|
 |
| ©НОСКІЗ-ДУІТ 2003 Zosik |
Продолжающаяся война между производителями Web-серверов и браузеров не может отвлечь внимание менеджеров информационных систем от одного из главных элементов корпоративной стратегии в отношении Internet - брандмауэра. Число производителей брандмауэров постоянно растет. Среди них - компании, специализирующиеся на средствах защиты (такие как Check Point Software Technologies, являющаяся лидером рынка брандмауэров), производители маршрутизаторов (например, Cisco) и компьютеров (Digital, IBM и Sun Microsystems).
Две крупные американские компании поделились своим опытом оценки и выбора брандмауэров. Одна из них выбрала Gauntlet компании Trusted Information Systems (TIS), а другая предпочла гибридное решение, состоящее из Gauntlet и Firewall-1 компании Check Point.
В 1994 г., когда First Union Capital Bank (шестой по величине банк в США) начал искать для себя подходящий брандмауэр, на рынке было не так тесно, а сами продукты обеспечивали не такие широкие возможности, как сейчас. "Нам пришлось сразу отказаться от большинства имеющихся на рынке продуктов, поскольку они не соответствовали нашим базовым критериям", - говорит Коламбус Купер, вице-президент банка First Union. По словам Купера, банку требовалось решение, которое усилило бы защиту на сетевом уровне, позволяло отслеживать действия на уровне операционной системы и обеспечило выдачу аварийных сигналов и предупреждений в графической форме. "Мы хотели получить контроль выше уровня маршрутизаторов - на уровне ОС Unix или хоста, - говорит Купер. - Маршрутизаторы не хранят информацию о состоянии, поэтому с их помощью невозможно получить никаких предупредительных сигналов. Кроме того, они не позволяют отслеживать события в реальном времени, чтобы получить важные сведения о том, как отрабатываются заданные правила защиты".
Купер потратил около трех месяцев, оценивая различные брандмауэры. По его словам, технические требования были единственным критерием оценки; стоимость не имела значения, поскольку потенциальные потери банка перевешивают любые разумные затраты. "Банк - это очень привлекательная цель для хакеров", - говорит Купер. Купер сокращал список имеющихся брандмауэров, пока в нем не осталось всего несколько продуктов, но никак не мог найти то, что устроило бы его во всех отношениях. И тогда он принял решение использовать "гибридный" подход: объединил ПО двух брандмауэров - Gauntlet компании TIS и Firewall-1 компании Check Point. (Gauntlet, который изначально работал под SunOS, к настоящему времени "переехал" на ОС Sun Solaris, работающую на сервере Sparc 20.) "Чтобы получить нужный нам набор возможностей, мы взяли отдельные части двух очень удачных, на наш взгляд, продуктов, - говорит Купер. - По существу, нам понравились некоторые функции прикладного уровня брандмауэра Gauntlet и возможности мониторинга продукта Firewall-1".
Купер установил ряд посредников брандмауэра Gauntlet для таких служб, как SMTP, FTP и HTTP. Firewall-1 использует вместо посредников альтернативный подход, называемый Stateful Inspection (фильтрация с контролем состояния), который обеспечивает поддержку приложений сторонних поставщиков через набор интерфейсов API. Поскольку Firewall-1 является лидирующим продуктом на рынке, для него имеется широкий выбор приложений независимых поставщиков, предназначенных для поиска вирусов, URL-фильтрации и т.д.
Банк First Union собирается и дальше использовать свое гибридное решение, даже несмотря на появление продуктов, обеспечивающих те функции, которые отсутствовали в брандмауэрах несколько лет назад, когда Купер принял решение о выборе продуктов. "Мы не испытываем никаких затруднений, поддерживая два продукта, и сегодня я бы принял такое же решение, - говорит Купер. - У нас была возможность его изменить, но мы от нее отказались".
Как и большинство других высокотехнологичных компаний, Intersolv - разработчик программного обеспечения с годовым оборотом 150 млн дол. - начала использовать Internet несколько лет назад для маркетинга своих продуктов. И сразу же встал вопрос о выборе подходящего брандмауэра. По словам Фернандо Кампа, менеджера компании по информационным технологиям, в то время выбор было сделать несложно. "Trusted Information Systems оказалась единственной компанией, которая поставляла то, что нам было нужно, - говорит он. Камп признает, что существовали и другие хорошие продукты, однако для работы с ними обязательно требовались специалисты по Unix, а в то время сеть компании была полностью построена на базе продуктов Novell и никакого опыта работы с Unix Intersolv не имела. TIS же предоставила решение "под ключ", помогла с его установкой и обучила технический персонал компании.
"Нас не беспокоит, что сейчас, возможно, есть уже более совершенные брандмауэры, чем Gauntlet, - говорит Грег Геиринг, вице-президент по информационным службам компании Intersolv. - Для нас важнее то, что TIS обеспечивает непрерывную техническую поддержку своего продукта". По словам Геиринга, Gauntlet не только стал подходящим решением на тот момент, когда Intersolv его приобрела, но и превратился в один из долгосрочных элементов корпоративной стратегии защиты. Со времени установки компанией этого брандмауэра она развернула ПО корпоративного планирования ресурсов R3 компании SAP по всей своей интрасети международного масштаба. Защищенность транзакций, выполняемых данной системой, имеет для Intersolv жизненно важное значение. Gauntlet, единственный брандмауэр, для которого Госдепартамент США разрешил экспорт 56-битных шифровальных ключей, является одним из главных компонентов магистральной корпоративной интрасети.
"Примерно шесть месяцев назад мы решили посмотреть, какие продукты предлагают другие поставщики, - говорит Геиринг. - У нас не было никакой реальной причины заменять работающий брандмауэр, но поскольку на рынке появилось много новых продуктов, мы захотели их оценить". В результате компания пришла к выводу, что Gauntlet по-прежнему является для нее лучшим решением. Недавно Intersolv наняла одну аудиторскую компанию, утверждавшую, что она способна "взломать" защиту любого брандмауэра. "Нашу систему защиты им так и не удалось взломать", - похвалился Геиринг.
|
|
||||
|
||||
|
|
||||
|
|
||||
|
