MorePC - Главная страница


О сайте

Регистрация

Обратная связь

Реклама на сайте

Публикации на сайте

Карикатуры

  Категории СВТ     Тесты и методики испытаний     Новости СВТ     Проблемы информатизации     Форум     Опросы     Словарь     Поиск  

     Межсетевые экраны : Теория  

Предлагаем Вашему вниманию статьи по информационной безопасности.

Аппаратные брандмауэры для малого и домашнего офиса

версия для печати

Джефф Феллинг

07.04.2005

Превосходная защита для небольших компаний

В защите ценных данных и сети нуждаются все, не исключая пользователей домашних офисов и сотрудников малых предприятий. Брандмауэры стали стандартным решением для защиты внешнего периметра организаций от взломщиков, которые пытаются похитить информацию, захватить ресурсы и иными способами воспользоваться властью над сетью. Однако найти подходящий брандмауэр непросто. Не так давно выбор компаний любых размеров сводился к одному из двух вариантов: простые широкополосные маршрутизаторы, защита которых была, в сущности, побочным следствием их способности разделять Internet-соединение через NAT (Network Address Translation), и крупные корпоративные брандмауэры стоимостью в тысячи долларов, установить которые часто бывает под силу только квалифицированному специалисту по сетям.

За последние несколько лет рынок брандмауэров рос очень быстрыми темпами, и результатом стало множество новых продуктов, предназначенных специально для таких потребителей, как пользователи малого/домашнего офиса. Поставщики корпоративных брандмауэров, которые когда-то ориентировались исключительно на крупные организации, сегодня предлагают гораздо более дешевые продукты для защиты малых сетей. В этих мощных брандмауэрах сохранены многие передовые функции безопасности, заимствованные из дорогостоящих продуктов. Традиционные широкополосные маршрутизаторы начального уровня также продолжают совершенствоваться; в них появились функции, в прошлом доступные только обладателям дорогостоящих моделей.

Широкополосный маршрутизатор стоимостью 70 долл., конечно, не располагает функциями безопасности и базовой технологией защиты, которая реализована в брандмауэре за 500 долл. Администратору необходимо выбрать продукт, наиболее подходящий для защиты конкретной сети. В данном обзоре рассматриваются аппаратные брандмауэры стоимостью не более 500 долл., предназначенные для сетей малого или домашнего офиса с числом пользователей не более 10 человек. Большинство поставщиков корпоративных брандмауэров выпускают упрощенные модели мощных продуктов для пользователей малых/домашних офисов стоимостью менее 500 долл. Именно поэтому для обзора был выбран такой диапазон.

Конструктивные параметры

Как правило, в аппаратных брандмауэрах для малого/домашнего офиса есть по крайней мере два интерфейса для подключения внешнего (общедоступного) соединения Internet и внутренней (частной) сети. Большинство продуктов поддерживает такие протоколы, как DHCP и Point-to-Point Protocol over Ethernet (PPPoE). Обычно по умолчанию выбирается конфигурация с NAT, что упрощает процедуру установки, и в большинстве устройств имеются мастера, которые проводят пользователя по этапам установки и настройки. Более передовые (и, как правило, более дорогостоящие) брандмауэры часто располагают мощными функциями маршрутизации и дополнительными интерфейсами, благодаря которым администратор может выбрать более надежную конфигурацию брандмауэра для защиты сети.

Передовая функциональность

Некоторые аппаратные брандмауэры для малого/домашнего офиса спроектированы на основе устройств корпоративного класса и унаследовали от них некоторые возможности. Во всех продуктах для повышения безопасности проводится проверка пакетов на соответствие заданным условиям (Stateful Packet Inspection, SPI). Но эффективность SPI в разных продуктах не одинакова, поэтому следует изучить конкретную реализацию SPI по документации поставщика. Благодаря функциям NAT и переадресации портов, внутренние компьютеры предприятия могут обращаться в Internet, а потребители из Internet — к некоторым внутренним ресурсам, таким как Web- и почтовые серверы. Все продукты поддерживают списки управления доступом (ACL) на базе сети, но лучшие брандмауэры обеспечивают дискретный контроль над сетевым входящим и исходящим трафиком. Полезная возможность инспектировать и выборочно блокировать сетевой трафик позволяет обнаружить и остановить «червя» или ненужное сетевое приложение либо службу.

Протоколирование

Блокирование сетевого трафика — не единственный важный фактор, который необходимо учитывать при выборе брандмауэра. Не менее важна возможность протоколировать доступ к сети. Протоколирование — важнейшая функция брандмауэра, которая дает важную информацию о возможных, текущих и имевших место атаках. В некоторых продуктах журнал можно просмотреть в браузере или экспортировать в другую программу для анализа и архивирования. Некоторые продукты предупреждают о подозрительных действиях. Функции обнаружения несанкционированного доступа (Intrusion Detection System, IDS) в разных продуктах различны.

Совместимость с VPN

С помощью некоторых продуктов можно организовать VPN между сайтами, а некоторые функционируют как VPN-серверы, позволяющие удаленным клиентам безопасно подключаться к сети предприятия. В таблице содержатся разнообразные сведения о соответствующих функциях, которые имеет смысл учитывать при выборе брандмауэра.

Важный инструмент защиты

Без брандмауэра невозможно надежно защитить домашний или малый офис. Сеть предприятия должна немедленно реагировать на нападения, и правильно выбранный брандмауэр смягчит последствия атаки и защитит ценные ресурсы.


Директор по информационной безопасности компании aQuantive. Автор книги IT Administrator’s Top 10 Introductory Scripts for Windows (издательство Charles River Media) (jeff@blackstatic.com)

Таблица. Брандмауэры для малого бизнеса

   Поддержка VPN-сервера    Протоколирование и предупреждения Отчеты об использовании и операциях
Контактная информацияНазвание продуктаЦена в долл.Для удаленных клиентовДля соединений между сайтамиИнтерфейсы сетевой маршрути зацииЧисло комму тируемых портовФильтрация пакетов с проверкой на соответствие заданным условиямСлужбы DHCP и DNSФорматы журналовТипы предупреж денийРегистрация разрешенных пакетов в реальном времениРегистрация потерянных пакетов в реальном времениФормат отчетаОтчет о контентеВыполняет роль посредника или ретранслирует пакетыФильтрация контентаДиагностические инструментыИнтерфейс управления
3Com http://www.3com.com3CR860-95 3Com Office Connect Secure Router155IP Security (IPSec), Layer Two Tunneling Protocol (L2TP) over IPSec, PPTPIPSecЛокальной сети, WAN4ДаDHCP, DNSHTTP, SNMPОбнаружение атаки, фильтрация контента, потерянные пакеты, события соединения с Internet-провайдером, события локальной сети, успешные и неудачные соеди нения VPNНетДаHTTPНет данныхРетранслирует пакетыДаПреобразование DNS, ping, tracertHTTP
3CR870-95 3Com Office Connect VPN Firewall395IPSec, L2TP over IPSec, PPTPIPSecЛокальной сети, WAN4ДаDHCP, DNSHTTP, SNMPОбнаружение ата ки, фильтрация контента, потерянные пакеты, собы тия соединения с Internet-провай дером, события локальной сети, успешные и неудачные соединения VPNНетДаHTTPСчетчик трафика в обоих направленияхРетранслирует пакетыДаПреобразование DNS, ping, tracertHTTP
Buffalo Technology, http://www.buffalotech.comWireless Secure Remote Gateway199ДаPPTPДемилита ризованная зона (DMZ), локальной сети, WAN4ДаDHCP, DNSSyslogПотерянные па кеты, успешные и неудачные соединения VPN и беспроводныеДаДаНет данныхПункт назначения, входящий трафик, сетевой трафикРетранслирует пакетыНетКлиентский монитор DHCP, преобразование DNS, траcсировка пакетов, pingHTTP
Check Point Software Technologies http://www.checkpoint.comCheck Point Safe@Office299 для 5 пользователей; 599 для 10 пользователейIPSecIPSecDMZ/WAN2, локальная сеть, WAN4ДаDHCPSyslogРазрешенные пакеты, потерян ные соединения, измененияДаДаНет данныхНет данныхРетранслирует пакетыДаPing, tracert, WHOISCall Level Interface (CLI), HTTP, HTTP Secure (HTTPS), централизованный портал управления SofaWare Portal (SMP) компании SofaWare Technologies
Firewall Security Solutions http://www.bizguardian.comBizGuardian Firewall249IPSec, PPTPIPSec, PPTPDMZ, локальная сеть, WAN1ДаDHCP, DNSHTTP, SNMP, syslogВсеДаДаHTTPСтатистика использования канала связи и сетевого трафика, основные пункты назначения, основные пользователи сети, основные Web-узлыПосредникДаДиаграмма статуса и итоговая информацияhttp внутри сети или дистанционно через соединение VPN
Fortinet, http://www.fortinet.comFortiGate-50A495IPSec, L2TP, PPTPIPSecЛокальная сеть, WAN0ДаDHCP, DNSЭлектронная почта, устройство FortiLog, WebTrends, syslogАдресная информация, формат журнала, фильтры журнала, уровень опасности; почтовое сообщение пересылается трем получателямДаДаОтдельно приобретаемые FortiLog и FortiReporterFortiLog: более 100 шаблонных отчетов; FortiReporter: более 400 шаблонов отчетовРетранслирует пакеты; исполь зуется как посредник для FTP, HTTP, IMAP, POP3, SMTPДаАнализ пакетов, ping, ping6, tracerouteHTTPS, Secure Shell (SSH), Telnet
HotBrick, http://www.hotbrick.comHotBrick Firewall SoHo LB2219НетНетDMZ, локальная сеть, WAN4ДаDHCP, DNSHTTP, SNMP, syslogПотерянные пакеты, успешные и неудачные соединения VPNНетДаНет данныхНет данныхТранслирует пакетыДаНетHTTP, SNMP
NETGEAR, http://www.netgear.comProSafe 802.11g Wireless Firewall и USB Print Server, Model FWG114P200НетНетТри интерфейса4ДаDHCPSyslogПотерянные пакеты, события безопасностиНетДаЭлектронная почта, HTTPПопытки доступа к блокированным сайтам, статистика сетевого трафика, соединения маршрутизатора, работа маршрутизатора, посещаемые Webузлы и тематические конференцииТранслирует пакетыДаПреобразование DNS, ping, дистанционная перезагрузкаHTTP
SOHOWare, http://www.sohoware.comBroadGuard Firewall VPN Router195IPSec, L2TP, HTTPIPSec, L2TP, HTTPЛокальная сеть, WAN4ДаDHCPHTTP, SNMP, syslogПотерянные пакеты, успешные и неудачные соединения VPNНетДаHTTPУправление доступом, атаки, статистика сетевого трафика, информация о регистрации пользователейПосредникДаНетHTTP, последовательный порт, SNMP
Примечание редакции. В обзоре приведена информация, полученная от поставщиков брандмауэров для малого/домашнего офиса, заполнивших подробную анкету о своих продуктах. Мы постарались собрать сведения от всех поставщиков, но не все откликнулись на приглашение.

Журнал "Windows IT Pro", #02, 2005 год

Статью "Аппаратные брандмауэры для малого и домашнего офиса" Вы можете обсудить на форуме.




вверх
  Copyright by MorePC - обзоры, характеристики, рейтинги мониторов, принтеров, ноутбуков, сканеров и др. info@morepc.ru  
разработка, поддержка сайта -Global Arts