G800 анализирует Web-трафик, адресованный на порт 80

Камерон Стардевант

Похоже, сегодня все до единого производители распространяют свою деятельность на область обеспечения безопасности, и фирма CacheFlow, сменившая недавно название на Blue Coat Systems, - не исключение. Свою реинкарнацию компания отметила выпуском Security Gateway 800: этот перелицованный сервер кэширования отлично справляется с фильтрацией трудно поддающегося контролю Web-трафика, адресованного на порт 80.

При организации оперативного контроля Web-трафика, который обычно после брандмауэра не проверяется, разработчики SG800 опирались на свой опыт в анализе пакетов и выделении закономерностей в обращении пользователей к различным Web-ресурсам. Выпущенное Blue Coat в августе устройство SG800 заслуживает всяческого внимания, поскольку предназначается именно для противодействия возможным угрозам со стороны трафика, адресованного на порт 80.

Устройство  Security  Gateway   800   фирмы   BlueCoat   Systems   высотой   1U  (44,45 мм)

размещается в корпоративной сети после брандмауэра и фильтрует трафик на 80-м порту

Компании Kavado и Sanctum тоже озабочены "проблемой 80-го порта", но только с точки зрения защиты приложений. Большинство поставщиков традиционных брандмауэров все еще ищут подходы к решению этой задачи, так что устройство SG800 может стать хорошим дополнением к имеющемуся в корпоративной сети брандмауэру.

Выпускается пять различных моделей SG800 стоимостью от 5995 до 29 995 долл. Младшая из них, рассчитанная на применение в организациях средних размеров, оснащается одним жестким диском емкостью 17 Гб, 512 Мб ОЗУ и двумя встроенными портами Ethernet. А наиболее мощная модель SG800 имеет четыре жестких диска по 73 Гб каждый, 2 Гб ОЗУ и гнездо для установки гигабитного интерфейса типа 1000BaseT или SX.

Самый большой недостаток этого продукта - отсутствие механизма дешифрации протокола SSL (Secure Sockets Layer), так что защищенный Web-трафик будет проходить через SG800 без надлежащего анализа (если только не установить перед ним дополнительное устройство, обеспечивающее дешифрацию SSL).

В остальном этот анализатор, как показали испытания в Тестовом центре eWeek Labs, будет работать вполне хорошо в вычислительных системах большинства средних и крупных предприятий. Его корпус высотой 1U (44,45 мм) имеет специальные отсеки для жестких дисков, а возможность их установки или замены в процессе работы позволяет обслуживать устройство на месте. Более того, поскольку SG800 не устанавливается в разрыв коммуникационного канала, а является своего рода прокси-сервером, его отказ не остановит работу системы. Как известно, ни одна ОС не обладает абсолютным иммунитетом к атакам, однако специализированная и оснащенная особыми средствами безопасности фирменная ОС SG800 едва ли станет легкой добычей хакеров.

Подобно своим предшественникам - системам SG600/6000 - устройство SG800 интегрируется с такими инструментами фильтрации контента, как Websense Enterprise фирмы Websense и SmartFilter корпорации Secure Computing, ограничивающими доступную для просмотра область Интернета. Эти продукты оно использует в качестве источников списков узлов, доступ к которым должен быть блокирован, и вполне адекватно справляется с задачей контроля за использованием Интернета сотрудниками компании.

Кроме того, специалисты ИТ могут самостоятельно вносить в списки блокировки дополнительные URL-адреса. Набив руку в написании правил, мы сумели значительно ускорить настройку клиентских машин для доступа только к определенным узлам Сети. Однако освоение продукта во всех его тонкостях - дело не скорое. По нашему опыту, требуется несколько недель, чтобы отточить мастерство обращения с правилами до уровня, позволяющего корректно организовать отсев Web-узлов. Достаточно сказать, что в ходе наших испытаний хватило всего одной опечатки, чтобы заблокировать все узлы, кроме электронной площадки для азартных игр, от которой мы как раз и хотели оградить своих пользователей.

Чтобы несколько шлюзов Security Gateway работало по единому набору правил, необходимо установить дополнительный продукт под названием Director - совершенно, на наш взгляд, излишнее усложнение. А для централизованной генерации отчетов придется покупать еще и модуль Reporter. Мы надеемся, что в дальнейшем эти функции будут встроены в основной продукт Security Gateway.

Кроме того, SG800 интегрируется с антивирусными продуктами таких поставщиков, как фирма Trend Micro и корпорация Symantec. Особенно удачным в этой интеграции нам представляется то, что однажды прошедшие проверку Web-объекты кэшируются и при последующих обращениях выбираются из кэша без повторного теста на вирусы. Это одна из областей, где опыт предыдущей жизни под именем CacheFlow, в которой компания занималась кэшированием контента, играет для этого нового производителя средств безопасности большую роль.

Мы использовали устройство SG800 для защиты клиентских систем, настроив его на удаление из потока трафика всего мобильного кода и активных аплетов. Продукт осуществляет "трансформацию информационного наполнения" на основании заданной пользователем стратегии. Как варианты трансформации предусмотрены удаление вызвавшего сомнение кода, выдача уведомления или пропуск данных по URL-адресу назначения. Например, можно сконфигурировать систему для удаления исполняемого кода, поступающего с любых узлов, кроме включенных в список полностью благонадежных - таких, как eweek.com. Это позволяет остановить опасный трафик на границе сети, прежде чем возникнет какая-либо угроза для клиентских машин.

Со старшим аналитиком Камероном Стардевантом можно связаться по адресу: cameron_sturdevant@ziffdavis.com.

Резюме для руководителей

Security Gateway 800

Основанное на технологии кэширования устройство защиты SG800 размещается позади брандмауэра корпоративной сети для выполнения сложной обработки Web-трафика, адресованного на порт 80. Интеграция с антивирусным ПО и средствами блокирования доступа к Web по заданному списку позволяет организовать надежную защиту от потенциально опасных элементов трафика, которым не составляет труда миновать большинство обычных брандмауэров.ЦЕНОВОЙ АНАЛИЗЦена модели SG800 начального уровня (5995 долл.) представляется вполне умеренной в сравнении со стоимостью брандмауэров и других устройств, предназначенных для установки на периферии корпоративной вычислительной системы. В течение первых недель или даже месяцев специалистам ИТ придется уделять значительное время конфигурированию этого продукта, однако в долгосрочной перспективе расходы на его поддержание - не считая платы за подписку на антивирусные средства и списки Web-узлов для блокирования - должны быть весьма невысоки.

( + ) Закрывает брешь щита безопасности, которую большинство брандмауэров оставляет на пути трафика, адресованного на порт 80; обеспечивает всеобъемлющее администрирование Web-трафика.

( - ) Отсутствие собственного дешифратора протокола SSL; централизованные консоль администрирования и генератор отчетов реализованы в виде отдельных дополнительных продуктов.

     Конкурирующие продукты для сравнения

GX2500 фирмы SonicWall

Gateway Security Appliance корпорации Symantec

Secure Guardian корпорации Tumbleweed Communications