|
 |
| ©НОСКІЗ-ДУІТ 2003 Zosik |
Мы испытывали только те продукты, которые могут работать на нескольких платформах, поскольку считаем, что пользователи должны иметь возможность выбора платформы, наилучшим образом подходящей для их сети. В тех случаях, когда это было возможно, мы рассматривали версии продуктов, предназначенные для платформы Windows NT компании Microsoft. Наш опыт показал, что системы, работающие под Windows NT, разительно отличаются от систем на базе Unix. Некоторые поставщики ранних брандмауэров кроме ПО включали в комплект поставки и оборудование, и теперь мы поняли, почему они это делали: настройка платформы Unix для работы таких продуктов на стандартном оборудовании Intel является весьма непростой задачей. В противоположность этому установка ПО брандмауэра на компьютер с Windows NT - задача достаточно тривиальная. По мере того как брандмауэры превращаются из специально сконструированных "крепостей" на базе Unix в продукты общего спроса, Windows NT становится для них наиболее подходящей платформой. Большинство испытанных нами продуктов обеспечивают возможность работы под Windows NT. К ним относятся AltaVista Firewall (Digital), Gauntlet (Trusted Information Systems - TIS), Firewall/Plus (Network-1), Firewall-1 (Check Point), Centri (Global Internet) и Eagle (Raptor).
Однако и Windows NT имеет свои проблемы. Мы обнаружили: если брандмауэр, использующий стек TCP/IP компании Microsoft (как все перечисленные продукты, кроме Firewall/Plus компании Network-1), работает под Windows NT, то простой запуск еще одной системы с тем же IP-адресом, что и у брандмауэра (случайность, которая легко может произойти), блокирует работу Windows NT, а вместе с ней и этого брандмауэра.
Брандмауэр PORTUS производства Livermore Software Laboratories International (LSLI), испытанный нами на системе Solaris компании Sun Microsystems, оказался единственным продуктом на базе Unix, который удалось запустить в нашей тестовой лаборатории. При этом нам пришлось немало повозиться с оборудованием, чтобы найти конфигурацию, приемлемую для работы Solaris. Остальные продукты на базе Unix, к которым относятся Black Hole компании Milkyway Networks и Gauntlet компании TIS, работают на BSDI Internet Server компании Berkeley Software Design. Эта ОС Unix оказалась настолько капризной, что мы просто не сумели запустить на ней ни один из указанных продуктов. Служба технической поддержки компании BSDI тоже оказалась не в состоянии заставить свою ОС работать на нашем оборудовании; в результате все три поставщика прислали нам предварительно сконфигурированное оборудование.
Испытывая брандмауэры, мы запускали Firewall Scanner компании Security Systems, и нам не удалось обнаружить каких-либо слабых мест ни в одном из тестируемых продуктов. Это нас не удивило, поскольку все они сертифицированы Национальной ассоциацией компьютерной безопасности (National Computer Security Association - NCSA). Однако это вовсе не означает, что в системе безопасности испытанных брандмауэров в принципе нет ни одного изъяна.
Традиционная система классификации брандмауэров начинается с функций фильтрации пакетов, аналогичных тем, которые встроены в большинство маршрутизаторов, и заканчивается посредниками прикладного уровня, способными "понимать" и фильтровать информацию на самом высоком уровне. Чтобы разобраться в разных брандмауэрах, необходимо понять, как через них проходит трафик. В общем случае брандмауэры делят весь окружающий мир на два лагеря: внутренний (доверенные пользователи) и внешний. Часто то, каким образом и насколько легко брандмауэры разрешают внутренним пользователям устанавливать соединения с внешнем миром, сильно отличается от того, как это происходит в противоположном направлении.
Хотя для Internet-ориентированных брандмауэров часто вполне достаточно наличия всего двух интерфейсов, многим организациям необходимы три интерфейса: один - для Internet, другой - для "публичных" серверов (Web-серверы, серверы новостей и FTP) и третий - для внутренней сети. Если же брандмауэры используются для внутренней сети организации, то для реализации корпоративной политики безопасности может потребоваться более трех ЛВС-соединений.
Firewall/Plus имеет самый "черно-белый взгляд" на то, кому можно доверять, а кому нет. Этот брандмауэр имеет только два интерфейса ЛВС. Один изображается дьяволом, другой - ангелом. AltaVista Firewall также имеет очень сильную ориентацию на деление "внешний - внутренний" и поддерживает лишь два интерфейса ЛВС. Все остальные продукты поддерживают по меньшей мере три интерфейса ЛВС.
Наиболее прозрачный доступ из внутренней сети во внешний мир обеспечивают брандмауэры, основанные на фильтрации пакетов, такие, например, как Firewall-1 компании Check Point. Фильтры пакетов допускают установление "неподдельных" TCP/IP-соединений из защищенной брандмауэром внутренней сети с внешними хостами, проверяя их лишь на соответствие установленной политике безопасности и правилам, заданным в брандмауэре. Главным достоинством таких брандмауэров является то, что они не изменяют IP-адреса проходящих через них пакетов. Это означает, что любой протокол прикладного уровня, использующий IP-адреса, будет корректно работать с этими брандмауэрами без каких-либо изменений или специального программирования.
Брандмауэры, поддерживающие посредники (proxy) прикладного или транспортного уровня, не являются столь прозрачными. Они выполняют над проходящими через них пакетами операцию, которая обычно называется преобразованием сетевых адресов (Network Address Translation - NAT). Как правило, адрес системы, находящейся внутри защищаемой брандмауэром сети, заменяется адресом самого брандмауэра. Если вы используете в своей сети частные (незарегистрированные) адреса и хотите подключиться к Internet, наличие NAT является для вас не просто полезной функцией, а обязательным требованием.
Проблема, связанная с этим подходом, состоит в том, что работа некоторых прикладных протоколов тесно связана с IP-адресами и требует их специальной обработки. Наиболее широко используемым протоколом является FTP. Вследствие его большой популярности все брандмауэры, выполняющие NAT, также включают в себя FTP-ориентированный посредник прикладного уровня. Black Hole компании Milkyway поддерживает оба режима работы: обычно он осуществляет NAT, но если это требуется для работы приложения, брандмауэр может работать и как сервер-посредник без изменения адресов (Milkyway называет это "белой дырой"). Firewall-1 компании Check Point, Centri компании Global Internet и Gauntlet производства TIS тоже до некоторой степени способны работать в обоих режимах.
Не все посредники ведут себя одинако. С точки зрения клиента главное различие между ними состоит в степени их "навязчивости". В случае "ненавязчивого" брандмауэра клиентская система пытается установить соединение через брандмауэр с внешним хостом, используя его IP-адрес. Брандмауэр перехватывает запрос на соединение и устанавливает другое соединение "от имени" пользователя, выступая в качестве посредника между этими двумя узлами. К "ненавязчивым" брандмауэрам-посредникам относятся Centri компании Global Internet, Eagle компании Raptor и Black Hole компании Milkyway. (Для описания подобных соединений не следует использовать термин "прозрачное", поскольку каждый производитель брандмауэров имеет собственное определение этого термина и "прозрачность" соединения у одного производителя может означать полную "непроницаемость" у другого.)
При "навязчивых" соединениях клиент должен явным образом установить соединение с брандмауэром, а затем сообщить брандмауэру, какое соединение тот должен установить. К числу "навязчивых" брандмауэров относятся PORTUS компании LSLI, AltaVista Firewall компании Digital и Gauntlet компании TIS. Хотя "навязчивое" соединение может показаться весьма неудобным решением, многие пользователи Internet даже не узнают, что происходит на самом деле. Популярные Web-браузеры, такие как Netscape Navigator и Microsoft Internet Explorer, имеют встроенную поддержку для работы с "навязчивыми" серверами-посредниками. Несколькими щелчками мышью можно настроить браузер для работы с таким брандмауэром. Посредники вызывают проблемы только при попытках использовать вместе с брандмауэрами необычные протоколы передачи.
Однако даже "ненавязчивые" серверы-посредники не являются гарантией успеха. Например, при тестировании ПО Eagle компании Raptor мы обнаружили, что его посредник неправильно синхронизирует концы соединения, что может привести к потере данных и другим неприятностям.
|
|
||||
|
||||
|
|
||||
|
|
||||
|
