Kerio företags brandväggar. Brandväggar, eller brandväggar som används i företagsnätverk

En Internet-gateway är en mycket viktig del av alla företags informationssystem. Idag kommer vi att överväga flera proxyservrar som är populära i vårt land, utvärdera deras kapacitet och bestämma deras positiva och negativa aspekter av detta licensierad programvara.

En Internet-gateway är en mycket viktig del av alla företags informationssystem. Å ena sidan säkerställer det det kollektiva arbetet på Internet för alla sina anställda, så proxyservern på grundval av vilken den är organiserad måste vara multifunktionell, lätt att använda och ge möjlighet att skapa flexibla policyer för användning globalt nätverk. Å andra sidan är det internetporten som står och vakar över företagens informationssystems yttre gränser och det är han som ska möta och spegla alla försök att påverka det lokala nätverket från internet. Därför måste proxyservern implementera alla nödvändiga mekanismer för att skydda sig mot olika typer hot.

Idag kommer vi att överväga flera populära proxyservrar i vårt land, utvärdera deras kapacitet och bestämma deras positiva och negativa sidor.

Kerio Control

Företagsbrandväggar (brandväggar) styr trafik som kommer in i och ut ur ett lokalt företagsnätverk och kan vara både rena mjukvaruverktyg och hård- och mjukvarusystem. Varje datapaket som passerar genom brandväggen analyseras av den (till exempel för ursprung eller överensstämmelse med andra regler för paketöverföring), varefter paketet antingen skickas eller inte. Typiskt kan brandväggar fungera som ett paketfilter eller som en proxyserver, i vilket fall brandväggen fungerar som en mellanhand för att uppfylla förfrågningar, initiera sin egen begäran till resursen och därigenom förhindra en direkt anslutning mellan de lokala och externa nätverken.

På fältet dator nätverk en brandvägg är en barriär som skyddar mot "virtuell" brand - försök från inkräktare att invadera ett nätverk för att kopiera, ändra eller radera information, eller för att dra fördel av bandbredden, minnet eller processorkraften hos datorer som körs på detta nätverk.

Brandväggen är installerad på gränsen mellan två nätverk - Internet och LAN, så det kallas också en brandvägg. Den filtrerar all inkommande och utgående data, så att endast auktoriserade paket går igenom. Snabbare, brandvägg är en metod för säkerhet; det hjälper till att implementera en säkerhetspolicy som definierar de tillåtna tjänsterna och typerna av åtkomst till dem, och andra säkerhetsåtgärder som stark autentisering istället för statiska lösenord. Huvudsyftet med ett brandväggssystem är att kontrollera åtkomsten till det skyddade nätverket. Den implementerar en nätverksåtkomstpolicy genom att tvinga alla nätverksanslutningar att passera genom brandväggen, där de kan analyseras, tillåtas eller nekas.

Paketfiltrering är en av de äldsta och mest använda kontrollerna för nätverksåtkomst. Alla brandväggar, utan undantag, kan filtrera trafik. Idé: Ange om ett givet paket tillåts komma in i eller lämna nätverket.

Sessionslager-gatewayen övervakar handskakningen mellan en auktoriserad klient och en extern värd (och vice versa) för att avgöra om den begärda sessionen är giltig. En applikationslagergateway krävs för att filtrera paket som genereras av vissa nätverkstjänster enligt deras innehåll.

Tyvärr, brandväggar kan inte lösa alla säkerhetsproblem i samband med användning av internetkanaler. Samtidigt kan vissa problem, såsom skyddet av information från avlyssning, när den passerar via internetkanaler, lösas genom att lägga till programvara brandväggar datakrypteringsmöjligheter (ett antal mjukvarubrandväggar inkluderar den så kallade klientdelen, som låter dig kryptera hela nätverkstrafik mellan klient och server).

Dock som utveckling informationssystem i riktning mot den ökande användningen av Internet börjar tekniker som skapats utan att länka dem till användning i samband med brandväggar spela en betydande roll. Detta avser användningen av internetportaler, inklusive i CRM-system. En av de oöverstigliga svårigheterna för brandväggar med deras statiska portkonfiguration är användningen av KMI (remote method invocation - site) i moderna system, fokuserat på den utbredda användningen av Java, när det inte är känt i förväg vilka och hur många nätverksportar som kommer att behöva öppnas för varje specifik begäran.

En lösning liknande problem kan vara skapandet av ett virtuellt privat nätverk med hjälp av hårdvara eller mjukvaruverktyg. I det här fallet, hela nätverket utbyte, för alla nätverksportar mellan datorer organiserade i ett VPN (virtuellt privat nätverk) utförs över öppna kanaler i krypterad form, vilket bildar en likhet lokalt nätverk"inuti" Internet/Intranät. Det är viktigt att VPN inte kräver några ändringar av programvaran som används – allt ser ut som vanligt nätverk. Men kom ihåg att i de flesta fall ersätter inte en VPN en brandvägg. Det är inte möjligt att installera en VPN-klient på varje dator som har åtkomst till företagets webbserver. Det verkar bäst att använda brandväggar och VPN tillsammans, där det är möjligt. Till exempel kan eTrust Firewall konfigureras för att komplettera ett VPN, d.v.s. Med hjälp av eTrust Firewall läggs ytterligare en port till listan över öppna portar, genom vilken den utför krypterad utbyte med datorer organiserade i VPN, medan porten inte kan öppnas för alla, utan för en specifik grupp av datorer .

Brandväggssektorn kombinerar flera segment, i synnerhet inkluderar den VPN. VPN-marknaden är väldigt mångsidig - det finns nästan lika många tillverkare som det finns produkter. Synen från olika forskningsföretag på VPN-marknaden lyfter fram olika ledare med en andel som överstiger 60 % - Cisco Systems och Check Point. Märkligt nog har alla rätt. Ciscos andel kommer från sina egna produkter - denna andel stöds av Ciscos branschövergripande ledarskap. Check Points ledarskap stöds av öppen teknik som fungerar i produkter från en mängd olika företag.

Det bör särskilt noteras att det i arsenalen av små ryska mjukvaruutvecklare finns billiga och beprövade program, av vilka fördelarna är erkända i många utvecklade länder i världen.

Brandvägg(även kallad brandvägg eller brandvägg) är det viktigaste sättet att skydda ett företagsnätverk från olika hot. Under de senaste åren har brandväggen utvecklats avsevärt: från ett specialiserat nätverkspaketfiltreringsverktyg har den förvandlats till ett universellt skyddssystem.

Inledningsvis (och dessa lösningar har använts i över 25 år) kallade de ett system som utför funktionerna att filtrera nätverkspaket enligt specificerade regler för att differentiera trafik mellan nätverkssegment. Detta är definitionen i RFC3511-standarden.

Behovet av att använda sådana system uppstod för att förhindra inkräktare från att penetrera det lokala företagsnätverket. Funktionsprincipen för brandväggen är baserad på kontroll av trafik som utbyts mellan LAN- och WAN-nätverk. Följande trafikkontrollmetoder används:

  • Paketfiltrering. Denna metod är baserad på en uppsättning filter. Om datapaketet uppfyller de villkor som anges i filtren, skickas det till nätverket, om inteblockerad. Brandväggen tillämpar följande huvudtyper av filter: efter IP-adress, efter domän namn, efter mjukvaruport, efter protokolltyp. Andra alternativ för filter kan också tillämpas, beroende på de uppgifter som utförs i det.
  • Statlig inspektion . Detta är en mer avancerad metod för inkommande trafikkontroll, som först introducerades och patenterades av Check Point. Denna teknik låter dig styra nätverkstrafik och innehåller en flexibel mekanism för att kontrollera dataflödet, som använder en förlagrad tillståndstabell. Detta tillvägagångssätt analyserar inte hela paketet, utan jämför vissa kontrollsträngar med förkända värden från en databas med tillåtna resurser. Liknande metod ger mycket bättre brandväggsprestanda.

Huvuduppgiften för moderna brandväggar är att blockera otillåten nätverkskommunikation (nedan kallad attacker), som är uppdelad i intern och extern. Bland dem: externa attacker på ett skyddat system, både utförda av hackare och skadlig kod. Dessutom är det ett förbud mot obehörig utresa nätverkskopplingar initieras av skadlig kod eller applikationer, nätverksaktivitet vilket är förbjudet enligt reglerna.

Det finns för närvarande på marknaden och mjukvarubrandväggar. En mjukvarubrandvägg kan användas både för skydd personlig dator och stora företagsnätverk. I det här fallet implementeras det som ett program som körs på en PC eller en edge-nätverksenhet, till exempel en router. Men hårdvaruenheten används uteslutande inom företagssegmentet. Vid hårdvaruimplementering är brandväggen ett separat nätverkselement med hög prestanda och utökad funktionalitet. Dessutom har det nyligen dykt upp så kallade virtuella brandväggar, som som regel används i mjukvarudefinierade nätverk.

Nya utmaningar

När komplexiteten i cyberhoten växer och hackerattacker brandväggsfunktionaliteten fylldes på med nya verktyg. Nu innehåller brandväggen en hel uppsättning funktioner för att skydda företagets nätverk. Så, alla fullfjädrade brandväggar bör innehålla HIPS-modulen (ett verktyg byggt på analys av beteende), ge skydd mot spam, virus, blandade hot, spionprogram, nätfiske och nätverksattacker. Dessutom kan brandväggar innehålla verktyg för att skydda mot dataläckor, molntjänst sandlådor, sårbarhetsskanning och webbfiltrering.

Med andra ord, i dagsläget har produkter som skulle kunna klassas som klassiska brandväggar faktiskt försvunnit från marknaden. De ersattes av komplexa skyddsprodukter.

Marknadsöversyn

Bland de viktigaste tillverkarna av moderna brandväggar är det värt att notera sådana företag som, Fortinet och .

Det privata företaget Barracuda Networks var 2002 i Cupertino, Kalifornien, USA, och dess första produkt, en hård-/mjukvarulösning för anti-spam, släpptes 2003. Nästa generations Barracuda NG Firewall tar itu med kritiska frågor som hantering fjärranvändare, webbapplikationer 2.0, BYOD-enheter i företagsnätverk. Till skillnad från många andra system tillhandahåller Barracuda NG Firewall ett brett utbud av verktyg för larm, trafikkontroll och bandbredd, optimerar nätverkets prestanda och tillförlitlighet. Det är viktigt att alla Barracuda Networks produkter har ett ryskspråkigt gränssnitt, deras hantering är inte svårt för tekniska specialister och kräver inte ytterligare heltidsutbildning.

Check Point är främst vid frigivning mjukvarusystem, även om den också har en rad hårdvaruenheter. Denna leverantörs mjukvarulösningar består av många plug-ins som kallas blades. Check Point Firewall Software Bladedet är en populär brandvägg som används av nästan alla Fortune 100-företag för att skydda sig själva. Brandväggsbladet ger den högsta skyddsnivån, med åtkomstkontroll, programskydd, autentisering och nätverksadressöversättning. Brandväggen använder andra mjukvarublad för säkerhetshantering för att tillhandahålla bekväm fjärrsäkerhetshantering med högsta effektivitet.

SonicWALL, med huvudkontor i San Jose, Kalifornien, USA, etablerades 1991 och är känt för sina brandväggar och UTM-lösningar. Säljaren äger 130 patent, dess datorsäkerhetslösningar används av cirka 300 000 kunder i 50 länder runt om i världen. SonicWALL-produkter är funktionsrika, lätta att använda och ger snabb avkastning på investeringen. I mars 2012 förvärvades SonicWALL av Dell Corporation.

Grundades 1996 specialiserar sig på lansering av system för enhetlig hothantering (UTM). Företaget tillhandahåller pålitliga, lättanvända enheter för säkerheten i datornätverk. WatchGuards produktlinje inkluderar XTM-serien av apparater, som är nästa generations UTM-produkter, XCS-system för att skydda e-post och webbtjänster som hjälper till att förhindra oavsiktliga eller avsiktliga dataläckor. Dessutom producerar leverantören lösningar för att säkerställa fjärråtkomst WatchGuard SSL VPN, samt säkra trådlösa åtkomstpunkter som hanteras av WatchGuard XTM-komplex. Alla produkter kommer med LiveSecurity-tjänstavancerat användarstödsprogram.

En integrerad del av att skydda en stor organisations nätverk från inkräktare är en företagsbrandvägg. Vi uppmärksammar dig på de frågor som bör övervägas innan beslut fattas om förvärvet.

Många dussintals företag är engagerade i försäljning av brandväggar (FW) för alla miljöer: från FW i skrivbordsklassen (för stationära system) och FW SOHO klass(för ett litet/hemmakontor) till brandväggar designade för leverantörer av telekommunikationstjänster (operatörsklass) - valet är ibland helt enkelt enormt. Därför är det otänkbart att fatta rätt beslut att köpa DOE utan en djup förståelse av behoven för nätverkssäkerhet.

Innan du gör ett sådant köp bör du först ta fram en effektiv säkerhetspolicy i din organisation. Denna policy hjälper dig att välja den typ av ME som passar din företagsmiljö. Sedan måste du identifiera alla sårbarheter som är inneboende i specifika alternativ för att komma åt ditt nätverk. Om du till exempel har en offentlig webbplats vars dynamiska innehåll hämtas från företagsdatabasen, skapar du alltså en "bakdörr" från det offentliga nätverket via din DOE direkt till företagsdatabasen. De flesta brandväggar kommer inte att kunna skydda dig från attacker som utförs på applikationsnivå, därför måste du säkra varje länk i kedjan "Webserver - företagsdatabas", och brandväggen bör betraktas som en enda åtkomstpunkt. Till sist, lär alla i din organisation de grundläggande säkerhetsreglerna: inga obehöriga modem på skrivbord, inga appar. fjärrkontroll etc.

Säkerhet eller prestanda

Det finns två grundläggande brandväggsmekanismer på företagsbrandväggsmarknaden: paketfiltrering med protokollstatus (Stateful Packet-Filter - SPF) och användningen av proxymoduler (applikationsproxy) för att filtrera programtrafik. SPF-enheter som Check Point Software Technologies FireWall-1 NG, Ciscos PIX och NetScreens produkter inspekterar paket upp till Layer 4 och går i vissa fall till och med lite längre, till exempel kan vissa av de hantera FTP-trafik. Brandväggar SPF-typer har som regel högre prestanda, eftersom de utför minimal bearbetning av dataströmmen.

Applikationsproxybrandväggar som Network Associates Technologys Gauntlet, Secure Computings Sidewinder och Symantecs Enterprise Firewall (tidigare känd som Raptor, en produkt från Axent) inspekterar varje datapaket hela vägen ner till applikationslagret, vilket ger en mer fullständig kontroll över trafiken skickas till interna servrar. Till exempel kan en HTTP-proxymodul konfigureras för att tillåta hämta-kommandon men inte lägga upp kommandon, begränsa längden på URL-länkar, och på så sätt blockera buffertspillsattacker, eller införa begränsningar för MIME-typer, som att ta bort körbara bilagor och annat farligt innehåll. FME baserade på proxymoduler är vanligtvis långsammare än SPF-baserade heltidsekvivalenter eftersom de utför mer databehandling.

Varje gång SPF-skärmar fick högre poäng i våra recensioner än ME baserat på proxymoduler fick vi ett berg av brev från upprörda läsare. Kärnan i dem kommer vanligtvis ner på samma sak: om du verkligen behöver tillhandahålla säkerhet, är ditt enda val en applikationsproxy. Enligt vår uppfattning är det både så och inte så. Proxymoduler ger förstås en högre grad av säkerhet, men de gör det på bekostnad av prestanda. Under våra tester var brandväggar baserade på applikationsproxy i genomsnitt 50 % långsammare än SPF-enheter. Om din brandvägg är ansluten till ett wide area-nätverk, till exempel en T3-linje eller långsammare, och du inte behöver stödja tiotusentals samtidiga sessioner, så är en brandväggsproxy verkligen din bästa insats. Du bör känna till den aktuella nivån på din trafik och dess förväntade värde för att kunna tillhandahålla denna information till din leverantör, då kan han hjälpa dig att välja rätt utrustning. Naturligtvis kan du alltid balansera belastningen på ME med hjälp av externa belastningsutjämnare.

Om du har en populär webbplats och trafikstockningar är oacceptabla för dig, välj då en SPF-enhet. Sådana brandväggar skalas bättre och stöder fler anslutningar, men de släpper igenom all trafik som matchar reglerna för protokollen, så att buffertspill och applikationslagsattacker är öppna. Om du letar efter den prestanda som SPF-lösningar ger, se till att dina webb- och databasservrar är väl säkrade och uppdaterade med de senaste patcharna.

Prestandaproblemet blir ännu mer akut om du behöver köra CPU-intensiva processer, till exempel när du distribuerar virtuella privata nätverk (VPN). Kryptering kan "sätta på knä" mest kraftfull processor, och därigenom omintetgör ME:s prestanda. Praktiskt taget alla brandväggar som finns på marknaden stödjer VPN, och ibland är deras användning för att organisera virtuella privata nätverk motiverad. Men om du stödjer stort antal nätverk eller en omfattande lista över användare, bör VPN-processer betjänas av utrustning speciellt utformad för att maximera prestandan för krypteringsoperationer (kryptoacceleratorer).

ME:er som använder processorer för generella ändamål, som Check Points FireWall-1 och Ciscos PIX, uppfyller inte kraven för att stödja applikationer med mellannivåbandbredd även med kryptoacceleratorer. Vissa brandväggar, som NetScreens produkter, gör det mesta av bearbetningen på hårdvarunivå och stör därmed inte VPN-processer, men detta kommer till priset av en viss minskning av systemflexibiliteten.

Hög tillgänglighet

ME med hög tillgänglighet ser till att trafiken passerar utan fördröjning även vid utrustningsfel. Det finns två mekanismer för att övervinna misslyckanden. I den tillståndslösa failover-mekanismen, om huvud-ME misslyckas, återställs alla kommunikationssessioner. Och när backup ME tar över måste anslutningarna för alla sessioner återupprättas. I den stateful failover-mekanismen utbyter båda ME:erna information om tillståndet för sessioner över en dedikerad linje, och om en ME misslyckas, "plockar den andra, som de säger, upp stafettpinnen" och fortsätter att arbeta utan att bryta sessionerna. I detta fall tar standby-FW över alla identifieringsegenskaper för huvud-FW, inklusive IP- och MAC-adresser (Media Access Control), och fortsätter trafikbearbetningen. Efter att backup ME har tagit över funktionerna för den huvudsakliga, fortsätter den som regel att arbeta i denna egenskap tills nästa fel.

Användningen av den tillståndslösa failover-mekanismen är vanligtvis att föredra, och sådana ME:er är inte dyrare än enheter med den tillståndslösa failover-mekanismen. Nackdelen med stateful failover är att du måste betala två gånger för en brandväggslösning, eftersom i verkligheten använder du bara 50 % av all dess processorkraft. Att övervinna misslyckanden tar dock bara några millisekunder för sådana ME, och trafikflödet avbryts praktiskt taget inte.

Feltolerans kan uppnås olika sätt, beroende på typen av nätverksenhet. Routrar använder routningsprotokoll som RIP och OSPF för att om möjligt omdirigera trafik runt felpunkten, men det är osannolikt att du hittar en brandvägg som tillåter en extern enhet att "diktera" routinginformation till den.

Du kan också använda externa lastbalanserare för att skapa ME-konfigurationer med acceptabel feltolerans. Denna konfiguration inkluderar vanligtvis två lastdelare och två ME:er. Om en av ME misslyckas, omdirigerar lastbalanseraren trafik till den återstående ME. I den här varianten utbyter MEs vanligtvis inte sessionsinformation, men samtidigt är de båda i fungerande skick tills felet inträffar.

Felet på ME-enheten är naturligtvis bara ett av möjliga orsaker fel. Misslyckandet med hanteringsservern kommer inte att få mindre katastrofala konsekvenser för driften av nätverket. Om din hanteringsserver misslyckas HDD eller CPU-fläkten brinner ut, kommer du inte att kunna styra ME eller få loggfiler förrän du åtgärdat problemet. Om du har ett litet nätverk med minimal trafik, då kan du förmodligen klara en sådan krasch. Men om du arbetar i en stor organisation och hanterar många ME kan förlusten av en kontrollstation vara ett allvarligt problem.

Check Point, Lucent Technologies och flera andra leverantörer erbjuder failover-kontrollstationer. När brandväggsreglerna ändras skickar en sådan kontrollstation information om ändringarna till ME och till extra kontrollstationer.

ME klass SOHO och desktop

Installation och underhåll av en fjärrbrandvägg eller skrivbordsbrandvägg är avgörande för företagets nätverkssäkerhet. Många leverantörer erbjuder SOHO (Small/Home Office) MEs som stöder upp till 10 noder. SOHO-klass MEs är ofta billigare (cirka 500 $) än sina mer kraftfulla motsvarigheter, men har fortfarande de flesta, om inte alla, funktionalitet det senare, medan hantering och övervakning av sådana ME kan göras med hjälp av en central kontrollstation.

SOHO-klass brandväggar ger också bättre säkerhet än NAT/NAPT-routrar, eftersom de låter dig styra trafiken på ett fjärrnätverk. Till exempel, om du har en intranätapplikation igång, E-post och en samarbetsstödapplikation, då kan och bör du konfigurera fjärrbrandväggen med de mest restriktiva åtkomstreglerna som möjligt för att minimera risken för intrång från fjärrnätverket. Billiga NAT/NAPT-routrar ger inte denna möjlighet.

Alla skrivbordsbrandväggar ger fjärrsupport, och Check Points SecureClient tillhandahåller till och med konfigurerbara säkerhetspolicyregeluppsättningar. Till exempel, i ett fall kan din företagsmiljö ha distribuerat en virtuell privata nätverk, i en annan kan dina slutanvändare tillåtas att "surfa" på webben.

En liknande nivå av funktionalitet och säkerhet kan uppnås med hjälp av tredjeparts skrivbordsbrandväggar (som InfoExpresss CyberArmor eller Sygates Sygate Personal Firewall Pro, som stöder centraliserad hantering) och VPN-klienter från den centrala brandväggsleverantören, men konflikter kan uppstå mellan dessa applikationer. Såvida inte din centrala DOE-leverantör intygar att en given desktop-DOE från tredje part stöds av dem, skulle du vara bättre att hålla fast vid en enda leverantörsproduktlinje.

Du hittar mer detaljerad information om brandväggar i vår senaste recension (Nätverk och kommunikationssystem. NN.2,3 2002).