ОБЗОРЫ
Но дороговизна и сложности установки продукта могут отпугнуть покупателей
ИТ-менеджеры организаций с повышенными требованиями к сетевой безопасности и внушительными бюджетами смогут по достоинству оценить брандмауэр Sidewinder 5.0 корпорации Secure Computing, способный отразить большинство видов хакерских атак.
Хотя Sidewinder 5.0 довольно дорог и, как показали тесты eWeek Labs, сложен в управлении, он обеспечивает мощную защиту, использует технологию Type Enforcement и новые функции поддержки виртуальных частных сетей (VPN).
Брандмауэр выпущен в апреле и стоит $6995 в расчете на сеть, имеющую до 100 пользователей. При покупке же комплекта, включающего функции VPN (их стоимость $2495) и аппаратурный ускоритель (тоже $2495), цена одного экземпляра превысит $10 000. Таким образом, эта комбинация ПО и аппаратуры обойдется гораздо дороже, чем чисто программные решения, объединяющие функции VPN и брандмауэра, например VPN-1 Gateway фирмы Check Point Software Technologies, стартовая стоимость которого составляла около $4000.
В отличие от более простых программных решений установка Sidewinder 5.0 является долгой и сложной процедурой, требующей тщательного планирования. Менеджеры должны быть готовы к тому, что для этой работы придется мобилизовать значительные ресурсы ИТ-персонала.
Однако в продукте используется технология Type Enforcement, которая ставит его на голову выше аналогов. Type Enforcement предусматривает систему доменов для ограничения прав пользователей на действующие в системе приложения. Пользователям назначаются права доступа к приложениям, запускаемым из конкретных доменов. Благодаря этому хакеры, сумевшие проникнуть в корпоративную сеть с помощью HTTP, не смогут воспользоваться такими приложениями, как Telnet или FTP, что помешает им продолжить свое вторжение.
Аналогично предыдущим версиям Sidewinder 5.0 создает зоны безопасности под названием “Burbs”, предназначенные для контроля направления трафика и изоляции доступа в случае взлома сети. Технология Type Enforcement отделяет зоны друг от друга, и даже в случае прорыва внешней зоны Internet Burb другие зоны остаются защищенными от несанкционированного доступа.
В пакете использован механизм прокси-агентов для управления сетевыми подключениями через брандмауэр. Например, прокси-модуль HTTP, опираясь на правила, определенные списками контроля доступа (ACL) и объектами сети, устанавливает, какой Web-трафик может быть пропущен через брандмауэр. Это позволяет администраторам сформировать несколько уровней контроля трафика через брандмауэр вплоть до единичной хост-системы или Web-адреса.
Если программные решения типа VPN-1 Gateway или Raptor 6.5 фирмы Axent Technologies используют такие ОС, как Windows NT или Solaris, то брандмауэр Sidewinder действует на базе SecureOS, представляющей собой защищенное ядро BSD Unix.
Начальный этап инсталляции версии 5.0 оказался очень простым, он заключался в копировании файлов и установке сетевого адаптера в конкретные Burbs. Трудности пошли после того, как мы перезагрузили систему и настроили X Window System на ГИП Cobra для конфигурации брандмауэра. Используя Cobra, мы настроили прокси-агенты протоколов, контролирующие разные типы подключений через брандмауэр, в том числе HTTP, Ping и Telnet, и задали правила для ACL, регулирующие права доступа к конкретным объектам тестируемой сети.
Управление пакетом Sidewinder 5.0 осуществляется как локально, при помощи ГИП Cobra на базе X Window, так и дистанционно, с платформы Windows NT (см. рисунок). В сеансах дистанционного администрирования применяются протоколы TCP/IP и SSL. При этом можно использовать Telnet или Unix-станцию с интерфейсом командной строки, что понравится администраторам, знакомым с Unix.
Изменения и рост сети постепенно усложняют управление брандмауэром. База данных ACL может разрастись до гигантских размеров и стать необозримой, охватывающей сотни сетевых объектов и вариантов сетевой политики. Если же в разных узлах будет установлено множество брандмауэров с разной конфигурацией, то управление ими может стать просто непосильным.
По словам официальных лиц Secure Computing, компания готовит дополнение к пакету Sidewinder 5.0, которое упростит работу администраторов, позволив распространять изменения на всю группу брандмауэров.
Sidewinder 5.0 лучше взаимодействует с аппаратурой и может поставляться с аппаратурным ускорителем, помогающим решить проблемы производительности, обременявшие пользователей предыдущих версий. Однако поскольку Sidewinder действует на прикладном уровне, он исследует каждый сетевой пакет вплоть до уровня приложений и при контроле трафика должен проверять подключения по большому списку прокси-функций.
Сложный принцип действия брандмауэра требует от ОС большого объема вычислительной работы, что снижает пропускную способность системы. Чтобы повысить производительность, в Sidewinder 5.0 предусмотрена поддержка двухпроцессорных SMP-серверов, встроенных RAID-систем и ОЗУ объемом до 1 Гб.
По желанию покупателя Sidewinder 5.0 дополняется PA-платой (Policy Accelerator) корпорации Intel, выполняющей функции аппаратурного ускорителя. После подготовки ОС можно перенести всю обработку информации по системной политике непосредственно на PA-плату, что позволяет освободить ядро для обработки других запросов и повысить производительность системы.
К сожалению, Sidewinder 5.0 имеет довольно слабые и неудобные функции генерации отчетов. При создании большинства отчетов придется использовать команды Unix, и хотя пользователи могут экспортировать данные о зарегистрированных событиях в приложения других фирм, например в ПО генерации отчетов корпорации WebTrends, простых путей для быстрой генерации детальных отчетов пока что нет.
С техническим специалистом eWeek Labs Фрэнсисом Чу можно связаться по адресу: francis_chu@ziffdavis.com.
Резюме для руководителей
Sidewinder 5.0
Новая версия брандмауэра корпорации Secure Computing, использующая прокси-агенты и технологию Type Enforcement, обеспечит надежную защиту сети, и поэтому вполне подойдет организациям, взыскательным в вопросах безопасности. Однако продукт основан на сложной и ресурсоемкой модели защиты, требующей тщательного планирования со стороны системных администраторов. При развертывании Sidewinder 5.0 компаниям полезно иметь опытных специалистов по Unix.
КРАТКОСРОЧНЫЙ ПРОГНОЗ. Наибольшие сложности возникнут на этапе инсталляции и настройки Sidewinder. ИТ-менеджеры должны быть готовы мобилизовать для этой работы все имеющиеся у них ресурсы.
ДОЛГОСРОЧНЫЙ ПРОГНОЗ. После правильной начальной настройки Sidewinder 5.0 сможет надежно защитить сеть от хакеров. Производитель Sidewinder обещает выпустить дополнения к продукту, которые облегчат управление несколькими брандмауэрами, размещенными в разных точках сети.
( + ) Мощная защита с использованием технологии Type Enforcement; встроенная защищенная ОС.
( - ) Высокая стоимость; сложности управления; слабые возможности генерации отчетов.
Корпорация Secure Computing, Сан-Хосе, шт. Калифорния, (800) 379-4944, www.securecomputing.com.
Методика оценки: www.pcweek.com/reviews/meth.html.
Подпись к рисунку 1.
ГИП Cobra дает возможность дистанционного администрирования с использованием криптозащиты
