cu toate acestea, trebuie să luați în serios configurația lor. Fiți atenți: dacă faceți o greșeală la configurarea parametrilor de acces, veți provoca vătămări și firewall-ul va opri traficul necesar și inutil, iar rețeaua va deveni inoperabilă.

Utilizarea unui firewall poate duce la o scădere a performanței rețelei. Amintiți-vă că interceptează tot traficul de intrare pentru inspecție. Când rețeaua este mare, încercarea prea mare de a impune securitatea și introducerea mai multor reguli va face ca rețeaua să devină lentă.

Adesea, un firewall nu este suficient pentru a securiza complet o rețea de amenințările externe. Prin urmare, este utilizat împreună cu alte programe, cum ar fi antivirus.

\\ 06.04.2012 17:16

Un firewall este un set de sarcini pentru a preveni accesul neautorizat, deteriorarea sau furtul datelor sau altele impact negativ, care poate afecta performanța rețelei.

Firewall, numit și firewall(din engleză Firewall) sau firewall de pe gateway vă permite să furnizați acces securizat utilizatorii la Internet, protejând în același timp conexiunile la distanță la resursele interne. Firewall caută prin tot traficul care trece între segmentele de rețea și pentru fiecare pachet ia o decizie - să treacă sau să nu treacă. Un sistem flexibil de reguli firewall vă permite să refuzați sau să permiteți conexiuni pe baza numeroși parametri: adrese, rețele, protocoale și porturi.

Metode de monitorizare a traficului între rețelele locale și externe

Filtrarea pachetelor. În funcție de faptul dacă pachetul primit îndeplinește condițiile specificate în filtre, acesta este trecut în rețea sau aruncat.

Inspecție de stat. În acest caz, traficul de intrare este inspectat - una dintre cele mai avansate metode de implementare a unui Firewall. Inspecția nu înseamnă analiza întregului pachet, ci doar partea sa cheie specială și compararea acestuia cu valorile cunoscute anterior din baza de date a resurselor permise. Această metodă oferă cea mai mare performanță de firewall și cele mai mici întârzieri.

Server proxy În acest caz, între rețelele locale și externe este instalat un dispozitiv server proxy suplimentar, care servește drept „poartă” prin care trebuie să treacă tot traficul de intrare și de ieșire.

Firewall vă permite să configurați filtre care sunt responsabile pentru trecerea traficului prin:

Adresa IP. Setând o anumită adresă sau un anumit interval, puteți interzice primirea de pachete de la acestea sau, dimpotrivă, puteți permite accesul numai de la aceste adrese IP.

- Port. Firewall-ul poate configura puncte de acces la aplicații la serviciile de rețea. De exemplu, ftp folosește portul 21, iar aplicațiile de navigare web folosesc portul 80.

Protocol. Firewall-ul poate fi configurat pentru a permite trecerea datelor dintr-un singur protocol sau pentru a interzice accesul folosindu-l. Cel mai adesea, tipul de protocol poate indica sarcinile efectuate, aplicația pe care o folosește și setul de parametri de securitate. În acest sens, accesul poate fi configurat doar pentru a opera o aplicație specifică și pentru a preveni accesul potențial periculos folosind toate celelalte protocoale.

Numele domeniului. În acest caz, filtrul refuză sau permite conexiuni la anumite resurse. Acest lucru vă permite să refuzați accesul de la servicii și aplicații de rețea nedorite sau, dimpotrivă, să permiteți accesul numai la acestea.

Alți parametri pentru filtre specifice acestei rețele particulare pot fi utilizați pentru configurare, în funcție de sarcinile efectuate în ea.

Cel mai adesea, un firewall este utilizat împreună cu alte instrumente de protecție, de exemplu, antivirus software.

Cum funcționează un firewall

Firewall poate fi facut:

Hardware. În acest caz, routerul, care este situat între computer și Internet, acționează ca un firewall hardware. Mai multe PC-uri pot fi conectate la firewall și toate vor fi protejate de firewall, care face parte din router.

Din punct de vedere programatic. Cel mai comun tip de firewall, care este un software specializat pe care utilizatorul îl instalează pe computerul său.

Chiar dacă este conectat un router cu un firewall încorporat, un firewall software suplimentar poate fi instalat pe fiecare computer individual. În acest caz, va fi mai dificil pentru un atacator să pătrundă în sistem.

Documente oficiale

În 1997, a fost adoptat Documentul de orientare al Comisiei Tehnice de Stat sub președintele Federației Ruse "Tehnologia computerelor. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații". Acest document stabilește cinci clase de securitate firewall, fiecare dintre acestea fiind caracterizată de un anumit set minim de cerințe pentru protecția informațiilor.

În 1998, a fost elaborat un alt document: „Cerințe temporare pentru dispozitivele de tip firewall”. acest document Au fost stabilite 5 clase de securitate firewall, care sunt folosite pentru a proteja informațiile din sistemele automate care conțin instrumente criptografice.

Și din 2011 au intrat în vigoare cerințele legislative pentru certificarea firewall-ului. Astfel, dacă datele personale sunt prelucrate într-o rețea de întreprindere, atunci este necesară instalarea unui firewall certificat Serviciul federal De controale la export(FSTEK).

ÎN În ultima vreme A existat o tendință de a limita confidențialitatea pe Internet. Acest lucru se datorează restricțiilor pe care reglementările guvernamentale ale internetului le impun utilizatorului. Reglementări guvernamentale privind internetul există în multe țări (China, Rusia, Belarus).

„Înșelătorie de înregistrare a numelui de domeniu în Asia” în RuNet! V-ați înregistrat sau ați achiziționat un domeniu și ați creat un site web pe acesta. Pe măsură ce trec anii, site-ul se dezvoltă și devine popular. Acum, venitul din acesta a fost deja „picurat”. Primești venituri, plătești domeniul, găzduirea și alte cheltuieli...

Dezvoltarea intensivă a rețelelor globale de calculatoare și apariția noilor tehnologii de recuperare a informațiilor atrag o atenție din ce în ce mai mare asupra internetului din partea indivizilor și a diverselor organizații. Multe organizații iau decizii pentru a-și integra rețelele locale și corporative în Internet. Utilizarea Internetului în scopuri comerciale, precum și la transmiterea de informații care conțin informații confidențiale, presupune necesitatea construirii unui sistem eficient de protecție a datelor. Utilizarea Internetului global are avantaje incontestabile, dar ca multe alte tehnologii noi, are și dezavantajele sale. Dezvoltarea rețelelor globale a dus la o creștere multiplă a numărului nu numai de utilizatori, ci și de atacuri asupra computerelor conectate la Internet. Pierderile anuale din cauza securității informatice insuficiente sunt estimate la zeci de milioane de dolari. Prin urmare, atunci când conectați o rețea locală sau corporativă la Internet, trebuie avut grijă să asigurați securitatea informațiilor acesteia.

Internetul global a fost creat ca un sistem deschis conceput pentru schimbul liber de informații. Datorită deschiderii ideologiei sale, Internetul oferă atacatorilor oportunități semnificativ mai mari de a pătrunde în sistemele informaționale. Prin intermediul internetului, un infractor poate:

pătrunde în rețeaua internă a unei întreprinderi și obține acces neautorizat la informații confidențiale;
Este ilegal să copiați informații importante și valoroase pentru companie;
obțineți parole, adrese de server și, uneori, conținutul acestora;
conectați-vă la sistemul de informații al întreprinderii sub numele unui utilizator înregistrat etc.

Prin obținerea de informații de către un atacator, competitivitatea unei întreprinderi și încrederea clienților săi pot fi serios subminate.

Firewall-urile pot rezolva o serie de sarcini pentru a respinge cele mai probabile amenințări la adresa rețelelor interne. Firewall este un sistem de protecție firewall care vă permite să împărțiți fiecare rețea în două sau mai multe părți și să implementați set de reguli, definind condițiile de trecere a pachetelor de date peste graniță dintr-o parte a rețelei generale în alta. De regulă, această graniță este trasată între rețeaua corporativă (locală) a unei întreprinderi și Internetul global, deși poate fi trasată și în rețeaua corporativă a unei întreprinderi. Utilizarea firewall-urilor vă permite să organizați politica de securitate internă a unei rețele de întreprindere prin împărțirea întregii rețele în segmente. Acest lucru ne permite să formulăm principiile de bază ale arhitecturii de securitate a rețelei corporative:

Introducerea a N categorii de confidențialitate și crearea, în consecință, a N segmente de rețea dedicate de utilizatori. În acest caz, fiecare utilizator din segmentul de rețea are același nivel de confidențialitate (acces la informații de același nivel de confidențialitate). Acest caz poate fi comparat cu o fabrică secretă, unde toți angajații, după nivelul lor de acces, au acces doar la anumite etaje. Această structură se explică prin faptul că în niciun caz nu trebuie amestecate fluxurile de informații de diferite niveluri de secretizare. O explicație la fel de evidentă pentru această împărțire a tuturor utilizatorilor în N segmente izolate este ușurința de a efectua un atac în cadrul unui segment de rețea.
Separarea tuturor serverelor interne ale companiei într-un segment separat. Această măsură vă permite, de asemenea, să izolați fluxurile de informații între utilizatorii care au diferite niveluri acces.
Selecția într-un segment separat al tuturor serverelor companiei, care va fi accesat de pe Internet (crearea unei zone demilitarizate pentru resurse externe).
Crearea unui segment de management administrativ dedicat.
Creați un segment dedicat de management al securității.

Firewall-ul trece tot traficul prin el însuși, luând o decizie pentru fiecare pachet care trece: să îi permită să treacă sau nu. Pentru ca firewall-ul să efectueze această operație, trebuie să definească un set de reguli de filtrare. Decizia de a filtra anumite protocoale și adrese folosind un firewall depinde de politica de securitate adoptată de rețeaua protejată. Un firewall este un set de componente care sunt configurate pentru a implementa politica de securitate selectată.

Politica de securitate a rețelei a fiecărei organizații ar trebui să includă două componente:

Politica de acces la serviciile de rețea.
Politica de implementare a paravanului de protecție.

Politica de acces la serviciile de rețea ar trebui să fie o clarificare a politicii generale a organizației privind protecția resurselor informaționale din organizație. Pentru ca un firewall să protejeze cu succes resursele unei organizații, politica pentru accesul utilizatorilor la serviciile de rețea trebuie să fie realistă. Aceasta este considerată o politică în care se găsește un echilibru armonios între protejarea rețelei organizației de riscurile cunoscute și necesitatea accesului utilizatorilor la serviciile de rețea. În conformitate cu politica de acces la serviciile de rețea adoptată, se stabilește o listă de servicii de Internet la care utilizatorii ar trebui să aibă acces limitat. Restricțiile privind metodele de acces sunt, de asemenea, stabilite pentru a se asigura că utilizatorii nu pot accesa serviciile de internet interzise prin soluții alternative.

Firewall-ul poate implementa o serie de politici de acces la servicii. Dar, de obicei, politica de acces la serviciile de rețea se bazează pe unul dintre următoarele principii:

Interziceți accesul de la Internet la rețeaua internă și permiteți accesul de la rețeaua internă la Internet.
Permite accesul limitat la rețeaua internă de pe Internet, asigurând funcționarea doar a anumitor sisteme autorizate, precum serverele de informații și de mail.

În conformitate cu politica de implementare a firewall-ului, sunt determinate regulile de accesare a resurselor interne ale rețelei. În primul rând, este necesar să se stabilească cât de „de încredere” sau „suspect” ar trebui să fie sistemul de securitate. Cu alte cuvinte, regulile de acces la resursele interne ar trebui să se bazeze pe unul dintre următoarele principii:

Interziceți tot ceea ce nu este permis în mod expres.
Permiteți tot ceea ce nu este interzis în mod expres.

Eficacitatea protecției unei rețele interne folosind firewall-uri depinde nu numai de politica selectată pentru accesul la serviciile de rețea și la resursele rețelei interne, ci și de raționalitatea alegerii și utilizării principalelor componente ale firewall-ului.

Cerințele funcționale pentru firewall-uri acoperă următoarele domenii:

filtrarea pe nivelul rețelei;
filtrarea la nivel de aplicație;
stabilirea regulilor de filtrare și administrare;
instrumente de autentificare în rețea;
implementarea revistelor și contabilității.

Clasificarea firewall-urilor

În prezent, nu există o clasificare unică și general acceptată a firewall-urilor. Să evidențiem următoarele clase de firewall-uri:

Routere de filtrare.
Gateway-uri la nivel de sesiune.
Gateway-uri la nivel de aplicație.

Aceste categorii pot fi considerate componente de bază ale firewall-urilor reale. Puține firewall-uri includ doar una dintre aceste categorii. Cu toate acestea, aceste componente reflectă caracteristici cheie, distingând firewall-urile unul de celălalt.

Routere de filtrare

Un router de filtrare este un router sau un program care rulează pe un server care este configurat să filtreze pachetele de intrare și de ieșire. Filtrarea pachetelor se efectuează pe bazate pe informatii conținute în anteturile TCP și IP ale pachetelor.

Un ruter de filtrare poate filtra de obicei pachetele IP pe baza unui grup de următoarele câmpuri de antet de pachete:

adresa IP a expeditorului;
adresa IP a destinatarului;
portul expeditorului;
port destinatar.

Unele routere verifică din ce interfață de rețea a routerului provine pachetul și apoi folosesc aceste informații ca criterii suplimentare de filtrare.

Filtrarea poate fi implementată într-o varietate de moduri pentru a bloca conexiunile la anumite computere sau porturi. De exemplu, puteți bloca conexiunile care provin de la adrese specifice ale acelor computere și rețele care sunt considerate ostile sau nedemne de încredere.

Regulile de filtrare a pachetelor sunt dificil de formulat și, de obicei, nu există mijloace de verificare a corectitudinii lor decât testarea manuală lentă. Mai mult decât atât, în absența unui router de filtru de înregistrare (dacă regulile de filtrare a pachetelor permit în continuare pachetelor periculoase să treacă prin router), astfel de pachete nu vor putea fi identificate până când nu vor fi detectate consecințele penetrării. Chiar dacă un administrator de rețea reușește să creeze reguli eficiente de filtrare, capacitățile lor vor rămâne limitate. De exemplu, un administrator stabilește o regulă conform căreia routerul va respinge toate pachetele cu o adresă sursă necunoscută. Cu toate acestea, în acest caz, un hacker poate efectua un atac numit adresa spoofing pentru a pătrunde în rețeaua protejată. În astfel de condiții, routerul de filtrare nu va putea distinge un pachet fals de unul real și îl va lăsa să treacă.

LA calități pozitive routerele de filtrare includ următoarele:

cost relativ scăzut;
flexibilitate în definirea regulilor de filtrare;
o uşoară întârziere în trecerea pachetelor.

Dezavantajele routerelor de filtrare:

rețeaua internă este vizibilă (dirutabilă) de pe Internet;
regulile de filtrare a pachetelor sunt dificil de descris și necesită cunoștințe foarte bune despre tehnologiile TCP și UDP;
dacă firewall-ul de filtrare a pachetelor nu funcționează, toate computerele din spatele acestuia devin complet neprotejate sau inaccesibile;
nu există autentificare la nivel de utilizator.

Gateway-uri de sesiune

Această clasă de routere este un traducător de conexiune TCP. Gateway-ul acceptă cererea unui client autorizat pentru anumite servicii și, după verificarea validității sesiunii solicitate, stabilește o conexiune la destinație (gazdă externă). După aceasta, gateway-ul copiază pachetele în ambele direcții fără a le filtra. De regulă, destinația este specificată în avans, în timp ce pot exista multe surse. Folosind diverse porturi, puteți crea o varietate de configurații de conexiune. Acest tip de gateway vă permite să creați un traducător de conexiune TCP pentru orice serviciu bazat pe TCP definit de utilizator, să controlați accesul la acest serviciu și să colectați statistici privind utilizarea acestuia.

Gateway-ul monitorizează strângerea de mână între clientul autorizat și gazda externă, determinând dacă sesiunea de comunicare solicitată este validă. Pentru a determina dacă o solicitare de sesiune este validă, gateway-ul efectuează următoarea procedură. Când un client autorizat solicită un serviciu, gateway-ul acceptă această solicitare, verificând dacă este satisfăcută acest client criteriile de filtrare de bază. Apoi, acționând în numele clientului, gateway-ul stabilește o conexiune cu gazda externă și monitorizează finalizarea procedurii de strângere de mână TCP. Această procedură constă în schimbul de pachete TCP, care sunt marcate cu steaguri SYN (sincronizare) și ACK (recunoaștere).

Primul pachet al unei sesiuni TCP, marcat cu steag SYN și care conține un număr arbitrar, cum ar fi 500, este cererea clientului de a deschide o sesiune. Gazda externă care a primit acest pachet răspunde cu un altul, marcat cu flag ACK și care conține un număr unu mai mare decât în pachetul primit (în cazul nostru, 501), confirmând astfel primirea pachetului SYN de la client.

În continuare, se efectuează procedura inversă: gazda trimite clientului un pachet SYN cu un număr inițial, de exemplu 700, iar clientul confirmă primirea acestuia trimițând un pachet ACK care conține numărul 701. Aceasta completează procesul de strângere de mână.

Un gateway la nivel de sesiune recunoaște o conexiune finalizată ca fiind valabilă numai dacă, la efectuarea procedurii de strângere de mână, steagurile SYN și ACK, precum și numerele conținute în pachetele TCP, sunt legate logic între ele.

Odată ce gateway-ul a determinat că clientul de încredere și gazda externă sunt participanți autorizați la sesiunea TCP și a verificat valabilitatea acesteia, stabilește conexiunea. Din acest moment, gateway-ul copiază și redirecționează pachetele înainte și înapoi fără a efectua nicio filtrare. Menține un tabel de conexiuni stabilite, trecând date care aparțin uneia dintre sesiunile de comunicare înregistrate în acest tabel. Când o sesiune se termină, gateway-ul elimină intrarea corespunzătoare din tabel și încheie rețeaua utilizată în sesiunea curentă.

Dezavantajul gateway-urilor la nivel de sesiune este lipsa inspectării conținutului pachetele transmise, ceea ce face posibil ca un intrus să pătrundă printr-o astfel de poartă.

Gateway-uri pentru stratul de aplicație

Pentru a se proteja împotriva unora dintre vulnerabilitățile inerente de filtrare a routerelor, firewall-urile trebuie să folosească aplicații pentru a filtra conexiunile la servicii precum Telnet și FTP. Aplicație similară se numește serviciu proxy, iar gazda pe care rulează serviciul proxy se numește gateway la nivel de aplicație. Un astfel de gateway elimină interacțiunea directă între un client autorizat și o gazdă externă. Gateway-ul filtrează toate pachetele de intrare și de ieșire la nivelul aplicației.

La detectarea unei sesiuni de rețea, gateway-ul aplicației o oprește și apelează aplicația autorizată pentru a furniza serviciul încheiat. Gateway-urile de aplicații și routerele de filtrare pot fi combinate într-un firewall pentru a obține niveluri mai ridicate de securitate și flexibilitate.

Gateway-uri nivelul de aplicare vă permit să oferiți protecție fiabilă, deoarece interacțiunea cu lumea de afara implementat printr-un număr mic de aplicații autorizate care controlează pe deplin tot traficul de intrare și de ieșire. Trebuie remarcat faptul că gateway-urile de nivel de aplicație necesită o aplicație separată pentru fiecare serviciu de rețea.

În comparație cu cei care lucrează în Mod normal, în care traficul aplicațiilor este transmis direct către gazdele interne, gateway-urile la nivel de aplicație au o serie de avantaje:

invizibilitatea structurii rețelei protejate de Internetul global. Este posibil ca numele sistemelor interne să nu fie comunicate sistemelor externe prin DNS, deoarece gateway-ul aplicației poate fi singura gazdă al cărei nume va fi cunoscut sistemelor externe;
autentificare și înregistrare sigure. Traficul aplicației poate fi autentificat înainte de a ajunge la gazdele interne și autentificat mai eficient decât cu înregistrare standard;
raport pret-performanta acceptabil. Instrumentele software sau hardware suplimentare de autentificare sau înregistrare trebuie instalate doar pe gateway-ul aplicației;
reguli simple de filtrare. Regulile de pe un router de filtrare sunt mai puțin complexe decât pe un router care filtrează traficul aplicației în sine și îl trimite către un număr mare de sisteme interne. Routerul trebuie să permită traficul de aplicații destinat doar gateway-ului aplicației și să blocheze toate celelalte;
posibilitatea organizării unui număr mare de inspecţii. Protecția la nivel de aplicație permite un număr mare de verificări suplimentare, ceea ce reduce probabilitatea de hacking folosind găuri în software.

Dezavantajele gateway-urilor stratului de aplicație sunt:

relativ performanta scazuta comparativ cu routerele cu filtre. În special, când se utilizează protocoale client-server, cum ar fi Telnet, este necesară o procedură în doi pași pentru conexiunile de intrare și de ieșire;
cost mai mare în comparație cu routerele cu filtre.

Unul dintre elementele importante ale conceptului firewall este autentificarea (user authentication), adică utilizatorul primește dreptul de a utiliza un anumit serviciu numai după ce se stabilește că este cu adevărat cine pretinde a fi. Se considera ca serviciul pt utilizator dat permis (procesul de determinare a serviciilor care sunt permise unui anumit utilizator se numește autorizare).

Când primește o solicitare de utilizare a unui serviciu în numele unui utilizator, firewall-ul verifică ce metodă de autentificare este definită pentru acest subiect și transmite controlul serverului de autentificare. După ce primește un răspuns pozitiv de la serverul de autentificare, firewall-ul continuă cu conexiunea solicitată de utilizator. De obicei, majoritatea firewall-urilor comerciale acceptă mai multe scheme de autentificare diferite, oferind administratorului de securitate al rețelei posibilitatea de a alege schema cea mai potrivită în condițiile predominante.

Metode de bază pentru implementarea firewall-urilor în rețelele corporative

Când conectați o rețea corporativă sau locală la rețele globale, administratorul de securitate a rețelei trebuie să rezolve următoarele sarcini:

protecția unei rețele corporative sau locale împotriva accesului la distanță neautorizat din rețeaua globală;
ascunderea informațiilor despre structura rețelei și componentele acesteia de la utilizatorii rețelei globale;
diferenţierea accesului la reţeaua protejată de cea globală şi de la reţeaua protejată la cea globală.

Necesitatea de a lucra cu utilizatori la distanță necesită stabilirea unor restricții stricte privind accesul la resurse informaționale retea protejata. În același timp, o organizație are adesea nevoie să aibă mai multe segmente cu la diferite niveluri Securitate:

segmente liber accesibile;
segmente restrânse;
segmente închise.

Pentru a proteja o rețea corporativă sau locală, sunt utilizate următoarele scheme de bază de organizare a paravanului de protecție:

Un firewall prezentat ca un router de filtrare.
Firewall bazat pe un gateway cu două porturi.
Firewall bazat pe un gateway protejat.
Firewall cu subrețea ecranată.

Firewall prezentat ca un router de filtrare

Un firewall bazat pe filtrarea pachetelor este cel mai comun și mai ușor de implementat, reprezentând un router de filtrare situat între rețeaua protejată și Internet.

Un router de filtrare este configurat să blocheze sau să filtreze pachetele de intrare și de ieșire pe baza unei analize a adreselor și a porturilor acestora.

Calculatoarele situate într-o rețea protejată au acces direct la Internet, în timp ce majoritatea accesului la acestea de pe Internet este blocat. În principiu, un router de filtrare poate implementa oricare dintre politicile de securitate descrise mai devreme. Cu toate acestea, dacă routerul nu filtrează pachetele după portul sursă și numerele portului de intrare și ieșire, atunci poate fi dificil să implementați în mod explicit o politică „interzice orice nu este permis”.

Firewall-urile bazate pe filtrarea pachetelor au aceleași dezavantaje ca și routerele de filtrare.

Firewall bazat pe un gateway cu două porturi

Un firewall de gateway pentru aplicații cu două porturi este o gazdă cu două interfețe de rețea. La transmiterea informațiilor între aceste interfețe, se efectuează filtrarea principală. A furniza protectie suplimentara Un router de filtrare este plasat între gateway-ul aplicației și Internet. Ca rezultat, se formează o subrețea internă ecranată între gateway-ul aplicației și router. Poate fi folosit pentru a găzdui un server de informații accesibil extern. Plasarea unui server de informații mărește securitatea rețelei, deoarece chiar dacă un atacator pătrunde în ea, nu va putea obține acces la sistemele de rețea printr-un gateway cu două interfețe.

Spre deosebire de designul unui firewall de ruter cu filtru, un gateway de aplicație blochează complet traficul IP între Internet și rețeaua protejată. Doar aplicațiile autorizate situate pe gateway-ul aplicației pot oferi servicii și acces utilizatorilor.

Această versiune a firewall-ului implementează o politică de securitate bazată pe principiul „tot ceea ce nu este permis în mod explicit este interzis”; în acest caz, utilizatorul are acces numai la acele servicii pentru care au fost definite permisiunile corespunzătoare. Această abordare oferă un nivel ridicat de securitate, deoarece rutele către subrețeaua protejată sunt cunoscute doar de firewall și sunt ascunse de sistemele externe.

Schema de organizare a firewallului luată în considerare este relativ simplă și destul de eficientă. Deoarece firewall-ul folosește gazda, programele pot fi instalate pe acesta pentru a oferi o autentificare îmbunătățită a utilizatorilor. Firewall-ul poate, de asemenea, să înregistreze accesul, încercările de sondare și atacurile asupra sistemului, ceea ce poate ajuta la identificarea activităților rău intenționate.

Firewall bazat pe gateway ecranat

Un firewall bazat pe gateway oferă o flexibilitate mai mare decât un firewall bazat pe gateway cu interfață dublă, dar această flexibilitate vine cu prețul unei anumite reduceri a securității. Firewall-ul constă dintr-un router de filtrare și un gateway de aplicație situat pe partea internă a rețelei. Gateway-ul de aplicație este implementat pe gazdă și are o singură interfață de rețea.

În acest design, securitatea primară este asigurată de un router de filtrare care filtrează sau blochează protocoalele potențial periculoase să nu ajungă la gateway-ul aplicației și la sistemele interne. Filtrarea pachetelor într-un router de filtrare poate fi implementată în unul dintre următoarele moduri:

gazdelor interne li se permite să deschidă conexiuni la gazde de pe Internet pentru anumite servicii (accesul la acestea este permis în mediul de filtrare a pachetelor);
Toate conexiunile de la gazdele interne sunt refuzate (trebuie să folosească aplicații autorizate pe gateway-ul aplicației).

În această configurație, firewall-ul poate folosi o combinație de două politici, relația dintre care depinde de politica de securitate specifică adoptată în rețeaua internă. În special, filtrarea pachetelor pe un router de filtrare poate fi organizată în așa fel încât gateway-ul aplicației, folosind aplicațiile sale autorizate, să ofere servicii precum Telnet, FTP, SMTP pentru sistemele din rețeaua protejată.

Principalul dezavantaj al unui firewall cu gateway ecranat este că, dacă un atacator reușește să pătrundă în gazdă, sistemele de rețea interne vor fi expuse acestuia. Un alt dezavantaj este legat de posibilul compromis al routerului. Dacă routerul este compromis, rețeaua internă va deveni disponibilă unui atacator.

Firewall cu subrețea ecranată

Firewall-ul de subrețea ecranat este o evoluție a designului de firewall de gateway ecranat. Pentru a crea o subrețea ecranată, sunt utilizate două routere de ecranare. Routerul extern este situat între Internet și subrețeaua protejată, iar routerul intern este situat între subrețeaua ecranată și rețeaua internă protejată. Subrețeaua ecranată include un gateway de aplicație și poate include, de asemenea, servere de informații și alte sisteme care necesită acces controlat. Acest design de firewall oferă un nivel ridicat de securitate prin crearea unei subrețele ecranate care izolează și mai mult rețeaua internă protejată de Internet.

Un router extern protejează atât subrețeaua ecranată, cât și rețeaua internă de intruziunile de pe Internet. Un router extern interzice accesul de pe World Wide Web la sistemele din rețeaua internă și blochează tot traficul către Internet provenit de la sisteme care nu ar trebui să inițieze conexiuni.

Acest router poate fi folosit și pentru a bloca alte protocoale vulnerabile care nu ar trebui trimise către sau de la gazdele rețelei interne.

Un router intern protejează rețeaua internă împotriva accesului neautorizat atât de pe Internet, cât și într-o subrețea ecranată. În plus, efectuează cea mai mare parte a filtrarii pachetelor și, de asemenea, gestionează traficul către și dinspre sistemele de rețea interne.

Un firewall de subrețea ecranat este potrivit pentru protejarea rețelelor cu volume mari de trafic sau cu rate mari de trafic.

Dezavantajele sale includ faptul că o pereche de routere de filtrare necesită multă atenție pentru a asigura nivelul necesar de securitate, deoarece erorile de configurare a acestora pot provoca breșe de securitate în întreaga rețea. În plus, există o posibilitate fundamentală de acces ocolind gateway-ul aplicației.

Dezavantajele utilizării firewall-urilor

Firewall-urile sunt folosite pentru a organiza rețele private virtuale securizate. Mai multe rețele locale conectate la rețeaua globală sunt combinate într-o singură rețea privată virtuală securizată. Transferul de date între aceste rețele locale este invizibil pentru utilizatori, iar confidențialitatea și integritatea informațiilor transmise trebuie asigurate prin instrumente de criptare, utilizarea semnăturilor digitale etc. La transmiterea datelor, nu numai conținutul pachetului poate fi criptat, ci și unele câmpuri de antet.

Un firewall nu poate rezolva toate problemele de securitate ale rețelei corporative. Pe lângă avantajele firewall-urilor descrise mai sus, există o serie de limitări în utilizarea acestora și există și amenințări de securitate împotriva cărora firewall-urile nu se pot proteja. Să remarcăm cele mai semnificative limitări în utilizarea paravanelor de protecție:

un număr mare de vulnerabilități rămase. Firewall-urile nu protejează împotriva ușilor din rețea. De exemplu, dacă accesul nerestricționat la modem poate fi făcut la o rețea protejată de un firewall, atacatorii pot ocoli efectiv firewall-ul;
protecţie nesatisfăcătoare împotriva atacurilor angajaţilor companiei. Firewall-urile de obicei nu oferă protecție împotriva amenințărilor interne;
restricții privind accesul la serviciile necesare. Cel mai evident dezavantaj al unui firewall este că poate bloca o serie de servicii pe care utilizatorii le folosesc, Telnet, FTP etc. Pentru a rezolva astfel de probleme, este necesară o politică de securitate bine gândită, care să atingă un echilibru între cerințele de securitate și nevoile utilizatorilor;
concentrarea echipamentelor de securitate într-un singur loc. Acest lucru facilitează administrarea paravanului de protecție;
limitarea lățimii de bandă.

Organizarea protecției cuprinzătoare a rețelei corporative

Pentru a proteja resursele informaţionale şi a asigura performanța optima corporative distribuite sisteme de informare cererea necesară sistem integrat securitatea informațiilor, care vă va permite să utilizați eficient avantajele firewall-urilor și să compensați deficiențele acestora cu ajutorul altor instrumente de securitate.

Protecția rețelei corporative cu funcții complete ar trebui să ofere:

interacțiunea securizată a utilizatorilor și a resurselor de informații aflate pe rețelele extranet și intranet cu rețele externe, cum ar fi internetul;
un set tehnologic unificat de măsuri de protecție pentru rețelele locale distribuite și segmentate ale departamentelor întreprinderii;
Disponibilitate sistem ierarhic protecție care oferă măsuri de securitate adecvate pentru segmente ale rețelei corporative cu diferite grade de secretizare.

Natura procesării moderne a datelor în sistemele corporative de Internet/Intranet necesită ca firewall-urile să aibă următoarele calități de bază:

mobilitate și scalabilitate în raport cu diverse platforme hardware și software;
posibilitatea de integrare cu hardware și software de la alți producători;
ușurință de instalare, configurare și operare;
management în conformitate cu o politică de securitate centralizată.

În funcție de dimensiunea organizației și de politica de securitate adoptată de întreprindere, pot fi utilizate diverse firewall-uri. Pentru întreprinderile mici care utilizează până la o duzină de noduri, firewall-urile cu o interfață grafică convenabilă sunt potrivite, permițând configurarea locală fără utilizarea managementului centralizat. Pentru întreprinderile mari, sisteme cu console și manageri de management care oferă Managementul operational firewall-uri locale, suport pentru rețele private virtuale.

Creșterea fluxurilor de informații transmise prin internet de companii și utilizatori privați, precum și nevoia de organizare acces de la distanță la rețelele corporative sunt motivele îmbunătățirii constante a tehnologiilor de conectare a rețelelor corporative la Internet.

Trebuie remarcat faptul că, în prezent, niciuna dintre tehnologiile de conectare, deși posedă caracteristici de înaltă performanță, într-o configurație standard nu poate oferi protecție completă a unei rețele corporative. Rezolvarea acestei probleme devine posibilă numai prin utilizarea tehnologiei firewall care organizează interacțiunea sigură cu mediul extern.

Să aruncăm o privire mai atentă asupra tehnologiilor firewall.

Protejarea rețelei dvs. corporative împotriva accesului neautorizat de pe Internet

Când rețeaua dvs. de companie este conectată la Internet, vă puteți proteja rețeaua corporativă împotriva accesului neautorizat utilizând una dintre următoarele soluții:

firewall hardware-software sau software;
router cu filtru de pachete încorporat;
router specializat, care implementează un mecanism de securitate bazat pe liste de acces;
un sistem de operare din familia UNIX sau, mai rar, MS Windows, îmbunătățit cu utilități speciale care implementează filtrarea pachetelor.

Protejarea unei rețele corporative bazată pe un firewall vă permite să obțineți un grad ridicat de securitate și să implementați următoarele capabilități:

filtrarea semantică a fluxurilor de date în circulație;
bazat pe filtrare adrese de rețea expeditor și destinatar;
filtrarea cererilor la nivel de transport pentru a stabili conexiuni virtuale;
filtrarea cererilor la nivel de aplicație către serviciile aplicației;
semnalizarea locală a încercărilor de a încălca regulile de filtrare;
interzicerea accesului la un subiect necunoscut sau la un subiect a cărui autenticitate nu a fost confirmată în timpul autentificării;
asigurarea securității punct la punct: firewall, autorizare rută și router, tunel de rută și criptare a datelor etc.

Trebuie remarcat faptul că firewall-urile vă permit să vă organizați protecţie cuprinzătoare rețeaua corporativă de acces neautorizat, bazată atât pe filtrarea sintactică tradițională (IP-pachet) a fluxurilor de date controlate, realizată de majoritatea sistemelor de operare din familia Windows și UNIX, cât și pe semantică (conținut), disponibilă doar soluțiilor speciale comerciale.

În prezent, toate firewall-urile fabricate pot fi clasificate în funcție de următoarele caracteristici principale:

prin executare:
- - hardware și software,
- - software;
privind funcționarea la nivelurile modelului OSI:
- - gateway la nivel de expert,
- - gateway de ecranare (gateway de aplicație),
- - transport de ecranare (gateway la nivel de sesiune),
- - router de ecranare (filtru de pachete);
conform tehnologiei utilizate:
- - monitorizarea stării protocolului,
- - bazat pe module intermediare (proxy);
conform schemei de conectare:
- - schema unificata de protectie a retelei,
- - o schemă cu segmente de rețea închise protejate și deschise neprotejate,
- - o schemă cu protecție separată a segmentelor de rețea închise și deschise.

O protecție a rețelei corporative destul de comună astăzi, bazată pe un router cu o listă de acces, se bazează pe utilizarea routerelor specializate. Această schemă este foarte eficientă și are un grad suficient de siguranță. Routerele Cisco din seriile 12000 și 7600 sunt utilizate pe scară largă ca o astfel de soluție. Pentru a conecta o rețea de întreprindere la Internet, puteți utiliza și serii anterioare de routere de la această companie.

Protecția unei rețele corporative bazată pe sisteme de operare îmbunătățite cu funcții de filtrare a pachetelor se bazează pe faptul că software-ul de sistem îndeplinește funcțiile de rutare, filtrare, întreținere etc. În ceea ce privește fiabilitatea, securitatea și performanța, soluțiile bazate pe UNIX-like sistem de operare.

Organizarea politicii interne de securitate a rețelei corporative

ÎN conditii moderne mai mult de 50% din diferitele atacuri și încercări de acces la informații sunt efectuate din rețelele locale. O rețea corporativă poate fi considerată cu adevărat protejată împotriva accesului neautorizat doar dacă are atât mijloace de protejare a punctelor de intrare de pe Internet, cât și soluții care asigură securitatea computerelor individuale, serverelor corporative și fragmentelor rețelei locale a întreprinderii. Securitatea computerelor individuale, a serverelor corporative și a fragmentelor de rețea locală este cel mai bine asigurată de soluții bazate pe firewall-uri distribuite sau personale.

Serverele interne ale unei companii sunt de obicei aplicații care rulează Windows NT/2000, NetWare sau, mai puțin frecvent, familia de sisteme de operare UNIX. Din acest motiv, serverele corporative devin potențial vulnerabile la diferite tipuri de atacuri.

Cel mai simplu mod protecția serverului instalarea unui firewall între servere și Internet, de exemplu Firewall-1 de la Checkpoint. La configuratie corecta majoritatea firewall-urilor pot proteja servere interne de la atacatori externi, iar unii detectează și previn atacurile de tip denial of service. Cu toate acestea, această abordare nu este lipsită de unele dezavantaje. Când serverele de întreprindere sunt protejate de un singur firewall, toate regulile de control al accesului și datele sunt concentrate într-un singur loc. Astfel, firewall-ul devine un blocaj și, pe măsură ce sarcina crește, își pierde semnificativ performanța.

O alternativă la schema anterioară este achiziționarea de servere suplimentare și instalarea unui firewall Firewall-1 de la Checkpoint sau Cisco PIX de la Cisco în fața fiecărui server. Făcând firewall-ul o resursă de server dedicată, problema blocajului este rezolvată și impactul unui singur firewall eșec asupra sănătății generale a rețelei este redus. Cu toate acestea, această abordare nu poate fi numită ideală, deoarece costurile companiei pentru achiziționarea de echipamente cresc brusc. În plus, costurile cu forța de muncă pentru administrarea și întreținerea rețelei cresc.

Cea mai de succes soluție la problema protecției serverelor corporative este plasarea instrumentelor de securitate pe aceeași platformă cu serverul pe care îl vor proteja. Această sarcină este realizată prin utilizarea de firewall-uri distribuite sau personale, cum ar fi CyberwallPLUS de la Network-1 Security Solution. Aceste soluții completează semnificativ funcţionalitate firewall-uri tradiționale (perimetru) și pot fi utilizate pentru a proteja atât serverele interne, cât și serverele de internet.

Spre deosebire de firewall-urile tradiționale, care sunt de obicei locale " puncte de control» controlează accesul la resursele de informații critice ale unei corporații, firewall-urile distribuite sunt software adițional care protejează în mod fiabil serverele corporative, cum ar fi un server de Internet.

Să comparăm firewall-urile tradiționale și distribuite pe baza mai multor indicatori.

Eficienţă. Un firewall tradițional este adesea situat în perimetru, oferind doar un singur strat de protecție. Un firewall personal operează la nivelul nucleului sistemului de operare și protejează în mod fiabil serverele corporative prin scanarea tuturor pachetelor de intrare și de ieșire.

Ușor de instalat. Un firewall tradițional ar trebui să fie instalat ca parte a configurației rețelei corporative. Un firewall distribuit este un software care se instalează și se dezinstalează în câteva minute.

Control. Firewall tradițional gestionat administrator de retea. Un firewall distribuit poate fi gestionat fie de un administrator de rețea, fie de un utilizator de rețea locală.

Performanţă. Un firewall tradițional este un dispozitiv firewall cu o limită de performanță fixă a pachetelor pe secundă și nu este potrivit pentru flote de servere în creștere conectate între ele prin rețele locale comutate. Un firewall distribuit vă permite să extindeți parcuri de server fără a compromite politica de securitate adoptată.

Preț. Firewall-urile tradiționale tind să fie sisteme cu funcții fixe și un cost destul de ridicat. Firewall-urile distribuite sunt software care costă de obicei între 20% și 10% din firewall-urile tradiționale. De exemplu, firewall-ul distribuit CyberwallPLUS de la Network-1 Security Solution costă 6.000 USD, în timp ce firewallul Cisco PIX 535 de la Cisco costă aproximativ 50.000 USD.

Firewall-urile distribuite combină controalele de acces la rețea cu detectarea încorporată a manipularii și funcționează în modul kernel, examinând fiecare pachet de informații pe măsură ce intră în rețea. Activitățile precum încercările de hacking și accesul neautorizat sunt blocate de acest ecran înainte de a trece la nivelul de aplicație server.

Principalele avantaje ale firewall-urilor distribuite includ:

asigurarea securității traficului de intrare și de ieșire;
furnizarea unei arhitecturi scalabile prin răspândirea protecției firewall pe mai multe servere;
eliminarea firewall-ului tradițional ca singur punct de eșec;
oferind o soluție de securitate cu costuri reduse, ușor de implementat și gestionat.

Astfel, firewall-urile CyberwallPLUS oferă un nivel suplimentar de protecție pentru platformele care rulează sistemul de operare Windows NT/2000 pe care sunt instalate aplicații de întreprindere, cum ar fi un server de Internet. În plus, paravanul de protecție CyberwallPLUS poate împiedica utilizarea unor tipuri cunoscute de atacuri pentru a pătrunde în serverele critice ale companiei și pentru a alerta administratorul de securitate cu privire la activități suspecte în rețea.

Deci, firewall-ul:

protejează informațiile transmise indiferent de mijloacele și mijlocul de transmitere a datelor (canale prin satelit, linii optice comunicații, conexiuni telefonice, linii de releu radio);
protejează orice aplicație fără a necesita modificări;
transparentă pentru utilizatori finali;
vă permite să implementați sisteme de protecție scalabile cu posibilitatea extinderii și complexității lor în continuare pe măsură ce organizațiile cresc și cerințele politicii de securitate se îmbunătățesc;
protejează sistemele și aplicațiile individuale de informații ale rețelei, indiferent de topologia rețelei pe care o utilizează;
protejează sistemul informatic al întreprinderii de atacuri de la Mediul extern;
protejează informațiile împotriva interceptării și modificării nu numai pe conexiunile externe deschise, ci și pe rețelele interne ale corporației;
poate fi reconfigurat cu ușurință pe măsură ce politica de securitate a informațiilor corporative se dezvoltă, se adaugă resurse, se actualizează tehnologiile și rețeaua corporației crește.

Implementări de firewall

În prezent, un număr mare de companii atât străine, cât și autohtone oferă diverse hardware, software și implementari software firewall-uri. Mai jos este o scurtă descriere a unora dintre produsele fabricate astăzi de producători străini de top.

NetScreen Technologies oferă o gamă largă de produse, de la dispozitive care oferă utilizatorilor individuali acces la rețeaua corporativă a unei întreprinderi printr-un canal securizat, până la modele concepute pentru implementare în structurile întreprinderilor mari și pentru crearea de sisteme de securitate de mare capacitate. Fiecare produs NetScreen este o combinație între un firewall și un dispozitiv de rețea privată virtuală (VPN).

Seria de produse NetScreen-5 vă permite să creați un firewall cu un throughput de 70 Mbps pentru modelul NetScreen-5XT și 20 Mbps pentru modelul NetScreen-5XP, precum și VPN cu un throughput de 20, respectiv 13 Mbps. Spre deosebire de NetScreen-5XP, care acceptă până la cinci porturi 10Base-T, modelul NetScreen-5XT oferă cinci interfețe Fast Ethernet.

Ambele produse sunt capabile să accepte până la 2 mii de tuneluri VPN și până la 2 mii de conexiuni TCP simultane. Sunt echipate cu sistemul de operare NetScreen ScreenOS 4.0, care este folosit pentru configurarea fizică și interfețe virtualeîn conformitate cu cerințele de siguranță.

Produsele din seria NetScreen-5 sunt ideale pentru instalare între computerul de acasă al unui utilizator și Web sau pentru a oferi acces securizat la o rețea locală de afaceri.

Pentru implementarea în întreprinderile mici și mijlocii, NetScreen Technologies a dezvoltat produse din seriile NetScreen-25, -50, -100, -200. Acestea vă permit să creați firewall-uri cu un debit de la 100 la 550 Mbit/s. În plus, datele, atunci când sunt criptate folosind protocolul Triple DES cu o cheie de 168 de biți, sunt transmise între noduri printr-un tunel de rețea privată virtuală la viteze de la 20 la 200 Mbit/s. Aceste serii de produse acceptă patru până la opt porturi Fast Ethernet.

Familia de dispozitive NetScreen-500, NetScreen-1000 și NetScreen-5000 oferă un randament excepțional, făcându-le cea mai bună soluție pentru implementări de întreprinderi mari. Modelul NetScreen-500 oferă un debit de aproape 750 Mbps, precum și viteze VPN de 240 Mbps.

Modelul NetScreen-5200 vă permite să implementați un firewall cu un throughput de 4 Gbit/s și un VPN cu 2 Gbit/s. Acceptă până la opt porturi Gigabit Ethernet sau două porturi Gigabit Ethernet și 24 Fast Ethernet. Modelul NetScreen-5400 oferă viteze de 12 Gbps pentru firewall și 6 Gbps pentru VPN. Suportă până la 78 de porturi Gigabit Ethernet și Fast Ethernet.

Ambele produse sunt capabile să accepte până la 25 de mii de tuneluri VPN și până la un milion de conexiuni TCP simultane. Sunt echipate cu sistemul de operare NetScreen ScreenOS 3.1. În plus, produsele NetScreen Technologies acceptă protocolul RADIUS (Remote Authentication Dial-In User Service) și au propria lor bază de date pentru a autentifica utilizatorii care solicită acces la distanță.

WatchGuard Technologies oferă modele concepute pentru implementare atât în întreprinderile mici și mijlocii, cât și în cele mari. Produsele din seria Firebox III (4500, 2500, 1000 și 700) sunt disponibile pentru utilizare în întreprinderile mici și mijlocii. Modelele Firebox 4500 și 2500 sunt firewall-uri hardware care rulează sistemul de operare Linux cu un nucleu securizat. Lățimea de bandă firewall-urile este de 197 Mbit/s în modul de filtrare a pachetelor și de 60 Mbit/s în modul mediator (proxy transparent) la nivel de aplicație. Fiecare firewall are trei interfețe de rețea Fast Ethernet 10/100 Mbps.

Ambele firewall-uri pot suporta până la 3 mii de tuneluri VPN, dar modelul FireBox 4500 vă permite să obțineți viteze de criptare mai mari folosind algoritmul TripleDES 100, respectiv 55 Mbit/s, comparativ cu FireBox 2500.

Pentru întreprinderile mici și mijlocii și birouri îndepărtate compania produce Firebox SOHO 6, Firebox SOHO 6/tc și Firebox 700.

Firebox 700 este capabil să deservească până la 250 de utilizatori simultan. Este un firewall care acceptă atât filtrarea pachetelor, cât și filtrele brokerului de aplicații. WatchGuard estimează performanța Firebox 700 la 131 Mbps în modul de filtrare a pachetelor și 43 Mbps în modul proxy. Firebox 700 vă permite să creați o rețea privată virtuală cu 150 de tuneluri simultan și să realizați criptarea TripleDES la 5 Mbps.

Firebox SOHO 6 acceptă filtre de pachete cu un debit de 75 Mbps. De asemenea, acceptă o rețea privată virtuală cu cinci tuneluri cu un debit de 20 Mbps (modificare SOHO/tc) folosind criptarea TripleDES.

Pentru a oferi un randament de mare viteză pentru companiile mari de informații, a fost dezvoltat modelul Firebox Vclass, permițând un debit de până la 600 Mbit/s. Produsul este capabil să suporte până la 20 de mii de tuneluri VPN. În modul de criptare, se atinge o viteză de 300 Mbit/s.

Cisco Systems oferă seria de firewall-uri Cisco PIX Firewall care oferă niveluri ridicate de securitate, performanță și fiabilitate. Gama firewall-urile sunt reprezentate de următoarele produse: PIX 506E, 515E, 525 și 535.

Firewall-urile Cisco PIX 506E și 515E sunt upgrade la modelele Cisco PIX 506 și, respectiv, 515. Aceste modele sunt destinate utilizării în rețelele corporative ale companiilor mici, precum și în scopuri de securitate. clienți la distanță rețele corporative de întreprinderi. Modelul 506E are o performanță de 20 Mbit/s, iar 515E 188 Mbit/s. Fluxul de date poate fi criptat folosind fie algoritmul DES cu o cheie de 56 de biți, fie TripleDES cu o cheie de 168 de biți. Debitul Cisco PIX 506E cu criptare DES 20 Mbit/s, TripleDES 16 Mbit/s. Viteza de criptare pentru modelul 515E folosind algoritmul TripleDES este de 63 Mbit/s. Modelul 515E acceptă până la 2 mii de tuneluri VPN.

Pentru utilizare în întreprinderile la scară medie și mare, Cisco produce modele 525 și 535. Debitul modelului 525 este de 370 Mbps. Acest model poate servi simultan până la 280 de mii de sesiuni. Modelul Cisco PIX 535 are performanță de 1 Gbps și acceptă VPN cu un debit de 100 Mbps. În plus, acest model acceptă până la 2 mii de tuneluri VPN și până la 500 de mii de conexiuni TCP simultane.

Ca metodă de protecție, firewall-urile Cisco utilizează o versiune a algoritmului de scanare a contextului Adaptive Security Algorithm (ASA) și sistemul de operare intern PIX OS pentru a asigura fiabilitate și securitate ridicate împotriva posibilelor atacuri pe internet.

de eSoft, Inc. introdus în noiembrie 2002 Episod nou Produsele InstaGate xSP, care au înlocuit modelele anterioare InstaGate EX2 și InstaGate PRO. Sub marca InstaGate xSP, eSoft produce InstaGate xSP Branch Office pentru birouri mici și distribuite și InstaGate xSP Business pentru birouri medii și mari. Produsele din seria xSP vin cu o suită de aplicații SoftPak care permite utilizatorilor să creeze rapid și ușor securitate robustă pe întregul perimetru al rețelei lor corporative. Seria de produse xSP este pe deplin compatibilă cu modelele InstaGate existente și vă permite să creați rețele private virtuale bazate pe IPSec și PPTP. InstaGate xSP Branch Office acceptă până la 10 utilizatori și 10 tuneluri VPN, iar InstaGate xSP Business acceptă până la 100 de utilizatori și 100 de tuneluri VPN. Produsele din această serie au un cost relativ scăzut.

3Com oferă două tipuri de firewall-uri: SuperStack 3, conceput pentru sediile corporative și birourile mari, precum și pentru clienții care au nevoie de acces de înaltă performanță la rețeaua privată virtuală și OfficeConnect pentru birouri mici cu mai puțin de o sută de angajați, birouri de acasă și profesionisti la domiciliu.

Producătorii estimează că SuperStack 3 acceptă un număr nelimitat de utilizatori ai rețelei corporative și oferă până la 1.000 de tuneluri VPN. Debitul acestui model atunci când este criptat cu algoritmul TripleDES este de 45 Mbit/s.

Gama de modele OfficeConnect este reprezentată de modelele OfficeConnect Internet Firewall 25 și OfficeConnect Internet Firewall DMZ. Modelul OfficeConnect Internet Firewall DMZ, folosind portul DMZ, vă permite să oferiți acces extern securizat la resursele rețelei. OfficeConnect Internet Firewall DMZ acceptă până la 100 de utilizatori, iar OfficeConnect Internet Firewall 25 25 de utilizatori. Împreună cu firewall-urile OfficeConnect Internet Firewall DMZ și OfficeConnect Internet Firewall 25, filtrul site-ului Web OfficeConnect este utilizat pentru a filtra accesul la site-uri web nedorite. Toate firewall-urile 3Com sunt certificate ICSA. Familia de firewall-uri 3Com combină ușurința excepțională de utilizare cu opțiuni flexibile de soluții. Firewall-urile 3Com sunt ușor de instalat și oferă un nivel extrem de ridicat de securitate. Instalarea plug-and-play elimină procedurile de configurare și administrare complexe și consumatoare de timp, fără a sacrifica rigoarea, completitudinea și detaliile strategiei dumneavoastră de securitate.

Astfel, utilizarea firewall-urilor este un element cheie în construirea de sisteme informatice și analitice performante, sigure și de încredere și sisteme de automatizare a întreprinderilor, sisteme financiare, baze de date distribuite, sisteme de acces de la distanță al angajaților la resursele interne ale rețelelor corporative, segmente de rețele corporative. și rețeaua corporativă în ansamblu.

Există mai multe tipuri de firewall-uri în funcție de următoarele caracteristici:

dacă scutul asigură o conexiune între un nod și o rețea sau între două sau mai multe rețele diferite;

dacă controlul fluxului de date are loc la nivelul rețelei sau la niveluri superioare ale modelului OSI;

indiferent dacă stările conexiunilor active sunt monitorizate sau nu.

În funcție de acoperirea fluxurilor de date controlate, firewall-urile sunt împărțite în:

rețea tradițională (sau firewall) - un program (sau o parte integrantă a sistemului de operare) pe un gateway (un dispozitiv care transmite trafic între rețele) sau o soluție hardware care controlează fluxurile de date de intrare și de ieșire între rețelele conectate (obiecte de rețea distribuite) ;

firewall personal este un program instalat pe computerul unui utilizator și conceput pentru a proteja numai acest computer de accesul neautorizat.

În funcție de nivelul OSI la care are loc controlul accesului, firewall-urile pot funcționa pe:

nivelul rețelei, când filtrarea are loc pe baza adreselor expeditorului și destinatarului pachetelor, numerelor de port ale stratului de transport al modelului OSI și regulilor statice specificate de administrator;

nivel de sesiune(de asemenea cunoscut ca si cu stare), când sesiunile dintre aplicații sunt monitorizate și pachetele care încalcă specificațiile TCP/IP nu sunt transmise, adesea folosite în operațiuni rău intenționate - scanarea resurselor, hacking prin implementări TCP/IP incorecte, conexiuni scăpate/lente, injecție de date;

nivelul de aplicare(sau la nivel de aplicație), când filtrarea se face pe baza analizei Application Data transmis în cadrul pachetului. Aceste tipuri de ecrane vă permit să blocați transmiterea de informații nedorite și potențial dăunătoare pe baza politicilor și setărilor.

Filtrarea la nivel de rețea

Filtrarea pachetelor de intrare și de ieșire se realizează pe baza informațiilor conținute în următoarele câmpuri din anteturile TCP și IP ale pachetelor: adresa IP expeditorului; adresa IP a destinatarului; portul expeditorului; port destinatar.

cost relativ scăzut;

flexibilitate în definirea regulilor de filtrare;

o uşoară întârziere în trecerea pachetelor.

Defecte:

nu colectează pachete fragmentate;

nu există nicio modalitate de a urmări relațiile (conexiunile) dintre pachete.?

Filtrarea la nivel de sesiune

În funcție de monitorizarea conexiunilor active, firewall-urile pot fi:

Fara stare(filtrare simplă), care nu monitorizează conexiunile curente (de exemplu, TCP), ci filtrează fluxul de date exclusiv pe baza regulilor statice;

inspecție de pachete cu stare, cu stare (SPI)(filtrare în funcție de context), monitorizarea conexiunilor curente și trecerea numai a acelor pachete care satisfac logica și algoritmii protocoalelor și aplicațiilor corespunzătoare.

Firewall-urile cu SPI fac posibilă combaterea mai eficientă a diferitelor tipuri de atacuri DoS și vulnerabilități ale unor protocoale de rețea. În plus, acestea asigură funcționarea protocoalelor precum H.323, SIP, FTP etc., care utilizează scheme complexe de transfer de date între destinatari, greu de descris prin reguli statice și adesea incompatibile cu firewall-urile standard, fără stat.

Avantajele unei astfel de filtrări includ:

analiza conținutului pachetelor;

nu sunt necesare informații despre funcționarea protocoalelor de nivel 7.

Defecte:

este dificil de analizat datele la nivel de aplicație (eventual folosind ALG - Application level gateway).

Gateway la nivel de aplicație, ALG (gateway la nivel de aplicație) este o componentă a unui router NAT care înțelege un protocol de aplicație, iar atunci când pachetele acestui protocol trec prin acesta, le modifică astfel încât utilizatorii din spatele NAT-ului să poată utiliza protocolul.

Serviciul ALG oferă suport pentru protocoale la nivel de aplicație (cum ar fi SIP, H.323, FTP etc.) pentru care traducerea adreselor de rețea nu este permisă. Acest serviciu determină tipul de aplicație în pachete care provin din interfața internă a rețelei și, în consecință, realizează traducerea adresei/portului pentru acestea prin interfața externă.

Tehnologia SPI (Stateful Packet Inspection) sau tehnologia de inspecție a pachetelor ținând cont de starea protocolului este astăzi o metodă avansată de control al traficului. Această tehnologie vă permite să controlați datele până la nivelul aplicației fără a necesita un intermediar sau o aplicație proxy separată pentru fiecare protocol protejat sau serviciu de rețea.

Din punct de vedere istoric, firewall-urile au evoluat de la filtre de pachete de uz general la middleware-uri specifice protocolului la inspecție cu stare. Tehnologiile anterioare doar s-au completat reciproc, dar nu au oferit un control complet asupra conexiunilor. Filtrele de pachete nu au acces la informațiile despre starea conexiunii și a aplicației care sunt necesare pentru ca sistemul de securitate să ia o decizie finală. Programele middleware procesează doar date la nivel de aplicație, ceea ce creează adesea diverse oportunități de piratare a sistemului. Arhitectura de inspecție cu stare este unică deoarece vă permite să gestionați toate informațiile posibile care trec prin mașina gateway: date din pachet, date despre starea conexiunii, date necesare aplicației.

Un exemplu de mecanismStatefulInspecţie. Firewall-ul monitorizează sesiunea FTP examinând datele la nivel de aplicație. Când un client solicită serverului să deschidă o conexiune inversă (comanda FTP PORT), firewall-ul extrage numărul portului din acea cerere. Lista stochează adresele clientului și serverului și numerele de port. Când este detectată o încercare de a stabili o conexiune de date FTP, firewall-ul scanează lista și verifică dacă conexiunea este într-adevăr un răspuns la o solicitare validă a clientului. Lista de conexiuni este menținută dinamic, astfel încât doar porturile FTP necesare sunt deschise. Imediat ce sesiunea este închisă, porturile sunt blocate, oferind un nivel ridicat de securitate.

Orez. 2.12. Un exemplu de mecanism de inspecție cu stat care funcționează cu protocolul FTP

Filtrarea la nivel de aplicație

Pentru a proteja o serie de vulnerabilități inerente filtrării de pachete, firewall-urile trebuie să folosească programe de aplicație pentru a filtra conexiunile la servicii precum Telnet, HTTP, FTP. O astfel de aplicație se numește serviciu proxy, iar gazda pe care rulează serviciul proxy se numește gateway la nivel de aplicație. Un astfel de gateway elimină interacțiunea directă între un client autorizat și o gazdă externă. Gateway-ul filtrează toate pachetele de intrare și de ieșire la nivelul aplicației (stratul de aplicație - stratul superior al modelului de rețea) și poate analiza conținutul datelor, cum ar fi o adresă URL conținută într-un mesaj HTTP sau o comandă conținută într-un mesaj FTP. Uneori este mai eficient să filtrați pachetele pe baza informațiilor conținute în datele în sine. Filtrele de pachete și filtrele la nivel de legătură nu utilizează conținutul fluxului de informații atunci când iau decizii de filtrare, dar filtrarea la nivel de aplicație poate face acest lucru. Filtrele la nivel de aplicație pot folosi informații din antetul pachetului, precum și conținutul datelor și informațiile despre utilizator. Administratorii pot utiliza filtrarea la nivel de aplicație pentru a controla accesul pe baza identității utilizatorului și/sau în funcție de sarcina specifică pe care utilizatorul încearcă să o efectueze. În filtrele la nivel de aplicație, puteți seta reguli pe baza comenzilor emise de aplicație. De exemplu, un administrator poate împiedica un anumit utilizator să descarce fișiere pe un anumit computer folosind FTP sau poate permite unui utilizator să găzduiască fișiere prin FTP pe același computer.

Avantajele unei astfel de filtrări includ:

reguli simple de filtrare;

posibilitatea organizării unui număr mare de inspecţii. Protecția la nivel de aplicație permite un număr mare de verificări suplimentare, ceea ce reduce probabilitatea de hacking folosind găuri în software;

capacitatea de a analiza datele aplicației.

Defecte:

performanță relativ scăzută în comparație cu filtrarea pachetelor;

proxy trebuie să-și înțeleagă protocolul (imposibilitatea utilizării cu protocoale necunoscute)?;

De regulă, rulează sub sisteme de operare complexe.

Scopul acestui articol este de a compara firewall-urile certificate care pot fi folosite pentru a proteja IPDN. Revizuirea ia în considerare numai produse software certificate, a căror listă a fost compilată din registru FSTEC din Rusia.

Alegerea unui firewall pentru un anumit nivel de protecție a datelor cu caracter personal

În această revizuire, vom lua în considerare firewall-urile prezentate în Tabelul 1. Acest tabel indică numele firewall-ului și clasa acestuia. Aceasta masa va fi util în special atunci când selectați software pentru protejarea datelor cu caracter personal.

Tabelul 1. Lista firewall-urilor certificate de FSTEC

Software	clasa ME
ME "Blokpost-Ekran 2000/HR"	4
Firewall software special „Z-2”, versiunea 2	2
Instrument de securitate a informațiilor TrustAccess	2
Instrument de securitate a informațiilor TrustAccess-S	2
Firewall StoneGate Firewall	2
Security Studio Endpoint Protection Personal Firewall	4
Pachetul software „Security Server CSP VPN Server. Versiunea 3.1”	3
Pachetul software „Security Gateway CSP VPN Gate.Version 3.1”	3
Pachetul software „CSP Security Client” Client VPN. Versiunea 3.1"	3
Pachetul software de firewall „Ideco ICS 3”	4
Pachetul software „Traffic Inspector 3.0”	3
Mijloace protecţie criptografică informații „Continent-AP”. Versiunea 3.7	3
Firewall „Cybersafe: Firewall”	3
Pachetul software „Internet gateway Ideco ICS 6”	3
VipNet Office Firewall	4

Toate aceste produse software, conform registrului FSTEC, sunt certificate ca firewall-uri.
Conform ordinului FSTEC al Rusiei nr. 21 din 18 februarie 2013, pentru a asigura nivelurile 1 și 2 de securitate a datelor cu caracter personal (denumite în continuare PD), firewall-urile de cel puțin clasa 3 sunt utilizate în cazul relevanței amenințărilor de tipul 1 sau 2 sau interacțiunea sistemului informațional (IS) cu rețele internaționale de schimb de informații și firewall-uri de cel puțin clasa 4 în cazul relevanței amenințărilor de tip 3 și al absenței interacțiunii între sistemul informațional și internet .

Pentru a asigura nivelul 3 de securitate a datelor cu caracter personal, firewall-urile de cel puțin clasa 3 (sau clasa 4, dacă amenințările de tip 3 sunt relevante și nu există interacțiune între sistemul informațional și internet) sunt potrivite. Și pentru a asigura securitatea de nivel 4, cele mai simple firewall-uri sunt potrivite - cel puțin clasa 5. Acestea, însă, nu sunt înregistrate în prezent în registrul FSTEC. De fapt, fiecare dintre firewall-urile prezentate în Tabelul 1 poate fi folosit pentru a oferi 1-3 niveluri de securitate, cu condiția să nu existe amenințări de tip 3 și să nu existe interacțiune cu Internetul. Dacă există o conexiune la Internet, atunci aveți nevoie de un firewall de cel puțin clasa 3.

Comparația firewall-urilor

Firewall-urile au un set specific de funcții. Deci, să vedem ce funcții oferă (sau nu) acest firewall sau acela. Funcția principală a oricărui firewall este filtrarea pachetelor bazată pe un anumit set reguli Nu este surprinzător că toate firewall-urile acceptă această caracteristică.

De asemenea, toate firewall-urile revizuite acceptă NAT. Dar există funcții destul de specifice (dar nu mai puțin utile), de exemplu, mascarea portului, reglarea încărcării, modul de operare multi-utilizator, controlul integrității, implementarea programului în ActiveDirectory și administrare la distanță din afara. Este destul de convenabil, vedeți, când un program acceptă implementarea în ActiveDirectory - nu trebuie să îl instalați manual pe fiecare computer din rețea. De asemenea, este convenabil dacă firewall-ul acceptă administrarea de la distanță din exterior - puteți administra rețeaua fără a pleca de acasă, ceea ce va fi important pentru administratorii care sunt obișnuiți să-și îndeplinească funcțiile de la distanță.

Cititorul poate fi surprins că multe dintre firewall-urile enumerate în Tabelul 1 nu acceptă implementări ActiveDirectory și același lucru se poate spune și pentru alte caracteristici, cum ar fi limitarea încărcăturii și mascarea porturilor. Pentru a nu descrie ce firewall acceptă această sau acea funcție, am sistematizat caracteristicile acestora în Tabelul 2.

Tabelul 2. Capacitățile firewall

Cum vom compara firewall-urile?

Sarcina principală a firewall-urilor atunci când protejează datele personale este de a proteja ISPD. Prin urmare, de multe ori administratorului nu îi pasă ce funcții suplimentare va avea firewall-ul. Următorii factori sunt importanți pentru el:

Timp de protecție. Este clar aici că cu cât mai repede, cu atât mai bine.
Ușurință în utilizare. Nu toate firewall-urile sunt la fel de convenabile, așa cum se va arăta în recenzie.
Preț. Adesea partea financiară este decisivă.
Timpul de livrare. Adesea, timpul de livrare lasă mult de dorit, iar datele trebuie protejate acum.

Toate firewall-urile au aproximativ aceeași securitate, altfel nu ar avea certificat.

Firewall-uri în revizuire

În continuare vom compara trei firewall-uri - VipNet Office Firewall, Cybersafe Firewall și TrustAccess.
TrustAccess Firewall este un firewall distribuit cu management centralizat, conceput pentru a proteja serverele și stațiile de lucru de accesul neautorizat și pentru a limita accesul la rețea la sistemele de informații ale întreprinderii.
Firewall Cybersafe- un firewall puternic conceput pentru a proteja sistemele computerizate și rețelele locale de influențe externe rău intenționate.
ViPNet Office Firewall 4.1- un firewall software conceput pentru a controla și gestiona traficul și transformarea traficului (NAT) între segmentele rețelei locale în timpul interacțiunii acestora, precum și în timpul interacțiunii nodurilor rețelei locale cu resursele rețelei publice.

Timp de protecție ISPD

Care este timpul de protecție ISPD? În esență, acesta este timpul necesar pentru a implementa programul pe toate computerele din rețea și timpul pentru a configura regulile. Acesta din urmă depinde de ușurința de utilizare a firewall-ului, dar primul depinde de adecvarea pachetului său de instalare pentru instalarea centralizată.

Toate cele trei firewall-uri sunt distribuite ca Pachete MSI, ceea ce înseamnă că puteți utiliza instrumentele de implementare ActiveDirectory pentru a le instala central. S-ar părea că totul este simplu. Dar, în practică, se dovedește că nu este cazul.

Întreprinderea folosește de obicei management centralizat firewall-uri. Aceasta înseamnă că un server de gestionare a paravanului de protecție este instalat pe un computer, iar programele client sau agenții, așa cum sunt denumiti, sunt instalați pe restul. Întreaga problemă este că atunci când instalați agentul, trebuie să setați anumiți parametri - cel puțin adresa IP a serverului de management și poate și o parolă etc.
Prin urmare, chiar dacă implementați fișiere MSI pe toate computerele din rețea, va trebui totuși să le configurați manual. Și acest lucru nu ar fi foarte de dorit, având în vedere că rețeaua este mare. Chiar dacă aveți doar 50 de computere, gândiți-vă la asta - mergeți la fiecare PC și configurați-l.

Cum se rezolvă o problemă? Și problema poate fi rezolvată prin crearea unui fișier de transformare (fișier MST), cunoscut și ca fișier de răspuns, pentru fișierul MSI. Dar nici VipNet Office Firewall, nici TrustAccess nu pot face acest lucru. Acesta este motivul pentru care, apropo, Tabelul 2 indică faptul că nu există suport pentru implementare Director activ. Este posibil să implementați aceste programe într-un domeniu, dar este necesară munca manuală a unui administrator.

Desigur, administratorul poate folosi editori precum Orca pentru a crea fișierul MST.

Orez. 1. Editor Orca. Încercarea de a crea un fișier MST pentru TrustAccess.Agent.1.3.msi

Dar chiar crezi că totul este atât de simplu? Ați deschis fișierul MSI în Orca, am modificat câțiva parametri și am primit un fișier de răspuns gata? Nu asa! În primul rând, Orca în sine nu este pur și simplu instalată. Trebuie să descărcați Windows Installer SDK, să extrageți orca.msi din acesta folosind 7-Zip și să îl instalați. Știai despre asta? Dacă nu, atunci luați în considerare că ați petrecut aproximativ 15 minute căutând informațiile necesare, descarcând software-ul și instalând editorul. Dar tot chinul nu se termină aici. Fișierul MSI are multe opțiuni. Uită-te la fig. 1 - aceștia sunt doar parametri ai grupului de proprietate. Pe care ar trebui să o schimb pentru a indica adresa IP a serverului? Ştii? Dacă nu, atunci aveți două opțiuni: fie configurați manual fiecare computer, fie contactați dezvoltatorul, așteptați un răspuns etc. Având în vedere că dezvoltatorii durează uneori destul de mult timp pentru a răspunde, timpul real de implementare a programului depinde doar de viteza de mișcare între computere. Este bine dacă ați instalat un instrument de management de la distanță în avans - atunci implementarea va merge mai rapid.

Cybersafe Firewall creează automat un fișier MST; trebuie doar să îl instalați pe un computer, să obțineți râvnitul fișier MST și să îl îndreptați către Politica de grup. Puteți citi despre cum să faceți acest lucru în articolul „Separarea sistemelor de informații atunci când se protejează datele cu caracter personal”. În doar o jumătate de oră (sau chiar mai puțin) puteți implementa un firewall pe toate computerele din rețea.

De aceea Cybersafe Firewall primește un rating de 5, iar concurenții săi - 3 (mulțumesc, cel puțin instalatorii sunt în format MSI, nu .exe).

Produs	Nota
VipNet Office Firewall
Firewall Cybersafe
TrustAccess

Ușurință în utilizare

Un firewall nu este un procesor de text. Acesta este un produs software destul de specific, a cărui utilizare se reduce la principiul „instalați, configurați, uitați”. Pe de o parte, ușurința în utilizare este un factor secundar. De exemplu, iptables în Linux nu poate fi numit convenabil, dar îl folosesc în continuare? Pe de altă parte, cu cât firewall-ul este mai convenabil, cu atât mai rapid va fi posibilă protejarea ISPD-ului și îndeplinirea unor funcții pentru administrarea acestuia.

Ei bine, să vedem cât de convenabile sunt firewall-urile în cauză în procesul de creare și protecție ISDN.

Vom începe cu VipNet Office Firewall, care, în opinia noastră, nu este foarte convenabil. Puteți selecta computerele în grupuri numai după adrese IP (Fig. 2). Cu alte cuvinte, există o legătură cu adresele IP și trebuie fie să alocați diferite ISPD-uri diferitelor subrețele, fie să împărțiți o subrețea în intervale de adrese IP. De exemplu, există trei ISPD-uri: Management, Contabilitate, IT. Trebuie să configurați serverul DHCP astfel încât computerele din grupul Management să fie adrese IP „distribuite” din intervalul 192.168.1.10 - 192.168.1.20, Contabilitate 192.168.1.21 - 192.168.1.31 etc. Acest lucru nu este foarte convenabil. Pentru aceasta va fi dedus un punct din VipNet Office Firewall.

Orez. 2. Când se creează grupuri de computere, există o legătură evidentă la adresa IP

În firewall-ul Cybersafe, dimpotrivă, nu există nicio legătură cu adresa IP. Calculatoarele care fac parte dintr-un grup pot fi amplasate în subrețele diferite, în zone diferite ale aceleiași subrețele și chiar în afara rețelei. Uită-te la fig. 3. Filialele companiei sunt situate în diferite orașe (Rostov, Novorossiysk etc.). Crearea de grupuri este foarte simplă - doar trageți și plasați numele computerelor în grupul doritși apăsați butonul aplica. După aceasta, puteți face clic pe butonul Stabiliți regulile să formeze reguli specifice fiecărui grup.

Orez. 3. Gestionarea grupurilor în Cybersafe Firewall

În ceea ce privește TrustAccess, trebuie remarcat faptul că este strâns integrat cu sistemul în sine. Grupurile de sistem deja create de utilizatori și computere sunt importate în configurația firewall, ceea ce facilitează gestionarea firewall-ului într-un mediu ActiveDirectory. Nu trebuie să creați un ISDN în firewall-ul propriu-zis, ci să utilizați grupuri de computere existente în domeniul Active Directory.

Orez. 4. Grupuri de utilizatori și computere (TrustAccess)

Toate cele trei firewall-uri vă permit să creați așa-numitele programe, datorită cărora administratorul poate configura trecerea pachetelor conform unui program, de exemplu, interzice accesul la Internet în orele nelucrătoare. În VipNet Office Firewall, programele sunt create în secțiune Programe(Fig. 5), iar în Cybersafe Firewall, timpul de funcționare al regulii este setat la definirea regulii în sine (Fig. 6).

Orez. 5. Programe în VipNet Office Firewall

Orez. 6. Regulați timpul de funcționare în Cybersafe Firewall

Orez. 7. Programează în TrustAccess

Toate cele trei firewall-uri oferă foarte mijloace convenabile pentru a crea regulile în sine. TrustAccess oferă, de asemenea, un expert convenabil pentru crearea regulilor.

Orez. 8. Crearea unei reguli în TrustAccess

Să aruncăm o privire la o altă caracteristică - instrumente pentru primirea rapoartelor (reviste, jurnale). În TrustAccess, pentru a colecta rapoarte și informații despre evenimente, trebuie să instalați un server de evenimente (EventServer) și un server de rapoarte (ReportServer). Acesta nu este un defect, ci mai degrabă o caracteristică („funcție”, după cum spunea Bill Gates) a acestui firewall. În ceea ce privește firewall-urile Cybersafe și VipNet Office, ambele firewall-uri oferă instrumente convenabile pentru vizualizarea jurnalului de pachete IP. Singura diferență este că Cybersafe Firewall afișează mai întâi toate pachetele și le puteți filtra pe cele de care aveți nevoie folosind capacitățile de filtrare încorporate în antetul tabelului (Fig. 9). Și în VipNet Office Firewall, trebuie mai întâi să instalați filtre și apoi să vizualizați rezultatul.

Orez. 9. Gestionarea jurnalului de pachete IP în Cybersafe Firewall

Orez. 10. Gestionarea jurnalului de pachete IP în VipNet Office Firewall

Firewall-ului Cybersafe a trebuit dedus 0,5 puncte pentru lipsa unei funcții de export de jurnal în Excel sau HTML. Funcția este departe de a fi critică, dar uneori este util să exportați simplu și rapid mai multe linii din jurnal, de exemplu, pentru „debriefing”.

Deci, rezultatele acestei secțiuni:

Produs	Nota
VipNet Office Firewall
Firewall Cybersafe
TrustAccess

Preț

Este pur și simplu imposibil să ocoliți partea financiară a problemei, deoarece de multe ori devine decisivă atunci când alegeți un anumit produs. Astfel, costul unei licențe ViPNet Office Firewall 4.1 (licență pentru 1 an pentru 1 computer) este de 15.710 de ruble. Și costul unei licențe pentru 1 server și 5 stații de lucru TrustAccess va costa 23.925 de ruble. Puteți afla costul acestor produse software folosind linkurile de la sfârșitul articolului.

Amintiți-vă aceste două numere: 15.710 ruble. pentru un PC (pe an) și 23.925 rub. pentru 1 server și 5 PC-uri (pe an). Și acum atenție: pentru acești bani puteți cumpăra o licență pentru 25 de noduri Cybersafe Firewall (15.178 ruble) sau adăugați puțin și va fi suficient pentru o licență pentru 50 de noduri (24.025 ruble). Dar cel mai important lucru la acest produs nu este costul. Cel mai important lucru este perioada de valabilitate a licenței și suport tehnic. Licența pentru Cybersafe Firewall nu are dată de expirare, la fel ca și suportul tehnic. Adică plătiți o singură dată și primiți un produs software cu licență pe viață și suport tehnic.

Produs	Nota
VipNet Office Firewall
Firewall Cybersafe
TrustAccess

Timpul de livrare

Din experiența noastră, timpul de livrare pentru VipNet Office Firewall este de aproximativ 2-3 săptămâni de la contactarea Infotex OJSC. Sincer, aceasta este o perioadă destul de lungă, având în vedere că cumpărați un produs software, nu un pachet software.
Timpul de livrare TrustAccess, dacă este comandat prin Softline, este de la 1 zi. O perioadă mai realistă este de 3 zile, ținând cont de o anumită întârziere a Softline. Deși pot livra într-o zi, totul depinde de volumul de muncă al Softline. Din nou, aceasta este o experiență personală; termenul limită real pentru un anumit client poate diferi. Dar, în orice caz, timpul de livrare este destul de mic, ceea ce nu poate fi ignorat.

În ceea ce privește produsul software CyberSafe Firewall, producătorul garantează livrarea versiunii electronice în 15 minute de la plată.

Produs	Nota
VipNet Office Firewall
Firewall Cybersafe
TrustAccess

Ce sa aleg?

Dacă vă concentrați doar pe costul produsului și al suportului tehnic, atunci alegerea este evidentă - Cybersafe Firewall. Cybersafe Firewall are un raport optim funcționalitate/preț. Pe de altă parte, dacă aveți nevoie de asistență Secret Net, atunci trebuie să vă uitați la TrustAccess. Dar putem recomanda doar VipNet Office Firewall ca un bun firewall personal, dar în aceste scopuri există multe alte soluții, dar și gratuite.

Revizuirea efectuată de specialiști
firma integratoare DORF LLC