Разные типы брандмауэров - разный уровень безопасности и скорости
WORLD WIDE WEB
Чтобы обеспечить безопасность, покупатели могут выбрать брандмауэры, выполняющие оценку состояния, агенты-представители, шлюзы приложений или брандмауэры уровня канала
Сейчас, когда внимание к проблемам безопасности достигло наивысшего уровня за все время существования Internet, все больше и больше компаний рассматривают возможность установки брандмауэра, который кажется всемогущим средством борьбы с сетевыми атаками и брешами в системе безопасности.
Разные типы фильтров пакетов и агентов-представителей, используемые производителями брандмауэров, обладают каждый своими преимуществами и подразумевают определенные компромиссы. В то время как технология фильтрации пакетов и ее разновидности, включая оценку состояния (называемую также инспекцией по состоянию), предлагают высокую скорость, модели брандмауэров, опирающиеся на агенты-представители, шлюзы приложений и брандмауэры уровня канала, обеспечивают наивысший уровень безопасности.
Старый резерв
Потребность в автономных программных брандмауэрах связана с тем, что брандмауэров, выполняющих фильтрацию пакетов на маршрутизаторе, оказывается недостаточно. Хотя более старая технология фильтрации пакетов может обеспечить высокий уровень безопасности, один из характерных для нее компромиссов состоит в том, что правила фильтрации в маршрутизаторе должны быть чрезвычайно жесткими, а это затрудняет доступ в Internet для пользователей. Маршрутизаторы также отличаются сложностью настройки, необходимой для обеспечения безопасности.
"Фильтрация пакетов рассматривает исключительно источник, пункт назначения и, возможно, тип службы, - говорит Рик Зибеналер, вице-президент по разработке ПО корпорации CyberGuard (Форт-Лодердейл, шт. Флорида), создавшей брандмауэр CyberGuard. - Используя правила, она определяет, имеет ли право данный источник общаться с данным пунктом назначения, но она не следит за контекстом соединения+ ее фильтры не могут определить, пытается ли кто-то сделать что-то тайком. Вам нужна информация о содержании. Именно здесь в дело вступает инспекция состояния".
Инспекция состояния (stateful inspection) была изобретена производителем брандмауэра Firewall-1 фирмой CheckPoint Software Technologies (Редвуд-Сити, шт. Калифорния). Как и фильтрация пакетов, она рассматривает пакеты на сетевом уровне, но использует также данные, полученные со всех уровней связи. В результате пакеты анализируются на основе контекста ранее переданной информации.
"Инспекция по состоянию упрощает поддержку более широкого спектра приложений по сравнению с архитектурой шлюзов приложений", - заявила Дебора Трайэнт, президент и исполнительный директор CheckPoint.
Она отметила, что шлюзы приложений сталкиваются с трудностями, пытаясь не отстать от устойчивого потока постоянно возникающих новых приложений для Internet.
Представители, представители...
Шлюзы уровня приложения рассматривают все уровни приложения с помощью агентов-представителей для каждого протокола, например FTP или HTTP. Главное преимущество шлюзов приложений, использующих агенты-представители, - это встроенный дополнительный уровень знаний о конкретной службе.
"Если вы разрабатываете представитель для FTP, почты или какой-нибудь другой службы, он обеспечивает для этой службы наивысший уровень фильтрации, потому что может рассматривать содержание", - заявил Марк Тейлор, менеджер по маркетингу продуктов фирмы Raptor Systems (Уолтхэм, шт. Массачусетс), производящей брандмауэр Eagle, опирающийся на представители.
Напротив, брандмауэры с фильтрацией пакетов и оценкой состояния не могут отличить почту от службы FTP. "Они не учитывают, что с точки зрения безопасности передаче файлов присущи определенные особенности, отличающиеся от особенностей HTTP или почты", - отмечает Тейлор.
Centri Firewall фирмы Global Internet (Пало-Альто, шт. Калифорния) - это еще один продукт, который опирается на теорию представителей приложений, утверждающую, что "запрещено все, что не разрешено явно", и позволяет блокировать некоторые части приложений.
"Мы анализируем полезную нагрузку пакета, конкретный язык, используемый приложением+ чтобы проникнуть внутрь и разрешить или запретить определенные части приложения, - говорит Рассел Райс, директор Global по разработкам. - Например, мы можем запретить передачу Java в рамках HTTP".
Однако недостаток этого подхода заключается в том, что он приводит к потере гибкости. "В случае фильтрации пакетов, поскольку маршрутизаторы проектировались для высокоскоростной коммутации, обеспечивается определенный уровень гибкости, - отметил Гэри Брукс, директор по маркетингу продуктов корпорации Digital Equipment, производящей ПО брандмауэра уровня приложений AltaVista. - Брандмауэры уровня приложения разрабатываются как устройства обеспечения безопасности, а не маршрутизаторы, поэтому приходится идти на компромисс в отношении гибкости и производительности".
Райс из фирмы Global Internet поясняет, что представители уровня приложения по самой своей природе должны рассматривать содержание информации и затрачивать дополнительное время.
"Это время необходимо, если вы действительно хотите анализировать содержание и разрешать или запрещать определенные части разговора", - сказал он.
Кроме того, еще одной проблемой брандмауэров на основе представителей является необходимость поддерживать постоянно появляющиеся службы. Когда возникает новый протокол, например RealAudio, пользователям брандмауэров на основе представителей часто приходится некоторое время ждать, пока поставщики не разработают поддерживающий его добавочный модуль.
"Мы должны уметь предвидеть появление новых модных служб", - считает Тейлор. В настоящее время Raptor ведет бета-тестирование представителя для передачи аудиоданных в реальном времени и разрабатывает представитель для видеоинформации.
"Сегодня мы блокируем аудио- и видеоинформацию, но даем клиентам возможность использовать универсальный режим пропускания службы, - продолжает Тейлор. - Он взаимодействует с широким спектром служб, но не обеспечивает такой глубины фильтрации, как специализированный представитель".
Лучшее из обоих миров
Некоторые продукты, в том числе CyberGuard и FireWall/Plus фирмы Network-1 Software and Technology (Нью-Йорк), используют и агенты-представители, и оценку состояния, позволяя администраторам сети решать, в каких случаях тот или иной подход будет более удачным.
"В CyberGuard мы предлагаем несколько представителей разного типа, а также фильтрацию пакетов. Выбор определяется компромиссом. Пользователи должны решить, на какую скорость работы сети они согласны и как быстро они хотят получать поддержку новых типов приложений", - сказал Зибеналер.
Чтобы обеспечить поддержку таких связанных с приложениями функций, как аутентификация, в ПО FireWall-1 фирмы CheckPoint в дополнение к технологии инспекции состояния включены агенты-представители.
"Бывают ситуации, когда вам нужен представитель, - пояснил Трайэнт из CheckPoint. - Допустим, мы используем форму аутентификации, с помощью которой пользователь подключается к приложению. В этом случае вам понадобится представитель для этого приложения".
Поставщики продуктов обоих классов ожидают, что в будущем брандмауэры будут включать дополнительные функции обеспечения безопасности, например антивирусное ПО и высокоскоростное шифрование, а также более тесно интегрироваться со средствами управления сетями.
"Брандмауэр является частью системы управления доступом в сети, - отметил Трайэнт. - Вы увидите, что дополнительные аспекты безопасности будут включаться в брандмауэры, а также в системы управления сетью, например OpenView компании Hewlett-Packard".
Одним из шагов к включению новых средств безопасности является соглашение CheckPoint с фирмой Cheyenne Software (Рослин-Хайтс, шт. Нью-Йорк), предусматривающее интеграцию ее антивирусной технологии в ПО FireWall-1.
Шифрование - это еще один ключевой элемент обеспечения безопасности в Internet, и производители брандмауэров готовы поддерживать такие возможности.
"Как мы полагаем, чтобы обеспечить жизнеспособность системы на рынке и использовать преимущества Internet, необходимо интегрировать в нее возможности высокоскоростного шифрования и базы данных для аутентификации с помощью признаков, - сказал Зибеналер из CyberGuard. - Брандмауэр знает обо всех компьютерах в сети. Логически следующий шаг эволюции состоит в том, чтобы сделать его центральным агентом управления".
С этой целью CyberGuard планирует в течение следующего полугодия ввести в свой продукт возможности удаленного управления и управления сетью.
Обзор Тестового центра PC Week Labs: BorderWare Firewall Server 4.0 http://www.pcweek.com/@netweek/
0930/30fire.html
Кристина Б. Салливан
С редактором Кристиной Б. Салливан можно связаться по адресу: kristina_sullivan@zd.com.
Взвешивая различия между технологиями брандмауэров
+----------------------+-----------------------------+---------------------------+
| |Преимущества |Недостатки |
+----------------------+-----------------------------+---------------------------+
|Фильтрация пакетов |- Очень высокая скорость |- Сложные правила доступа |
|(маршрутизаторы) |- Независимость от |- Низкий уровень |
| |приложений |безопасности |
+----------------------+-----------------------------+---------------------------+
|Шлюзы уровня |- Высокий уровень |- Новые протоколы Internet |
|приложения |безопасности |требуют - разработки |
|(представители) | |новых представителей |
| | |- Низкая |
| | |производительность |
+----------------------+-----------------------------+---------------------------+
|Инспекция состояния |- Возможен контроль за |- Для поддержки таких |
| |протоколами, не |функций приложения, как |
| |использующими соединение |аутентификация, необходимо |
| |(UDP, RPC) |дополнительно использовать |
| |- Высокий уровень |представители |
| |безопасности | |
+----------------------+-----------------------------+---------------------------+
Как они работают
Фильтр пакетов
Фильтр пакетов, входящий в маршрутизатор, анализирует каждый IP-пакет на уровне сети и на основе установленного сетевым администратором набора правил определяет, пропускать пакет или блокировать его. Может использоваться между внутренними и общедоступными сетями или между сетями внутренних подразделений.
Оценка состояния
Эта модель, названная ее изобретателями из фирмы CheckPoint Software Technologies "инспекцией состояния", расширяет технологию фильтрации пакетов, вводя в нее информацию о состоянии, извлекаемую из ранее переданной информации и других приложений. Оценка состояния позволяет резко увеличить уровень безопасности благодаря анализу пакетов на основе этой информации о состоянии, которая сохраняется и обновляется динамически.
Сервер-представитель/ шлюз приложения
Эта модель обеспечивает высокий уровень безопасности, глубокое знание IP-протоколов и допускает анализ на уровне приложения. Она анализирует каждый пакет информации при его прохождении через шлюз.
