|
 |
| ©НОСКІЗ-ДУІТ 2003 Zosik |
Когда речь идет о брандмауэрах, слово "гибкость" может означать незащищенность. Некоторые продукты, такие как AltaVista Firewall компании Digital и PORTUS компании LSLI, не обеспечивают пользователям большой гибкости. Однако именно благодаря этому практически невозможно "подкрутить" брандмауэр так, чтобы создать незащищенную конфигурацию.
Брандмауэры восприимчивы к новым функциям почти так же, как продукты компании Microsoft. Например, Firewall-1 компании Check Point начинал свою "карьеру" как изощренный фильтр пакетов, сегодня же это еще и преобразователь адресов (NAT), шифрующий шлюз для виртуальной частной сети (Virtual Private Network - VPN) и, частично, сервер-посредник прикладного уровня.
Наибольшим набором функций обладает Gauntlet компании TIS. Являясь старейшим и постоянно совершенствуемым продуктом, он включает в себя больше посредников прикладного уровня, чем любой другой продукт. Брандмауэр также имеет широкий диапазон возможностей для аутентификации пользователей, в том числе четыре вида одноразовых паролей. Вы можете добавлять поддержку шифрованных соединений VPN, фильтрации пакетов, проверки целостности данных и фильтрации содержимого для HTTP-запросов, создавая с помощью этих функций сложную полнофункциональную систему. Список возможностей Gauntlet покорит сердце любого сетевого администратора, которому необходимо построить систему, удовлетворяющую строгим требованиям политики защиты, и который хочет проникнуть во "внутренности" брандмауэра.
Сильным конкурентом Gauntlet является Eagle компании Raptor, который предоставляет многие из функций, обеспечиваемых Gauntlet. Однако он имеет меньшее количество посредников прикладного уровня, в нем нет функций фильтрации пакетов и поддержки VPN в версии для Windows NT, которую мы испытывали (в Unix-версии поддержка VPN реализована). В качестве компенсации Eagle обеспечивает значительно более удобный пользовательский интерфейс управления и конфигурирования, а также встроенную функцию генерации отчетов в реальном времени о попытках вторжения в систему. Некоторые посредники, входящие в состав Eagle, явно страдают недостаточной зрелостью. Например, его функция SMTP-трансляции не поддерживает некоторых распространенных расширений RFC, в том числе PIPELINING, SIZE и 8BIT, а FTP-посредник оказался абсолютно нетерпимым к нашему тестовому клиенту.
Другие продукты достаточно сильно отличаются друг от друга по эффективности поддержки SMTP-трансляции, VPN и других функций. Ни в одном брандмауэре поддержка SMTP-трасляции не показалась нам достаточно интеллектуальной или хотя бы полезной. Обработка электронной почты с помощью почтовой команды sendmail ОС Unix, которую выполняют все испытанные нами брандмауэры, за исключением AltaVista Firewall, осуществляется так, что это немного похоже на игру маленького ребенка с очень хрупкими предметами. Мы настоятельно рекомендуем использовать защищенный почтовый сервер и направлять электронную почту через брандмауэр с помощью сервера-посредника, а не SMTP-транслятора.
Поддержка сетей VPN (которые иногда называют "зашифрованными туннелями") также находится в списке важнейших функций брандмауэров. С помощью VPN вы можете организовать защищенное соединение либо в пределах внутренней сети, либо через общедоступную сеть, такую как Internet. Встроенную поддержку VPN обеспечивают Firewall-1 (Check Point), Unix-версия Eagle (Raptor), Black Hole (Milkyway) и Gauntlet (TIS). Digital поддерживает VPN с помощью отдельного продукта под названием AltaVista Tunnel. Сети VPN чаще всего устанавливаются между двумя брандмауэрами для организации шифрованной связи. Однако сейчас настоятельно требуется новая функция - персональное туннелирование, которое дает конкретному пользователю, работающему в незащищенной сети (такой как Internet) возможность устанавливать защищенное соединение с корпоративной сетью через брандмауэр. В настоящее время персональное туннелирование обеспечивают только Digital и Raptor.
Брандмауэры также различаются широтой своих функций аутентификации. Для повышения степени защиты многие сетевые администраторы предпочитают использовать для доступа к сети удаленных, а иногда и локальных пользователей одноразовые пароли. К популярным средствам аутентификации относятся система S/Key, SecurID компании Security Dynamics Technologies и системы на основе DES компаний Digital Pathways и CryptoCard.
Некоторые новые возможности только начинают проникать в сферу брандмауэров. Одной из них является HTTP-фильтрация на основе анализа URL и содержимого передаваемой информации. В настоящее время фильтрацию содержимого можно использовать, в частности, для защиты от проникновения в локальную сеть Java-аплетов и управляющих элементов ActiveX. Первыми эту функцию начали поддерживать брандмауэры Centri (Global Internet), Gauntlet (TIS) и Firewall-1 (Check Point).
|
|
||||
|
||||
|
|
||||
|
|
||||
|
