Джефф Феллинг
07.04.2005
В защите ценных данных и сети нуждаются все, не исключая пользователей домашних офисов и сотрудников малых предприятий. Брандмауэры стали стандартным решением для защиты внешнего периметра организаций от взломщиков, которые пытаются похитить информацию, захватить ресурсы и иными способами воспользоваться властью над сетью. Однако найти подходящий брандмауэр непросто. Не так давно выбор компаний любых размеров сводился к одному из двух вариантов: простые широкополосные маршрутизаторы, защита которых была, в сущности, побочным следствием их способности разделять Internet-соединение через NAT (Network Address Translation), и крупные корпоративные брандмауэры стоимостью в тысячи долларов, установить которые часто бывает под силу только квалифицированному специалисту по сетям.
За последние несколько лет рынок брандмауэров рос очень быстрыми темпами, и результатом стало множество новых продуктов, предназначенных специально для таких потребителей, как пользователи малого/домашнего офиса. Поставщики корпоративных брандмауэров, которые когда-то ориентировались исключительно на крупные организации, сегодня предлагают гораздо более дешевые продукты для защиты малых сетей. В этих мощных брандмауэрах сохранены многие передовые функции безопасности, заимствованные из дорогостоящих продуктов. Традиционные широкополосные маршрутизаторы начального уровня также продолжают совершенствоваться; в них появились функции, в прошлом доступные только обладателям дорогостоящих моделей.
Широкополосный маршрутизатор стоимостью 70 долл., конечно, не располагает функциями безопасности и базовой технологией защиты, которая реализована в брандмауэре за 500 долл. Администратору необходимо выбрать продукт, наиболее подходящий для защиты конкретной сети. В данном обзоре рассматриваются аппаратные брандмауэры стоимостью не более 500 долл., предназначенные для сетей малого или домашнего офиса с числом пользователей не более 10 человек. Большинство поставщиков корпоративных брандмауэров выпускают упрощенные модели мощных продуктов для пользователей малых/домашних офисов стоимостью менее 500 долл. Именно поэтому для обзора был выбран такой диапазон.
Как правило, в аппаратных брандмауэрах для малого/домашнего офиса есть по крайней мере два интерфейса для подключения внешнего (общедоступного) соединения Internet и внутренней (частной) сети. Большинство продуктов поддерживает такие протоколы, как DHCP и Point-to-Point Protocol over Ethernet (PPPoE). Обычно по умолчанию выбирается конфигурация с NAT, что упрощает процедуру установки, и в большинстве устройств имеются мастера, которые проводят пользователя по этапам установки и настройки. Более передовые (и, как правило, более дорогостоящие) брандмауэры часто располагают мощными функциями маршрутизации и дополнительными интерфейсами, благодаря которым администратор может выбрать более надежную конфигурацию брандмауэра для защиты сети.
Некоторые аппаратные брандмауэры для малого/домашнего офиса спроектированы на основе устройств корпоративного класса и унаследовали от них некоторые возможности. Во всех продуктах для повышения безопасности проводится проверка пакетов на соответствие заданным условиям (Stateful Packet Inspection, SPI). Но эффективность SPI в разных продуктах не одинакова, поэтому следует изучить конкретную реализацию SPI по документации поставщика. Благодаря функциям NAT и переадресации портов, внутренние компьютеры предприятия могут обращаться в Internet, а потребители из Internet — к некоторым внутренним ресурсам, таким как Web- и почтовые серверы. Все продукты поддерживают списки управления доступом (ACL) на базе сети, но лучшие брандмауэры обеспечивают дискретный контроль над сетевым входящим и исходящим трафиком. Полезная возможность инспектировать и выборочно блокировать сетевой трафик позволяет обнаружить и остановить «червя» или ненужное сетевое приложение либо службу.
Блокирование сетевого трафика — не единственный важный фактор, который необходимо учитывать при выборе брандмауэра. Не менее важна возможность протоколировать доступ к сети. Протоколирование — важнейшая функция брандмауэра, которая дает важную информацию о возможных, текущих и имевших место атаках. В некоторых продуктах журнал можно просмотреть в браузере или экспортировать в другую программу для анализа и архивирования. Некоторые продукты предупреждают о подозрительных действиях. Функции обнаружения несанкционированного доступа (Intrusion Detection System, IDS) в разных продуктах различны.
С помощью некоторых продуктов можно организовать VPN между сайтами, а некоторые функционируют как VPN-серверы, позволяющие удаленным клиентам безопасно подключаться к сети предприятия. В таблице содержатся разнообразные сведения о соответствующих функциях, которые имеет смысл учитывать при выборе брандмауэра.
Без брандмауэра невозможно надежно защитить домашний или малый офис. Сеть предприятия должна немедленно реагировать на нападения, и правильно выбранный брандмауэр смягчит последствия атаки и защитит ценные ресурсы.
Директор по информационной безопасности компании aQuantive. Автор книги IT Administrator’s Top 10 Introductory Scripts for Windows (издательство Charles River Media) (jeff@blackstatic.com)
Поддержка VPN-сервера | Протоколирование и предупреждения | Отчеты об использовании и операциях | ||||||||||||||||
Контактная информация | Название продукта | Цена в долл. | Для удаленных клиентов | Для соединений между сайтами | Интерфейсы сетевой маршрути зации | Число комму тируемых портов | Фильтрация пакетов с проверкой на соответствие заданным условиям | Службы DHCP и DNS | Форматы журналов | Типы предупреж дений | Регистрация разрешенных пакетов в реальном времени | Регистрация потерянных пакетов в реальном времени | Формат отчета | Отчет о контенте | Выполняет роль посредника или ретранслирует пакеты | Фильтрация контента | Диагностические инструменты | Интерфейс управления |
3Com http://www.3com.com | 3CR860-95 3Com Office Connect Secure Router | 155 | IP Security (IPSec), Layer Two Tunneling Protocol (L2TP) over IPSec, PPTP | IPSec | Локальной сети, WAN | 4 | Да | DHCP, DNS | HTTP, SNMP | Обнаружение атаки, фильтрация контента, потерянные пакеты, события соединения с Internet-провайдером, события локальной сети, успешные и неудачные соеди нения VPN | Нет | Да | HTTP | Нет данных | Ретранслирует пакеты | Да | Преобразование DNS, ping, tracert | HTTP |
3CR870-95 3Com Office Connect VPN Firewall | 395 | IPSec, L2TP over IPSec, PPTP | IPSec | Локальной сети, WAN | 4 | Да | DHCP, DNS | HTTP, SNMP | Обнаружение ата ки, фильтрация контента, потерянные пакеты, собы тия соединения с Internet-провай дером, события локальной сети, успешные и неудачные соединения VPN | Нет | Да | HTTP | Счетчик трафика в обоих направлениях | Ретранслирует пакеты | Да | Преобразование DNS, ping, tracert | HTTP | |
Buffalo Technology, http://www.buffalotech.com | Wireless Secure Remote Gateway | 199 | Да | PPTP | Демилита ризованная зона (DMZ), локальной сети, WAN | 4 | Да | DHCP, DNS | Syslog | Потерянные па кеты, успешные и неудачные соединения VPN и беспроводные | Да | Да | Нет данных | Пункт назначения, входящий трафик, сетевой трафик | Ретранслирует пакеты | Нет | Клиентский монитор DHCP, преобразование DNS, траcсировка пакетов, ping | HTTP |
Check Point Software Technologies http://www.checkpoint.com | Check Point Safe@Office | 299 для 5 пользователей; 599 для 10 пользователей | IPSec | IPSec | DMZ/WAN2, локальная сеть, WAN | 4 | Да | DHCP | Syslog | Разрешенные пакеты, потерян ные соединения, изменения | Да | Да | Нет данных | Нет данных | Ретранслирует пакеты | Да | Ping, tracert, WHOIS | Call Level Interface (CLI), HTTP, HTTP Secure (HTTPS), централизованный портал управления SofaWare Portal (SMP) компании SofaWare Technologies |
Firewall Security Solutions http://www.bizguardian.com | BizGuardian Firewall | 249 | IPSec, PPTP | IPSec, PPTP | DMZ, локальная сеть, WAN | 1 | Да | DHCP, DNS | HTTP, SNMP, syslog | Все | Да | Да | HTTP | Статистика использования канала связи и сетевого трафика, основные пункты назначения, основные пользователи сети, основные Web-узлы | Посредник | Да | Диаграмма статуса и итоговая информация | http внутри сети или дистанционно через соединение VPN |
Fortinet, http://www.fortinet.com | FortiGate-50A | 495 | IPSec, L2TP, PPTP | IPSec | Локальная сеть, WAN | 0 | Да | DHCP, DNS | Электронная почта, устройство FortiLog, WebTrends, syslog | Адресная информация, формат журнала, фильтры журнала, уровень опасности; почтовое сообщение пересылается трем получателям | Да | Да | Отдельно приобретаемые FortiLog и FortiReporter | FortiLog: более 100 шаблонных отчетов; FortiReporter: более 400 шаблонов отчетов | Ретранслирует пакеты; исполь зуется как посредник для FTP, HTTP, IMAP, POP3, SMTP | Да | Анализ пакетов, ping, ping6, traceroute | HTTPS, Secure Shell (SSH), Telnet |
HotBrick, http://www.hotbrick.com | HotBrick Firewall SoHo LB2 | 219 | Нет | Нет | DMZ, локальная сеть, WAN | 4 | Да | DHCP, DNS | HTTP, SNMP, syslog | Потерянные пакеты, успешные и неудачные соединения VPN | Нет | Да | Нет данных | Нет данных | Транслирует пакеты | Да | Нет | HTTP, SNMP |
NETGEAR, http://www.netgear.com | ProSafe 802.11g Wireless Firewall и USB Print Server, Model FWG114P | 200 | Нет | Нет | Три интерфейса | 4 | Да | DHCP | Syslog | Потерянные пакеты, события безопасности | Нет | Да | Электронная почта, HTTP | Попытки доступа к блокированным сайтам, статистика сетевого трафика, соединения маршрутизатора, работа маршрутизатора, посещаемые Webузлы и тематические конференции | Транслирует пакеты | Да | Преобразование DNS, ping, дистанционная перезагрузка | HTTP |
SOHOWare, http://www.sohoware.com | BroadGuard Firewall VPN Router | 195 | IPSec, L2TP, HTTP | IPSec, L2TP, HTTP | Локальная сеть, WAN | 4 | Да | DHCP | HTTP, SNMP, syslog | Потерянные пакеты, успешные и неудачные соединения VPN | Нет | Да | HTTP | Управление доступом, атаки, статистика сетевого трафика, информация о регистрации пользователей | Посредник | Да | Нет | HTTP, последовательный порт, SNMP |
Примечание редакции. В обзоре приведена информация, полученная от поставщиков брандмауэров для малого/домашнего офиса, заполнивших подробную анкету о своих продуктах. Мы постарались собрать сведения от всех поставщиков, но не все откликнулись на приглашение. |