ОБЗОР

Обзор Аппаратный брандмауэр и сервер ВЧС работают незаметно для пользователей

Кен Филлипс (PC Week Labs)    

Фирма NetScreen Technologies приступила к выпуску нового аппаратно-программного комплекса NetScreen-5 с ПО Global Manager, который поможет администраторам наладить защиту и централизованное управление IP-сетями. Комплекс работает совершенно незаметно для конечных пользователей - ну разве что они обратят внимание еще на один блок размером с модем рядом с маршрутизатором. Но зато администратор видит на своем экране сведенные воедино изображения десятков узлов с подробным описанием конфигурационных настроек каждого из них.

Тестирование новинки, проведенное в PC Week Labs, показало, что она вполне подходит для крупных организаций с небольшими - до 10 пользователей - удаленными филиалами, а также для поставщиков услуг, имеющих дело с множеством мелких клиентов. Правда, малые компании, где нет специализированных подразделений информационных технологий, могут столкнуться с трудностями при конфигурировании этого комплекса. Аппаратная часть NetScreen-5 содержит брандмауэр, защищающий сеть, и сервер ВЧС (виртуальной частной сети), обеспечивающий шифрование связи, управление пропускной способностью сети и интеграцию с ПО фильтрации URL. Для системы ценой $1495 такой набор выглядит весьма солидно.

И все же главное, что привлекает в новом продукте, - это возможности централизованного управления с программной консоли Global Manager. Лицензия на 10 устройств стоит $4995, на 25 устройств - $9995, а за управление сотней сетевых элементов придется заплатить $14 995. До тех пор, пока персональный компьютер работает через стандартный шлюз, пользователю достаточно просто подключить ПК к сети, все остальное происходит автоматически. Однако, как ни удобно удаленное администрирование с помощью NetScreen-5, оно, как показало тестирование, не слишком надежно: иногда система зависала и нам приходилось перезагружать ее. К счастью, перезапуск можно выполнять дистанционно в ходе сеанса Telnet.

Аппаратная часть комплекта способна обслуживать ограниченное число местных пользователей: NetScreen-5 имеет гнезда для подключения только десяти служащих филиала. Правда, устройство поддерживает и десять туннелей ВЧС, по каждому из которых может подключаться сколько угодно удаленных пользователей. В общей сложности оно обеспечивает проведение до тысячи одновременных сеансов. Этого может оказаться недостаточно для крупных филиалов, поэтому мы рекомендуем им обратить внимание на модели NetScreen-10 и NetScreen-100, поддерживающие 4 и 64 тыс. таких сеансов соответственно.

Выпуск NetScreen-5 и Global Manager начался в сентябре. Их технической поддержкой занимаются только реселлеры, добавляющие ресурсы, хотя при желании покупатель может заручиться и гарантией самой NetScreen Technologies - это обойдется ему в $295 ежегодно.

С NetScreen-5 соперничают системы самого разного масштаба. Среди них, в частности, можно назвать WatchGuard LiveSecurity System фирмы WatchGuard Technologies ценой $4990 и аппаратную систему Интернет-безопасности S9500 фирмы Netopia стоимостью $3695. Эти продукты разработаны для более крупных офисов и предлагают более широкий набор функций.

На другом конце спектра находится недорогая система SonicWall/10 фирмы SonicWall. Она обеспечивает не столь надежную защиту (здесь используется стандарт DES), обладает ограниченными возможностями централизованного управления и лишена функций управления трафиком. Стоит эта система соответственно: $495 за базовый компонент плюс столько же за дополнительный модуль ВЧС, который позволяет наладить связь только между двумя филиалами.

Не для домашнего использования

NetScreen-5 предлагает множество современных функций, однако конфигурирование системы далеко не столь интуитивно, как хотелось бы. К тому же здесь имеется несколько мелких недоработок, еще более затрудняющих процесс настройки. Все это не позволяет рекомендовать новинку администраторам с небольшим опытом работы в области сетевых систем и средств защиты. Лучше всего развертывать систему с помощью программного диспетчера Global Manager, который дает возможность передать настройку в руки удаленных экспертов, хорошо разбирающихся в сетевых структурах.

Global Manager предоставляет подробную информацию о любом удаленном устройстве NetScreen

Global Manager обеспечивает мониторинг до тысячи удаленных устройств NetScreen, представляя их в виде иерархического дерева на едином экране центрального офиса. Это ПО позволило нам не только конфигурировать параметры устройств, пользователей и политики, но даже просматривать различные диаграммы сетевого трафика.

В целях безопасности все сообщения, поступающие в Global Manager и исходящие из него, могут шифроваться с использованием ВЧС-туннеля NetScreen. Предусмотрены меры и по повышению отказоустойчивости системы: резервное копирование системы производится централизованно.

Правила работы брандмауэра NetScreen-5 очень похожи на те, что используются в конкурирующих продуктах. Правда, отключить политику в новинке просто невозможно, даже если это нужно для отладки системы. В таких случаях единственный выход - полностью стереть все правила. Для каждого набора правил мы указали планы проведения различных операций, задали приоритеты распределения полосы пропускания и установили пороговые значения генерации сигналов тревоги, передаваемых по электронной почте. Все вносимые изменения вводились в действие сразу же - перезагружать устройство, а значит, и разрывать установленные подключения для этого не приходилось. NetScreen-5 позволяет либо гарантировать выделение требуемой пропускной способности, либо управлять полосой пропускания на основе заданных весовых коэффициентов или уровней приоритетности. К сожалению, мы отметили несколько случаев, когда реальная полоса пропускания превышала установленную. Об этой ошибке мы известили фирму NetScreen Tecnologies, специалисты которой сейчас работают над решением проблемы.

Нам очень понравился встроенный в NetScreen-5 сервер DHCP (Dynamic Host Configuration Protocol - протокол динамического конфигурирования узла); его базовые функции распределения IP-адресов существенно помогают при настройке обслуживаемых ПК.

В NetScreen-5 предусмотрено два способа аутентификации пользователей. Во-первых, с этой целью можно воспользоваться собственной базой данных о пользователях, однако ее приходится создавать вручную, так как импорт информации из Windows NT Service Access Manager не поддерживается. Второй способ - обратиться к услугам сервера RADIUS (Remote Authentication Dial-In User Service - служба дистанционной аутентификации пользователей по коммутируемым линиям). Мы обратили внимание, что в процессе аутентификации регистрационные данные пользователя передаются, а затем и сохраняются в открытом виде. Представители фирмы заверили нас, что в начале следующего года будет обеспечено шифрование всей информации.

Мы проверили настройку NetScreen в двух режимах: с трансляцией сетевых адресов (чтобы скрыть внутренние IP-адреса своих компьютеров от внешнего мира) и в прозрачном решении.

Функция ВЧС поддерживает протокол IP Security, однако пока она бесполезна, так как для NetScreen нет сертифицированного клиента. В ближайшее время, однако, положение может измениться. NetScreen Technology совместно с фирмой IRE (она выступает в роли поставщика комплексного оборудования) уже завершает разработку такого компонента, и скоро его можно будет приобрести за $95 (планируется также выпуск групповых лицензий на 10 клиентов ценой $695). Впрочем, мы сумели обезопасить свое подключение и без помощи IPSec - для этого оказалось достаточно создать туннель ВЧС между двумя устройствами NetScreen-5. Функция организации ВЧС этого комплекса поддерживает инфраструктуру обмена ключами Internet Key Exchange, а также допускает управление ключами вручную.

Фильтрация URL в продукте не предусмотрена, но NetScreen-5 нетрудно объединить со службой WebSense OpenServer фирмы WebSense, тариф на которую составляет $250 в год. Как только мы установили клиент WebSense, у нас появилась возможность блокировать различные категории URL.

В NetScreen-5 есть ряд счетчиков для контроля трафика, соответствующего различным правилам. С их помощью можно выделять трафик конкретных пользователей, а затем строить диаграммы его изменения во времени. Система NetScreen Technologies позволяет выводить журнальные файлы на печать, однако функциональность генератора отчетов нас не совсем устроила. К тому же мы, сколько ни пытались, так и не смогли загрузить журнальный файл одного из узлов.

В состав NetScreen-5 входит агент SMTP, благодаря чему работу системы можно контролировать с помощью любого диспетчера SMTP. Этот агент поддерживает все группы MIB-II (Management Information Base - база управляющей информации), кроме Exterior Gateway Protocol.

В январе NetScreen Technologies намерена разместить на своем узле версию 2.0 своего встроенного ПО, в которую будет включена безопасная оболочка для Telnet, столь необходимая поставщикам услуг.

Обзор PC Week Labs от 13 сентября, посвященный FireBox II и WatchGuard LiveSecurity System 4.0 фирмы WatchGuard Technologies, опубликован по адресу: www.zdnet.com/products/stories/ reviews/0,4161,2330511,00.html.

С внештатным редактором Кеном Филлипсом можно связаться по адресу: kenp@wtp.net.

    

Резюме для руководителей

NetScreen-5 и NetScreen Global Manager

Эти недорогие средства обеспечения безопасности удаленных офисов должны понравиться поставщикам услуг и организациям со множеством небольших удаленных филиалов.

NetScreen предназначен для узлов, где работает не более 10 пользователей, однако по уровню защиты вполне сопоставим с подобными продуктами для более крупных филиалов. Еще привлекательнее делает его программный диспетчер Global Manager, позволяющий дистанционно выполнять все функции управления системой.

Краткосрочные прогнозы. Представленная пара продуктов упрощает защиту удаленных филиалов от атак из Интернета и при этом стоит намного дешевле других подобных систем. Используя их комбинацию, поставщики услуг смогут быстро подключать множество клиентов и обеспечивать при этом оговоренное в контракте качество обслуживания.

Долгосрочные прогнозы. Для нормального ведения деловых операций очень важно обеспечить безопасное подключение к Интернету, и в этом может помочь NetScreen-5. Кроме того, этот продукт позволяет отказаться от арендованных каналов, организовав с помощью программных средств ВЧС безопасный удаленный доступ через обычные линии связи, что дает значительную финансовую экономию.

( + ) Брандмауэр, блокирующий несколько типов сетевых атак и несанкционированные подключения; возможность преобразования сетевых адресов; наличие сервера ВЧС с поддержкой протокола IPSec; интеграция со службой WebSense, блокирующей доступ к заданным URL; способность распределять полосу пропускания между пользователями; возможность аутентификации пользователей с помощью службы RADIUS и частной базы данных о пользователях.

( - ) Web-сервер администрирования имеет тенденцию к зависанию; аутентификация производится без шифрования, а пароль хранится в виде открытого текста; не поддерживается аутентификация Windows NT; ненадежная загрузка журнальных файлов с удаленных узлов; недостаточная функциональность генератора отчетов; случаи выделения полосы пропускания, превышающей допустимые пределы; процесс конфигурирования слишком сложен для новичков.

Фирма NetScreen Technologies, Санта-Клара, шт. Калифорния, (800) 638-8296, www.netscreen.com.

Методика оценки: www.pcweek.com/reviews/meth.html.

Версия для печати