Сегодня любая компания, никак не представленная в Интернете, заведомо оказывается в проигрыше. Наличие собственного Web-узла или как минимум адреса электронной почты ожидается от каждого заказчика и делового партнера и уж совершенно необходимо для фирмы, намеренной работать долго и плодотворно.
Однако есть здесь и оборотная, весьма неприятная сторона. Стоит лишь подсоединить корпоративную сеть к Интернету, как она сразу рискует подвергнуться неисчислимым опасностям разного рода вторжений, от простого любопытства подростков и до промышленного шпионажа. Сеть, подключенная к Интернету без защиты, — безусловно еще большая глупость, чем не подключенная вовсе. Так что неминуемо встает вопрос о брандмауэре.
Так уж повелось, что основное внимание компании уделяют компонентам внутреннего и внешнего сегментов сети. На самом же деле главную роль здесь должен играть брандмауэр.
Аппаратный или программный?
Как правило, предлагаемые на рынке брандмауэры представляют собой программные решения, которые устанавливаются на машины, работающие под Unix или Windows NT, такие как Firewall-1 фирмы Check Point или Eagle компании Raptor. Однако в последнее время, особенно с выходом на этот рынок гигантов сетевого оборудования типа Cisco Systems, все больший интерес вызывают аппаратные брандмауэры. Эти устройства отличает высшая степень готовности, и они требуют от реселлера минимума усилий по установке.
Лучшие программные решения усиливают операционные системы, но, к сожалению, использование обычной ОС в качестве основы брандмауэра требует чрезвычайно внимательного отношения. Это довольно сложная задача, учитывая, что могут обнаружиться новые слабые места в Windows NT или Unix, о чем тут же станет известно через Интернет. В аппаратных же решениях поставщики применяют операционные системы собственной разработки, которые не столь открыты, как Windows NT или Unix. Меньшая известность означает, как правило, и меньшее количество известных «лазеек».
Удобство использования аппаратных решений в значительной степени обусловлено применением специальной ОС собственной разработки. Для установки программного брандмауэра нужно взять отдельный компьютер, инсталлировать на него операционную систему, а затем и многочисленные «заплаты». При установке же аппаратного брандмауэра достаточно лишь вставить шнур в розетку, подключить блок к управляющей рабочей станции и произвести его конфигурирование.
И программные, и аппаратные брандмауэры работают именно так, как заявляют поставщики. Если забыть о весьма редких сбоях, то большинство «дыр» — это следствие ошибок администратора. Поэтому и для реселлера, и для администратора крайне важно обеспечить непрерывное управление работой.
Многие брандмауэры содержат какую-либо утилиту управления с Web-интерфейсом, позволяющую изменять конфигурацию с любой рабочей станции сети. Как правило, чисто графические интерфейсы, построенные на базе Java, позволяют реселлеру ясно видеть установленные в сети правила:
какой вид трафика разрешен, а какой нет. Другие обычные средства управления брандмауэром — нуль-модемное соединение, соединение через Telnet, а также специальная управляющая утилита.
Откуда исходит угроза?
Когда речь заходит об опасностях, грозящих корпоративной сети, то первое, что рисует воображение, это образ подростка-хакера, который проводит ночи напролет, вводя все мыслимые пароли в тщетных попытках получить хоть что-то «запретное». К сожалению, такой образ уводит от куда более серьезных опасностей, угрожающих ресурсам сети.
Обиженный начальством сотрудник способен нанести гораздо больше вреда, чем любой злоумышленник извне. Ввиду хорошего знания архитектуры сети, его возможности в этом «деле» почти безграничны. Именно поэтому для защиты информации в корпоративной сети крайне важно наличие так называемой «демилитаризованной зоны» (DMZ). Это третий сегмент сети, который защищен извне, но изолирован от остальной внутренней сети. Как подсказывает название, он создает «пограничную зону» между внешней и внутренней сетями, пропускающую лишь тот трафик, который безусловно необходим.
Участники обзора
Инженеры Тест-центра CRN проанализировали четыре аппаратно реализованных брандмауэра. Все они, за исключением решения компании Cisco, оснащены, по крайней мере, тремя сетевыми интерфейсами. В устройство фирмы Lucent входят четыре интерфейса.
В том, что касается утилит управления, рассмотренные решения охватывают весь возможный диапазон. Брандмауэр Fort Knox Policy Router фирмы Internet Devices и устройство Lucent полагаются исключительно на управление через Web, а для конфигурирования системы LiveSecurity System компании WatchGuard Technologies используется управляющая утилита. Брандмауэр PIX фирмы Cisco оказался самым универсальным в этом отношении: к нему можно подключиться через последовательное соединение, по протоколу Telnet или через Web-интерфейс..