|
 |
| ©НОСКІЗ-ДУІТ 2003 Zosik |
Отвечая на высокую активность пользователей в области Internet и интрасетей, производители брандмауэров бешеными темпами выпускают мощные продукты для Unix, Windows NT, а также готовые комплексы, простые в установке и настройке. В дополнение к традиционным функциям постоянно расширяется поддержка брандмауэрами виртуальных частных сетей (VPN) на базе Internet и совершенствуются средства управления брандмауэрами. Широкий спектр имеющихся на рынке продуктов должен облегчить поиск того единственного пакета, который в точности соответствует политике безопасности, принятой в компании, работая как шлюз прикладного уровня, посредник приложений или фильтр пакетов.
Самую высокую степень защиты обеспечивают брандмауэры прикладного и экспертного уровней. Проверяя информацию прикладного уровня на соответствие набору установленных правил безопасности, брандмауэры прикладного уровня решают, можно ли предоставить пользователю доступ к конкретному приложению. Если доступ разрешен, брандмауэр выполняет некоторый вид преобразования адресов пакетов и становится посредником в передаче пакетов между внутренней сетью и Internet, скрывая таким образом внутренние сетевые адреса от внешнего мира. Подавляющее большинство продуктов, рассмотренных в нашем обзоре, обеспечивает именно такой уровень защиты. Брандмауэры предоставляют возможности защиты доступа для разнообразных приложений, в том числе telnet, FTP, NFS, SMTP и др.
Ряд брандмауэров поддерживает передовую технологию фильтрации пакетов, которую иногда называют фильтрацией экспертного уровня, или фильтрацией с контролем состояния соединения (statefull inspection). Эта гибридная технология позволяет отслеживать контекст (или состояние) сетевого соединения, перехватывая пакеты на сетевом уровне и извлекая из них информацию прикладного уровня, которая используется для контроля за соединением. Среди поставщиков, обеспечивающих поддержку данной технологии, компании Check Point Software, Network-1 и некоторые другие, не принимавшие участия в наших испытаниях.
Айра Мачевски, аналитик по вопросам Internet из Giga Information Group, утверждает, что сейчас фильтрация экспертного уровня становится одной из функций маршрутизаторов и других устройств доступа к сети, которые раньше осуществляли фильтрацию пакетов только на основе сетевых адресов. Например, компании Bay Networks и Check Point заключили партнерское соглашение с целью переноса разработанной Check Point архитектуры брандмауэра экспертного уровня на маршрутизаторы Bay. Компания Cisco Systems разработала собственную технологию брандмауэра экспертного уровня и реализовала ее в продукте Cisco PIX Firewall.
Еще одной важной тенденцией на рынке брандмауэров является перенос ПО на новые платформы. До недавнего времени подавляющее большинство брандмауэров работало исключительно под Unix. Современные системы на базе Windows NT составляют им весьма серьезную конкуренцию, обеспечивая приемлемую защиту и удобство в управлении. Однако, как утверждает Тэд Джулиан, руководитель исследований в области Internet из компании IDC, Windows NT является относительно новой системой, которая имеет миллионы строк кода, и вполне возможно, что она имеет еще не выявленные изъяны системы защиты. Тем не менее, утверждает Джулиан, благодаря широкому распространению интерфейса Windows брандмауэры на базе NT значительно легче поддаются настройке, чем их конкуренты на базе Unix, что уменьшает вероятность нарушения системы защиты. "Вам нечего беспокоиться об NT, если вы работаете в небольшой или среднего размера компании, - говорит Майкл Зборэй, вице-президент по сетевой безопасности из компании Gartner Group. - Поставщики, среди которых Seattle Software Labs, Secure Computing и Cisco, поставляют готовые системы, которые требуют минимальной настройки и предлагают удобный для ее выполнения графический интерфейс.
Согласно некоторым исследованиям, вскоре ожидается широкое распространение виртуальных частных сетей (VPN) на базе Internet - защищенных областей общедоступной сети, которые создаются за счет шифрования передаваемых данных. "Наличие шифрованных каналов на базе Internet является обязательным для передачи любых важных данных по общедоступным каналам и очень важно для международных линий связи", - говорит Аллен Лейбовитц, президент компании Anzen Computing. По его словам, вы можете получить очень существенную экономию средств, договорившись со своим провайдером о соединении ваших офисов через Internet, вместо того чтобы использовать для этой цели арендованные линии.
Большинство поставщиков используют в своих брандмауэрах специализированное ПО шифрования данных. Однако ряд производителей брандмауэров и ПО TCP/IP вместе с компанией RSA Data Security пытаются разработать стандарты, которые должны обеспечить совместимость различного шифровального ПО. Эта инициатива получила название S/WAN и направлена на реализацию разработанного IETF стандарта безопасности IPSec в протоколе нового поколения IPv6.
Защита, которую обеспечивают современные брандмауэры, сейчас распространяется и на средства их администрирования. Достижения шифровальной технологии и развитые средства аутентификации способствуют более защищенному удаленному администрированию. Некоторые компании - например, Check Point, Raptor Systems и Trusted Information Systems - обеспечивают в своих продуктах централизованное управление несколькими брандмауэрами. Однако, как утверждает Питер Вогель, главный редактор бюллетеня The Firewall Report, публикуемого исследовательской фирмой Outlink, пользователи вскоре начнут требовать от поставщиков интегрированные средства управления политикой безопасности, охватывающие различные брандмауэры, маршрутизаторы и серверы.
Как утверждает Зборэй из Gartner Group, одним из аспектов, на который следует обратить внимание при выборе брандмауэра, является возраст исходного кода. Чем старше продукт, тем меньше вероятность появления неисправленной ошибки в его исходном коде. К числу проверенных производителей относится, например, компания Trusted Information Systems (TIS), которая кроме собственно брандмауэра поставляет ПО TIS Firewall Toolkit, используемое в качестве платформы для многих других брандмауэров. Рон Хэйл, главный менеджер по компьютерной безопасности компании Deloitte & Touche LLP, рекомендует после приобретения и установки ПО брандмауэра периодически проверять эффективность его работы. "Это не то же самое, что покупать сервер или базу данных, когда вы имеете долгосрочную гарантию работоспособности, - говорит он. - Продукт, который защищает вас сейчас, может не уберечь от будущих нападений". Хейл советует работать только с проверенными производителями надежных продуктов, и периодически устанавливать программные "заплаты", которые позволяют защищать сеть от новейших видов нападений из Internet.
|
|
||||
|
||||
|
|
||||
|
|
||||
|
