|
|
|
Межсетевые экраны : Теория |
|
15.01.2006. Аппаратные брандмауэры. Часть 2
Томас Шиндер, Дебра Шиндер Варианты для малых и средних предприятий с высокими требованиями к безопасностиМы продолжаем рассматривать представленные на рынке аппаратные брандмауэры. Во второй части статьи даются рекомендации по защите предприятия в зависимости от его размера, необходимого уровня безопасности и затрат. В первой части речь шла о решениях для малых и средних предприятий с умеренными требованиями к уровню безопасности. На этот раз мы расскажем о решениях, ориентированных на малые и средние предприятия с высокими требованиями к безопасности. В тех организациях, где защите приходится уделять много внимания, к брандмауэрам предъявляются гораздо более высокие требования. Повышенная безопасность может быть вызвана условиями закона, характером бизнеса (например, в отраслях с острой конкуренцией необходимо охранять коммерческие секреты) или желанием владельца получить достойную защиту по разумной цене. В малых и средних компаниях с высокими требованиями к безопасности к брандмауэру относятся, как к страхованию автомобиля. Такие организации готовы заплатить вперед, чтобы предотвратить потенциальную катастрофу. Проблемы обеспечения высокого уровня безопасностиОпределения основных характеристик аппаратных брандмауэров были даны в первой части статьи. При выборе брандмауэра с повышенным уровнем защиты необходимо учитывать ряд дополнительных требований.
Несмотря на высокие требования к безопасности, предъявляемые некоторыми малыми предприятиями, эти компании все же остаются малыми и не располагают бюджетом крупных корпораций. Опыт работы с небольшими фирмами показывает, что в среднем такая организация готова потратить до 3000 долл. на решение для обеспечения безопасности, срок эксплуатации которого составит 3-4 года. Ежедневная цена решения с учетом амортизации (около 2 долл. в день) невелика по сравнению с потенциальными финансовыми потерями, которые могут стать следствием выбора ненадежного решения. Выбор устройствВ табл. 1 приведены аппаратные брандмауэры, которые обеспечивают приемлемую сетевую безопасность для нуждающихся в серьезной защите малых и средних предприятий. SonicWALL Pro 3060 и Cisco PIX-515E-RDMZ компании Cisco Systems — традиционные аппаратные брандмауэры. NS6200 компании Network Engines на базе Microsoft ISA Server 2004 и SGS 5420 компании Symantec представляют собой продукты, которые обычно называют «программными» брандмауэрами — они работают на базе универсальной операционной системы или имеют жесткие диски (иногда присутствуют оба компонента). NS6200 относится к «третьему поколению» брандмауэров, в котором стабильность и надежность аппаратного брандмауэра сочетаются с гибкостью, удобством обновления и готовностью отразить новейшие угрозы программного продукта. Характеристики SGS 5420 — промежуточные: он не работает с универсальной операционной системой, но располагает жестким диском. Для безопасности сети мы рекомендуем устройства Network Engines и Symantec, которые превосходят традиционные аппаратные модели с проверкой пакетов на соответствие заданным условиям. Главное различие заключается в глубине контроля на прикладном уровне, обеспечиваемом этими двумя устройствами, по сравнению с брандмауэрами SonicWALL и Cisco. Для контроля на прикладном уровне в брандмауэрах этого класса можно использовать встраиваемые и внешние модули расширения (например, для борьбы с вирусами, фильтрации загружаемых файлов, фильтрации почты, блокирования всплывающей рекламы, анализа Web-контента). При этом из-за высокой цены устройства могут оказаться недосягаемыми для малых и средних предприятий. В конечном итоге мы отдали брандмауэру Network Engines предпочтение перед устройством Symantec благодаря достоинствам, решающим для создания сетевой среды с высоким уровнем безопасности.
Даже вместе с дорогостоящими модулями расширения для контроля на прикладном уровне ни один из остальных брандмауэров в табл. 1 не располагает функциями безопасности, реализованными в NS6200. Более масштабные сети с высоким уровнем защитыСредним и крупным предприятиям, а также их филиалам свойственны похожие требования к безопасности. Как и небольшим компаниям с надежной защитой, им требуются исчерпывающая проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне, полное протоколирование и функции управления доступом пользователей/групп через брандмауэр. Основное различие между надежно защищенной крупной компанией и малым предприятием заключается в гораздо больших финансовых возможностях корпорации, которые соответствуют требованиям информационной безопасности. Таким фирмам не нужны самые технологичные и производительные брандмауэры стоимостью 35 тыс. долл., им скорее требуется надежная информационная защита. Единственная атака на прикладном уровне может привести к потерям, исчисляемым миллионами долларов. Выяснить, сколько денег организации этого типа готовы потратить на защиту брандмауэром, нелегко. Некоторые компании придают безопасности чрезвычайно большое значение и готовы заплатить более 10 тыс. долл. за превосходный брандмауэр с проверкой пакетов и контролем на прикладном уровне. С другой стороны, многие средние и крупные предприятия, которые нуждаются в надежной защите, неохотно платят более 2500 долл. за этот решающий компонент инфраструктуры сетевой безопасности. В целом большинство организаций такого размера охотно тратит от 5000 до 6000 долл. за хороший брандмауэр. В табл. 2 показан выбор брандмауэров, обычно развертываемых в более крупных предприятиях с высоким уровнем безопасности. SonicWALL PRO 4060 и Cisco PIX 515E-UR-FE-BUN выполнены на основе традиционного аппаратного брандмауэра и обеспечивают соответствующий уровень сетевой безопасности. Проверка пакетов на соответствие заданным условиям — основа этих продуктов обеспечения безопасности, для ее реализации не требуется дорогостоящих модулей расширения. Обе модели отличаются высокой производительностью, но им не хватает возможностей балансировки нагрузки и передачи функций отказавшего устройства исправному, если они крайне необходимы для бесперебойного доступа к важнейшим данным. В отличие от них, устройство RoadBLOCK F302PLUS на базе ISA Server 2004 компании RimApp обеспечивает исчерпывающий контроль на прикладном уровне по приемлемой цене. В стандартной конфигурации реализованы фильтры Web-узлов, проверка загружаемых из Internet файлов на вирусы и фильтры спама. Кроме того, с помощью модулей RainWall и RainConnect компании Rainfinity устройство RoadBLOCK обеспечивает балансировку нагрузки и передачу функций отказавшего устройства исправному как для аппаратных брандмауэров RoadBLOCK, так и для каналов связи Internet-провайдеров. Устройство RoadBLOCK поддерживает все упомянутые выше высокоуровневые функции подготовки отчетов и протоколирования и располагает мощными функциями управления пользовательским и групповым доступом из входящих и исходящих соединений через брандмауэр. Оптимальный выборВысокоуровневые сетевые брандмауэры, представленные в данной статье, обеспечивают превосходный уровень безопасности и высокую производительность для средних и крупных предприятий. При выборе оптимального брандмауэра следует в первую очередь обратить внимание на контроль на прикладном уровне и исчерпывающие возможности протоколирования и подготовки отчетов о доступе пользователей и приложений. Кроме того, при выборе аппаратного брандмауэра важно помнить об отказоустойчивости. Таблица 1. Аппаратные брандмауэры для малых предприятий с высокими требованиями к безопасности
Таблица 2. Аппаратные брандмауэры для крупных предприятий с высокими требованиями к безопасности
Томас Шиндер - Ведущий автор контента для сайта http://www.isaserver.org. Совладелец компании TACteam (Trainers, Authors, Consultants), которая готовит материалы для технических и маркетинговых документов крупных корпораций, в том числе Microsoft. Соавтор книги Configuring ISA Server 2000 (издательство Syngress). tshinder@isaserver.org Дебра Шиндер - Cовладелец компании TACteam, редактор WinXPnews и соавтор книги Scene of the Cybercrime (издательство Syngress). dshinder@tacteam.net Журнал "Windows IT Pro", #07, 2005 год Статью "15.01.2006. Аппаратные брандмауэры. Часть 2" |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Copyright by MorePC - обзоры, характеристики, рейтинги мониторов, принтеров, ноутбуков, сканеров и др. | info@morepc.ru |
|