|
 |
| ©НОСКІЗ-ДУІТ 2003 Zosik |
Брандмауэры прошли длинный путь от первых систем на базе Unix. Сложные правила информационной защиты теперь могут создаваться относительно легко (к сожалению, не у всех продуктов). Хороший интерфейс настройки является важным компонентом брандмауэра, поскольку лишь в немногих организациях правила обеспечения безопасности никогда не меняются.
Однако наличие красивого графического пользовательского интерфейса (GUI) еще не гарантирует простоты конфигурирования. Например, Firewall/Plus компании Network-1 имеет графический интерфейс, с помощью которого могут выполняться все операции настройки, но пользы от него мало. Не существует простого способа, позволяющего задать диапазон портов, для которых разрешен доступ в обоих направлениях. Centri компании Global Internet также имеет приятный на вид интерфейс, но работа с ним постоянно приводила к сбою программы. К счастью, это никак не повлияло на безопасность, а лишь вызвало трудности при изменении конфигурации брандмауэра.
Оказалось, что удобнее всего конфигурировать PORTUS компании LSLI, Eagle компании Raptor, Black Hole компании Milkyway и AltaVista Firewall компании Digital. Можно сказать, что даже неловкий сетевой администратор вряд ли допустит такую ошибку, которая приведет к нарушению защитных функций этих брандмауэров. Компании Raptor и Milkyway хорошо поработали над упрощением среды настройки своих брандмауэров; администраторы могут легко реализовывать установленную в организации политику безопасности.
Firewall-1 компании Check Point также имеет хорошо продуманный графический интерфейс, однако чрезмерное упрощение некоторых концепций, реализованных в виде полей выбора (check box), может привести к серьезным последствиям. На самом деле, это проблема скорее документации, чем самого интерфейса, поскольку электронная документация к ПО Firewall-1 на редкость бедна. Тем не менее Firewall-1 предоставляет возможность, которой нет ни в одной другой испытанной нами системе, - возможность конфигурирования группы брандмауэров как единой системы. С помощью GUI можно задавать правила и устанавливать их на нескольких брандмауэрах и маршрутизаторах с фильтрацией пакетов по всей корпоративной сети. (Поддерживаются маршрутизаторы компаний Cisco Systems и Bay Networks.) Это облегчает поддержание корпоративных доменов безопасности в согласованном состоянии, что делает Firewall-1 прекрасным решением для тех организаций, которые нуждаются в нескольких внутренних брандмауэрах.
AltaVista Firewall компании Digital также имеет прекрасно спроектированный пользовательский интерфейс, который хорошо соответствует относительной простоте продукта. Этот продукт оказался самым простым в конфигурировании и управлении изо всех рассмотренных.
PORTUS компании LSLI и Gauntlet компании TIS, похоже, прочно застряли в эпохе редактирования текстовых файлов. Чтобы создать или изменить конфигурацию этих брандмауэров, необходимо воспользоваться текстовым редактором. Кроме того, вы должны точно знать, в какой из многочисленных конфигурационных файлов надо вносить изменения. PORTUS - достаточно простой брандмауэр, поэтому он не сильно пострадал от минималистского подхода к интерфейсу управления, однако для Gauntlet это непростительно. Являясь одним из самых старых и богатых функциями брандмауэров, он больше напоминает набор отдельных Unix-приложений, нежели интегрированную систему.
Компания TIS обеспечила экранный графический интерфейс, с чьей помощью можно управлять отдельными файлами, однако даже для выполнения простой настройки необходимо копаться в дополнительных конфигурационных файлах, в которых используется сложный синтаксис и специфические для продукта семантические выражения. Некоторым сетевым администраторам, наверное, понравится возможность такого глубокого погружения во "внутренности" системы, однако если сравнить Gauntlet с такими продуктами, как Black Hole и Eagle, то станет очевидным, что в этом отношении ему до них очень далеко.
Особое внимание мы хотели бы уделить графическому интерфейсу продукта Firewall/Plus. Компания Network-1 выбрала подход, скорее подходящий для анализатора сетевых протоколов, нежели для брандмауэра. ПО проверяет каждый передаваемый кадр на соответствие заданным правилам защиты и принимает решение, пропускать ли его. К преимуществам данного подхода следует отнести то, что Firewall/Plus может работать не только с IP-пакетами, но и с такими протоколами, как IPX, AppleTalk и DECnet.
К сожалению, Network-1 не скрывает от сетевых администраторов никакие сложные функции своего брандмауэра. Возможность постижения того, как вносить даже самые простые изменения в конфигурацию Firewall/Plus, находится почти за пределами человеческого разума (не считая специально обученных администраторов системы безопасности). Можно сравнить этот брандмауэр с Firewall-1 компании Check Point, который обеспечивает не менее сложные функции, однако все они скрыты от пользователей, так что администратор системы безопасности будет сталкиваться с ними только в случае особой необходимости. Хотя Firewall/Plus начинает свою работу с запуска "мастера" настройки, который устанавливает базовую конфигурацию, основанную на наборе недокументированных правил защиты, привести его в соответствие с существующей политикой защиты весьма нелегко. Изменение конфигурации работающего брандмауэра Firewall/Plus заняло у нас больше времени, чем было потрачено на любой другой продукт.
|
|
||||
|
||||
|
|
||||
|
|
||||
|
