Брандмауэры

Выбор редакции: Check Point FireWall-1

Цена: 2995 долл. (25 узлов); 4995 долл. (50 узлов); 7995 долл. (100 узлов); 9995 долл. (250 узлов); 18 990 долл. (неограниченное число узлов)
Гарантия: 90 дней
Дистрибьюторы, интеграторы: Ingram Micro, Uunet, Westcom
Условия авторизации: обязательная сертификация для участия в программе Check Point Alliance
Check Point Software Technologies Ltd.
Редвуд-Сити, шт. Калифорния, (650) 628-2000, (800) 429-4391, http://www.checkpoint.com

Тест-центр CRN присудил знак отличия «Выбор редакции» фирме Check Point Software Technologies за брандмауэр FireWall-1, в котором реализована технология «таможенного» контроля. Это решение с широкими возможностями, но при этом простое в инсталляции и обслуживании. Компания предлагает реселлерам обучение методике сбыта и техническую подготовку, а также программы работы с каналом, что жизненно важно для их становления на новом поприще средств защиты.

Необходимо также отметить и брандмауэр AltaVista FireWall 97 компании Digital Equipment. Этот прошлогодний лауреат Тест-центра, как и прежде, столь же технически совершенен, сколь и ориентирован на канал.

Заслуживает почетного упоминания брандмауэр Eagle NT фирмы Raptor Systems.

Относительная техническая сложность брандмауэров все еще пугает кое-кого из реселлеров: лишь год назад эти технологии вышли из стен лабораторий, превратившись в общедоступное средство защиты. В целом Тест-центр обнаружил, что программы работы с каналом также претерпели определенную эволюцию в направлении совместного сбыта, кооперативных фондов и актуального подбора заказчиков. Вероятно, полезен для отрасли и акцент на программы работы с каналом разного уровня, отвечающего специализации и опыту реселлеров.

Check Point предлагает не только многоуровневое сотрудничество, но и нечто гораздо большее: кооперативные фонды распределяются не только напрямую реселлерам, но также и дистрибьюторам; выплачиваются премии за быструю «разработку» потенциальных заказчиков, имеется и обширный штат выездных специалистов по сбыту и техническим вопросам. Кроме того, компания обеспечивает работу со многими протоколами безопасности, что позволяет реселлеру при необходимости выйти и за пределы брандмауэра Furewall-1.

Check Point представляет единую платформу, объединяющую все аспекты сетевой безопасности в открытую базовую структуру. Используя стандартные API-интерфейсы и протоколы, в нее легко можно встраивать средства защиты независимых фирм. Все прикладные программы могут конфигурироваться и управляться из центрального офиса. Реселлеры могут встраивать компоненты системы безопасности от независимых поставщиков. Брандмауэр FireWall-1 прямо «из коробки» может работать с более чем 100 заранее заданными приложениями, службами и протоколами. Пакет AltaVista фирмы Digital лучше всех в нише брандмауэров справляется с подбором клиентов. Он способен «выкачивать» сотни указаний на потенциальных заказчиков в месяц, регистрируя каждого, кто загрузил пробную версию.

Поскольку в прошлый раз Тест-центр уделил много внимания программам работы с каналом, Digital добавила в свой пакет предложений семинары для конечных пользователей и ряд мер стимулирования, в том числе и ПО для виртуальной частной сети при продаже определенного числа брандмауэров. Это хорошее маркетинговое средство для реселлеров, позволяющее им выйти на новый уровень приносящих прибыль услуг. Большое впечатление произвел конфигуратор аппаратных и программных средств, который реселлеры смогут использовать как инструмент содействия сбыту, обслуживая своих клиентов на местах.

Элегантный интерфейс AltaVista FireWall 97 достаточно сложен, но не загроможден и дает возможность реселлерам задавать внешние службы. Этот брандмауэр исследует каждый поступающий вызов, и если он не соответствует установленной стратегии защиты, то брандмауэр отвергает его. Для управления доступом к службам используются посредники приложений «с доверием».

Фирма Raptor, уже отмеченная Тест-центром год назад, снова заслуживает признательности как за пакет, так и за программы работы с каналом. Eagle 5.0 может обслуживать насыщенную линию T3 на платформе Intel, на базе многопоточных посредников приложений, с использованием симметричной мультиобработки. Кроме того, брандмауэр на базе агентов немало поможет реселлеру и в ходе выявления вторжений.

Фирма Raptor, недавно купленная компанией Axent Technologies, ориентируется на крупных VAR’ов, которые работают на ниве консалтинга по обеспечению безопасности, и предоставляет демонстрационные образцы со скидкой, большой штат выездных специалистов по сбыту, а также значительные скидки при закупке крупных партий и фонды развития рынка. Raptor поставляет VAR’ам пробный CD со всеми брандмауэрами для различных платформ, так что клиенты могут попробовать их в течение 30 дней.

Среди других брандмауэров, заслуживающих внимания реселлеров, следует назвать пакет Firewall for NT фирмы Secure Computing, который способен обслуживать до трех сетевых интерфейсов: один с внутренней сетью, другой с внешней и еще один - с сетью Secure Server Network. Пакет Conclave компании Internet Dynamics сочетает в себе брандмауэр, средства шифрования и аутентификации и антивирусную защиту и может дистанционно управляться из любой точки интрасети. В пакете Proxy Server 2.0 корпорации Microsoft для обеспечения масштабирования и эффективности используется протокол Cache Array Routing Protocol (CARP) с множеством посредников приложений, сконфигурированных в единый логический кэш. Пакет Guardian Firewall фирмы NetGuard имеет Windows-подобный интерфейс, допускающий управление несколькими изолированными защищенными областями. Брандмауэр FireWall/Plus for Windows NT компании Network-1 работает в «режиме ядра», перехватывая пакеты еще до того, как они достигнут ОС Windows NT. Что же касается брандмауэра Proxy Plus фирмы CSM, то это эффективный недорогой пакет, требующий, однако, высокого уровня технических знаний для конфигурирования и управления.

Check Point FireWall-1

Цена: 2995 долл. (25 узлов); 4995 долл. (50 узлов); 7995 долл. (100 узлов); 9995 долл. (250 узлов); 18 990 долл. (неограниченное число узлов)
Гарантия: 90 дней
Дистрибьюторы, интеграторы: Ingram Micro, Uunet, Westcom
Условия авторизации: обязательная сертификация для участия в программе Check Point Alliance
Check Point Software Technologies Ltd.
Редвуд-Сити, шт. Калифорния (650) 628-2000 (800) 429-4391 http://www.checkpoint.com

Если требуется всеобъемлющее общекорпоративное решение по обеспечению безопасности в Интернете, то пакет FireWall-1 компании Check Point Software Technologies будет прекрасным вариантом. Разработанная компанией платформа Open Platform for Secure Enterprise Connectivity (OPSEC) представляет собой базу, объединяющую все аспекты защиты сети в открытую, легко управляемую основу, в которую, используя стандартные API и протоколы, можно легко встроить средства защиты независимых поставщиков. После того как в платформу OPSEC интегрированы новые средства защиты, всю систему можно сконфигурировать (и управлять ею) с центрального поста.

FireWall-1 - брандмауэр на базе «таможенного» контроля (stateful inspection), который гарантирует надежную защиту, обеспечивая слежение за состоянием коммуникации и приложений, контекстной информацией, а также динамически обновляя сохраненную информацию.

Реселлеры могут встроить в систему безопасности и другие компоненты от независимых поставщиков, в наибольшей мере отвечающие потребностям клиента. Позволяя реселлерам использовать новейшие средства защиты от различных поставщиков и интегрировать их прямо в брандмауэр, фирма Check Point дает им возможность постоянно находиться на переднем крае развития технологий защиты и на шаг впереди хакеров.

FireWall-1 прямо «из коробки» может использоваться с более чем 100 заранее заданными приложениями, службами и протоколами. Он может работать со всеми основными службами Интернета, в том числе с защищенными браузерами Web и традиционными Интернет-приложеними, такими, как почта и FTP.

Инсталляция

Инсталляция брандмауэра FireWall-1 прошла успешно и быстро, с минимальным участием инженеров Тест-центра и приглашенного реселлера. В пакет входят два главных компонента: сам брандмауэр и клиент графического интерфейса. Чтобы установить FireWall-1, реселлер должен знать службы TCP/IP, DNS и программы-агенты доступа, а также иметь базовые знания, касающиеся узла и сети.

Документация на пакет Check Point весьма подробна, прилагается и руководство по начальной установке, которого вполне достаточно, чтобы запустить брандмауэр в работу. Отдельное руководство содержит подробное описание настройки ГИП, сетевой архитектуры, администрирования и др.

Администрирование

Можно задать регистрацию попыток вторжения, которые будут считаться враждебными или неразрешенными, с выдачей предупреждений или занесением в журналы служб. В качестве предупреждений могут служить сообщения SNMP, всплывающие элементы или записи красного цвета, которые явно выделяются в журнале. Будучи правильно установлен, FireWall-1 не требует дальнейшего обслуживания. Администратор может просто просматривать журнал и контролировать статус. Различные уровни управления доступом облегчают задачу сопровождения брандмауэра.

Пакет Check Point - удачное сочетание набора возможностей и интерфейса, а это означает, что даже наиболее фундаментальные задачи потребуют совсем немного времени и усилий. FireWall-1 использует домены NT и хорошо стыкуется со средствами аутентификации, в частности, Secure ID фирмы Security Dynamics. Он не укрепляет операционную систему и не устраняет «дыры» в ней, но этого и не требуется для «скрытого» брандмауэра.

CSM Proxy Plus 4.0

Цена: 699 долл.
Гарантия: 30 дней
Дистрибьюторы, интеграторы: Sunbelt Software, Indelible Blue, Micro Central
Условия авторизации: продемонстрировать знание сетевых технологий на базе Windows и TCP/IP
Computer Software Manufaktur Inc.
Лейтон, шт. Юта (801) 547-0914 http://www.csm-usa.com

На этот раз фирма Computer Software Manufaktur предлагает новую, улучшенную версию брандмауэра CSM Proxy Plus 4.0. Однако, несмотря на все расширения и новые функции пакета, компания не сочла нужным повысить его цену. Proxy Plus 4.0 - серьезный брандмауэр по вполне доступной цене: всего лишь 699 долл.

Инсталляция

Хотя Proxy Plus вполне доступен и прост в установке, для его конфигурирования и управления им требуется более высокий уровень технических знаний, чем для аналогичных пакетов. Инсталляция брандмауэра CSM прошла гладко, с минимальным вмешательством инженеров Тест-центра и приглашенного реселлера. Программа работает в качестве службы, поэтому для ее запуска не требуется перезагрузка системы.

По умолчанию Proxy Plus не конфигурирует серверы полномочий, так что реселлер должен сам настроить все службы, с которыми будут взаимодействовать программы-агенты доступа, а не полагаться на их набор по умолчанию. Он должен знать, какое информационное наполнение будет допускаться в сеть, до того как конфигурировать агенты.

Реселлер должен обладать хорошим знанием служб TCP/IP, пониманием основ работы узла и сети, а также доскональным знанием DNS, электронной почты и конфигураций маршрутизаторов. Большая часть конфигурирования сводится к разрешению или запрещению служб.

Хотя CSM отдала много сил модернизации пакета, следовало бы уделить несколько минут и пересмотру документации. В одном месте руководства, например, предлагается запустить утилиту «setup.exe», хотя такой программы нет вовсе: вместо нее в новой версии пакета имеется самораспаковывающийся файл. Были бы кстати и рабочие таблицы по сбору и обработке информации.

Администрирование

Использование интерфейса с закладками облегчает поиск нужной информации. Закладки в диалоговом окне расположены в логичном порядке, и опции по умолчанию уже помечены. Proxy Plus имеет средства автоматического конфигурирования браузера, так что конечному пользователю достаточно просто указать на нужный адрес, и программа сама сконфигурирует браузер на применение надлежащих служб и портов.

После первичного конфигурирования для брандмауэра CSM не требуется обслуживания, если только в сети не осуществляются какие-либо изменения. Построенный на базе Web интерфейс обеспечивает дистанционное управление, мониторинг и конфигурирование с другой рабочей станции. В нем отсутствуют средства интеграции с электронной почтой и пейджинговыми системами, а также со средствами аутентификации, такими, как Secure ID. Proxy Plus не использует домены NT и не обеспечивает стыкуемости с базами данных.

К сожалению, фирма CSM не подумала и об укреплении операционной системы. Имеющиеся в ОС «лазейки» (например, те, что остались в случае неустановки последнего сервисного пакета) так и остаются широко открыты после инсталляции этого брандмауэра; программа не сообщает о местоположении этих «дыр» и методах их устранения, так что вход для злоумышленника всегда открыт.

Программа не объясняет, как выявлять попытки проникновения или иные нарушения защиты. Входящий и исходящий через сервер трафик регистрируется, однако нельзя задать, какой именно следует контролировать. Журналы регистрации содержат информацию об источнике, получателе, службе и количестве посланных и принятых байтов.

Учитывая «прочность» брандмауэра Proxy Plus, атака до получения отказа в обслуживании позволяет легко его «сломать». Хотя у Proxy Plus есть много функций, отсутствующих в других серверах с кэшированием доступа, обеспечиваемый им уровень защиты явно недостаточен.

Digital AltaVista FireWall 97

Цена: 2495 долл. (25 узлов); 3995 долл. (50 узлов); 7995 долл. (200 узлов); 14 995 долл. (неограниченное число узлов)
Гарантия: 30 дней
Дистрибьюторы, интеграторы: Ingram Micro, Merisel
Условия авторизации: нет
Digital Equipment Corp.
Литлтон, шт. Массачусетс (800) 344-4825 http://www.altavista.software.digital.com

Прошлогодний лауреат Тест-центра, пакет AltaVista FireWall 97 фирмы Digital, остается столь же крепким брандмауэром с тем же элегантным интерфейсом. Программа достаточно сложна, но не перегружена и обеспечивает высокий уровень безопасности. Как и прежде, реселлеры могут положиться на этот пакет, предлагая своим заказчикам всеобъемлющий план защиты сети.

AltaVista FireWall 97 работает на выделенной машине под управлением Windows NT или Unix. Помимо стандартного набора функций брандмауэра, он позволяет реселлерам указать, какие из внешних служб будут доступны пользователям.

AltaVista FireWall 97 анализирует каждое поступающее на него соединение, и, если оно не отвечает установленным требованиям стратегии защиты, брандмауэр его отвергнет. Для управления доступом к службам брандмауэр использует соотвествующие программы-агенты. Кроме того, он гарантирует, что IP-переадресация будет отключена, так что весь трафик будет проходить через эти агенты доступа. Все службы и учетные записи пользователей, не относящиеся к брандмауэру, удаляются; все события регистрируются, и о них сообщается в отчетах.

Инсталляция

Пакет AltaVista FireWall 97 устанавливается с минимальным вмешательством реселлера. Для инсталляции требуется NTFS-форматированное свободное пространство или NTFS-раздел, в противном случае перед инсталляцией этого брандмауэра потребуется повторная установка Windows NT. Реселлер должен хорошо знать DNS и функции агентов, в том числе контроля полномочий.

AltaVista FireWall 97 содержит полезные рабочие таблицы, в которые до начала инсталляции следует внести требуемую информацию. В результате реселлер обладает всей необходимой информацией, и ему не придется прерывать процесс установки и заниматься поиском недостающих сведений. В документации более подробно освещены вопросы, касающиеся ОС Unix, нежели Windows NT.

Интерфейс под Windows NT прост в навигации и хорошо продуман. Средства администрирования обеспечивают полное конфигурирование брандмауэра; можно использовать и браузер Web. Для настройки более сложных функций, таких, как предупреждения и доступ к службам, требуется хорошее знание пакета.

AltaVista FireWall 97 не обеспечивает автоматического конфигурирования браузера, требуя от реселлера дополнительной работы.

Предупреждения о подозрительных попытках регистрации заносятся в файлы регистрации; при этом (приятный сюрприз!) меняется и цвет «обоев». Журналы сохраняются в виде простого файла отдельно по каждой службе. Средства интеграции с электронной почтой AltaVista FireWall 97 позволяют посылать отчеты и предупреждения. Этот брандмауэр использует домены Windows NT, однако не стыкуется со средствами аутентификации, в частности Secure ID.

В руководстве приведен перечень возможных изменений в маршрутизаторе контроля по периметру, с использованием списка доступа и мер против спуфинга. Это преградит дорогу злоумышленникам извне, однако не избавит от попыток взлома брандмауэра изнутри. AltaVista FireWall 97 прекрасно справляется с задачей укрепления операционной системы и помогает реселлерам выбрать службы, которые следует включить или отключить, и даже выдает рекомендации по организации защиты. Однако он не обеспечивает стыкуемости с базами данных.

Internet Dynamics Conclave

Цена: 2695 долл.
Гарантия: 90 дней
Дистрибьюторы, интеграторы: поставки системным интеграторам и VAR’ам
Условия авторизации: соглашение с реселлером; обучение методике сбыта и техническая подготовка; сертификация
Internet Dynamics Inc.
Лайл, шт. Иллинойс (630) 953-7700 http://www.interdyn.com

Пакет Conclave фирмы Internet Dynamics объединяет в себе брандмауэр, средства шифрования, аутентификации и антивирусной защиты. В то время как некоторые брандмауэры защищают сеть только по периметру, Conclave держит под контролем расширенную сеть, управляя доступом на уровне отдельных документов.

В пакете Conclave реализованы мощные методы аутентификации, особенно для сертификатов X.509, что обеспечивает идентификацию мобильных пользователей. Кроме того, для обнаружения и защиты от злонамеренных пакетов применяются цифровые подписи на базе MD5.

Conclave может дистанционно управляться из любой точки в пределах интрасети, для чего служат автоматическое распространение базы данных стратегии защиты и резервное копирование. Брандмауэр защищает ресурсы от несанкционированного доступа, используя фильтрацию IP-пакетов и серверы полномочий. Предусмотрены и агенты антивирусного контроля для всех популярных протоколов, в том числе HTTP, FTP, NNTP, Telnet, SMTP и RealAudio. Интерфейс администратора пакета Conclave позволяет легко добавлять новые протоколы. Серверы этого пакета обмениваются данными, применяя 256-бит шифрование. Мобильные пользователи в Интернете защищаются по той же самой технологии.

Инсталляция

Conclave прост в установке и требует минимального опыта и участия, хотя никому из реселлеров не помешает хорошее знание таких служб, как FTP, почта и серверы Web. Окно администратора имеет закладки, позволяя легко перемещаться между интерфейсами. Сам интерфейс превосходен и построен на стандартном управлении при помощи мыши с двумя кнопками для выбора и добавления новых элементов. Управляющий интерфейс весьма богат, однако понять его довольно трудно; нелегко и изменять конфигурацию. Даже для заранее заданных правил требуются дополнительные записи на нескольких различных экранах. Было бы совсем не лишним предложить шаблоны или онлайновое руководство.

Можно задать предупреждения о запущенных серверах и службах, серверах, которые не были запущены, имели проблемы при запуске или прекратили работу. Доступ пользователей через брандмауэр обеспечивают несколько методов аутентификации с различными уровнями защиты в диапазоне от свободного входа до цифровых сертификатов.

В базовый брандмауэр Conclave интегрированы и другие компоненты, помогающие укрепить безопасность сети. Среди них такие модули, как Conclave Policy Manager, отвечающий за все административные функции, Conclave Access Filter, обеспечивающий основные функции брандмауэра, а также Conclave Certificate Authority, позволяющий компаниям выпускать свои собственные электронные сертификаты, не прибегая к услугам независимых фирм.

Можно заказать модуль Conclave Electronic Passport, шифрующий трафик и однозначно идентифицирующий каждого пользователя.

Conclave гладко стыкуется с доменами NT и может работать с такими методами аутентификации, как SecureID и др. Conclave хранит информацию в собственной базе данных, а регистрация ведется с помощью журнала событий, для размещения записей которого может понадобиться дополнительное дисковое пространство на сервере. Брандмауэр может обслуживать несколько серверов, используя единую станцию управления для осуществления заданных стратегий на различных фильтрах доступа.

Guardian 3.0 Firewall for Windows NT

Цена: 3980 долл. (50 узлов); 6480 долл. (250 узлов); 8980 долл. (неограниченное число узлов)
Гарантия: 90 дней
Дистрибьюторы, интеграторы: Comstor, GE Capital
Условия авторизации: обучение методике сбыта и техническая подготовка; сертификация
NetGuard Inc.
Фэрфекс, шт. Виргиния (703) 359-8150 (800) 884-5660 http://www.ntguard.com

Оправдывая свое имя («Страж»), брандмауэр Guardian 3.0 Firewall for Windows фирмы NetGuard полностью интегрируется в среду Windows NT. Специализирующимся на Windows-решениях реселлерам очень понравится интерфейс этого пакета. Необходимо хорошее знание глубинных аспектов NT, поскольку Guardian не полностью укрепляет операционную систему.

Новая функция версии 3.0 пакета - ZoneGuard - обеспечивает инсталляцию нескольких изолированных зон безопасности и управление ими, что особенно удобно. ZoneGuard предоставляет средства защиты и аутентификации для интра- и экстрасетей любой архитектуры. Изоляция зон достигается «таможенным» контролем уровня MAC, при этом каждый пакет анализируется на самом низком из возможных уровней, формируя демилитаризованные зоны (DMZ).

Анализируя статус данных на самом низком уровне в стеке протоколов, брандмауэр допускает в сеть только пакеты, разрешенные стратегией защиты. Не допуская пакеты через многочисленные уровни сети, брандмауэр повышает ее пропускную способность, держа при этом ОС в полной изоляции. Функция Network Address Retention (NAR) устраняет необходимость постоянно изменять конфигурацию маршрутизатора.

Инсталляция

Документация на пакет Guardian 3.0 предлагается только в электронном виде на программном CD. Но то, что годится для программных комплектов по 20 долл. за штуку, не подходит для пакета стоимостью в 4000 долл. Простое руководство по начальной установке было бы более к месту. Не имея печатного руководства, нельзя предугадать, какая информация может понадобиться в ходе инсталляции.

Тем не менее и без печатной документации инсталляция пакета Guardian проходит легко и требует минимального участия реселлера. При установке CD в накопитель он запускается автоматически, после чего инсталлируется агент брандмауэра, а затем и станции управления.

«Мастер» конфигурирования позволяет быстро и легко задать основной набор правил. Правда, чтобы использовать этот «мастер», реселлер должен знать IP-адрес почты, FTP, HTTP и DNS. После этого система устанавливает правила для выбранных серверов и служб.

Нельзя задать одно правило для нескольких служб. Например, для FTP- и HTTP-трафика, идущего на один и тот же сервер, нужно задать два правила. Guardian позволяет легко задавать объекты и снабжать их пиктограммами для облегчения доступа. На отдельный экран можно вывести список агентов, пользователей, уровень трафика и сбоев, а также места наибольших информационных потоков. Такой просмотр весьма полезен, однако большую площадь экрана занимает информация, используемая для конфигурирования, а не для мониторинга; лучше были бы два отдельных экрана. Из-за обилия информации экран нередко выглядит перегруженным.

В Guardian 3.0 входят сервисные программы, облегчающие его стыковку с электронной почтой, пейджинговой системой и SNMP. Guardian не использует домены NT, но способен работать с популярными схемами аутентификации. Стыкуемость с базами данных обеспечивается ODBC-совместимой настройкой. Защита могла бы быть и получше: Guardian не «узнал» лавину сигналов синхронизации и не выдал предупреждение.

Microsoft Proxy Server 2.0

Цена: 995 долл. (полный пакет); 595 долл. (для учебных заведений); 505 долл. (альтернативный пакет изменений)
Гарантия: 90 дней
Дистрибьюторы, интеграторы: D&H Distributing, Corporate Software, Gates/Arrow, Ingram Micro, Merisel, MicroAge, SoftMart, Software Spectrum, Tech Data
Условия авторизации: нет
Серийный номер: 621-00135 (полная версия); 621-00136 (академическая версия); 621-00138 (альтернативный пакет изменений)
Microsoft Corp.
Редмонд, шт. Вашингтон (425) 882-8080 (800) 426-9400 http://www.microsoft.com/proxy

В модифицированной версии пакета Proxy Server 2.0 фирмы Microsoft применен протокол Cache Array Routing Protocol (CARP), который обеспечивает масштабируемость и эффективность при использовании нескольких программ-агентов доступа, сконфигурированных в виде единого логического кэша. Процедура маршрутизации на базе контрольных сумм преобразует URL-адреса в числа, или ключи, сохраняемые затем в кэше. Это позволяет браузеру или агенту основного трафика быстрее узнавать, где именно находится сохраненная информация, независимо от того, осталась ли она от предыдущего запроса или впервые выводится в Интернет.

Технология CARP устраняет обмен запросами между серверами полномочий, типичный для сетей, работающих по протоколу Internet Cache Protocol (ICP). Это устраняет перегрузку и ускоряет доступ в Интернет. В обычной ситуации с несколькими серверами полномочий на каждом из них кэшируется во многом одна и та же информация, поскольку в течение 80% времени все пользователи обращаются, как правило, к одним и тем же данным. При хешировании же URL-адресов интервалы ключей присваиваются различным серверам полномочий, чтобы исключить дублирование. Когда несколько серверов управления доступом работают как единый логический кэш, ответ на запрос приходит быстрее.

Инсталляция

Proxy Server прост в установке; все делается без участия пользователя. Хотя пакет не предъявляет каких-либо особых требований к аппаратной части, неудивительно, что он не работает с Windows NT 3.51, как большинство брандмауэров. Microsoft делает все возможное, чтобы подтолкнуть системных администраторов к переходу на NT версии 4.0.

Для инсталляции пакета необходимо хорошее знание Windows NT. По умолчанию Proxy Server не включает динамическую фильтрацию пакетов, так что это должен сделать реселлер. Конфигурирование фильтрации пакетов может оказаться нелегким делом, поэтому многие из реселлеров могут просто инсталлировать сервер полномочий и решат не включать фильтрацию пакетов. В результате брандмауэр окажется ненадежным, со многими «лазейками», которые не замедлят обнаружить хакеры.

Интерфейс пакета Proxy Server имеет различные блоки конфигурирования, однако вследствие того, что каждая из служб частично использует общие данные конфигурации, настройку можно было бы сделать более эффективной. В целом же интерфейс хорош, однако нуждается в более совершенной системе централизованного управления. Пакет имеет средства автоматического конфигурирования браузера, так что конечный пользователь просто указывает нужный адрес и порт, а браузер сам настраивается на соответствующие службы и порты. Процедура самоконфигурирования у Proxy Server была самой лучшей в этом обзоре.

Уведомления о регистрации вносятся в журнал событий, причем журналы сохраняются в виде файлов отдельно по каждой из служб. Proxy Server не имеет средств интеграции с электронной почтой и пейджинговыми системами. Он использует домены NT, однако не может работать со средствами аутентификации, такими, как Secure ID. Что удивительно, пакет не укрепляет операционную систему, хотя как раз это он должен бы уметь. Предусмотрен и интерфейс с сервером Web, однако отсутствуют средства стыковки с базами данных.

Raptor Eagle NT

Цена: 3995 долл. (1-100 узлов);
8500 долл. (250 узлов);
12 500 долл. (неограниченное число узлов)
Гарантия: не предлагается
Дистрибьюторы, интеграторы: Access Graphics, Ingram Micro, Merisel, MicroAge, Tech Data
Условия авторизации: нет
Raptor Systems (отделение компании Axent Technologies)
Уолтхэм, шт. Массачусетс (781) 530-2200 (888) 660-7278 http://www.raptor.com

Как и прошлогодняя версия 4.0, нынешний Eagle 5.0 фирмы Raptor представляет собой непробиваемый брандмауэр, прекрасно укрепляющий операционную систему и устраняющий «лазейки». Помимо трехкратного роста производительности очередную версию отличает новый графический интерфейс и множество новых возможностей.

Eagle 5.0 способен теперь обслуживать насыщенную линию T3 на платформе Intel, используя новую опцию «быстрого пути», многопотоковые посредники приложений и симметричную мультиобработку. Eagle 5.0 способен обеспечить смешанную пропускную способность свыше 45 Мбайт/с - быстродействие вполне достаточное, чтобы обслуживать коммерческие каналы провайдеров услуг в Интернете. Динамическое управление ключами с помощью протокола ISAKMP/Oakley освобождает реселлера от настройки ключей для шифрования и от управления ими.

Eagle 5.0 полностью совместим с IPSec и обеспечивает 56-бит шифрование по стандарту DES, отвечая требованиям сложнейшего шифрования. Обладая полным набором функциональных возможностей за пределами физической сети, Eagle прекрасно подходит для обслуживания большого числа мобильных пользователей. Кроме прочего, в Eagle 5.0 интегрирован блокировщик узлов новостей, предотвращающий доступ к незарегистрированным новым узлам.

Инсталляция

Eagle 5.0 прост в установке и почти не требует участия реселлера. Он прекрасно справляется с тем, чтобы закрыть все, что только можно, и с конфигурированием, хотя для этого требуется хорошее знание служб TCP/IP и DNS, а также агентов доступа. Реселлер должен иметь базовые знания, касающиеся работы узла и сети, а также получить определенную информацию от провайдера относительно конфигурации DNS, почты и маршрутизатора.

Кроме того, реселлер должен знать, какие службы требуются для организации трафика через Интернет, как входящего, так и исходящего.

Eagle поставляется с хорошим руководством по подготовке узла и инсталляции. Интерфейс интуитивно понятен и прост в навигации. Единая линейка меню содержит опции конфигурирования, позволяющие вызывать различные экраны. Справочная система тоже неплоха. Правда, как бы хорошо Eagle ни справлялся с самонастройкой, автоматическое конфигурирование браузеров не предусмотрено.

Регистрация ведется как по входящим, так и исходящим службам, а также по трафику, проходящему через сервер. Для каждого интерфейса можно задать сканирование портов и другие меры безопасности, однако сами записи в журнале не слишком выделяются. Они выглядят, как и все остальное, меняются лишь цифры.

Администрирование

В процессе эксплуатации Eagle почти не требует обслуживания; в ходе работы ведется сбор статистики, что позволяет администратору пристально следить за всем происходящим. Eagle хорошо интегрируется с электронной почтой и пейджинговыми системами, а кроме того, он способен посылать различные предупреждения: звуковые, SNMP, по почте и пейджеру.

Eagle использует домены NT и стыкуется со средствами аутентификации, такими, как Secure ID. Он прекрасно укрепляет операционную систему и проводит реселлера через весь процесс обнаружения «слабых мест». Однако у него нет интерфейса с сервером Web и средств для работы с базами данных.

Network-1 FireWall/Plus for Windows NT

Цена: 3750 долл. (50 узлов); 5750 долл. (100 узлов); 9000 долл. (250 узлов); 13 000 долл. (неограниченное число пользователей)
Гарантия: 90 дней
Дистрибьюторы, интеграторы: Software Spectrum, USWeb
Условия авторизации: нет
Network-1 Software & Technology Inc.
Нью-Йорк (212) 293-3068 (800) 638-9751 http://www.network-1.com

У интерфейса FireWall/Plus for Windows NT гораздо больше графических средств, чем у других аналогичных пакетов. Экран выглядит более красочно и привлекательно, но не становится проще в использовании.

Те, кто сравнительно недавно пришел в компьютерный бизнес, могут предпочесть живой, красочный интерфейс, но закаленные ветераны сетей и те, кто сточил свои зубы об Unix, сочтут, вероятно, что вся эта пестрота лишь отвлекает внимание. Но, каковы бы ни были личные пристрастия, FireWall/Plus - надежное и эффективное средство защиты.

Продукт обладает уникальной архитектурой, которая работает в «режиме ядра», перехватывая пакеты еще до того, как они дойдут до операционной системы Windows NT. Это напоминает рентгеноскопию подозрительных свертков на предмет выявления взрывных устройств перед тем, как раскрыть их. Недостаток такой архитектуры - слишком зависимое от операционной системы программное обеспечение. Будущие сервисные пакеты изменений или модернизации самой ОС могут нарушить работу брандмауэра, хотя у инженеров не возникло проблем при использовании этого пакета с NT 4.0 и Service Pack 3.

Инсталляция

FireWall/Plus прост в установке, хотя могут возникнуть и некоторые затруднения. Одно из первых «открытий», сделанных инженерами, состояло в том, что в процессе инсталляции требуется пароль администратора. Однако явно об этом нигде не сказано. Если брандмауэр будет установлен без пароля администратора, это приведет к неверной его настройке. Кроме того, для правильной деинсталляции IireWall/Plus необходимо сначала вывести его из работы, после чего брандмауэр можно установить заново, уже с паролем администратора.

Реселлеру предлагается немало опций для самостоятельного конфигурирования брандмауэра, однако существует более простой путь. «Мастер» конфигурирования может сам быстро выполнить всю работу, но все службы придется отключить, а систему перезагрузить - только тогда можно будет воспользоваться «мастером».

Если же брандмауэр конфигурируется вручную, этого можно не делать. Следуя неписаному правилу архитектуры «таможенного контроля» (stateful inspection), FireWall/Plus не укрепляет ОС и не устраняет в ней «дыры».

При простейшем конфигурировании FireWall/Plus используется один из 16 заранее заданных вариантов. Эти варианты варьируются от разрешения обычного просмотра Web до выбора режима прохождения всех пакетов. Для более глубокого или особого конфигурирования требуется знание средств обеспечения безопасности в Web и серьезное понимание TCP/IP.

Администрирование

Администрирование брандмауэра FireWall/Plus может осуществляться локально или дистанционно. Экран общекорпоративного администрирования обеспечивает доступ ко всем компонентам брандмауэра, пользователям, журналам регистрации, отчетам и статистике. Чтобы обнаружить вторжение, администратор следит за регистрацией данных и должен создавать отчеты на основе информации, полученной с помощью ежедневных, еженедельных или ежемесячных отчетов. Пакет обеспечивает мониторинг брандмауэра, трафика, событий и пользователей через единый интерфейс, которому, правда, недостает простоты, свойственной другим решениям.

Secure Computing Firewall for NT 3.0

Цена: 3000 долл.
Гарантия: нет
Дистрибьюторы, интеграторы: Anixter, Dew Point Distributed Solutions, EMJ America, Midwest Systems, Peripheral Technology Group, SeaChange, Secure Network Systems, Tech Data
Условия авторизации: обязательная авторизация компанией
Secure Computing Corp.
Сан-Хосе, шт. Калифорния (408) 487-1900 (800) 379-4944 http://www.securecomputing.com

Пакет Firewall for NT фирмы Secure Computing - внешний по периметру брандмауэр, изолирующий друг от друга все сетевые интерфейсы, исключая любую прямую коммуникацию между ними. Прямое прохождение сетевых пакетов между интерфейсами невозможно. Вместо этого прикладные данные передаются между противоположными сторонами брандмауэра в «очищенном» виде. Firewall for NT может работать и с новым протоколом CVP, используемым для антивирусных программ.

Главный компонент, обеспечивающий защитные функции пакета, - Protocol Capture Engine, который захватывает и фильтрует все проходящие через стек пакеты еще до того, как они поступят в стек протоколов. Другие существенные методы защиты представляют собой трансляцию сетевых адресов, фильтрацию пакетов и Acces control List, ACL (список управления доступом).

Трансляция сетевых адресов заключается в том, что внутренние IP-адреса заменяются на IP-адреса брандмауэра. И внутренние, и внешние пользователи видят только адрес брандмауэра. Фильтрация пакетов происходит с внешней стороны брандмауэра, и войти в сеть может только трафик TCP, UDP и GRE. Это не дает возможности сторонним пользователям войти в сеть через сетевой протокол Microsoft и защищает внутренние сетевые ресурсы.

Список управления доступом (ACL) - набор правил, заданных администратором, который регулирует доступ пользователей в сеть. Если запрос удовлетворяет правилам ACL, производится соединение с сервером полномочий; в противном случае запрос снимается и соединение прерывается.

Инсталляция

Firewall for NT прост в инсталляции и не предъявляет никаких особых требований. Реселлер должен просто указать, какой из сетевых интерфейсов находится снаружи, а какой -изнутри, и затем задать адрес для соответствующего интерфейса. При этом требуется хорошее знание TCP/IP и программ-агентов доступа, чтобы выбирать из 26 уже сконфигурированных агентов. Кроме того, реселлер должен хорошо знать DNS и организацию внутренней и внешней сети.

Брандмауэр может работать с тремя интерфейсными платами: одна для внутренней сети, другая для внешней и еще одна для защищенного сегмента, где базируются службы обработки конфиденциальной информации. Использование третьей сетевой платы для размещения защищенного сегмента позволяет реселлеру сконфигурировать «демилитаризованную зону» (DMZ).

Можно установить и использовать пакет Firewall for NT в течение 15 дней без ключа активации компании Secure Computing. Однако для надлежащего лицензирования программы необходимо будет получить его у компании. Ключ нельзя получить через Web, а часы обслуживания ограничены интервалом с 8.00 до 20.00. Деинсталляция Firewall for NT может оказаться проблематичной.

Администрирование

Административная консоль решена в виде диалогового окна с закладками, каждая из которых соответствует одной службе или их группе. Интерфейс не столь элегантен, как мог бы быть. Некоторые из закладок могут ввести в заблуждение, и не всегда ясно, какую же из кнопок следует «щелкнуть». Все операции по администрированию выполняются из одного административного модуля. Пакет обладает множеством опций конфигурирования для подачи предупреждений по электронной почте или через пейджер. Интерфейс для сервера Web не предусмотрен.

В пакет встроены средства регистрации, а монитор, следящий за подозрительной деятельностью, сканирует журнал событий и выявляет подозрительные записи, помогая администраторам корректировать стратегии защиты, чтобы не допустить вторжений и получения отказа в обслуживании. Сканер защиты обеспечивает сканирование объектов внутренней сети. Этот сканер имеет также анализатор паролей, который контролирует надежность пользовательских паролей и способен помочь в выборе более безопасного.

Firewall for NT использует домены NT для аутентификации и может стыковаться с системами аутентификации, в том числе RADIUS. Программа не укрепляет операционную систему, но проводит сканирование систем на предмет «лазеек» в защите. Брандмауэр не обеспечивает стыкуемость с базами данных и не имеет средств восстановления.