Сторонние средства обеспечения безопасности
Лучшие сетевые экраны мира
Сейчас у вас на руках имеется перечень необходимых и желательных функций, которые должен обеспечивать сетевой экран. Невозможно сказать, какой сетевой экран является самым лучшим, ведь они применяются в различных средах, поэтому мы расскажем лишь о нескольких ведущих продуктах, имеющихся сегодня на рынке информационных технологий.
Совет. Ежегодное издание компании ICSA Labs "Справочник покупателя сетевого экрана" ("Firewall Buyer’s Guide"), расположенное по адресу http://www.icsalabs.com/html/communities/firewalls/index.shtml, познакомит вас с требованиями к сетевому экрану. (ICSA Labs является частью корпорации TruSecure Corporation, которая также публикует издание NT Bugtraq.)
Экран следующего поколения Check Point FireWall-1
Самый известный сетевой экран FireWall-1 (http://www.checkpoint.com) имеет интуитивно понятный пользовательский интерфейс, позволяющий администраторам легко устанавливать, изменять и просматривать правила политики безопасности.
FireWall-1 обеспечивает защиту сетевого экрана, VPN, трансляцию сетевых адресов, качество и класс предоставляемых услуг передачи данных (QoS), программное управление распределением и безопасность клиента VPN и работает с последними версиями Windows, Solaris и RedHat Linux. Каждому, кто столкнулся с задачей управления сетевым экраном, рекомендуется испытать работу с FireWall-1. Данным продуктом легко управлять (администратор корпоративной сети может централизованно контролировать политику безопасности), поэтому эффективность работы возрастет в несколько раз.
На рисунке 9.1 показана программа FireWall-1 Policy Editor, с помощью которой осуществляется доступ к определению объектов и параметрам безопасности.
увеличить изображение
Рис. 9.1. Детальная графическая карта программы Policy Editor позволяет осуществить быстрый доступ к описанию объектов и параметрам безопасности
Семейство экранов Cisco PIX
Сетевые экраны Cisco PIX (http://www.cisco.com) представляют собой сконструированные для специальных целей устройства, использующие собственную защищенную операционную систему, исключающую наличие признаков многоцелевых операционных систем.
Эти сетевые экраны варьируются от небольших настольных устройств для малых сетей до устройств высшей категории, предназначенных для защиты корпоративных сетей и сред поставщиков услуг связи. В последних используется больший спектр технологий, начиная с адаптивной проверки пакетов и заканчивая фильтрацией содержимого, встроенного обнаружения вторжений, поддержкой VPN через протоколы IPSec и L2TP. Управление осуществляется через веб-интерфейс, позволяющий составлять интерактивные отчеты и отчеты за определенный промежуток времени. Установка и настройка данных устройств не представляет особой сложности, если вы уже знакомы с другими продуктами Cisco.
CyberwallPLUS-SV от Network-1 Security Solutions
При небольшом количестве работающих серверов Windows NT или Windows 2000 и ограниченном бюджете рекомендуется использовать сетевой экран CyberwallPLUS-SV от компании Network-1 Security Solutions, Inc. (http://www.network-1.com). Это устройство применяется как расширение ядра операционной системы Windows посредством окружения ядра ОС барьером, защищающим его от сетевых атак. В основе CyberwallPLUS-SV лежит многоуровневая система адаптивной проверки. Документации по данному устройству не так-то много, и, кроме того, имейте в виду, что в конфигурации по умолчанию этого экрана открыты все порты! Тем не менее, его большим преимуществом является относительная дешевизна, а также простота установки, администрирования и обслуживания.
Internet Security and Acceleration Server 2000 от Microsoft
Microsoft Internet Security and Acceleration (ISA) Server 2000 (http://www.microsoft.com/ISAServer/) представляет собой комбинированный сетевой экран корпоративного класса и кэш-сервер интернета, интегрируемый с Windows 2000 для защиты на основе политики безопасности. Сетевой экран обеспечивает фильтрацию на пакетном, сетевом уровне и уровне приложения, адаптивную проверку, контроль политики доступа и маршрутизацию трафика. Кэш-сервер улучшает производительность сети. Сетевой экран и кэш-сервер можно установить раздельно на выделенных серверах либо на одном компьютере. Для настройки сервера ISA используется уже знакомая вам консоль Microsoft Management Console (см. рис. 9.2).
увеличить изображение
Рис. 9.2. При работе с сервером ISA используется хорошо знакомый графический интерфейс Microsoft
Для Windows-сети рекомендуем использовать именно это устройство. ISA обеспечивает простоту управления политикой, маршрутизацией трафика и публикацией сервера, а также действиями сотрудников, работающими в интернете.
Совет. Несмотря на то, что сетевой экран играет решающую роль в защите сервера, сети и расположенных в ней ресурсов, не следует полагаться только на него. При наличии любого типа периметровой защиты, если атака инициирована внутри сети, все средства безопасности окажутся бесполезными, т.к. не смогут предотвратить злоупотребление авторизованным доступом сотрудником компании. Некоторые сетевые экраны настраиваются на проверку входящих данных на наличие признаков вирусов и "троянских коней", но эта проблема решается при помощи соответствующего антивирусного программного обеспечения и сканера вирусов. Об этих системах речь пойдет далее.