бесплатные рефераты

Анализ проблем информационной безопасности в компьютерной сети организации, подключенной к сети Интернтет

В качестве примера решения на базе межсетевых экранов можно назвать FireWall-1 компании Check Point Software Technologies. FairWall-1 использует для построения VPN стандартный подход на базе IPSec. Трафик, приходящий в межсетевой экран, дешифруется, после чего к нему применяются стандартные правила управления доступом. FireWall-1 работает под управлением операционных систем Solaris и Windows NT 4.0.

К недостаткам этого метода относятся высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. На рис. 2.9 показано пример совмещения межсетевого экрана и VPN.

При использовании межсетевых экранов на базе ПК надо помнить, что подобный вариант подходит только для небольших сетей с ограниченным объемом передаваемой информации.

94

Рис. 2.9. Пример совмещения межсетевого экрана и VPN

3. Предложение по совершенствованию защиты компьютерной сети организации за счет внедрение межсетевого экрана

3.1 Правильный выбор межсетевых экранов для защиты информации КСО

Оптимальные межсетевые экраны для малых и средних организаций с невысокими требованиями к безопасности

В данном разделе, рассматриваются широко распространенные аппаратные межсетевые экраны и приводятся рекомендации по их применению в зависимости от размера организации, требуемого уровня безопасности и стоимости решения. В первой части статьи рассмотрены решения, оптимальные для малых и средних организаций с невысокими требованиями к безопасности, а во второй -- решения для малых и средних компаний и офисов филиалов, нуждающихся в надежной защите.

Выбор варианта

В настоящее время выбор межсетевых экранов очень широк, начиная от простого (и бесплатного) Windows Firewall, размещаемого на защищаемой машине, до высокопроизводительных межсетевых экранов с проверкой состояния пакетов стоимостью в десятки тысяч долларов. Как выбрать оптимальный вариант для конкретного организация? При выборе межсетевого экрана следует учитывать два основных фактора: требования безопасности и стоимость.

Требования безопасности.

Требования к безопасности постоянно меняются. Администратор должен сочетать надежную защиту с удобством пользовательского доступа к данным, а также учитывать принципиальные ограничения программ, авторы которых обращали мало внимания на безопасность хост-машины и сети.

Ограничения по стоимости. Цена -- барьер между желаниями и действительностью. Главное препятствие на пути к высокой безопасности -- затраты, которые готов или может нести пользователь. Уровень защиты, обеспечиваемый простым широкополосным маршрутизатором для малого/домашнего офиса с проверкой пакетов, значительно ниже, чем при применении промышленного межсетевого экрана с проверкой пакетов и контролем на прикладном уровне. В целом чем выше стоимость межсетевого экрана, тем надежнее защита. Уровень безопасности соответствует затратам, которые несет организация (на разовое приобретение аппаратных средств и программного обеспечения или на оплату консультантов по управлению недорогими решениями).

Решения, представленные в разделе

Рынок межсетевых экранов чрезвычайно велик и разнообразен, поэтому невозможно оценить каждого поставщика. Чтобы несколько упорядочить картину, было выбрано несколько поставщиков устройств, охватывающих весь спектр надежности и стоимости, от традиционных межсетевых экранов с проверкой пакетов до смешанных устройств с проверкой пакетов и приложений для устранения универсальных угроз (universal threat management, UTM). В данной статье представлены такие поставщики, как Cisco Systems, Network Engines, Rimapp, SonicWall и Symantec.

Главный акцент в обзоре сетевых межсетевых экранов для организаций различных размеров и требований к безопасности сделан на уровне защиты, а не характеристиках маршрутизации или дополнительных функциях устройства. Многие поставщики межсетевых экранов взимают дополнительную плату за передовые функции маршрутизации, которые никак не влияют на уровень безопасности. Например, не рассматривались маршрутизация на базе политик, качество обслуживания, прозрачность уровня управления передачей данных и другие сетевые усовершенствования, которые мало влияют на общую безопасность.

С другой стороны, продукты некоторых поставщиков располагают функциями Web-кэширования, значительно повышающими общую ценность приобретения для организации, которой не приходится покупать отдельное решение для кэширования. В результате повышается производительность при работе в Web и снижаются общие затраты на эксплуатацию канала Internet. Наличие Web-proxy также повышает безопасность.

Характеристики оценки межсетевых экранов

Ниже приводится краткий обзор характеристик, которые принимались во внимание при оценке аппаратных межсетевых экранов. Этот список поможет понять информацию, приведенную в таблице 3.2 и 3.3.

Цена. Стоимость конкретных межсетевых экранов у разных продавцов может сильно различаться. Приведенная в данном обзоре цена отражает стандартный набор функций без дополнительных модулей, которые приходится покупать отдельно. Модули расширения могут значительно повысить указанную цену.

Контроль на прикладном уровне с учетом состояния. Контроль на прикладном уровне с учетом состояния заключается в проверке как заголовков протокола, так и прикладных данных с использованием механизма контроля на прикладном уровне. Примеры -- углубленная проверка на прикладном уровне данных и заголовков HTTP, данных и заголовков SMTP, данных и заголовков протокола Instant Messaging (IM).

Контроль прикладного протокола. Контроль прикладного протокола (иначе, углубленная проверка пакетов -- deep packet inspection) позволяет анализировать протокол прикладного уровня и подтвердить его соответствие стандартам IETF (Internet Engineering Task Force) для наборов команд протоколов. Примеры -- контроль протоколов DNS, FTP, POP3 и SMTP. В процессе контроля прикладного протокола проверка соответствия заданным условиям всех данных на прикладном уровне не выполняется.

Проверка пакетов на соответствие заданным условиям. Данный метод обеспечивает проверку заголовков сетевого и транспортного уровня в механизме фильтрации пакетов межсетевого экрана. Проверка пакетов на соответствие заданным условиям применяется практически во всех современных межсетевых экранов и одно время была стандартным методом защиты.

Прозрачная аутентификация Windows. Благодаря прозрачной аутентификации межсетевой экран получает учетные данные пользователя из клиентской операционной системы без постороннего вмешательства. Строгий контроль внешнего доступа пользователей и групп осуществляется без запроса учетных данных пользователя.

Протоколирование всех имен пользователей и приложений Web и Winsock. Протоколирование -- обязательное условие для подготовки исчерпывающих отчетов о соответствии законодательству и эффективного сотрудничества с правоохранительными органами. Через протоколирование имен пользователей и приложений Winsock межсетевой экран получает информацию о приложениях и ресурсах, доступных пользователю при подключении через межсетевой экран.

Контроль на прикладном уровне через туннели SSL (Secure Sockets Layer). Такой контроль позволяет выполнить проверку на соответствие заданным условиям и проанализировать протокол соединения в шифрованном туннеле SSL. Межсетевые экраны, которые обеспечивают только проверку пакетов на соответствие заданным условиям, не могут контролировать заголовки и данные прикладного уровня в шифрованных туннелях SSL.

Поддержка Microsoft Exchange Server. Межсетевые экраны со встроенной поддержкой Exchange повышают безопасность удаленных соединений через Internet со службами Exchange, в том числе Outlook Web Access (OWA), Outlook Mobile Access (OMA), Exchange ActiveSync, Secure Exchange RPC и RPC over HTTP. Эта характеристика охватывает встроенные функции двухфакторной аутентификации, например RSA SecurID компании RSA Security.

Контроль шлюзового и клиентского трафика VPN на прикладном уровне. Благодаря контролю шлюзовых и клиентских соединений VPN межсетевой экран проверяет как пакеты на соответствие заданным условиям, так и туннельные соединения через PPTP, Layer Two Tunneling Protocol (L2TP)/IPsec или IPsec на прикладном уровне. Контроль на прикладном уровне соединений через канал VPN предотвращает распространение таких «червей», как Blaster и Sasser. Например, межсетевой экран ISA Server 2004 компании Microsoft обеспечивает соответствие стандарту вызовов удаленных процедур RPC (remote procedure call) и блокирует Blaster и аналогичные угрозы.

Обнаружение и предотвращение несанкционированного доступа. Методы обнаружения и предотвращения несанкционированного доступа ориентированы на аномалии сетевого и транспортного уровня, угрожающие набору протоколов TCP/IP межсетевого экрана. Большинство межсетевых экранов систем обнаружения и предупреждения вторжений Intrusion Detection System (IDS)/Intrusion Prevention System (IPS) можно настроить на пересылку предупреждений администраторам без активных действий или предупреждение с принятием мер для предотвращения нападения. На практике большинство межсетевых экранов IDS/IPS запрещают попытки несанкционированного доступа в момент обнаружения.

Сервер удаленного доступа VPN и шлюз VPN. Сервер удаленного доступа VPN принимает клиентские соединения VPN от систем и подключает эту систему в корпоративную сеть. Шлюз VPN связывает целые сети через межсайтовое VPN-соединение.

VPN-клиент. Для всех традиционных удаленных клиентских соединений VPN необходима клиентская программа (в бесклиентских SSL VPN в качестве клиента используется браузер). Большинство межсетевых экранов обеспечивают соединения PPTP и L2TP/IPsec со встроенным в Windows VPN-клиентом от Microsoft. Для некоторых межсетевых экранов требуются дополнительная (расширенная) клиентская программа VPN, которая обеспечивает проверку соответствия требованиям безопасности клиента VPN, и специальные протоколы IPsec для прохождения трансляции сетевых адресов NAT (Network Address Translation). Эти программы могут предоставляться бесплатно, но иногда их приходится покупать отдельно.

10/100-Мбит/с порты локальной сети. Межсетевой экран с несколькими портами Ethernet, выделенными для локальных соединений, обеспечивает более глубокую физическую сегментацию зон безопасности. В некоторых межсетевых экранов имеется несколько портов Ethernet, но ограничено число портов, которые могут использоваться для подключения к Internet.

Порты WAN. В некоторых межсетевых экранов ограничено число портов для прямого подключения к Internet. В других для этой цели можно использовать сколь угодно много портов.

Балансировка нагрузки. Несколько межсетевых экранов можно подключить параллельно и балансировать входящие и исходящие соединения через межсетевой экран. В идеальном случае соединения равномерно распределяются между межсетевыми экранами, и результаты работы каждого устройства меняются в лучшую сторону благодаря предотвращению перегрузки отдельных межсетевых экранов.

Число пользователей. В некоторых межсетевых экранов ограничено число пользователей или IP-адресов, которые могут устанавливать соединения через межсетевой экран. Эти межсетевые экраны лицензированы для работы с определенным числом пользователей и, если превышен лицензионный порог, генерируют соответствующее предупреждение.

Передача функций отказавшего межсетевого экрана исправному устройству. Данная функция позволяет подключить два или несколько межсетевых экранов таким образом, чтобы они могли обслуживать соединения вместо отказавших устройств. Резервирование может быть «холодным» (без нагрузки), «горячим» (под нагрузкой) или с балансировкой нагрузки. Некоторые процедуры переключения автоматические, а в других случаях требуется вмешательство администратора.

Переключение Internet-провайдера и объединение полосы пропускания. Возможность работы с несколькими Internet-провайдерами -- важнейшее требование любой организации, деятельность которой зависит от связи с Internet. Межсетевые экраны со сменой Internet-провайдеров могут переключаться на работоспособную линию, если связь с одним или несколькими провайдерами прерывается. Объединение полосы пропускания заключается в соединении нескольких линий связи в скоростной канал доступа к ресурсам Internet.

Настройка. Большинство межсетевых экранов обеспечивают Web-соединения SSL в некоторых или во всех конфигурациях. Некоторые межсетевые экраны поддерживают интерфейс командной строки в сеансе терминала, а межсетевые экраны на базе ISA Server обеспечивают шифрованные соединения RDP, совместимые со стандартом обработки информации FIPS (Federal Information Processing Standard).

Процессор. Данная характеристика в пояснениях не нуждается. Она указывает тип и быстродействие основного процессора межсетевого экрана.

Web-кэширование и proxy-сервер. Некоторые межсетевые экраны располагают встроенным сервером Web-кэширования. Web-кэширование ускоряет доступ в Internet для конечных пользователей и может существенно понизить нагрузку на канал связи с Internet и соответствующие расходы. Компонент Web-proxy значительно повышает безопасность, полностью разлагая на составные части, а затем проверяя и восстанавливая проходящие через него сообщения HTTP.

Низкий уровень безопасности

Как отмечалось в начале статьи, межсетевые экраны рассматриваются в соответствии с необходимым предприятию уровнем безопасности. Межсетевые экраны первого типа предназначены для малых и средних предприятий с низким уровнем безопасности. В слабо защищенной среде важные данные не хранятся в сети или владелец конфиденциальной информации не может либо не хочет платить за сетевой межсетевой экран с мощными функциями проверки входящего и исходящего доступа, пакетов и прикладного уровня, исчерпывающее протоколирование действий пользователей и приложений.

Как правило, слабо защищенные сети принадлежат небольшим компаниям с ограниченным бюджетом. Локальная сеть может подключаться к Internet через широкополосный кабельный модем или DSL-соединение с помощью так называемого «широкополосного маршрутизатора» вместо выделенных линий уровней T и выше, более распространенных в крупных организациях. Технически широкополосные маршрутизаторы не относятся к маршрутизаторам, а представляют собой простые устройства NAT. Большинство таких устройств позволяет установить немногочисленные VPN-соединения с использованием фирменных клиентских программ VPN.

Верхняя граница ценового диапазона межсетевых экранов для среды с невысоким уровнем защиты -- около 500 долл. Если на сеть с низким уровнем безопасности не распространяются строгие требования правоохранительного надзора, а компания имеет очень ограниченный бюджет, то следует обратить внимание на продукты Cisco, SonicWall и Symantec, сравнительные характеристики которых приведены в таблице 3.1.

Три межсетевого экрана располагают сходной функциональностью, возможностями и уровнями защиты от внешних угроз. Каждый обеспечивает проверку пакетов на соответствие заданным условиям во входящих соединениях с Internet. Этим маломощным устройствам свойственны существенные ограничения по числу пользователей. Число соединений определяется схемой лицензирования каждого поставщика и возможностями аппаратных средств.

Еще важнее, что эти межсетевые экраны не располагают средствами контроля входящего и исходящего доступа по пользователям и группам. Функции протоколирования всех устройств примитивны. Отсутствует проверка на соответствие заданным условиям на прикладном уровне. Эти ограничения типичны для недорогих аппаратных межсетевых экранов.

Из этой тройки рекомендуется использовать простое в настройке устройство SonicWall 170, которое работает почти автоматически. SonicWall 170 располагает модемным интерфейсом, благодаря которому возможно переключение на аналоговое модемное соединение в случае отказа основного широкополосного канала связи. Кроме того, в SonicWall 170 на один локальный порт больше, чем в двух других устройствах.

Сетевая безопасность -- решающий компонент общей стратегии эшелонированной обороны предприятия. Сетевые межсетевые экраны -- ключевые элементы защиты систем и данных на различных сетевых периметрах. Предприятия с низкими требованиями к безопасности могут выбрать один из межсетевых экранов из таблицы или другие продукты такого уровня, но для надежной защиты требуются устройства, которые будут рассмотрены чуть ниже.

Таблица 3.1. Аппаратные межсетевые экраны для сетевой среды с невысокой надежностью

SonicWall 170

Cisco PIX 501

Symantec Firewall/VPN

Цена в долларах

410

495

499

Контроль на прикладном уровне с учетом состояния

Нет

Нет

Нет

Контроль прикладного протокола

Да (ограничено)

Да (ограничено)

Да (ограничено)

Проверка пакетов на соответствие заданным условиям

Да

Да

Да

Прозрачная аутентификация Windows

Нет

Нет

Нет

Протоколирование всех имен пользователей и приложений Web и Winsock

Нет

Нет

Нет

Контроль на прикладном уровне через туннели SSL

Нет

Нет

Нет

Поддержка Exchange

Нет

Нет

Нет

Контроль шлюзового и клиентского трафика VPN на прикладном уровне

Нет

Нет

Нет

Обнаружение и предотвращение несанкционированного доступа

Да

Да

Да

Сервер удаленного доступа VPN и шлюз VPN

Да

Да

Нет

VPN-клиент

Нет

Нет

Нет

10/100-Мбит/с порты ЛВС

5

4

4

Порты WAN

1

1

1

Балансировка нагрузки

Нет

Нет

Нет

Число пользователей

10

10

15-25

Передача функций отказавшего межсетевого экрана исправному устройству

Аналоговый коммутируемый доступ через внешний модем

Нет

Аналоговый коммутируемый доступ через внешний модем

Переключение Internet-провайдера и объединение полосы пропускания

Нет

Нет

Нет

Настройка

Web-интерфейс

Командная строка и Web-интерфейс

Web-интерфейс

Процессор

SonicWall Security Processor

AMD SC520

ARM7

Web-кэширование и proxy-сервер

Нет

Нет

Нет

Варианты для малых и средних предприятий с высокими требованиями к безопасности

В тех организациях, где защите приходится уделять много внимания, к межсетевым экранам предъявляются гораздо более высокие требования. Повышенная безопасность может быть вызвана условиями закона, характером бизнеса (например, в отраслях с острой конкуренцией необходимо охранять коммерческие секреты) или желанием владельца получить достойную защиту по разумной цене. В малых и средних компаниях с высокими требованиями к безопасности к межсетевому экрану относятся, как к страхованию автомобиля. Такие организации готовы заплатить вперед, чтобы предотвратить потенциальную катастрофу.

Проблемы обеспечения высокого уровня безопасности

При выборе межсетевого экрана с повышенным уровнем защиты необходимо учитывать ряд дополнительных требований.

· Следует протоколировать обращения из корпоративной сети в Internet. Как минимум, требуется записывать имя пользователя и приложение, задействованное при попытках получить доступ к ресурсам через межсетевой экран. Рекомендуется также указывать имена сайтов и тип контента.

· Необходим механизм настройки межсетевого экрана на блокирование запуска приложений, которые представляют опасность для сети и целостности данных - например, одноранговых (P2P) сетей и программ мгновенного обмена сообщениями (Instant Messaging - IM).

· Межсетевой экран должен останавливать как входящий, так и исходящий несанкционированный трафик, с проверкой пакетов на соответствие заданным условиям и контролем на прикладном уровне по всем интерфейсам, в том числе VPN.

· Межсетевой экран должен обеспечивать проверку пакетов на соответствие заданным условиям и контроль на прикладном уровне для входящего трафика, проходящего через межсетевой экран в корпоративную сеть, чтобы удаленные пользователи могли обращаться к данным предприятия извне. Проверка на соответствие заданным условиям должна производиться над данными, зашифрованными для передачи по линиям связи.

· Блокировать или смягчать действие червей, вирусов, шпионских программ и других угроз для целостности данных на периметре сети; контроль на прикладном уровне необходим на всех этапах.

· Если требуется доступ к важной бизнес - информации, следует предусмотреть механизмы обеспечения отказоустойчивости.

Несмотря на высокие требования к безопасности, предъявляемые некоторыми малыми предприятиями, эти компании все же остаются малыми и не располагают бюджетом крупных корпораций. В среднем малая организация готова потратить до 3000 долл. на решение для обеспечения безопасности, срок эксплуатации которого составит 3-4 года. Ежедневная цена решения с учетом амортизации (около 2 долл. в день) невелика по сравнению с потенциальными финансовыми потерями, которые могут стать следствием выбора ненадежного решения.

Выбор устройств

В таблице 3.2 приведены аппаратные межсетевые экраны, которые обеспечивают приемлемую сетевую безопасность для нуждающихся в серьезной защите малых и средних предприятий. SonicWALL Pro 3060 и Cisco PIX-515E-RDMZ компании Cisco Systems -- традиционные аппаратные межсетевые экраны. NS6200 компании Network Engines на базе Microsoft ISA Server 2004 и SGS 5420 компании Symantec представляют собой продукты, которые обычно называют «программными» межсетевыми экранами -- они работают на базе универсальной операционной системы или имеют жесткие диски (иногда присутствуют оба компонента). NS6200 относится к «третьему поколению» межсетевых экранов, в котором стабильность и надежность аппаратного межсетевого экрана сочетаются с гибкостью, удобством обновления и готовностью отразить новейшие угрозы программного продукта. Характеристики SGS 5420 -- промежуточные: он не работает с универсальной операционной системой, но располагает жестким диском.

Для безопасности сети рекомендуется устройства Network Engines и Symantec, которые превосходят традиционные аппаратные модели с проверкой пакетов на соответствие заданным условиям. Главное различие заключается в глубине контроля на прикладном уровне, обеспечиваемом этими двумя устройствами, по сравнению с межсетевыми экранами SonicWALL и Cisco.

Для контроля на прикладном уровне в межсетевых экранов этого класса можно использовать встраиваемые и внешние модули расширения (например, для борьбы с вирусами, фильтрации загружаемых файлов, фильтрации почты, блокирования всплывающей рекламы, анализа Web-контента). При этом из-за высокой цены устройства могут оказаться недосягаемыми для малых и средних предприятий.

В конечном итоге было отдано межсетевому экрану Network Engines предпочтение перед устройством Symantec благодаря достоинствам, решающим для создания сетевой среды с высоким уровнем безопасности.

· Прозрачная аутентификация всех исходящих соединений через межсетевой экран. В среде с высоким уровнем безопасности для регистрации в домене требуется двухфакторная аутентификация. Благодаря прозрачной аутентификации, пользователи не могут обмениваться учетными данными для доступа к Internet, так как система никогда не выводит на экран окно регистрации. В результате повышаются достоверность данных в журнале и эффективность дальнейшего расследования на основе этой информации.

· Полное протоколирование всех входящих и исходящих соединений через межсетевой экран. Эти сведения, в том числе об именах пользователей и приложениях, задействованных для доступа к любым ресурсам через межсетевой экран, незаменимы при выполнении аудита на соответствие законодательству и в ходе административных, уголовных и гражданских расследований.

· Контроль на прикладном уровне туннелей SSL (Secure Sockets Layer - уровень защищенных гнезд). Устройство NS6200 на базе ISA Server 2004 выполняет контроль на прикладном уровне входящих соединений SSL через межсетевой экран. Такие соединения могут использоваться для обращений к частным данным на сервере Microsoft Outlook Web Access (OWA) или Microsoft SharePoint Portal Server. В отличие от других межсетевых экранов в таблице 3.2, NS6200 может дешифровать SSL-соединение в межсетевом экране, передать заголовки и данные в механизм прикладного управления межсетевого экрана, а затем заново зашифровать данные для сквозной пересылки по безопасному шифрованному соединению.

· Проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне по всем VPN-интерфейсам. Данная проверка охватывает VPN удаленного доступа и шлюзовые соединения между сайтами. Каналы VPN нередко оказываются слабым звеном во многих межсетевых экранов, так как подключенные к VPN машины, как правило, рассматриваются как "доверенные" и не подвергаются контролю на прикладном уровне. Такой подход был главной причиной атаки червя Blaster на сети, в остальном защищенные от внешней угрозы. Опасности, аналогичные Blaster, все еще существуют, и VPN-соединения по-прежнему могут служить средой их распространения. NS6200 открывает каналы VPN для контроля на прикладном уровне и блокирует нападения на межсетевом экране.

Даже вместе с дорогостоящими модулями расширения для контроля на прикладном уровне ни один из остальных межсетевых экранов в табл. 3.2 не располагает функциями безопасности, реализованными в NS6200.

Более масштабные сети с высоким уровнем защиты

Средним и крупным предприятиям, а также их филиалам свойственны похожие требования к безопасности. Как и небольшим компаниям с надежной защитой, им требуются исчерпывающая проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне, полное протоколирование и функции управления доступом пользователей/групп через межсетевой экран. Основное различие между надежно защищенной крупной компанией и малым предприятием заключается в гораздо больших финансовых возможностях корпорации, которые соответствуют требованиям информационной безопасности.

Таким фирмам не нужны самые технологичные и производительные межсетевые экраны стоимостью 35 тыс. долл., им скорее требуется надежная информационная защита. Единственная атака на прикладном уровне может привести к потерям, исчисляемым миллионами долларов.

Выяснить, сколько денег организации этого типа готовы потратить на защиту межсетевым экраном, нелегко. Некоторые компании придают безопасности чрезвычайно большое значение и готовы заплатить более 10 тыс. долл. за превосходный межсетевой экран с проверкой пакетов и контролем на прикладном уровне. С другой стороны, многие средние и крупные предприятия, которые нуждаются в надежной защите, неохотно платят более 2500 долл. за этот решающий компонент инфраструктуры сетевой безопасности. В целом большинство организаций такого размера охотно тратит от 5000 до 6000 долл. за хороший межсетевой экран.

В таблице 3.3 показан выбор межсетевых экранов, обычно развертываемых в более крупных предприятиях с высоким уровнем безопасности. SonicWALL PRO 4060 и Cisco PIX 515E-UR-FE-BUN выполнены на основе традиционного аппаратного межсетевого экрана и обеспечивают соответствующий уровень сетевой безопасности. Проверка пакетов на соответствие заданным условиям -- основа этих продуктов обеспечения безопасности, для ее реализации не требуется дорогостоящих модулей расширения. Обе модели отличаются высокой производительностью, но им не хватает возможностей балансировки нагрузки и передачи функций отказавшего устройства исправному, если они крайне необходимы для бесперебойного доступа к важнейшим данным.

В отличие от них, устройство RoadBLOCK F302PLUS на базе ISA Server 2004 компании RimApp обеспечивает исчерпывающий контроль на прикладном уровне по приемлемой цене. В стандартной конфигурации реализованы фильтры Web-узлов, проверка загружаемых из Internet файлов на вирусы и фильтры спама. Кроме того, с помощью модулей RainWall и RainConnect компании Rainfinity устройство RoadBLOCK обеспечивает балансировку нагрузки и передачу функций отказавшего устройства исправному как для аппаратных межсетевых экранов RoadBLOCK, так и для каналов связи Internet-провайдеров. Устройство RoadBLOCK поддерживает все упомянутые выше высокоуровневые функции подготовки отчетов и протоколирования и располагает мощными функциями управления пользовательским и групповым доступом из входящих и исходящих соединений через межсетевой экран.

Оптимальный выбор

Высокоуровневые сетевые межсетевые экраны, представленные в данном разделе, обеспечивают превосходный уровень безопасности и высокую производительность для средних и крупных предприятий. При выборе оптимального межсетевого экрана следует в первую очередь обратить внимание на контроль на прикладном уровне и исчерпывающие возможности протоколирования и подготовки отчетов о доступе пользователей и приложений. Кроме того, при выборе аппаратного межсетевого экрана важно помнить об отказоустойчивости.

Таблица 3.2. Аппаратные межсетевые экраны для малых предприятий с высокими требованиями к безопасности

Характеристика

SonicWALL Pro 3060

Cisco PIX-515E-R-DMZ

Network Engines NS6200

Symantec SGS 5420

Цена в долларах

2319

2699

2499

2999

Контроль на прикладном уровне с учетом состояния

Нет

Да (ограничено)

Да (умеренно)

Да (ограничено)

Контроль прикладного протокола

Да

Да

Да

Да

Проверка пакетов на соответствие заданным условиям

Да

Да

Да

Да

Прозрачная аутентификация Windows

Нет

Нет

Да

Нет

Протоколирование всех имен пользователей и приложений Web и Winsock

Нет

Нет

Да

Нет

Контроль на прикладном уровне через туннели SSL

Нет

Нет

Да

Нет

Поддержка Exchange

Нет

Нет

Да

Нет

Контроль шлюзового и клиентского трафика VPN на прикладном уровне

Нет

Нет

Да

Нет

Обнаружение и предотвращение несанкционированного доступа

Да

Да

Да

Да

Сервер удаленного доступа VPN и шлюз VPN

Да

Да

Да

Да

VPN-клиент

Нет

Да

Да

Нет

10/100-Мбит/с порты ЛВС

5

2

3

5

Порты WAN

1

1

1

1

Балансировка нагрузки

Нет

Нет

Да

Нет

Число пользователей

Неогр.

Неогр.

Неогр.

50

Передача функций отказавшего межсетевого экрана исправному устройству

Нет

Нет

Нет

Нет

Переключение Internet-провайдера и полосы пропускания

Нет

Нет

Нет

Настройка

Web-интерфейс

Командная строка и Web-интерфейс

Ограниченный Web и FIPS-совместимый RDP

Web-интерфейс

Процессор

2-ГГц Intel

1-ГГц Intel

2-ГГц Intel

Intel

Web-кэширование и proxy

Нет

Нет

Да

Нет

Таблица 3.3. Аппаратные межсетевые экраны для крупных предприятий с высокими требованиями к безопасности

Характеристика

SonicWALL Pro 4060

Cisco PIX-515E UR-FE-BUN

RimApp RoadBLOCK F302PLUS

Цена в долларах

4995

5145

5580

Контроль на прикладном уровне с учетом состояния

Нет

Да (ограничено)

Да

Контроль прикладного протокола

Да

Да

Да

Проверка пакетов на соответствие заданным условиям

Да

Да

Да

Прозрачная аутентификация Windows

Нет

Нет

Да

Протоколирование всех имен пользователей и приложений Web и Winsock

Нет

Нет

Да

Контроль на прикладном уровне через туннели SSL

Нет

Нет

Да

Поддержка Exchange

Нет

Нет

Да

Контроль шлюзового и клиентского трафика VPN на прикладном уровне

Нет

Нет

Да

Обнаружение и предотвращение несанкционированного доступа

Да

Да

Да

Сервер удаленного доступа VPN и шлюз VPN

Да

Да

Да

VPN-клиент

Нет

Да

Да

10/100-Мбит/с порты ЛВС

5

6

2-5

Порты WAN

1

1-4

1-5

Балансировка нагрузки

Нет

Нет

Да

Число пользователей

Неограниченно

Неограниченно

Неограниченно

Передача функций отказавшего межсетевого экрана исправному устройству

Да

Да

Да

Переключение Internet-провайдера и объединение полосы пропускания

Да

Нет

Да

Конфигурирование Web-интерфейс

Командная строка и Web-интерфейс

Исчерпывающий Web и FIPS-совместимый RDP

Процессор

2-ГГц Intel

433-МГц Celeron

2,8-ГГц Intel

Web - кэширование и proxy

Нет

Нет

Да

Страницы: 1, 2, 3, 4


© 2010 РЕФЕРАТЫ