Kerio'dan kurumsal güvenlik duvarları. Güvenlik duvarları veya kurumsal ağlarda kullanılan güvenlik duvarları
İnternet ağ geçidi, herhangi bir şirketin bilgi sisteminin çok önemli bir unsurudur. Bugün ülkemizdeki birçok popüler proxy sunucusuna bakacağız, yeteneklerini değerlendireceğiz ve olumlu ve olumsuz yönlerini belirleyeceğiz. olumsuz taraflar Bu lisanslı yazılım.
İnternet ağ geçidi, herhangi bir şirketin bilgi sisteminin çok önemli bir unsurudur. Bir yandan tüm çalışanları için internette kolektif çalışmayı sağlar, bu nedenle organize edildiği proxy sunucusunun çok işlevli, kullanımı kolay olması ve kullanım için esnek politikalar oluşturma yeteneği sağlaması gerekir. küresel ağ. Öte yandan, kurumsal bilgi sisteminin dış sınırlarını “koruyan” İnternet ağ geçididir ve yerel ağı İnternet üzerinden etkilemeye yönelik tüm girişimleri karşılaması ve püskürtmesi gereken ağ geçididir. Bu nedenle proxy sunucusunun, bunlara karşı gerekli tüm koruma mekanizmalarını uygulaması gerekir. çeşitli türler tehditler.
Bugün ülkemizdeki birçok popüler proxy sunucusuna bakacağız, yeteneklerini değerlendireceğiz, olumlu ve olumsuz yönlerini belirleyeceğiz.
Kerio Kontrolü
Kurumsal güvenlik duvarları (güvenlik duvarları), yerel kurumsal ağa giren ve çıkan trafiği kontrol eder ve tamamen yazılım veya donanım-yazılım kompleksleri olabilir. Güvenlik duvarından geçen her veri paketi, güvenlik duvarı tarafından analiz edilir (örneğin, kaynağı veya diğer paket iletim kurallarına uygunluğu açısından), ardından paketin geçmesine izin verilir veya verilmez. Tipik olarak, güvenlik duvarları bir paket filtresi veya bir proxy sunucusu olarak görev yapabilir; ikinci durumda güvenlik duvarı, isteklerin yürütülmesinde aracı görevi görür, bir kaynağa kendi isteğini başlatır ve böylece yerel ve harici ağlar arasında doğrudan iletişimi engeller.
Alan içerisinde bilgisayar ağları Güvenlik duvarı, "sanal" bir yangına karşı koruma sağlayan bir bariyerdir; saldırganların bilgileri kopyalamak, değiştirmek veya silmek veya ağ üzerinde çalışan bilgisayarların bant genişliğinden, belleğinden veya işlem gücünden yararlanmak için ağı istila etme girişimleri.
İki ağın - İnternet ve LAN - sınırına bir güvenlik duvarı kuruludur, bu yüzden buna güvenlik duvarı da denir. Gelen ve giden tüm verileri filtreleyerek yalnızca yetkili paketlerin geçmesine izin verir. Daha hızlı, güvenlik duvarı güvenliğe bir yaklaşımdır; izin verilen hizmetleri ve bunlara erişim türlerini tanımlayan güvenlik politikalarının ve statik parolalar yerine güçlü kimlik doğrulama gibi diğer güvenlik önlemlerinin uygulanmasına yardımcı olur. Güvenlik duvarı sisteminin temel amacı, korunan ağa erişimi kontrol etmektir. Tüm ağ bağlantılarının analiz edilip izin verilebilecek veya reddedilebilecekleri güvenlik duvarından geçmesini zorlayarak ağ erişim politikasını uygular.
Paket filtreleme, en eski ve en yaygın ağ erişim kontrol araçlarından biridir. İstisnasız tüm güvenlik duvarları trafiği filtreleyebilir. Fikir: Belirli bir paketin ağa girmesine veya ayrılmasına izin verilip verilmeyeceğini belirleyin.
Oturum katmanı ağ geçidi, talep edilen iletişim oturumunun geçerli olup olmadığını belirleyerek, yetkili istemci ile harici ana bilgisayar (veya tersi) arasındaki anlaşmayı izler. Belirli ağ hizmetleri tarafından oluşturulan paketleri içeriklerine göre filtrelemek için bir uygulama katmanı ağ geçidi gereklidir.
Maalesef, Güvenlik duvarları İnternet kanallarının kullanımıyla ilgili tüm güvenlik sorunlarını çözemez. Aynı zamanda, bilgilerin internet kanallarından geçerken dinlenmeye karşı korunması gibi bazı sorunlar da eklenerek çözülebilir. yazılım güvenlik duvarlarının veri şifreleme yetenekleri (bir dizi yazılım güvenlik duvarı, tüm verileri şifrelemenize olanak tanıyan istemci kısmı adı verilen kısmı içerir) ağ trafiği istemci ve sunucu arasında).
Ancak gelişme olarak bilgi sistemiİnternet kullanımının giderek yaygınlaşması doğrultusunda, güvenlik duvarlarıyla birlikte kullanıma bağlanmadan oluşturulan teknolojiler önemli rol oynamaya başlıyor. Bu, CRM sistemleri de dahil olmak üzere İnternet portallarının kullanımını ifade eder. Statik port konfigürasyonu ile güvenlik duvarlarının aşılmaz zorluklarından biri de KMI (uzaktan yöntem çağırma - site) kullanımıdır. modern sistemler geniş bir alana yönelmiş Java'yı kullanma, her özel istek için hangi ağ bağlantı noktasının ve kaç tane ağ bağlantı noktasının açılması gerekeceği önceden bilinmediğinde.
Çözümlerden biri benzer sorun donanım kullanılarak sanal bir özel ağın oluşturulması olabilir veya yazılım. Bu durumda, tüm ağ alışverişi, tüm ağ bağlantı noktaları VPN'de (sanal özel ağ) düzenlenen bilgisayarlar arasında açık kanallar üzerinden şifrelenmiş biçimde gerçekleştirilir, böylece benzerlik oluşturulur yerel ağİnternetin/İntranetin “içinde”. Bir VPN ile çalışmak için kullanılan yazılımda herhangi bir değişiklik yapmanıza gerek olmaması önemlidir - ağdaki her şey normal çalışma gibi görünür. Ancak çoğu durumda VPN'in güvenlik duvarının yerini almadığını dikkate almalıyız. Kurumsal Web sunucusuna erişen her bilgisayara VPN istemcisi kurmak imkansızdır. Mümkün olduğunca güvenlik duvarlarını ve VPN'leri bir arada kullanmak en uygunu gibi görünüyor.Örneğin, eTrust Güvenlik Duvarı, VPN'yi tamamlayacak şekilde yapılandırılabilir; eTrust Güvenlik Duvarı'nın yardımıyla, VPN'de düzenlenen bilgisayarlarla şifreli alışveriş gerçekleştirdiği açık bağlantı noktaları listesine bir tane daha eklenir ve bağlantı noktası herkes için değil belirli bir bilgisayar grubu için açılabilir.
Güvenlik duvarı sektörü, özellikle VPN dahil olmak üzere çeşitli bölümler içerir. VPN pazarı çok çeşitlidir; neredeyse ürün sayısı kadar üretici vardır. VPN pazarındaki farklı araştırma şirketlerinin görüşleri, %60'ı aşan paya sahip farklı liderleri öne çıkarıyor - Cisco Systems ve Check Point. Ne tuhaf ki herkes haklı. Cisco'nun payı kendi ürünlerinden geliyor; bu pay Cisco'nun sektör çapındaki liderliğinden geliyor. Check Point'in liderliği, çeşitli şirketlerin ürünlerinde çalışan açık teknolojiyle sağlanmaktadır.
Küçük Rus yazılım geliştiricilerinin cephaneliklerinde ucuz ve zaman içinde test edilmiş programlara sahip oldukları ve bunların çoğunun dünyanın birçok gelişmiş ülkesinde tanındığı özellikle belirtilmelidir.
Güvenlik duvarı(aynı zamanda güvenlik duvarı veya güvenlik duvarı olarak da adlandırılır), kurumsal bir ağı çeşitli tehditlerden korumanın en önemli yoludur. Son yıllarda güvenlik duvarı, özel bir filtreleme aracından önemli ölçüde gelişmiştir. ağ paketleri evrensel bir savunma sistemi haline geldi.
Başlangıçta (ve bu çözümler 25 yılı aşkın süredir kullanılmaktadır), ağ bölümleri arasındaki trafiği ayırt etmek için ağ paketlerini belirli kurallara göre filtreleme işlevlerini yerine getiren bir sistem adını verdiler. Bu tam olarak RFC3511 standardında verilen tanımdır.
Davetsiz misafirlerin yerel kurumsal ağa sızmasını önlemek için bu tür sistemleri kullanma ihtiyacı ortaya çıktı. Güvenlik duvarının prensibi LAN ve WAN ağları arasında değiş tokuş edilen trafiğin kontrol edilmesine dayanmaktadır. Aşağıdaki trafik kontrol yöntemleri kullanılır:
- Paket filtreleme. Bu yöntem bir dizi filtreye dayanmaktadır. Veri paketi filtrelerde belirtilen koşulları sağlıyorsa ağa aktarılır, değilse ağa aktarılır.— engellendi. Güvenlik duvarı aşağıdaki ana filtre türlerini uygular: IP adresine göre, alan adı, yazılım bağlantı noktasına göre, protokol türüne göre. İçinde gerçekleştirilen görevlere bağlı olarak filtreler için başka seçenekler de uygulanabilir.
- Durum denetimi . Bu, ilk olarak Check Point tarafından tanıtılan ve patenti alınan, gelen trafiği kontrol etmenin daha gelişmiş bir yöntemidir. Bu teknoloji ağ trafiğini izlemenize olanak tanır ve önceden depolanmış bir durum tablosunu kullanan esnek bir veri akışı kontrol mekanizması içerir. Bu yaklaşım paketin tamamını analiz etmez, ancak bazı kontrol satırlarını izin verilen kaynaklar veritabanından önceden bilinen değerlerle karşılaştırır. Benzer yöntemçok daha yüksek güvenlik duvarı performansı sağlar.
Modern güvenlik duvarlarının ana görevi, iç ve dış olarak bölünmüş, yetkisiz ağ iletişimlerini (bundan sonra saldırı olarak anılacaktır) engellemektir. Bunlar arasında, korunan bir sisteme yönelik hem bilgisayar korsanları hem de bilgisayar korsanları tarafından gerçekleştirilen harici saldırılar yer almaktadır. zararlı kod. Ayrıca izinsiz çıkışları da yasaklıyor. ağ bağlantıları Kötü amaçlı kod veya uygulamalar tarafından başlatılan, ağ etkinliği kurallarca yasak olan bir şey.
Şu anda piyasada mevcut ve yazılım güvenlik duvarları. Korumak için bir yazılım güvenlik duvarı kullanılabilir kişisel bilgisayar ve büyük kurumsal ağlar. Bu durumda, bir PC'de veya örneğin bir yönlendirici gibi bir uç ağ cihazında çalışan bir program biçiminde uygulanır. Ancak donanım cihazı yalnızca kurumsal segmentte kullanılıyor. Donanım uygulaması durumunda güvenlik duvarı, yüksek performansa ve gelişmiş işlevselliğe sahip ayrı bir ağ öğesidir. Ayrıca son zamanlarda genellikle yazılım tanımlı ağlarda kullanılan sanal güvenlik duvarları da ortaya çıktı.
Yeni zorluklar
Siber tehditlerin karmaşıklığı ve hacker saldırıları Güvenlik duvarı işlevselliği yeni araçlarla genişletildi. Günümüzde güvenlik duvarı, kurumsal ağı korumak için çok çeşitli işlevler içermektedir. Bu nedenle, tam teşekküllü herhangi bir güvenlik duvarı bir HIPS modülü (davranış analizine dayalı proaktif bir koruma aracı) içermeli ve spam, virüsler, karışık tehditler, casus yazılımlar, kimlik avı ve ağ saldırılarına karşı koruma sağlamalıdır. Ayrıca güvenlik duvarları veri sızıntısına karşı koruma araçları içerebilir, Bulut hizmeti sanal alanlar, güvenlik açığı taraması ve web filtreleme.
Yani artık klasik güvenlik duvarı olarak sınıflandırılabilecek ürünler neredeyse piyasadan silinmiş durumda. Bunların yerini kapsamlı koruma ürünleri aldı.
Pazar İncelemesi
Modern güvenlik duvarlarının ana üreticileri arasında şu şirketlere dikkat çekmeye değer:, Fortinet ve .
Özel şirket Barracuda Networks 2002 yılında Cupertino'da (Kaliforniya, ABD) ve spam ile mücadeleye yönelik bir donanım ve yazılım çözümü olan ilk ürünü 2003 yılında piyasaya sürüldü. Yeni nesil güvenlik duvarı Barracuda NG Güvenlik Duvarı, yönetim gibi acil sorunları çözmenize olanak tanır. uzak kullanıcılar, Web uygulamaları 2.0, kurumsal ağlardaki BYOD cihazları. Diğer birçok sistemden farklı olarak Barracuda NG Güvenlik Duvarı, uyarı, trafik kontrolü ve Bant genişliği ağ performansını ve güvenilirliğini optimize eder. Tüm Barracuda Networks ürünlerinin Rusça arayüze sahip olması önemlidir; bunları yönetmek teknik uzmanlar için zor değildir ve ek yerinde eğitim gerektirmez.
Kontrol Noktası öncelikle serbest bırakıldığında yazılım sistemleri, aynı zamanda bir dizi donanım aygıtına da sahip olmasına rağmen. Bu satıcının yazılım çözümleri blade adı verilen birçok eklenti modülünden oluşur. Check Point Güvenlik Duvarı Yazılımı Blade'i— Bu, neredeyse tüm Fortune 100 şirketlerinin kendilerini korumak için kullandığı popüler bir güvenlik duvarıdır. Blade Güvenlik Duvarı, erişim kontrolü, uygulama koruması, kimlik doğrulama ve yayınlama özellikleriyle en yüksek düzeyde koruma sağlar. ağ adresleri. Firewall, en yüksek verimlilikle kesintisiz, uzaktan güvenlik yönetimi sağlamak için diğer Güvenlik Yönetimi Yazılım Blade'lerinden yararlanır.
Merkezi San Jose, Kaliforniya, ABD'de bulunan SonicWALL, 1991 yılında kurulmuş olup, güvenlik duvarı ve UTM çözümleriyle tanınmaktadır. Satıcının 130 patenti var ve bilgisayar güvenliği çözümleri 50 ülkede yaklaşık 300 bin müşteri tarafından kullanılıyor. SonicWALL ürünleri zengin özelliklere sahiptir, ancak kullanımı kolaydır ve hızlı bir yatırım getirisi sağlar. Mart 2012'de SonicWALL, Dell tarafından satın alındı.
1996 yılında kuruldu birleşik tehdit yönetimi (UTM) için sistemlerin piyasaya sürülmesinde uzmanlaşmıştır. Şirket güvenilir, kullanımı kolay bilgisayar ağı güvenlik cihazları sağlar. WatchGuard ürün grubu, yeni nesil UTM ürünleri olan XTM serisi donanım ve yazılım sistemlerini, kazara veya kasıtlı veri sızıntılarını önlemeye yardımcı olan e-posta ve web servislerini korumaya yönelik XCS sistemlerini içerir. Ayrıca satıcı, sağlamak için çözümler üretir. uzaktan erişim WatchGuard SSL VPN'in yanı sıra WatchGuard XTM kompleksleri tarafından yönetilen güvenli kablosuz erişim noktaları. Tüm ürünler LiveSecurity ile birlikte gelir— gelişmiş kullanıcı destek programı.
Büyük bir kuruluşun ağını davetsiz misafirlerin saldırılarına karşı korumanın ayrılmaz bir unsuru kurumsal bir güvenlik duvarıdır. Satın almaya karar vermeden önce dikkate alınması gereken soruları dikkatinize sunuyoruz.
Düzinelerce şirket, herhangi bir ortam için güvenlik duvarı (FW) satmaktadır: masaüstü sınıfı FW (masaüstü sistemler için) ve FW'den SOHO sınıfı(küçük/ev ofisi için) telekomünikasyon servis sağlayıcıları için tasarlanmış güvenlik duvarlarına (taşıyıcı sınıf) kadar seçim bazen çok büyüktür. Bu nedenle, ağ güvenliği ihtiyaçlarını derinlemesine anlamadan ME'yi satın almak için doğru kararı vermek imkansızdır.
Böyle bir satın alma yapmadan önce öncelikle kuruluşunuzda etkili bir güvenlik politikası geliştirmeye özen göstermelisiniz. Bu politika, kurumsal ortamınız için doğru ME türünü seçmenize yardımcı olacaktır. Daha sonra ağınıza belirli erişim seçeneklerinde bulunan tüm güvenlik açığı unsurlarını tanımlamanız gerekir. Örneğin, dinamik içeriği kurumsal bir veritabanından alınan genel bir Web sitesine sahipseniz, güvenlik duvarınız aracılığıyla genel ağdan doğrudan kurumsal veritabanına giden bir arka kapı yaratıyorsunuz demektir. Çoğu güvenlik duvarı sizi uygulama düzeyinde gerçekleştirilen saldırılardan koruyamayacak, bu nedenle “Web sunucusu - kurumsal veritabanı” zincirindeki her bağlantının güvenliğini sağlamanız ve güvenlik duvarını tek bir erişim noktası olarak düşünmeniz gerekiyor. Ve son olarak, kuruluşunuzdaki herkese temel güvenlik kurallarını aşılayın: masalarda yetkisiz modemler yok, uygulamalar yok uzaktan kumanda ve benzeri.
Güvenlik veya performans
Kurumsal güvenlik duvarı pazarı iki temel güvenlik duvarı mekanizması sunar: protokol durumu kontrolüyle paket filtreleme (Durum Bilgili Paket Filtresi - SPF) ve uygulama trafiğini filtrelemek için uygulama proxy modüllerinin kullanılması. Check Point Software Technologies'in FireWall-1 NG'si, Cisco'nun PIX'i ve NetScreen'in ürünleri gibi SPF cihazları, paketleri Katman 4'e kadar inceler ve bazı durumlarda daha da ileri gider, örneğin bazıları FTP trafiğini yönetebilir. Güvenlik duvarları SPF türleri, veri akışının minimum düzeyde işlenmesini gerçekleştirdikleri için daha yüksek performansa sahip olma eğilimindedir.
Network Associates Technology'nin Gauntlet'i, Secure Computing'in Sidewinder'ı ve Symantec'in Enterprise Firewall'u (eski adıyla Raptor, Axent'in bir ürünü) gibi uygulama proxy güvenlik duvarları, her veri paketini uygulama katmanına kadar inceleyerek trafiğin daha eksiksiz kontrolünü sağlar. dahili sunuculara aktarılır. Örneğin, bir HTTP proxy, komutları göndermeye izin vermeyecek, ancak arabellek taşması saldırılarını önlemek için URL'lerin uzunluğunu sınırlandıracak veya çalıştırılabilir ekleri ve diğer tehlikeli içerikleri kaldırmak gibi MIME türlerine kısıtlamalar uygulayacak şekilde yapılandırılabilir. Arabuluculuk tabanlı güvenlik duvarları, daha fazla veri işleme gerçekleştirdikleri için genellikle SPF tabanlı güvenlik duvarlarından daha yavaş çalışır.
İncelemelerimizde SPF ekranları, ara modüllere dayalı ME'lerden daha yüksek puanlar aldığında öfkeli okuyuculardan dağlar kadar mektup aldık. Genellikle aynı şeye gelirler: Güvenliği gerçekten sağlamanız gerekiyorsa tek seçeneğiniz bir uygulama proxy'sidir. Bize göre bu hem doğrudur hem de yanlıştır. Arabuluculuk modülleri elbette daha yüksek derecede güvenlik sağlar, ancak bunu performansın pahasına yaparlar. Testlerimiz sırasında, uygulama proxy'sini temel alan ME'ler, SPF cihazlarından ortalama %50 daha yavaş çalıştı. ME'niz T3 hattı veya daha yavaş bir geniş alan ağına bağlıysa ve on binlerce eşzamanlı oturumu desteklemeniz gerekmiyorsa ME uygulama proxy'si gerçekten sizin için en iyi seçimdir. Mevcut trafik seviyelerinizi ve öngörülen seviyelerini bilmeniz gerekir, böylece bu bilgiyi tedarikçinizle paylaşabilir ve böylece tedarikçiniz doğru ekipmanı seçmenize yardımcı olabilir. Elbette harici yük dengeleyicileri kullanarak ME'deki yükü her zaman dengeleyebilirsiniz.
Popüler bir Web sitesini destekliyorsanız ve trafik sıkışıklığı sizin için kabul edilemezse, bir SPF cihazı seçin. Bu tür güvenlik duvarları daha iyi ölçeklenir ve daha fazla sayıda bağlantıyı destekler, ancak protokoller için belirlenen kuralları karşılayan her türlü trafiğin geçişine izin verir, böylece yol arabellek taşmasına ve uygulama katmanı saldırılarına açıktır. SPF çözümlerinin sağladığı performansa ihtiyacınız varsa Web ve veritabanı sunucularınızın iyi korunduğundan ve en son yamalara sahip olduğundan emin olun.
Sanal özel ağların (VPN'ler) dağıtılması gibi yoğun CPU kullanan işlemleri çalıştırmanız gerekiyorsa performans sorunu daha da ciddi hale gelir. Şifreleme en fazlasını getirebilir güçlü işlemci bu da ME'nin performansını olumsuz etkiler. Piyasadaki hemen hemen tüm güvenlik duvarları VPN'yi destekler ve bazen sanal özel ağları düzenlemek için kullanımları haklı çıkar. Ancak eğer desteklerseniz Büyük sayı ağlar veya kapsamlı bir kullanıcı listesi varsa, VPN işlemlerine hizmet vermek için, şifreleme işlemlerinin performansını (kripto hızlandırıcıları) en üst düzeye çıkarmak için özel olarak tasarlanmış ekipmanı kullanmalısınız.
Check Point'in FireWall-1'i ve Cisco'nun PIX'i gibi genel amaçlı CPU'lar kullanan güvenlik duvarları, kripto hızlandırıcıları kullanırken bile orta düzey bant genişliği uygulamalarını destekleme gereksinimlerini karşılamıyor. NetScreen'inkiler gibi bazı güvenlik duvarları, donanımdaki işlemlerin çoğunu gerçekleştirir ve bu nedenle VPN işlemleri tarafından etkilenmez, ancak bu, sistem esnekliğinde bir miktar azalma pahasına gelir.
Yüksek kullanılabilirlik
Yüksek kullanılabilirlik faktörüne sahip ME'ler, ekipman arızası durumunda bile trafiğin gecikmeden geçişini sağlar. Başarısızlıkların üstesinden gelmek için iki mekanizma vardır. Durum bilgisi olmayan yük devretme mekanizmasında, ana ME arızalanırsa tüm iletişim oturumları sıfırlanır. Yedek ME görevi devraldığında tüm oturumların bağlantılarının yeniden kurulması gerekir. Durum bilgisi olan yük devretme mekanizmasında, her iki ME de özel bir hat üzerinden oturumların durumu hakkında bilgi alışverişinde bulunur ve bir ME başarısız olursa diğeri, dedikleri gibi, "bayrağı alır" ve oturumları bozmadan çalışmaya devam eder. Bu durumda yedek ME, IP ve MAC (Medya Erişim Kontrolü) adresleri de dahil olmak üzere ana ME'nin tüm tanımlama özelliklerini devralır ve trafiği işlemeye devam eder. Yedek ME, ana ME'nin işlevlerini devraldıktan sonra, kural olarak bir sonraki arızaya kadar bu kapasitede çalışmaya devam eder.
Durum bilgisi olan bir yük devretme mekanizmasının kullanılması kural olarak tercih edilir ve bu tür ME'ler durum bilgisi olmayan yük devretme mekanizmasına sahip cihazlardan daha pahalı değildir. Durum bilgisi olan yük devretmenin dezavantajı, güvenlik duvarı çözümü için iki kez ödeme yapmak zorunda olmanızdır, çünkü gerçekte toplam işlem gücünün yalnızca %50'sini kullanıyorsunuz. Ancak bu tür ME'ler için arızaların üstesinden gelmek yalnızca birkaç milisaniye alır ve trafik akışı neredeyse kesintisizdir.
Hata toleransı sağlanabilir Farklı yollar türüne bağlı olarak ağ cihazı. Yönlendiriciler, mümkünse trafiği arıza noktası etrafında yeniden yönlendirmek için RIP ve OSPF gibi yönlendirme protokollerini kullanır, ancak harici bir aygıtın kendisine yönlendirme bilgilerini "dikte etmesine" izin veren bir güvenlik duvarı bulmanız pek mümkün değildir.
Kabul edilebilir hata toleransına sahip ME yapılandırmaları oluşturmak için harici yük dengeleyicileri de kullanabilirsiniz. Bu yapılandırma genellikle iki yük dengeleyici ve iki ME içerir. Güvenlik duvarlarından biri arızalanırsa yük dengeleyici trafiği kalan güvenlik duvarına yönlendirir. Bu seçenekte ME'ler genellikle oturum bilgisi alışverişinde bulunmaz ancak her ikisi de arıza anına kadar çalışır durumdadır.
Elbette ME cihazı arızası, Olası nedenler arıza. Yönetim sunucusundaki bir arızanın, ağın çalışması için daha az yıkıcı sonuçları olmayacaktır. Yönetim sunucunuz başarısız olursa Sabit disk veya CPU fanı yanarsa, sorun çözülene kadar ME'yi kontrol edemez veya günlük dosyalarını alamazsınız. Minimum trafiğe sahip küçük bir ağınız varsa, muhtemelen bu çökmenin üstesinden gelebilirsiniz. Ancak büyük bir kuruluşta çalışıyorsanız ve çok sayıda ME'yi yönetiyorsanız, kontrol istasyonunu kaybetmek ciddi bir sorun olabilir.
Check Point, Lucent Technologies ve diğer bazı satıcılar hataya dayanıklı kontrol istasyonları sunmaktadır. Güvenlik duvarı kuralları değiştiğinde, böyle bir kontrol istasyonu değişikliklerle ilgili bilgileri ME'ye ve yardımcı kontrol istasyonlarına iletir.
ME sınıfı SOHO ve masaüstü
Uzak güvenlik duvarlarının veya masaüstü güvenlik duvarlarının kurulması ve bakımı kurumsal ağ güvenliği açısından hayati öneme sahiptir. Birçok satıcı, 10'a kadar düğümü destekleyen SOHO (Küçük/Ev Ofis) sınıfı ME'ler sunar. SOHO sınıfı ME'ler genellikle daha güçlü muadillerine göre daha ucuzdur (yaklaşık 500 $), ancak hepsi olmasa da çoğuna sahiptir. işlevsellik ikincisi, bu tür ME'leri yönetirken ve izlerken, merkezi bir kontrol istasyonu kullanılarak yapılabilir.
SOHO sınıfı güvenlik duvarları ayrıca uzak ağ trafiğinin izlenmesine izin verdiği için NAT/NAPT yönlendiricilerinden daha iyi güvenlik sağlar. Örneğin bir intranet uygulaması çalıştırıyorsanız, E-posta ve işbirliği destek uygulamasıyla, uzak ağdan izinsiz giriş olasılığını en aza indirmek için uzak güvenlik duvarını mümkün olan en katı erişim kurallarıyla yapılandırabilirsiniz ve yapmalısınız. Ucuz NAT/NAPT yönlendiricileri bu tür yetenekleri sağlamaz.
Tüm masaüstü güvenlik duvarları uzaktan destek sağlar ve Check Point'in SecureClient'i yapılandırılabilir güvenlik politikası kuralları setleri bile sağlar. Örneğin, bir durumda kurumsal ortamınızda sanal bir ortam bulunabilir. özel ağ diğerinde ise son kullanıcılarınızın Web'de "gezinmesine" izin verilebilir.
Benzer düzeyde bir işlevsellik ve güvenlik, üçüncü taraf bir masaüstü güvenlik duvarı (merkezi yönetimi destekleyen InfoExpress'in CyberArmor'u veya Sygate'in Sygate Personal Firewall Pro'su gibi) ve merkezi güvenlik duvarı satıcısının VPN istemcileri kullanılarak elde edilebilir, ancak bu uygulamalar arasında çakışmalar ortaya çıkabilir . Merkezi güvenlik duvarı tedarikçiniz, belirli bir üçüncü taraf masaüstü güvenlik duvarının onlar tarafından desteklendiğini onaylamadığı sürece, tek bir satıcı ürün serisine bağlı kalmanız daha iyi olur.
Daha detaylı bilgi Son incelememizde güvenlik duvarları hakkında bilgi bulacaksınız (Ağlar ve iletişim sistemleri. NN.2,3 2002).