БРАНДМАУЭРЫ
Поставщик решений для защиты сетей от вторжения WatchGuard Technologies (www.watchguard.com) не имеет представительства в нашей стране, однако знаком отечественным заказчикам благодаря своим инновационным разработкам, публикациям обзоров брандмауэров (см. PC Week/RE, N28/2002, с. 11; N34/2002, с. 24), а также усилиям московского офиса Rainbow Technologies (www.rainbow.msk.ru), продвигающего системы WatchGuard в России.
Недавно WatchGuard Technologies объявила о масштабном обновлении ассортимента устройств. Новые брандмауэры компания нацелила на все важные для нее сегменты рынка - малые, средние и большие предприятия, а также на растущий рынок устройств защиты беспроводных сетей.
Крупномасштабные сети
На рынок операторов связи, сервис-провайдеров и крупных корпораций рассчитан новый аппаратный межсетевой экран Firebox V200, способный обрабатывать гигабитные потоки и предназначенный для защиты периметра крупномасштабных сетей. Он добавлен в линейку брандмауэров V-класса WatchGuard Technologies. Эта высокопроизводительная платформа, основанная на специализированном чипе ASIC, развивает пропускную способность до 2 Гбит/с, или до 1,1 Гбит/с при шифровании 3DES, поддерживает до 40 тыс. VPN-туннелей и одновременно обрабатывает 500 тыс. сессий. Встроенная функция балансировки нагрузки распределяет трафик между 16 серверами (шестью заранее заданными способами). При аварийном сбое активизируется система резервирования серверов. Модель поддерживает виртуальные локальные сети, обеспечивает заданную полосу пропускания, имеет улучшенные протоколы маршрутизации.
В поставку FireBox V200 входит графическая консоль администрирования и управления Vcontroller, выполненная на кросс-платформном коде Java и существенно упрощающая настройку.
Управление межсетевым экраном V200 выполняется централизованно по зашифрованному каналу с помощью масштабируемой системы управления CPM (Central Policy Manager). Благодаря ей администратор может менять политики безопасности сразу на всех брандмауэрах: правила безопасности для одного устройства применимы к другому или к группе межсетевых экранов. Используя CPM, можно создать централизованную систему уведомлений о чрезвычайных событиях и ведения журнала регистрации событий (log-файла).
О попытках нарушения установленной политики безопасности система оповещает администратора по электронной почте, шлет сообщения на пейджер или любое SMS-совместимое устройство; предупреждения о нападении выдаются также с помощью всплывающего окна Windows или запуска любой выбранной администратором программы. Это позволяет быстро отреагировать на нападение.
С моделью V200 поставляется 90-дневная подписка на пакет онлайновых услуг LiveSecurity, включающий технические консультации, предупреждения о вирусах, рекомендации группы немедленного реагирования WatchGuard по устранению обнаруженных уязвимостей в ПО и по настройке для противодействия новым видам атак, обучающие статьи. Эта информация готовится альянсом LiveSecure, объединяющим ведущие мировые компании в области информационной безопасности - RSA, ISS, Webtrends, TrendMicro и другие.
Сети среднего размера
Новый аппаратный FireBox V60L, как и другие модели семейства Vclass, создан на базе ASIC-архитектуры и позволяет при компактном форм-факторе 1U достичь рабочих параметров, характеризующих брандмауэры для сетей среднего размера, - а именно скорости фильтрации трафика до 100 Мбит/с и 3DES-кодирования информации в туннелях VPN до 50 Мбит/с. Всего Firebox V60L способен обеспечить одновременную работу 150 туннелей VPN, из которых 100 - типа "шлюз - хост" между центральным офисом и удаленным пользователем и 50 межсетевых типа "шлюз - шлюз". С его помощью можно физически сегментировать сеть и реализовать возможности QoS, динамической маршрутизации, балансировки нагрузки на серверы и поддержки VLAN в каждом отдельном сегменте. Устройство предназначено для монтажа в стойку.
Компания предусмотрела возможность развития этой модели до более высокого уровня. Процедура обновления поднимает скорость фильтрации до 200 Мбит/с, а скорость кодирования информации по алгоритму 3DES - до 100 Мбит/с. При этом снимается ограничение на количество поддерживаемых пользователей, в то время как у исходной модели V60L данный показатель ограничен числом 250. Модель нацелена на быстрорастущие предприятия рынка SMB, стремящиеся избежать финансовых затрат на начальном этапе.
Еще один новый брандмауэр для этого рынка - комплекс WatchGuard FireBox 500 - дополняет модельный ряд WatchGuard FireBox III. Межсетевой экран FireBox 500 поддерживает пакетную фильтрацию со скоростью 75 Мбит/с и контекстный анализ на уровне фильтров - посредников приложений. Комплекс автоматически блокирует атакующие хосты (на срок от одной минуты до месяца) и манипуляции с IP-пакетом, снабжен защитой от сканирования и способен обнаруживать атаки типа ip-spoofing. Модель FireBox 500 включает средства построения VPN типа "шлюз - хост". Для создания VPN между защищаемой ЛВС и удаленным пользователем можно задействовать поставляемые с брандмауэром инструменты поддержки PPTP или IPSec.
Инсталляция, управление и мониторинг межсетевого экрана выполняются при помощи интуитивно понятной системы мастеров и графических утилит со встроенной системой защиты от ошибок. Время настройки обычно не превышает 15 мин. Как и другие устройства WatchGuard, экран FireBox 500 поставляется с управляющим программным обеспечением Control Center и подпиской на услуги LiveSecurity.
ПО Control Center обеспечивает мониторинг и предупреждает о нападении в режиме реального времени. Встроенные средства мониторинга визуализируют текущие рабочие характеристики - загрузку портов и процессора, объем трафика, число и направление установленных через межсетевой экран соединений. Система предупреждения о нападении оповещает администратора о нарушениях политики безопасности.
FireBox 500 дает возможность представлять графические отчеты по заранее заданным шаблонам без привлечения других обработчиков log-файла. Предусмотрена функция экспорта данных в текст и в формат WebTrends.
Беспроводные сети
Беспроводные сети требуют дополнительных мер обеспечения безопасности. WatchGuard подготовила программно-аппаратный комплекс по защите периметра сети FireBox SOHO 6 Wireless. Этот брандмауэр, поддерживающий скорости фильтрации до 75 Мбит/с и 3DES-шифрования - до 20 Мбит/с, способен защитить беспроводное соединение с корпоративной сетью.
Функционально прибор оснащен пятью 10/100 интерфейсами Fast Ethernet и имеет модуль 802.11b для беспроводного соединения. Количество беспроводных подключений при этом не ограничено.
Модели Firebox SOHO 6 Wireless позволяют быстро развернуть эффективную систему межсетевой защиты, поддерживают VPN, обеспечивают надежную stateful-технологию пакетной фильтрации и фильтрацию URL-адресов для ограничения доступа к информационным ресурсам глобальных сетей.
Они поставляются с 90-дневной подпиской на услуги LiveSecurity и годовой - на антивирусную защиту McAfee VirusScan ASaP.
