Сравнительный анализ межсетевых экранов

Сравнительные характеристики современных  межсетевых экранов

Таблица 2. Сравнительные характеристики современных межсетевых экранов

Организация комплексной защиты корпоративной  сети

Для защиты информационных ресурсов и обеспечения оптимальной работы распределенных корпоративных информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности.

Полнофункциональная защита корпоративной  сети должна обеспечить:

• безопасное взаимодействие пользователей и информационных ресурсов, расположенных в экстранет- и интранет-сетях, с внешними сетями, например с Интернетом;
• технологически единый комплекс мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия;
• наличие иерархической системы защиты, предоставляющей адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети.

Характер современной обработки  данных в корпоративных системах Интернет/интранет требует наличия  у межсетевых экранов следующих  основных качеств:

• мобильность и масштабируемость относительно различных аппаратно-программных платформ;
• возможность интеграции с аппаратно-программными средствами других производителей;
• простота установки, конфигурирования и эксплуатации;
• управление в соответствии с централизованной политикой безопасности.

В зависимости от масштабов организации  и принятой на предприятии политики безопасности могут применяться различные межсетевые экраны. Для небольших предприятий, использующих до десятка узлов, подойдут межсетевые экраны с удобным графическим интерфейсом, допускающие локальное конфигурирование без применения централизованного управления. Для крупных предприятий предпочтительнее системы с консолями и менеджерами управления, которые обеспечивают оперативное управление локальными межсетевыми экранами, поддержку виртуальных частных сетей.

Увеличение потоков информации, передаваемых по Интернету компаниями и частными пользователями, а также потребность в организации удаленного доступа к корпоративным сетям являются причинами постоянного совершенствования технологий подключения корпоративных сетей к Интернету.

Следует отметить, что в настоящее время ни одна из технологий подключения, обладая высокими характеристиками по производительности, в стандартной конфигурации не может обеспечить полнофункциональной защиты корпоративной сети. Решение данной задачи становится возможным только при использовании технологии межсетевых экранов, организующей безопасное взаимодействие с внешней средой.

Рассмотрим более подробно технологии межсетевого экранирования.

Защита  корпоративной сети от несанкционированного доступа из Интернет

При подключении сети предприятия к Интернету можно защитить корпоративную сеть от несанкционированного доступа с помощью одного из следующих решений:

• аппаратно-программный или программный межсетевой экран;
• маршрутизатор со встроенным пакетным фильтром;
• специализированный маршрутизатор, реализующий механизм защиты на основе списков доступа;
• операционная система семейства UNIX или, реже, MS Windows, усиленная специальными утилитами, реализующими пакетную фильтрацию.

Защита корпоративной сети на основе межсетевого экрана позволяет получить высокую степень безопасности и реализовать следующие возможности:

• семантическая фильтрация циркулирующих потоков данных;
• фильтрация на основе сетевых адресов отправителя и получателя;
• фильтрация запросов на транспортном уровне на установление виртуальных соединений;
• фильтрация запросов на прикладном уровне к прикладным сервисам;
• локальная сигнализация попыток нарушения правил фильтрации;
• запрет доступа неизвестного субъекта или субъекта, подлинность которого при аутентификации не подтвердилась;
• обеспечение безопасности от точки до точки: межсетевой экран, авторизация маршрута и маршрутизатора, туннель для маршрута и криптозащита данных и др.

Следует отметить, что межсетевые экраны позволяют организовать комплексную  защиту корпоративной сети от несанкционированного доступа, основанную как на традиционной синтаксической (IP-пакетной) фильтрации контролируемых потоков данных, осуществляемой большинством ОС семейства Windows и UNIX, так и на семантической (контентной), доступной только коммерческим специальным решениям.

В настоящее время все выпускаемые  межсетевые экраны можно классифицировать по следующим основным признакам:

• по исполнению:
• - аппаратно-программный,
• - программный;
• по функционированию на уровнях модели OSI:
• - шлюз экспертного уровня,
• - экранирующий шлюз (прикладной шлюз),
• - экранирующий транспорт (шлюз сеансового уровня),
• - экранирующий маршрутизатор (пакетный фильтр);
• по используемой технологии:
• - контроль состояния протокола,
• - на основе модулей-посредников (proxy);
• по схеме подключения:
• - схема единой защиты сети,
• - схема с защищаемым закрытым и не защищаемым открытым сегментами сети,
• - схема с раздельной защитой закрытого и открытого сегментов сети.

Довольно распространенная на сегодня  защита корпоративной сети на основе маршрутизатора со списком доступа основывается на использовании специализированных маршрутизаторов. Данная схема обладает высокой эффективностью и достаточной степенью безопасности. В качестве такого решения получили широкое распространение маршрутизаторы компании Cisco серий 12000, 7600. Для подключения сети предприятия к Интернету можно также использовать предшествующие серии маршрутизаторов этой фирмы.

Защита корпоративной сети на основе операционных систем, усиленных функциями  пакетной фильтрации, построена на том, что системное программное обеспечение выполняет функции маршрутизации, фильтрации, сервисного обслуживания и др. По уровню надежности, безопасности и производительности наиболее предпочтительны решения на основе UNIX-подобной операционной системы.

Организация внутренней политики безопасности корпоративной сети

В современных условиях более 50% различных  атак и попыток доступа к информации осуществляется изнутри локальных  сетей. Корпоративную сеть можно  считать действительно защищенной от несанкционированного доступа только при наличии в ней как средств защиты точек входа со стороны Интернета, так и решений, обеспечивающих безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия. Безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети наилучшим образом обеспечивают решения на основе распределенных или персональных межсетевых экранов.

Внутренние корпоративные серверы  компании, как правило, представляют собой приложения под управлением операционной системы Windows NT/2000, NetWare или, реже, семейства UNIX. По этой причине корпоративные серверы становятся потенциально уязвимыми к различного рода атакам.

Простейший способ защиты серверов — установка между серверами  и Интернетом межсетевого экрана, например Firewall-1 компании Checkpoint. При правильной конфигурации большинство межсетевых экранов может защитить внутренние серверы от внешних злоумышленников, а некоторые выявляют и предотвращают атаки типа «отказ в обслуживании». Тем не менее этот подход не лишен некоторых недостатков. Когда корпоративные серверы защищены одним-единственным межсетевым экраном, все правила контроля доступа и данные оказываются сосредоточенными в одном месте. Таким образом, межсетевой экран становится узким местом и по мере нарастания нагрузки значительно теряет в производительности.

Альтернатива предыдущей схеме  — приобретение дополнительных серверов и установка межсетевого экрана Firewall-1 компании Checkpoint или Cisco PIX компании Cisco перед каждым сервером. В результате того, что межсетевой экран становится выделенным ресурсом сервера, решается проблема узкого места и уменьшается влияние отказа отдельного межсетевого экрана на общее состояние сети. Однако и данный подход нельзя назвать идеальным, поскольку резко увеличиваются затраты компании на приобретение оборудования. К тому же возрастают трудозатраты на администрирование и обслуживание сети.

Наиболее удачным решением проблемы защиты корпоративных серверов представляется размещение средств безопасности на одной платформе с сервером, который они будут защищать. Эта задача выполняется путем использования распределенных или персональных межсетевых экранов, например CyberwallPLUS компании Network-1 Security Solution. Данные решения существенно дополняют функциональные возможности традиционных (периметровых) межсетевых экранов и могут использоваться для защиты как внутренних, так и Интернет-серверов.

В отличие от традиционных межсетевых экранов, представляющих собой, как  правило, локальные «контрольные точки» контроля доступа к критическим информационным ресурсам корпорации, распределенные межсетевые экраны являются дополнительным программным обеспечением, которое надежно защищает корпоративные серверы, например Интернет-сервер.

Сравним традиционный и распределенный межсетевые экраны по нескольким показателям.

Эффективность. Традиционный межсетевой экран часто располагается по периметру, обеспечивая лишь один слой защиты. Персональный межсетевой экран  функционирует на уровне ядра операционной системы и надежно защищает корпоративные серверы, проверяя все входящие и исходящие пакеты.

Простота установки. Традиционный межсетевой экран должен устанавливаться  как часть конфигурации корпоративной  сети. Распределенный межсетевой экран  представляет собой программное обеспечение, которое устанавливается и удаляется в считанные минуты.

Управление. Традиционный межсетевой экран управляется сетевым администратором. Распределенный межсетевой экран может  управляться либо сетевым администратором, либо пользователем локальной сети.

Производительность. Традиционный межсетевой экран является устройством обеспечения  межсетевого обмена с фиксированным  ограничением производительности по пакетам  в секунду и не подходит для  растущих серверных парков, соединенных  друг с другом коммутированными местными сетями. Распределенный межсетевой экран позволяет наращивать серверные парки без ущерба принятой политике безопасности.

Стоимость. Традиционные межсетевые экраны, как правило, являются системами  с фиксированными функциями и достаточно высокой стоимостью. Распределенные межсетевые экраны представляют собой программное обеспечение, стоимость которого, как правило, составляет от 20 до 10% от стоимости традиционных экранов. К примеру, распределенный межсетевой экран CyberwallPLUS компании Network-1 Security Solution стоит 6 тыс. долл., в то время как цена межсетевого экрана Cisco PIX 535 компании Cisco составляет порядка 50 тыс. долл.

Распределенные межсетевые экраны сочетают в себе средства контроля сетевого доступа со встроенными средствами выявления несанкционированного доступа и работают в режиме ядра, проверяя каждый пакет информации по мере его поступления из сети. Такие виды деятельности, как попытки взлома и несанкционированного доступа, блокируются этим экраном до перехода на уровень приложений сервера.