WatchGuard Firebox Vclass

версия для печати

Линейка межсетевых экранов FireBox Vclass предназначена для организации защиты центров обработки данных, больших распределенных сетей и использования провайдерами услуг.

Эти межсетевые экраны позволяют создавать виртуальные частные сети на основе стека протоколов IPSec, организовать переключение туннелей VPN, помимо этого FireBox Vclass поддерживают функции QoS и балансировки нагрузки на серверы. Каждый межсетевой экран поставляется с годовой подпиской на услуги сервиса LiveSecurity (обновления и рекомендации) и гарантией на оборудование.

Отличительные способности

Использование специализированного ASIC-процессора
- позволяет значительно ускорить процессы правил фильтрации трафика, организации и скорости обмена трафика через систему VPN, функций замены сетевых адресов (NAT) и QoS;
- обеспечивает гибкость управления вычислительными процессами за счет использования четырех интегрированных RISC-процессоров;
- делает эффективным функционирование всех механизмов защиты корпоративной сети.
Масштабируемость
- возможность поддержки до 200 тыс. туннелей VPN;
- балансировка нагрузки позволяет повысить эффективность использования канала связи и распределить трафик между группой серверов;
- переключение туннелей позволяет гораздо быстрее и эффективнее управлять большой системой VPN.
Защищенное управление
- WatchGuard Vcontroller обеспечивает дополнительный уровень защиты процесса администрирования как локального, так и удаленных межсетевых экранов;
- WatcGuard CPM (Central Policy Management System) — масштабируемая программная платформа, предназначенная для централизованного управления большой распределенной системой безопасности на основе межсетевых экранов FireBox Vclass (поставляется опционально).

Модельный ряд

Firebox V200 на основе ASIC-процессоров, высокопроизводительный брандмауэр и VPN-концентратор до 40 тыс. туннелей; рекомендуется средним предприятиям, центрам обработки данных и сервис-провайдерам;
Firebox V100 с гигабитным Ethernet и поддержкой до 20 тыс. VPN-туннелей;
Firebox V80 для работы с 8 тыс. туннелей VPN;
Firebox V60 с поддержкой 400 туннелей; для средних компаний и их филиалов;
Firebox V60L с построением VPN-туннелей для 50 офисных и 100 мобильных сотрудников;
Firebox V10 для защиты офисных сетей и создания виртуальных частных сетей между офисами на скоростях до 75 Мбит/с.

Модели FireBox Vclass V100, V80, V60 обладают всем набором механизмов защиты и средств управления ими, что позволяет создать мощную систему безопасности периметра сети. Младшая модель V10 предназначена для использования в качестве оконечного устройства VPN-туннелей в небольших сетях.

	V200	V100	V80	V60	V10
ASIC-процессоры	н/д	2	1
Оперативная память, Мбайт	н/д	256		64	32
Сетевые интерфейсы	2×1000BaseSX, 2 кластерных		4×100BaseTX, 2 кластерных		2×100BaseTX
Межсетевой экран, Мбит/с	2000	600	270	200	75
Алгоритмы шифрования	DES, 3DES
Скорость шифрования по 3DES, Мбит/с	н/д	300	150	100	20
VPN-туннели	40'000	20'000	8000	400/150	10
Пользователи	нет ограничений				10–25
Размер (Ш×В×Г), мм	н/д	438×44×333			210×44×203
Вес, кг	н/д	4,5	4		0,75

Возможности

Пакетная фильтрация с запоминаем состояния заключается в проверке заголовка всех IP-пакетов и оценке адресов источника и получателя пакета и порта, который для этого соединения задействован. Исходя из имеющейся информации, фильтр прогнозирует, каким должен быть следующий пакет из этой сессии. Основываясь на этих данных при поступлении следующих пакетов и принимается решение о его допуске или отклонении.

Поддержка VPN. Упрощенная процедура администрирования системы VPN позволяет соединять между собой множество точек, используя для создания туннелей единые шаблоны их политики. Брандмауэры новой линейки предоставляют возможность создавать VPN-топологию типа «звезда» и при помощи технологии «hub-and-spoke» осуществлять эффективное управление всей системой VPN, путем быстрого изменения существующих параметров туннелей и шлюзов в случае необходимости. Помимо соединения туннелями VPN удаленных сетей, при помощи программного обеспечения WatchGuard Mobile User VPN предоставляется возможность обеспечить защищенное соединение между корпоративной сетью и отдельным мобильным пользователем (за исключением модели V10).

Трансляция сетевых адресов позволяет скрыть от внешней сети реальные адреса узлов. Межсетевые экраны FireBox Vclass поддерживают статическую, динамическую и взаимно-однозначную (1-to-1) трансляцию адресов, а также отображение частного диапазона сетевых адресов в заданный диапазон публичных адресов, виртуальные сетевые адреса (Virtual IP).

Аутентификация пользователей. Межсетевые экраны FireBox Vclass позволяют создавать политики доступа к информационным ресурсам на основе отдельных пользователей или их групп, и соответственно контролировать их работу, а также генерировать отчеты о деятельности в Интернет пользователей или их групп. Модели V100, V80, V60 обладают встроенным сервером аутентификации WatchGuard, а также поддерживают аутентификацию на базе RADIUS и SecurID.

Управление полосой пропускания (QoS). FireBox Vclass позволяют формировать правила безопасности по управлению полосой пропускания. Это позволяет организовать взвешенную политику использования пропускной способности канала связи (понизить скорость обмена менее приоритетных приложений и вида трафика по тому или иному порту без потери информационных пакетов в угоду предоставления приоритета наиболее важным приложениям). На основе весовых коэффициентов правила получают тот или иной уровень приоритета. Идентифицировать входящие и исходящие пакеты к какому-либо уровню приоритета становится возможным благодаря способности заменять маркеры DiffServ Codepoint (DCSP) и Type of Service (ToS). Функция QoS позволяет межсетевым экранам FireBox Vclass функционировать в архитектурах с поддержкой протокола MPLS.

Создание многочисленных профилей политик безопасности. FireBox Vclass позволяют организовать до 200 отдельных профилей политики безопасности, включающих в себя правила QoS, маршрутизацию, сервисы безопасности, аутентификации пользователей. Данная функция наиболее востребована компаниями, предоставляющими услуги хостинга и принимающими к себе на co-location веб-сервера клиентов.

Балансировка нагрузки позволяет перенаправить входящий трафик на один из серверов, который в данный момент наиболее полно отвечает сформированным на межсетевом экране правилам. Входящий трафик может быть распределен между предназначенными для его обработки серверами, в соответствии с одним из следующих алгоритмов:

Перебор — запросы к серверам обрабатываются с одинаковым приоритетом;
Взвешенный перебор — серверам назначаются уровни приоритета в соответствии со способностью обрабатывать запросы;
Произвольный — трафик случайным образом распределяется между группой серверов;
Наименее загруженный — перенаправление трафика осуществляется к тому серверу из группы, который в данный момент имеет наименьшее число подключений;
Наименее приоритетный загруженный — трафик направляется к тому или иному серверу в соответствии с уровнем приоритета и наименьшим количеством подключений к нему на данный момент.

Кластеризация повышает защищенность корпоративной сети за счет создания комплекса из двух одинаковых моделей межсетевых экранов FireBox Vclass (за исключением V10). Настройка резервного межсетевого осуществляется по протоколу VRRP (Virtual Routing Redundacy Protocol), являющегося отраслевым стандартом. При выходе из строя основного брандмауэра, второй, находящийся в «горячем резерве», автоматически примет на себя всю нагрузку.

Централизованное управление

Комплекс управляющего программного обеспечения FireBox Vclass включает в себя интуитивно понятную консоль управления, реализованную в виде графического интерфейса пользователя на Java и целый ряд прикладных утилит, обеспечивающих создание всеобъемлющей защиты периметра сети.

Install Wizard — интуитивно-понятная пошаговая процедура, которая позволяет создать первоначальную работоспособную конфигурацию межсетевого экрана.

Device Discovery — пошаговая процедура, позволяющая обнаружить и управлять несколькими межсетевыми экранами без изменения параметров стека IP-протокола узла с установленным Vcontroller. Помимо этого, возможно экспортировать XML-профиль конфигурируемого межсетевого экрана с целью его дальнейшей загрузки в другие брандмауэры для их быстрой конфигурации.

Policy Checker осуществляет проверку корректности созданной конфигурации на удаленных межсетевых экранах, правильность ее загрузки и исполнения. Это позволяет устранить ряд проблем с функционированием межсетевого экрана удаленно.

Контроль состояния межсетевого экрана, журнал регистрации событий и уведомления позволяют сохранять записи журнала регистрации событий на специально выделенном для этих целей узле или сохранять их в виде простого текста для последующего анализа продуктами сторонних разработчиков, например WebTrends. Утилита Log Viwer, входящая в состав Vcontroller, предоставляет возможности по детальному анализу записей журнала регистрации.

WatcgGuard Central Policy Management System (CPM) — масштабируемая платформа, предназначенная для централизованного управления множеством межсетевых экранов через корпоративную сеть. Это решение для провайдеров услуг, больших распределенных сетей и центров обработки данных. При помощи механизма «drag-and-drop» вы можете легко и быстро создать мощную структуру VPN. Программная платформа CPM способна обеспечить одновременное управление от 10 до 100 межсетевых экранов.

Модернизация

Чтобы эффективно определять и противостоять новым видам атак хакеров, брандмауэр должен иметь как можно более свежую информацию о технологиях реализации атак на локальные вычислительные сети. Применение технологии WatchGuard Live Security System подразумевает ежедневное обновление базы известных способов атак на ЛВС, а также рекомендации, обучающие статьи и предупреждения экспертов по безопасности.

Распространитель: Rainbow Technologies.

WatchGuard Firebox Vclass Вы можете обсудить на форуме.

Copyright by MorePC - обзоры, характеристики, рейтинги мониторов, принтеров, ноутбуков, сканеров и др.

info@morepc.ru

разработка, поддержка сайта -