ОБЗОР

 

Cisco "впихнула" больше функций защиты в "черный ящик" брандмауэра PIX, однако HTML-утилита конфигурирования разочаровывает

 

Брандмауэр PIX выглядит, как маршрутизатор (что неудивительно, поскольку его производит фирма Cisco Systems), однако он имеет гораздо более широкие возможности защиты, включая замысловатую технологию "инспекции состояний" (stateful inspection). Устройство выполнено в удобном корпусе, его можно установить в монтажную стойку.

 

Компактное устройство PIX Firewall 3.0

можно установить в стойку

Многие администраторы высоко оценят новые функции последней версии PIX Firewall, которая делает доступ к корпоративным ЛВС из Internet более безопасным: прозрачная аутентификация удаленных пользователей, факультативные средства шифрования пакетов для организации ВЧС (виртуальная частная сеть) и связи с существующими базами данных о пользователях, зарегистрированных в сети. Однако другие соблазнительные возможности, которые, как предполагается, должны упростить использование PIX Firewall 3.0 с интерфейсом классической межсетевой операционной системы (IOS) фирмы Cisco и обеспечить графическое конфигурирование через HTML, оказались недостаточно отработанными и пока не очень полезными.

 

Хотя PIX Firewall 3.0 объединяет много функций в удобном устройстве, пользоваться ими без хорошего знания частного интерфейса командной строки нелегко. Конкурирующие чисто программные брандмауэры таких поставщиков, как фирма Checkpoint Software Technologies, сложнее настроить, поскольку они требуют установки полнофункциональной рабочей станции под Unix или Windows NT, однако их графические интерфейсы настройки на существующую конфигурацию сети и задания правил обеспечения безопасности развиты значительно лучше.

 

Стартовая цена PIX Firewall 3.0 составляет $9000 в конфигурации, поддерживающей 32 одновременных сеанса TCP; за $15 000 продается лицензия на 256 сеансов, а более дорогие лицензии поддерживают до 16 000 одновременных сеансов TCP. Поскольку обновленная версия PIX Firewall, выпущенная в ноябре, представляет собой законченное аппаратно-программное решение, эти цены весьма конкурентоспособны.

 

Стандартная конфигурация новой версии поддерживает стандарт ЛВС Fast Ethernet, а дополнительный модуль шифрования для ВЧС предлагается за $2500.

 

РАЗГОВОР НА ЯЗЫКЕ КОМАНД

 

Специалисты Тестового центра PC Week Labs считают, что физическая сборка PIX Firewall достаточно проста и для подключения брандмауэра к внутренней и внешней сетям фактически нужны только провод питания и соединительные кабели. Для хранения конфигураций системы используется 3,5-дюймовый НГМД. Мы испытывали версию PIX с поддержкой Ethernet; устройство в стандартной конфигурации оборудуется универсальными платами сетевого интерфейса с поддержкой скоростей передачи 10 и 100 Мбит/с. Предлагаются также модели с поддержкой Token-Ring.

 

Тем не менее PIX Firewall не заменяет маршрутизатор, поэтому для соединения с внешней сетью требуется некоторое промежуточное устройство маршрутизации.

 

Настроить базовую конфигурацию ПО PIX Firewall было довольно легко: для этого нужно ввести около пяти команд в терминальном сеансе связи, подключив ПК к последовательному порту устройства. Задав IP-адреса и параметры маршрутизации по умолчанию, мы продолжили настройку в сеансе Telnet с одной из рабочих станций. Команды конфигурирования, описанные в документации, не слишком сложны, но все же работать с контекстными меню было бы приятнее, чем вручную вводить жесткие синтаксические конструкции.

 

Дальнейшее изменение параметров маршрутизатора для выполнения более сложных функций, таких, как преобразование адресов и аутентификация пользователей, требует весьма основательного понимания языка команд устройства PIX. К сожалению, новая поддержка управления с использованием HTML почти не упрощает процесс конфигурирования. Отсутствие ниспадающих меню, диалоговых окон и всеобъемлющей системы оперативной помощи означает, что сетевым администраторам по-прежнему придется изучать синтаксис команд и детальную структуру параметров.

 

Если говорить о достоинствах, то приятной особенностью конфигурирования ПО PIX является то, что изменения вступают в силу сразу после их внесения без перезагрузки системы.

 

Новая функция обработки сбоев PIX Firewall 3.0 для установки резервного брандмауэра  -  одна из самых простых с точки зрения настройки. Мы соединили специальными кабелями (они входят в комплект поставки) два устройства с идентичной конфигурацией, после чего оставалось только включить второе устройство. При отключении питания любого из двух брандмауэров PIX сетевой трафик автоматически перенаправляется через второе устройство.

 

Некоторый прогресс был также достигнут в согласовании командного интерфейса PIX Firewall 3.0 с хорошо знакомой системой IOS, работающей на маршрутизаторах Cisco. К сожалению, те поклонники IOS, которые могли бы оценить достигнутый успех, будут разочарованы частичной реализацией: в тестах PC Week Labs многие команды остались нераспознанными.

 

ПРОЗРАЧНАЯ АУТЕНТИФИКАЦИЯ

 

Хотя, по мнению специалистов PC Week Labs, настройка через Web-браузер средств аутентификации конечных пользователей в PIX Firewall 3.0 слишком трудоемка, возможность подключения к БД о пользователях, зарегистрированных в сети, с помощью протоколов TACACS+, RADIUS или CiscoSecure,  -  одна из самых блестящих функций новой версии продукта Cisco. После установления связи с БД пользователи, обращающиеся к системе из Internet, автоматически получали приглашение ввести идентификатор и пароль для доступа к определенным защищенным компьютерам во внутренней сети.

 

Конфигурирование PIX Firewall 3.0 фирмы Cisco

через Web - адская работа

Еще большее впечатление производит прозрачное сквозное подтверждение прав доступа. Эта технология позволяет одновременно регистрироваться в сети для проведения сеансов Telnet, FTP или HTTP. Браузеры Web автоматически запрашивали пароли при попытке обращения к одному из внутренних Web-серверов PC Week Labs.

 

Дополнительному модулю шифрования ВЧС не хватает гибкой схемы управления ключами для удаленных клиентов. Совместимость с другими брандмауэрами обеспечена реализацией стандарта шифрования IPSec, недавно принятого Целевой группой инженерной поддержки Internet (IETF).

 

Использование технологии stateful inspection, впервые предложенной фирмой Checkpoint, повышает производительность PIX Firewall за счет сложного анализа заголовков пакетов. Входящий трафик тщательно сравнивается с исходящими пакетами вместо проверки на уровне данных, как это делают традиционные серверы-представители (proxy). Эта технология также делает PIX Firewall более гибким по сравнению со стандартными продуктами защиты на базе proxy-сервера, поскольку его относительно проще конфигурировать для поддержки защиты в соответствии с развивающимися протоколами Internet.

 

Брандмауэр фирмы Cisco позволяет обрабатывать в безопасном режиме даже протоколы, не ориентированные на установление соединения (например, User Datagram Protocol) и по природе своей незащищенные. Можно настроить PIX Firewall 3.0 для передачи потоков новых типов мультимедийных данных, таких, как RealAudio, Internet Phone и CU/SeeMe.

 

Дальнейшее развитие получили средства преобразования сетевых адресов. Незарегистрированные IP-адреса в корпоративной ЛВС оказываются невидимыми со стороны Internet; помимо этого, PIX Firewall 3.0 допускает одновременное использования схем нумерации как зарегистрированных, так и незарегистрированных адресов в одной сети.

 

К сожалению, функции регистрации в системе и выдачи предупреждений в новой версии не были улучшены. Пользователи по-прежнему вынуждены самостоятельно строить систему отчетности и регистрации, которая собирает "шифроподобные" системные сообщения брандмауэра.

 

В Internet можно найти много условно-бесплатных продуктов регистрации системных сообщений, однако ни один из них не делает данные более понятными.

 

Майкл Суркан

 

(PC Week Labs)

 

РЕЗЮМЕ ДЛЯ РУКОВОДИТЕЛЕЙ

 

PIX Firewall 3.0

 

Сетевые администраторы, которых не пугает интерфейс командной строки маршрутизаторов, сочтут комбинацию аппаратуры и функций защиты PIX Firewall 3.0 фирмы Cisco свежей альтернативой более типичным чисто программным системам.

 

В частности, надежная процедура аутентификации удаленных пользователей делает данный брандмауэр одним из лучших решений в тех случаях, когда важно организовать защищенный удаленный доступ к компьютерам во внутренней сети.

+------------------+---+

|Удобство          | С |

+------------------+---+

|Возможности       | В |

+------------------+---+

|Производительность| В |

+------------------+---+

|Совместимость     | В |

+------------------+---+

|Управляемость     | С |

+------------------+---+

     А отлично, В хорошо, С удовлетворительно

 

+ Удобный корпус типа "черного ящика" может быть установлен в монтажной стойке; функции включают шифрование для ВЧС и прозрачную аутентификацию удаленных пользователей, связанную с сетевыми БД зарегистрированных пользователей; технология stateful inspection повышает производительность устройства PIX и обеспечивает гибкую обработку новых протоколов Internet.

 

-  Новая функция управления через Web на базе HTML еще неразвита: большую часть конфигурирования все еще приходится делать через интерфейс командной строки; поддержка набора команд IOS неполная, причем многие привычные сокращения не поддерживаются; средства генерации отчетов о системных сообщениях и регистрации в системе остались в зачаточном состоянии.

Cisco Systems Inc., Сан-Хосе, шт. Калифорния, телефон московского представительства: (095) 926-5570, адрес в Web:

http://www.cisco.com

 

Методику оценки PC Week Labs можно найти по адресу: http://www.pcweek.com/reviews/meth.html.