Новый брандмауэр 3Com защищает от атак, создает линию обороны сети, уничтожает рекламу и порно

Пограничная область между корпоративной локальной сетью и Интернетом требует пристального внимания системного администратора.

В этой области работает ряд сетевых служб, доступных как из глобальной, так и из локальной сети: почтовая служба, сервер Интернета, сервер новостей NNTP.

В простейшем варианте здесь может быть установлен сервер удаленного доступа, объединенный с почтовыми службами POP3 и SMTP и работающий на компьютере под управлением FreeBSD или Linux. Обычно к одному интерфейсу такого сервера подключен модем, связанный по коммутируемой или выделенной линии с узлом доступа Интернет-провайдера, другой интерфейс (как правило, Ethernet) обращен в локальную сеть.

Internet Firewall 25

Если не предусмотреть вариант взлома почтового сервера, то ресурсы сети могут оказаться открытыми для хакера. Поскольку вероятность взлома не бывает нулевой (возможны перехват или подбор пароля, ошибки в настройках TCP-портов, общеизвестные слабые места условно-бесплатного ПО), необходим дополнительный рубеж обороны. Для небольших компаний, у которых нет средств для установки дорогих маршрутизаторов и сложных брандмауэров, недавно появился экономичный и простой путь. Несколько месяцев назад корпорация 3Com выпустила серию межсетевых экранов Internet Firewall, включая модель 25 - небольшое, несложное в использовании и установке устройство из семейства Office Connect на базе 33 МГц процессора MC68360. Оно имеет два интерфейса Ethernet 10BaseT, 4 Мб ОЗУ и 2 Мб флэш-памяти, обеспечивающей возможность обновления ПО.

С помощью Internet Firewall 25 сеть сегментируется на две зоны: одна относится к глобальной сети (WAN), другая - к локальной (LAN). Брандмауэр обеспечивает доступ с рабочих станций локальной сети к Web-сервисам и почтовой службе, размещенной на серверах в зоне WAN. Однако проникнуть через барьер в противоположном направлении практически невозможно: Internet Firewall контролирует исходящие и входящие сессии, учитывает состояние каждой TCP-сессии и не пропустит в локальную сеть никого.

Настройка Internet Firewall предельно упрощена: достаточно отметить на Web-странице службы, доступ к которым осуществляется из локальной сети, а также IP-адреса соответствующих серверов (http, ftp, smtp, nntp, pop3, dns).

Кроме этого, для работы с ресурсами Интернета необходимо указать адреса DNS-серверов. Не возникнет проблемы, если доступ из LAN в Интернет осуществляется через прокси-сервер - в этом случае надо лишь указать IP-адрес и номер порта прокси-сервера на конфигурационной Web-странице.

Даже самые простые настройки Internet Firewall 25 укрепят безопасность вашей сети, создав надежный второй эшелон обороны.

Для противодействия атакам хакеров устройство оснащено классическим набором средств, относящихся к разряду “отказ в обслуживании” (Denial of Service, DOS): Ping of Death, SYN Flood, LAND Attack, IP Spoofing, Teardrop.

Этот набор относится к средствам нарушения жизнеспособности сервиса, который в качестве мишени избрали хакеры. Для защиты общедоступных Интернет-ресурсов их размещают в так называемой демилитаризованной зоне (demilitarized zone, DMZ). У более сложной версии устройства - Internet FireWall DMZ - имеется три сетевых интерфейса, причем один из них - для DMZ, в которую помещаются общедоступные ресурсы. Однако при использовании Internet Firewall 25 узел доступа и почтовый сервер вынесены в зону WAN. IP-адрес интерфейса, обращенного в Интернет, определяется Интернет-провайдером, а внутренний можно оставить без изменения. Для IP-адресов в зоне LAN предлагается три альтернативы:

- оставить прежние адреса, использовавшиеся до установки брандмауэра;

- воспользоваться службой трансляции адресов NAT (Network Address Translation) и назначить в локальной сети статические IP-адреса. В этом случае в зоне WAN рабочие станции из локальной сети будут представлены либо единственным IP-адресом, либо группой IP-адресов;

- задействовать встроенные в брандмауэр службу трансляции адресов NAT и сервер DHCP для динамического назначения IP-адресов.

Тестирование показало, что настройка любого варианта не составит труда, хотя может возникнуть необходимость переопределения адреса LAN-интерфейса Internet Firewall (по умолчанию это адрес 192.168.1.254).

Интересно, что IP-адреса в зонах LAN и WAN могут относиться к одной IP-сети. По-видимому, в этом случае осуществляется бриджинг пакетов, поскольку из зоны LAN удалось обратиться лишь к устройствам с IP-адресами, указанными в списке Интернет-сервисов зоны WAN.

Конфигурирование устройства с помощью мастера настроек оказалось несколько сложнее, чем его настройка из окна Web-браузера, - в последнем случае было достаточно набрать предустановленный IP-адрес Web-сервера Internet Firewall и отметить необходимые службы в форме на Web-странице. Для разрешения или запрещения нестандартных TCP- и UDP-служб имеется специальная HTML-страница.

Брандмауэр имеет встроенные средства диагностики - утилиты ping, tracert, DNS name lookup, весьма полезные на первых этапах настройки. Некоторое неудобство доставляет необходимость всякий раз перегружать устройство при изменениях его конфигурации - этот процесс длится не менее минуты.

Среди выдающихся достоинств Internet Firewall 25 - его способность полностью или частично блокировать мобильный код и активное содержание html-страниц, а также поток рекламных баннеров. Эту функцию можно применять выборочно, например, оставлять ее для надежных Web-сайтов или доменов. В настройках можно определить и группу доменов или Web-сайтов, доступ к которым запрещен, - обычно это узлы с информацией “игривого” содержания.

В Интернете существует специальный Web-узел, позволяющий загрузить на Internet Firewall адреса подобных сайтов.

С учетом всех достоинств можно предположить, что новый брандмауэр ожидает популярность, сравнимая с успехом восьмипортового Ethernet-концентратора из серии устройств 3Com Office Connect.

Представительство 3Com в СНГ: (095) 258-0940.

Версия для печати