Линейка межсетевых экранов FireBox Vclass предназначена для организации защиты центров обработки данных, больших распределенных сетей и использования провайдерами услуг.
Эти межсетевые экраны позволяют создавать виртуальные частные сети на основе стека протоколов IPSec, организовать переключение туннелей VPN, помимо этого FireBox Vclass поддерживают функции QoS и балансировки нагрузки на серверы. Каждый межсетевой экран поставляется с годовой подпиской на услуги сервиса LiveSecurity (обновления и рекомендации) и гарантией на оборудование.
Модели FireBox Vclass V100, V80, V60 обладают всем набором механизмов защиты и средств управления ими, что позволяет создать мощную систему безопасности периметра сети. Младшая модель V10 предназначена для использования в качестве оконечного устройства VPN-туннелей в небольших сетях.
| V200 | V100 | V80 | V60 | V10 | |
|---|---|---|---|---|---|
| ASIC-процессоры | н/д | 2 | 1 | ||
| Оперативная память, Мбайт | н/д | 256 | 64 | 32 | |
| Сетевые интерфейсы | 2×1000BaseSX, 2 кластерных | 4×100BaseTX, 2 кластерных | 2×100BaseTX | ||
| Межсетевой экран, Мбит/с | 2000 | 600 | 270 | 200 | 75 |
| Алгоритмы шифрования | DES, 3DES | ||||
| Скорость шифрования по 3DES, Мбит/с | н/д | 300 | 150 | 100 | 20 |
| VPN-туннели | 40'000 | 20'000 | 8000 | 400/150 | 10 |
| Пользователи | нет ограничений | 10–25 | |||
| Размер (Ш×В×Г), мм | н/д | 438×44×333 | 210×44×203 | ||
| Вес, кг | н/д | 4,5 | 4 | 0,75 | |
Пакетная фильтрация с запоминаем состояния заключается в проверке заголовка всех IP-пакетов и оценке адресов источника и получателя пакета и порта, который для этого соединения задействован. Исходя из имеющейся информации, фильтр прогнозирует, каким должен быть следующий пакет из этой сессии. Основываясь на этих данных при поступлении следующих пакетов и принимается решение о его допуске или отклонении.
Поддержка VPN. Упрощенная процедура администрирования системы VPN позволяет соединять между собой множество точек, используя для создания туннелей единые шаблоны их политики. Брандмауэры новой линейки предоставляют возможность создавать VPN-топологию типа «звезда» и при помощи технологии «hub-and-spoke» осуществлять эффективное управление всей системой VPN, путем быстрого изменения существующих параметров туннелей и шлюзов в случае необходимости. Помимо соединения туннелями VPN удаленных сетей, при помощи программного обеспечения WatchGuard Mobile User VPN предоставляется возможность обеспечить защищенное соединение между корпоративной сетью и отдельным мобильным пользователем (за исключением модели V10).
Трансляция сетевых адресов позволяет скрыть от внешней сети реальные адреса узлов. Межсетевые экраны FireBox Vclass поддерживают статическую, динамическую и взаимно-однозначную (1-to-1) трансляцию адресов, а также отображение частного диапазона сетевых адресов в заданный диапазон публичных адресов, виртуальные сетевые адреса (Virtual IP).
Аутентификация пользователей. Межсетевые экраны FireBox Vclass позволяют создавать политики доступа к информационным ресурсам на основе отдельных пользователей или их групп, и соответственно контролировать их работу, а также генерировать отчеты о деятельности в Интернет пользователей или их групп. Модели V100, V80, V60 обладают встроенным сервером аутентификации WatchGuard, а также поддерживают аутентификацию на базе RADIUS и SecurID.
Управление полосой пропускания (QoS). FireBox Vclass позволяют формировать правила безопасности по управлению полосой пропускания. Это позволяет организовать взвешенную политику использования пропускной способности канала связи (понизить скорость обмена менее приоритетных приложений и вида трафика по тому или иному порту без потери информационных пакетов в угоду предоставления приоритета наиболее важным приложениям). На основе весовых коэффициентов правила получают тот или иной уровень приоритета. Идентифицировать входящие и исходящие пакеты к какому-либо уровню приоритета становится возможным благодаря способности заменять маркеры DiffServ Codepoint (DCSP) и Type of Service (ToS). Функция QoS позволяет межсетевым экранам FireBox Vclass функционировать в архитектурах с поддержкой протокола MPLS.
Создание многочисленных профилей политик безопасности. FireBox Vclass позволяют организовать до 200 отдельных профилей политики безопасности, включающих в себя правила QoS, маршрутизацию, сервисы безопасности, аутентификации пользователей. Данная функция наиболее востребована компаниями, предоставляющими услуги хостинга и принимающими к себе на co-location веб-сервера клиентов.
Балансировка нагрузки позволяет перенаправить входящий трафик на один из серверов, который в данный момент наиболее полно отвечает сформированным на межсетевом экране правилам. Входящий трафик может быть распределен между предназначенными для его обработки серверами, в соответствии с одним из следующих алгоритмов:
Кластеризация повышает защищенность корпоративной сети за счет создания комплекса из двух одинаковых моделей межсетевых экранов FireBox Vclass (за исключением V10). Настройка резервного межсетевого осуществляется по протоколу VRRP (Virtual Routing Redundacy Protocol), являющегося отраслевым стандартом. При выходе из строя основного брандмауэра, второй, находящийся в «горячем резерве», автоматически примет на себя всю нагрузку.
Комплекс управляющего программного обеспечения FireBox Vclass включает в себя интуитивно понятную консоль управления, реализованную в виде графического интерфейса пользователя на Java и целый ряд прикладных утилит, обеспечивающих создание всеобъемлющей защиты периметра сети.
Install Wizard — интуитивно-понятная пошаговая процедура, которая позволяет создать первоначальную работоспособную конфигурацию межсетевого экрана.
Device Discovery — пошаговая процедура, позволяющая обнаружить и управлять несколькими межсетевыми экранами без изменения параметров стека IP-протокола узла с установленным Vcontroller. Помимо этого, возможно экспортировать XML-профиль конфигурируемого межсетевого экрана с целью его дальнейшей загрузки в другие брандмауэры для их быстрой конфигурации.
Policy Checker осуществляет проверку корректности созданной конфигурации на удаленных межсетевых экранах, правильность ее загрузки и исполнения. Это позволяет устранить ряд проблем с функционированием межсетевого экрана удаленно.
Контроль состояния межсетевого экрана, журнал регистрации событий и уведомления позволяют сохранять записи журнала регистрации событий на специально выделенном для этих целей узле или сохранять их в виде простого текста для последующего анализа продуктами сторонних разработчиков, например WebTrends. Утилита Log Viwer, входящая в состав Vcontroller, предоставляет возможности по детальному анализу записей журнала регистрации.
WatcgGuard Central Policy Management System (CPM) — масштабируемая платформа, предназначенная для централизованного управления множеством межсетевых экранов через корпоративную сеть. Это решение для провайдеров услуг, больших распределенных сетей и центров обработки данных. При помощи механизма «drag-and-drop» вы можете легко и быстро создать мощную структуру VPN. Программная платформа CPM способна обеспечить одновременное управление от 10 до 100 межсетевых экранов.
Чтобы эффективно определять и противостоять новым видам атак хакеров, брандмауэр должен иметь как можно более свежую информацию о технологиях реализации атак на локальные вычислительные сети. Применение технологии WatchGuard Live Security System подразумевает ежедневное обновление базы известных способов атак на ЛВС, а также рекомендации, обучающие статьи и предупреждения экспертов по безопасности.
Распространитель: Rainbow Technologies.