Межсетевые экраны: компании и продукты

ОБЗОРЫ

Средства защиты сетей непрерывно совершенствуются, но то же самое происходит и с методами взлома. Защищенность ИС со временем меняется, так что работа по обеспечению безопасности никогда не заканчивается. Возрастающая мощь предназначенных для этого инструментов, с одной стороны, отражает интенсивное развитие коммуникационных инфраструктур, сосредотачивающих в себе существо современного бизнеса, а с другой - является ответом на изощренные средства нападения. В прошлом году в России рост преступности в сфере высоких технологий составил 720%. Не меньший ущерб наносят и вредители. Ежегодно растет количество вирусных атак по электронной почте, уже составившее 90% от общего числа заражений.

В последние два года рынок услуг и продуктов по обеспечению безопасности стабильно развивался, о чем свидетельствует, например, отчет Gartner Dataquest за прошлый год. Компания Symantec после слияния с Axent в декабре 2000-го переместилась с четвертой позиции на первую, оттеснив прежнего лидера Computer Associates. В целом рынок ПО защиты вырос на 25%, до 3,3 млрд. долл., в 2000 г. по сравнению с 22% в 1999-м. Спад в американской экономике, начавшийся в середине 2000-го, почти не повлиял на этот сектор. Быстрее всего он рос в Азии - 45%, однако азиатский кусок незначителен: доля Европы и США составляет 82% общего рынка программ безопасности (рост - 17% и 36% соответственно). Например, сегменты средств обнаружения вторжений и инфраструктура открытых ключей (PKI) росли очень быстро.

Опрос Института компьютерной безопасности (CSI) и ФБР “2001 CSI/FBI Computer Crime and Security Survey” показал рост применения межсетевых экранов - 95% в 2001 г. против 78% в 2000-м. В России эти цифры составляют соответственно 76% и 38% (данные московского отделения Ernst & Young).

Рынок безопасности резко пошел вверх после 11 сентября прошлого года. Решения по идентификации пользователей с помощью сканеров отпечатков пальцев или радужной оболочки глаза, казавшиеся экзотикой, стали понятными и начали хорошо продаваться.

Ключевой элемент защиты

Межсетевой экран защищает от самых разнообразных атак, в том числе от фальсификации IP-пакетов, перехвата сеансов, зондов, потоков SYN, реализующих атаку по типу “отказ от обслуживания” (Denial of Service, DoS). Кроме того, он обеспечивает функции посредника для таких протоколов и сервисов, как HTTP, DNS, ftp, NetMeeting и многие другие.

Результаты аналитического изучения рынка безопасности у разных исследовательских компаний различаются. Собственная картина мира имеется у каждого производителя средств защиты. На этом динамичном рынке регулярно вспыхивают новые звезды с новыми средствами и технологиями защиты.

Учитывая множество тенденций, воздействующих на рынок средств защиты, и его изменчивость в последнее время, дадим качественную оценку.

В целом здесь выделяются Cisco Systems, Check Point, Symantec. Сектор брандмауэров объединяет несколько сегментов, в частности, в него входит и VPN. Рынок VPN весьма цветаст - производителей здесь почти столько же, сколько и продуктов. Взгляды разных исследовательских компаний на рынок VPN выделяют разных лидеров с долей, превосходящей 60%, - Cisco Systems и Check Point. Как ни странно, все правы. Долю Cisco дают ее собственные продукты - эта доля обеспечена общеотраслевым лидерством Cisco. Первенство Check Point обеспечено открытой технологией, которая работает в продуктах самых разных фирм.

Рынком гигабитных экранов почти безраздельно владеют Netscreen и Cisco Systems. Незначительные доли в прошлом году принадлежали компаниям CyberGuard, PGP Security и Sonic Wall. Этот сегмент технологически наиболее перспективен, и от него можно ждать неожиданностей - например, появления компании, способной потеснить лидеров. Вполне вероятно, что такой звездой станет RapidStream.

Кроме общих тенденций рынка средств безопасности на скоростные решения может повлиять рост смешанного трафика, чувствительного к задержкам. За минувший год все поняли, что путешествовать надо меньше, а конференции вести в дистанционном режиме. Появились признаки роста соответствующего рынка, что способно повлечь вторичный рост спроса на скоростные брандмауэры, поскольку они всегда - бутылочные горлышки для трафика.

Гигабитные брандмауэры

Применение межсетевых экранов этого класса оправданно для магистральных каналов крупных корпораций, операторов связи и услуг доступа, больших центров обработки данных, Интернет-провайдеров.

Как правило, все гигабитные брандмауэры реализуются на заказных микросхемах. Для них специально пишутся операционные системы, поскольку стандартная ОС не годится для этих задач - ни Unix, ни тем более Windows не являются системами реального времени.

Компании и продукты

 Cisco Systems

(www.cisco.com)

Межсетевой экран Secure Private Internet Exchange (PIX) Firewall 535 этой компании имеет шесть или десять портов Gigabit либо 10/100 Мбит/с Ethernet и плату VPN Accelerator Card. Брандмауэр может одновременно обслуживать 500 тыс. соединений. VPN поддерживает пропускную способность 100 Мбит/с при шифровании Triple-DES и 2 тыс. туннелей.

Высокая производительность PIX Firewall основана на ОС реального времени и специальной схеме защиты, реализующей алгоритм адаптивной безопасности (adaptive security algorithm - ASA), который эффективно скрывает адреса пользователей от взломщиков. Алгоритм ASA обеспечивает безопасность на уровне соединения на основе контроля информации об адресах отправителя и получателя, о последовательности нумерации пакетов TCP, о номерах портов и добавочных флагах TCP. Эта информация сохраняется в таблице, и проверку на соответствие с ее записями проходят все входящие пакеты. Доступ через PIX разрешается только в том случае, если соединение успешно прошло идентификацию. Для внутренних и авторизованных внешних пользователей он прозрачен, но и для них можно ограничить права доступа.

Применение технологии Cut-Through Proxy (сквозного посредника) обеспечивает экрану PIX Firewall преимущество в производительности по сравнению с экранами-посредниками на базе Unix. Как и обычные proxy-серверы, PIX контролирует установление соединения на прикладном уровне. После успешной авторизации пользователя в соответствии с принятыми правилами безопасности PIX начинает контроль потока данных между абонентами на уровне сессии. Такая технология позволяет межсетевому экрану работать значительно быстрее обычных proxy-экранов.

ОС реального времени Cisco PIX - собственная разработка компании, созданная специально для решения задач безопасности.

Для повышения надежности межсетевого экрана PIX Firewall предусмотрена возможность его установки в сдвоенной конфигурации в режиме “горячего” резервирования.

Переход на резервный аппарат выполняется незаметно для пользователей. PIX 535 имеет также дополнительные источники питания с возможностью “горячей” замены.

NetScreen Technologies

(www.netscreen.com)

Гигабитный брандмауэр NetScreen-1000 компании NetScreen Technologies основан на алгоритмах параллельной обработки и специализированных интегральных схемах GigaScreen. Он построен по модульному принципу. Процессорный модуль выполняет операции классификации пакетов, управление сеансами и контроль за соблюдением политики безопасности. Коммутирующий модуль распределяет трафик среди нескольких процессорных модулей. Он содержит один доверительный и один недоверительный порт Gigabit Ethernet и коммутирующую структуру с пропускной способностью 6 Гбит/с. Вспомогательный модуль имеет один порт управления по внешнему каналу, консольный порт и интерфейс высокой готовности, с помощью которого две системы NetScreen-1000 могут быть объединены в конфигурацию “главный - ведомый”.

NetScreen-1000

Выпускается NetScreen-1000 с четырьмя (модель 1000ES) или шестью (модель 1000SP) процессорными модулями. Net-Screen-1000ES поддерживает одновременно 300 тыс. сеансов, 15 тыс. туннелей VPN и пять Virtual System; NetScreen-1000SP - 500 тыс. сеансов, 25 тыс. туннелей VPN и 100 Virtual System.

NetScreen-5000

Последняя разработка компании - серия 5000 - включает две модели: двухслотовую NetScreen-5200 и четырехслотовую 5400. В этой серии развиваются архитектурные принципы NetScreen-1000: усиливаются модульность, масштабируемость и отказоустойчивость. Все компоненты системы допускают “горячую” замену. Брандмауэры серии NetScreen-5000 обеспечивают интегрированную сетевую защиту - интеллектуальную защиту от DoS-атак, высокую производительность IPSec VPN, управление трафиком. Суммарная скорость обработки данных в режиме межсетевого экрана может достигать 12 Гб/с у модели 5400 и 4 Гб/с у модели 5200; при поддержке VPN, защищаемых по алгоритму Triple-DES со 128-разрядным ключом, - 6 и 2 Гб/с соответственно.

NetScreen 5400 имеет шесть интерфейсов mini-GBIC (SX или LX) и 72 интерфейса 10/100 Мбит/с либо 24 mini-GBIC (SX или LX); модель 5200 снабжена двумя разъемами mini-GBIC (SX или LX) и 24 интерфейсами 10/100 Мбит/с, вместо которых можно установить еще восемь mini-GBIC.

RapidStream

(www.rapidstream.com)

Молодая компания RapidStream (основана в 1998 г.) занимается исключительно аппаратными реализациями межсетевых экранов и VPN. Ее продукты работают на защищенном ядре Linux, используют механизм контекстной проверки и специализированную интегральную схему RapidCore для ускорения обработки правил межсетевого экрана и шифрования VPN. Специальная архитектура позволяет передавать пакеты в обход ЦП и системной шины непосредственно в RapidCore.

RapidStream 11000

Устройство RapidStream 11000 высотой 4U содержит предустановленное ПО Check Point NG VPN-1/FireWall-1 и обеспечивает обработку трафика со скоростью 1,2 Гб/с в режиме VPN-1 и 2 Гб/с в режиме брандмауэра. Оно снабжено тремя гигабитными интерфейсами - двумя оптическими SX Gigabit Ethernet и одним медным. Модель 11000 поддерживает одновременно 20 тыс. IPSec-туннелей и 200 тыс. сессий. Управляется через Web-ориентированный пользовательский интерфейс.

Предназначен RapidStream 11000 для сервис-провайдеров, крупных центров обработки и сетей хранения данных, поставщиков хостинг-услуг и сайтов электронной коммерции с большим числом клиентов. В широкую продажу RapidStream 11000 поступит в IV квартале.

(Окончание следует)