WatchGuard Firebox III

версия для печати

Комплекс межсетевого экрана WatchGuard Live Security System обеспечивает гарантированную защиту от вмешательства в работу локальной сети из публичных сетей (Интернет). Комплекс состоит из аппаратно реализованного брандмауэра (Firebox), выполненного по технологии «plug-and-play», и программного обеспечения.

WatchGuard Firebox обеспечивает три независимых интерфейса: защищенный сегмент локальной сети, внешняя сеть и демилитаризованный сегмент (для обеспечения работы общедоступных серверов — HTTP, SMTP, FTP и т. п.). Состояние трафика каждого интерфейса индицируется при помощи светодиодного индикатора, отображающего текущее состояние Firebox, отвергнутые или разрешенные соединения для каждого интерфейса в отдельности.

Выпускается несколько моделей Firebox III — 4500, 2500, 1000, 700 и 500. Каждая из них предназначена для предприятия определённого масштаба, от небольшой компании до средней, с мобильными пользователями. В качестве оконечной VPN-аппаратуры предлагаются продукты серии Firebox SOHO 6tc (обычный и беспроводной). Они соответствуют спецификациям ICSA firewall и IPSec VPN, поэтому позволяют лёгкую интеграцию в существующую инфраструктуру сети.

Характеристики аппаратуры

• Интерфейсы 3×100 Мбит/с
• Быстродействие
  • брандмауэр — 200 Мбит/с
  • веб-прокси — 60 Мбит/с
  • VPN — 100 Мбит/с
• Туннели VPN до 3000 одновременно

Возможности

Брандмауэр Firebox контролирует все входящие и исходящие соединения между защищаемым сегментом локальной сети и Интернет. Firebox автоматически блокирует все TCP/IP-сервисы, кроме явно разрешённых. Также Firebox позволяет управлять доступом к Интернет, повышая производительность труда пользователей и ограничивая их доступ к нежелательному материалу.

Брандмауэр имеет интуитивный графический пользовательский интерфейс для отображения конфигурации и управления сервисами TCP/IP. Доступ к внутренним или внешним информационным ресурсам по установленным сервисам управляется с помощью четырех типов функций:

• Контроль входящего и исходящего трафика;
• Трансляция адресов;
• Регистрация событий и уведомление администратора сети о нарушениях политики безопасности;
• Обнаружение и блокирование атак на локальную сеть.

Контроль входящего и исходящего трафика

WatchGuard Live Security System использует гибридный метод контроля входящего и исходящего трафика и блокирования нежелательных пакетов. Выбор гибридного метода обусловлен обеспечением высокой скорости трафика (до 100 Мбит/с) и большей гибкости управления. Live Security System применяет «прозрачные» прокси-серверы или динамическую фильтрацию пакетов для различных видов TCP/IP-сервисов.

Имеется ряд предустановленных сервисов: HTTP, SMTP, FTP, DNS, telnet, ping и др. Администратор может сам добавить и сконфигурировать необходимый сервис. Каждый сервис имеет независимую конфигурацию для входящих и исходящих соединений. Кроме этого, сервисы могут быть сконфигурированы для конкретных IP-адресов, сетевых имен машин или имен пользователей. Администратор Live Security System имеет богатые возможности по формированию и управлению полномочиями групп пользователей.

Трансляция адресов

Network address translation (NAT) скрывает истинные внутренние IP-адреса локальной сети и позволяет:

• с точки зрения безопасности — затруднить взлом локальной сети, так как лишает потенциального взломщика информации относительно формы, структуры и конфигурации сети;
• с точки зрения управления сетью — использовать зарезервированный адресный диапазон (стандарт RFC 1918), что экономит «внешние» IP-адреса для других целей;
• с точки зрения администратора сети — сменить Интернет-провайдера без необходимости изменения внутренних IP-адресов локальной сети.

Регистрация событий и уведомление администратора

WatchGuard Live Security System обеспечивает незамедлительное информирование администратора сети о попытках нарушения политики безопасности или иных заранее определенных событиях. Firebox поддерживает многоуровневую систему регистрации событий и уведомления. Для каждого сконфигурированного сервиса могут поддерживаться отдельные правила регистрации и уведомления для входящих и исходящих соединений. При этом, такие правила могут устанавливаться как для запрещенных, так и для разрешенных соединений. Уведомления могут быть автоматически отправлены администратору при помощи:

• e-mail (с указанием IP-адреса хоста, вызвавшего уведомление, и маршрута к нему);
• пейджера;
• всплывающего окна программы;
• запуска указанной программы.

Аутентификация

Live Security System поддерживает три типа аутентифицирующих серверов:

• Windows NT Primary Domain Controller;
• RADIUS
• встроенный аутентифицирующий сервер WatchGuard.

Аутентификация пользователя производится с помощью любого стандартного браузера, поддерживающего Java (например, Netscape Navigator или Microsoft Internet Explorer). Встроенный веб-сервер Firebox посылает клиенту Java-аплет с запросом на ввод логина и пароля. Введенная пользователем информация зашифровывается и возвращается в Firebox, который идентифицирует пользователя и наделяет его теми или иными полномочиями в соответствии с определенной конфигурацией.

Виртуальные частные сети

WatchGuard Remote User VPN

Предназначен для осуществления безопасного (зашифрованного) доступа удаленного пользователя к защищенным корпоративным информационным ресурсам. Используется стандартный Point-To-Point Tunneling Protocol. При этом образуется защищенный туннель передачи данных между центральным офисом и удаленным сотрудником. Не требуется никакого дополнительного программного обеспечения клиентской рабочей станции: операционные системы Windows 95, 98 и NT изначально оснащены реализацией PPTP.

Все данные, передаваемые через установленный туннель, шифруются с использованием криптографического алгоритма RSA RC4.

Branch Office VPN

Используется для обеспечения надежной защищенной связи с удаленными офисами или подразделениями компании. Применяются два протокола: WatchGuard Encryption Protocol и IPSec.

WatchGuard Encryption Protocol использует криптографический стандарт RSA RC4 для организации зашифрованного туннеля передачи данных между двумя системами Firebox. Длина ключа шифрования, в связи с экспортно-импортными ограничениями составляет 40 бит.

Программа-мастер конфигурации WatchGuard VPN Wizard позволяет администратору сети легко создавать «туннели» обмена данными между центральным офисом и территориально-удаленными отделениями, оснащенными Firebox. В результате образуется виртуальная частная сеть, в которой каждый пакет данных при передаче автоматически зашифровывается. При приеме данных процесс происходит в обратном порядке. Кроме того, администратор сети имеет возможность заносить весь трафик Branch Office VPN в файл журнала.

Второй способ организации Branch Office VPN обусловлен полной поддержкой Firebox архитектуры IPSec. Таким образом, Firebox криптографически совместим с любым другим брандмауэром, поддерживающим архитектуру IPSec.

Администрирование

В Live Security System интегрирован целый комплекс программных инструментов для осуществления контроля и мониторинга в режиме реального времени всего трафика, проходящего через FireBox. Также Live Security System имеет встроенные средства генерации различного рода статистических графических отчетов о работе сети.

Графический мониторинг

Программа HostWatch предназначена для отображения всех установленных через брандмауэр сетевых соединений в режиме реального времени. Соединения отображаются различным цветом (разрешенные, отвергнутые, проксированные или маскарадные соединения) между внутренними и внешними узлами с указанием IP-адреса, имени DNS или имени пользователя.

Программа ServiceWatch предназначена для отображения использования сервисов (например, HTTP, FTP, SMTP и др.) в режиме реального времени. Используемые сервисы отображаются различным цветом с дискретностью, установленной администратором.

Программа BandwidthMeter предназначена для отображения входящего и исходящего трафиков для каждого из портов Ethernet в режиме реального времени.

Программа Authentification List позволяет в режиме реального времени отображать всех зарегистрированных на межсетевом экране пользователей локальной сети.

Программа Blocked Site List отображает список IP-адресов, работа с которыми заблокирована.

Отчёты

Программа Historical Reports позволяет администратору подготавливать и создавать статистические отчеты о сетевой активности. Администратор может выбрать либо текстовую форму представления отчета, либо одну из шести графических форм представления.

Список стандартных отчетов включает:

• отчет об отвергнутых соединениях, перезагрузках, попытках нарушений политики безопасности и других событиях, регистрируемых Firebox;
• отчет об использовании Интернет по времени за отчетный период;
• отчет об активности узлов в использовании Интернет;
• отчет о количестве соединений для установленных сервисов;
• отчет с отображением активности пользователя;
• отчет с предупреждениями о потенциально опасных действиях пользователей;
• отчет о веб-активности пользователей, узлов с указанием адресов сайтов, просмотренных страниц, изображений и т. п.

Управление привилегиями

Программа WebBlocker позволяет администратору устанавливать и управлять привилегиями пользователей по использованию информационных ресурсов Интернет. Имеет возможность ограничивать использование Интернет по времени суток, дням недели, часам и категориям сайтов. База нежелательных к посещению сайтов ведется фирмой MicroSystem Software's Cyber Patrol. Поддерживается возможность периодического обновления этой базы. Кроме того, администратор может вручную вводить в эту базу другие адреса.

Дистанционное управление

Программа ControlCenter предназначена для удаленного управления и мониторинга других систем Firebox, включенных в сеть организации. Например, администратор центрального офиса может дистанционно конфигурировать и управлять системами Firebox в филиале компании в другом городе, где нет подготовленного специалиста. Таким образом, резко снижаются расходы компании на командировки и содержание штата специалистов в региональных офисах. Кроме того, повышается гибкость и оперативность управления информационной безопасностью компании в целом.

Простым нажатием кнопки можно увидеть текущее состояние удаленного Firebox и обеспечить:

• проверку работоспособности каждого удаленного Firebox;
• мониторинг трафика через каждый удаленный Firebox;
• индикацию попыток нарушения политики безопасности при межсетевом обмене;
• доступ к детальной информации относительно каждого Firebox;
• способность динамически конфигурировать настройки удаленных FireBox.

Модернизация

Ни одна система безопасности не может гарантировать абсолютной уверенности в своей надежности без систематического обновления программного обеспечения. Ситуация с попытками атак на локальные вычислительные сети сродни ситуации с написанием вредоносных программ-вирусов. Чтобы противостоять вирусам, антивирусная программа должна систематически пополняться базами с информацией о новых видах вирусов. Аналогичная ситуация и с межсетевыми экранами. Ежедневно изобретаются новые методы атак на сети, обнаруживаются «дыры» в стандартных операционных системах. Чтобы эффективно определять и противостоять новым видам атак хакеров, брандмауэр должен иметь как можно более свежую информацию о технологиях реализации атак на локальные вычислительные сети.

WatchGuard Live Security System предоставляет такую возможность. Этот межсетевой экран выполнен по технологии Live Secure, предложенной альянсом всемирно известных компаний в области разработки средств обеспечения информационной безопасности. Применение данной технологии подразумевает ежедневное обновление базы известных способов атак на ЛВС. Таким образом, как только становится известно о новой реализации атаки на ЛВС, она автоматически вносится в базу видов атак Firebox, что делает брандмауэр «непробиваемой стеной» на пути злоумышленников.

Распространитель: Rainbow Technologies.

WatchGuard Firebox III Вы можете обсудить на форуме.