Томас Шиндер, Дебра Шиндер
09.11.2005
Мы продолжаем рассматривать представленные на рынке аппаратные брандмауэры. Во второй части статьи даются рекомендации по защите предприятия в зависимости от его размера, необходимого уровня безопасности и затрат. В первой части речь шла о решениях для малых и средних предприятий с умеренными требованиями к уровню безопасности. На этот раз мы расскажем о решениях, ориентированных на малые и средние предприятия с высокими требованиями к безопасности.
В тех организациях, где защите приходится уделять много внимания, к брандмауэрам предъявляются гораздо более высокие требования. Повышенная безопасность может быть вызвана условиями закона, характером бизнеса (например, в отраслях с острой конкуренцией необходимо охранять коммерческие секреты) или желанием владельца получить достойную защиту по разумной цене. В малых и средних компаниях с высокими требованиями к безопасности к брандмауэру относятся, как к страхованию автомобиля. Такие организации готовы заплатить вперед, чтобы предотвратить потенциальную катастрофу.
Определения основных характеристик аппаратных брандмауэров были даны в первой части статьи. При выборе брандмауэра с повышенным уровнем защиты необходимо учитывать ряд дополнительных требований.
Несмотря на высокие требования к безопасности, предъявляемые некоторыми малыми предприятиями, эти компании все же остаются малыми и не располагают бюджетом крупных корпораций. Опыт работы с небольшими фирмами показывает, что в среднем такая организация готова потратить до 3000 долл. на решение для обеспечения безопасности, срок эксплуатации которого составит 3-4 года. Ежедневная цена решения с учетом амортизации (около 2 долл. в день) невелика по сравнению с потенциальными финансовыми потерями, которые могут стать следствием выбора ненадежного решения.
В табл. 1 приведены аппаратные брандмауэры, которые обеспечивают приемлемую сетевую безопасность для нуждающихся в серьезной защите малых и средних предприятий. SonicWALL Pro 3060 и Cisco PIX-515E-RDMZ компании Cisco Systems — традиционные аппаратные брандмауэры. NS6200 компании Network Engines на базе Microsoft ISA Server 2004 и SGS 5420 компании Symantec представляют собой продукты, которые обычно называют «программными» брандмауэрами — они работают на базе универсальной операционной системы или имеют жесткие диски (иногда присутствуют оба компонента). NS6200 относится к «третьему поколению» брандмауэров, в котором стабильность и надежность аппаратного брандмауэра сочетаются с гибкостью, удобством обновления и готовностью отразить новейшие угрозы программного продукта. Характеристики SGS 5420 — промежуточные: он не работает с универсальной операционной системой, но располагает жестким диском.
Для безопасности сети мы рекомендуем устройства Network Engines и Symantec, которые превосходят традиционные аппаратные модели с проверкой пакетов на соответствие заданным условиям. Главное различие заключается в глубине контроля на прикладном уровне, обеспечиваемом этими двумя устройствами, по сравнению с брандмауэрами SonicWALL и Cisco.
Для контроля на прикладном уровне в брандмауэрах этого класса можно использовать встраиваемые и внешние модули расширения (например, для борьбы с вирусами, фильтрации загружаемых файлов, фильтрации почты, блокирования всплывающей рекламы, анализа Web-контента). При этом из-за высокой цены устройства могут оказаться недосягаемыми для малых и средних предприятий.
В конечном итоге мы отдали брандмауэру Network Engines предпочтение перед устройством Symantec благодаря достоинствам, решающим для создания сетевой среды с высоким уровнем безопасности.
Даже вместе с дорогостоящими модулями расширения для контроля на прикладном уровне ни один из остальных брандмауэров в табл. 1 не располагает функциями безопасности, реализованными в NS6200.
Средним и крупным предприятиям, а также их филиалам свойственны похожие требования к безопасности. Как и небольшим компаниям с надежной защитой, им требуются исчерпывающая проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне, полное протоколирование и функции управления доступом пользователей/групп через брандмауэр. Основное различие между надежно защищенной крупной компанией и малым предприятием заключается в гораздо больших финансовых возможностях корпорации, которые соответствуют требованиям информационной безопасности.
Таким фирмам не нужны самые технологичные и производительные брандмауэры стоимостью 35 тыс. долл., им скорее требуется надежная информационная защита. Единственная атака на прикладном уровне может привести к потерям, исчисляемым миллионами долларов.
Выяснить, сколько денег организации этого типа готовы потратить на защиту брандмауэром, нелегко. Некоторые компании придают безопасности чрезвычайно большое значение и готовы заплатить более 10 тыс. долл. за превосходный брандмауэр с проверкой пакетов и контролем на прикладном уровне. С другой стороны, многие средние и крупные предприятия, которые нуждаются в надежной защите, неохотно платят более 2500 долл. за этот решающий компонент инфраструктуры сетевой безопасности. В целом большинство организаций такого размера охотно тратит от 5000 до 6000 долл. за хороший брандмауэр.
В табл. 2 показан выбор брандмауэров, обычно развертываемых в более крупных предприятиях с высоким уровнем безопасности. SonicWALL PRO 4060 и Cisco PIX 515E-UR-FE-BUN выполнены на основе традиционного аппаратного брандмауэра и обеспечивают соответствующий уровень сетевой безопасности. Проверка пакетов на соответствие заданным условиям — основа этих продуктов обеспечения безопасности, для ее реализации не требуется дорогостоящих модулей расширения. Обе модели отличаются высокой производительностью, но им не хватает возможностей балансировки нагрузки и передачи функций отказавшего устройства исправному, если они крайне необходимы для бесперебойного доступа к важнейшим данным.
В отличие от них, устройство RoadBLOCK F302PLUS на базе ISA Server 2004 компании RimApp обеспечивает исчерпывающий контроль на прикладном уровне по приемлемой цене. В стандартной конфигурации реализованы фильтры Web-узлов, проверка загружаемых из Internet файлов на вирусы и фильтры спама. Кроме того, с помощью модулей RainWall и RainConnect компании Rainfinity устройство RoadBLOCK обеспечивает балансировку нагрузки и передачу функций отказавшего устройства исправному как для аппаратных брандмауэров RoadBLOCK, так и для каналов связи Internet-провайдеров. Устройство RoadBLOCK поддерживает все упомянутые выше высокоуровневые функции подготовки отчетов и протоколирования и располагает мощными функциями управления пользовательским и групповым доступом из входящих и исходящих соединений через брандмауэр.
Высокоуровневые сетевые брандмауэры, представленные в данной статье, обеспечивают превосходный уровень безопасности и высокую производительность для средних и крупных предприятий. При выборе оптимального брандмауэра следует в первую очередь обратить внимание на контроль на прикладном уровне и исчерпывающие возможности протоколирования и подготовки отчетов о доступе пользователей и приложений. Кроме того, при выборе аппаратного брандмауэра важно помнить об отказоустойчивости.
Характеристика | SonicWALL Pro 3060 | Cisco PIX-515E-R-DMZ | Network Engines NS6200 | Symantec SGS 5420 |
Цена в долларах | 2319 | 2699 | 2499 | 2999 |
Контроль на прикладном уровне с учетом состояния | Нет | Да (ограничено) | Да (умеренно) | Да (ограничено) |
Контроль прикладного протокола | Да | Да | Да | Да |
Проверка пакетов на соответствие заданным условиям | Да | Да | Да | Да |
Прозрачная аутентификация Windows | Нет | Нет | Да | Нет |
Протоколирование всех имен пользователей и приложений Web и Winsock | Нет | Нет | Да | Нет |
Контроль на прикладном уровне через туннели SSL | Нет | Нет | Да | Нет |
Поддержка Exchange | Нет | Нет | Да | Нет |
Контроль шлюзового и клиентского трафика VPN на прикладном уровне | Нет | Нет | Да | Нет |
Обнаружение и предотвращение несанкционированного доступа | Да | Да | Да | Да |
Сервер удаленного доступа VPN и шлюз VPN | Да | Да | Да | Да |
VPN-клиент | Нет | Да | Да | Нет |
10/100-Мбит/с порты ЛВС | 5 | 2 | 3 | 5 |
Порты WAN | 1 | 1 | 1 | 1 |
Балансировка нагрузки | Нет | Нет | Да | Нет |
Число пользователей | Неограничено | Неограничено | Неограничено | 50 |
Передача функций отказавшего брандмауэра исправному устройству | Нет | Нет | Нет | Нет |
Переключение Internet-провайдера и объединение полосы пропускания | Нет | Нет | Нет | |
Настройка | Web-интерфейс | Командная строка и Web-интерфейс | Ограниченный Web и FIPS-совместимый RDP | Web-интерфейс |
Процессор | 2-ГГц Intel | 133-МГц Celeron | 2-ГГц Intel | Intel |
Web-кэширование и proxy | Нет | Нет | Да | Нет |
Характеристика | SonicWALL Pro 4060 | Cisco PIX-515E UR-FE-BUN | RimApp RoadBLOCK F302PLUS |
Цена в долларах | 4995 | 5145 | 5580 |
Контроль на прикладном уровне с учетом состояния | Нет | Да (ограничено) | Да |
Контроль прикладного протокола | Да | Да | Да |
Проверка пакетов на соответствие заданным условиям | Да | Да | Да |
Прозрачная аутентификация Windows | Нет | Нет | Да |
Протоколирование всех имен пользователей и приложений Web и Winsock | Нет | Нет | Да |
Контроль на прикладном уровне через туннели SSL | Нет | Нет | Да |
Поддержка Exchange | Нет | Нет | Да |
Контроль шлюзового и клиентского трафика VPN на прикладном уровне | Нет | Нет | Да |
Обнаружение и предотвращение несанкционированного доступа | Да | Да | Да |
Сервер удаленного доступа VPN и шлюз VPN | Да | Да | Да |
VPN-клиент | Нет | Да | Да |
10/100-Мбит/с порты ЛВС | 5 | 6 | 2-5 |
Порты WAN | 1 | 1-4 | 1-5 |
Балансировка нагрузки | Нет | Нет | Да |
Число пользователей | Неограничено | Неограничено | Неограничено |
Передача функций отказавшего брандмауэра исправному устройству | Да | Да | Да |
Переключение Internet-провайдера и объединение полосы пропускания | Да | Нет | Да |
Конфигурирование Web-интерфейс | Командная строка и Web-интерфейс | Исчерпывающий Web и FIPS-совместимый RDP | |
Процессор | 2-ГГц Intel | 433-МГц Celeron | 2,8-ГГц Intel |
Web-кэширование и proxy | Нет | Нет | Да |
Томас Шиндер - Ведущий автор контента для сайта http://www.isaserver.org. Совладелец компании TACteam (Trainers, Authors, Consultants), которая готовит материалы для технических и маркетинговых документов крупных корпораций, в том числе Microsoft. Соавтор книги Configuring ISA Server 2000 (издательство Syngress). tshinder@isaserver.org
Дебра Шиндер - Cовладелец компании TACteam, редактор WinXPnews и соавтор книги Scene of the Cybercrime (издательство Syngress). dshinder@tacteam.net