Виртуальная частная сеть и брандмауэр для филиала
Система InstaGate EX2 фирмы eSoft выполняет в основном поддержку виртуальных частных сетей (VPN) и элементарные функции брандмауэра. Кроме того, EX2 способна выступать в роли некоторых других серверов. Различные дополнения, предлагаемые производителем за дополнительную плату, превращают EX2 в недорогой, простой в администрировании, гибкий и функционально полный комплект для вычислительной системы филиала или небольшого предприятия. Впрочем, с добавлением каждого такого компонента цена продукта очень быстро растет.
В EX2 появилось несколько новинок: жидкокристаллическая панель конфигурирования на монтируемом в стойку корпусе высотой 1U (44 мм), 566 МГц процессор Pentium и поддержка третьего сетевого интерфейса - для подключения сегмента сети DMZ (demilitarized zone - демилитаризованная зона, не покрываемая защитой брандмауэра). Подобно своему предшественнику, EX2 поддерживает протокол PPTP (Point-to-Point Tunneling Protocol - протокол туннелирования между узлами) и IP Security-совместимые виртуальные частные сети; работа брандмауэра основана на механизмах статистического контроля отклонений (stateful inspection) и NAT (Network Address Translation - трансляция сетевых адресов). Кроме того, возможно выполнение функций сервера Web, файлов/печати, электронной почты, протокола Dynamic Host Configuration Protocol и прокси-сервера. Несколько дополнительных комплектов ПО (за отдельную плату) позволяют без особых затруднений наращивать возможности системы.
Пакет InstaGate EX2 позволяет менять настройки сетевого экрана (вверху), но Firewall Policy Manager (внизу) более гибок
Однако у продукта eSoft есть много конкурентов. Фирмы SonicWall, WatchGuard Technologies и NetScreen Technologies предлагают аналогичные тонкие серверы безопасности, ориентированные на тот же самый рынок; и все это весьма зрелые продукты, хотя и лишенные многочисленных не связанных с безопасностью функций EX2. Хотя не будет ничего удивительного, если корпоративный менеджер ИТ не заинтересуется возможностью использовать систему “защиты периметра” еще и как сервер Web или электронной почты.
Кроме того, выпущенный в конце января EX2 уступает конкурирующим продуктам по способности централизованного администрирования VPN-сетей с большим числом устройств.
Цены на EX2 начинаются от $949 - за лицензию на 25 пользователей, пару интерфейсов 10/100 Мбит/с Ethernet, 64 Мб ОЗУ и базовое ПО. Стандартно поддерживается передача данных между интерфейсом Ethernet, с одной стороны, и T-1/E-1, цифровой абонентской линией (digital subscriber line) с протоколом Point-to-Point Protocol, каналом территориально-распределенной сети Ethernet или сети кабельного телевидения с функцией передачи данных, с другой.
Отдельно можно приобрести комплекты поддержки ISDN ($165) и модемных соединений стандарта V.90 ($150). Лицензия на 50 дополнительных рабочих мест стоит $250; а всего устройство способно одновременно обслуживать до 250 пользователей. Дополнительный сетевой интерфейс для подключения сегмента DMZ (который мы не тестировали) с комплектом ПО SoftPak обойдется в $400.
Для организации доступа удаленных пользователей к внутрикорпоративной сети EX2 использует протокол PPTP, а для связи по защищенным туннелям нескольких вычислительных центров - VPN-сети на базе протокола IPSec (этот механизм мы не тестировали; он требует наличия на каждой из площадок шлюза InstaGate или другой системы, обслуживающей IPSec-туннели).
Все на строительство туннелей
Конфигурирование туннелей по протоколу PPTP не представляет сложности; для связи с удаленными хост-машинами, работающими под управлением ОС Windows 98, Windows ME или Windows 2000, достаточно клиентского компонента для среды Windows. Но вот в случае использования клиентов Mac OS придется приобрести для них отдельное VPN-приложение какого-либо независимого производителя.
С помощью программы Shields Up фирмы Gibson Research мы определили, что брандмауэр функционирует нормально и фильтрует внешние запросы по всем стандартным портам. В отличие от SonicWall Pro, EX2 не скрывает свой внешний IP-адрес, что позволяет контролировать его состояние через Интернет с помощью ping-запросов.
По умолчанию брандмауэр EX2 использует механизмы статистического контроля отклонений и фильтрации пакетов, а также NAT-преобразование адресов. Однако конфигурируемых параметров у этого продукта на удивление мало: единственное, что здесь можно сделать - это сконфигурировать передачу запросов, полученных с определенных интерфейсов территориально-распределенной сети, на заданные порты сервера внутренней сети напрямую.
Дополнительные возможности конфигурирования дают приобретаемые отдельно комплекты ПО SoftPak. Один из них - Firewall Policy Manager - добавляет к Web-серверу поддержку цифровых сертификатов для шифрования обмена данными через пользовательский интерфейс на базе Web. Кроме того, он позволяет задавать стратегии регулирования как входящего, так и исходящего трафика; вот только нам не удалось создать отдельных наборов правил для пакетов протоколов User Datagram Protocol и TCP.
Из других функций обеспечения безопасности на уровне шлюза имеется комплект антивирусного ПО Anti-Virus SoftPak ($750 в год на 25 пользователей; сканирует и очищает от вирусов файлы, присоединенные к входящим почтовым отправлениям) и интегрируемый с прокси-сервером фильтр SiteFilter SoftPak ($540 в год на 25 пользователей; проверяет адреса Web-узлов по рейтинговым спискам).
Стратегии фильтрации могут применяться глобально либо в отношении конкретных пользователей, хотя последний вариант требует от администратора выполнения большого объема рутинной работы.
В ходе тестирования мы отметили опасно высокий, на наш взгляд, уровень использования ресурса ОЗУ - около 95%. Представители eSoft утверждают, что EX2 способен поддерживать одновременно до 50 VPN-туннелей, однако нам не очень понятно, куда их можно было бы втиснуть.
Резюме ДЛЯ РУКОВОДИТЕЛЕЙ
InstaGate EX2
Стандартная комплектация этого обновленного продукта фирмы eSoft предлагает мощные средства поддержки VPN-сетей наряду с рудиментарными функциями брандмауэра. Кроме того, компания предлагает ряд дополнительных комплектов ПО, расширяющих возможности конфигурирования брандмауэра, обеспечивающих фильтрацию информационного наполнения Web и защиту от вирусов на уровне шлюза. В целом за свою цену тонкий сервер безопасности EX2 является вполне достойным, хотя и не слишком эффектным приобретением для администраторов вычислительных систем офисов филиалов и небольших предприятий.
КРАТКОСРОЧНЫЙ ПРОГНОЗ. Потратив несколько минут на настройку EX2, вы сразу же получите надежную защиту от любопытствующих со стороны Интернета.
ДОЛГОСРОЧНЫЙ ПРОГНОЗ. Дополнительные комплекты позволяют расширять возможности EX2 по мере роста потребностей пользователя; однако администрирование значительного числа таких устройств может стать серьезной головной болью.
+ Невысокая цена; простое конфигурирование; многообразие способов применения (в частности, в качестве серверов безопасности, файлов, Web или электронной почты).
- Очень маленький запас ОЗУ; средства конфигурирования стратегий администрирования брандмауэра необходимо приобретать отдельно; отсутствуют средства централизованного администрирования нескольких устройств на основе стратегий.
Фирма eSoft, Брумфилд, шт. Колорадо, (303) 444-1600, www.esoft.com.
