Выбор редакции: LiveSecurity System
Брандмауэр WatchGuard: просто инсталлировать, легко продавать
Цена: 4990 долл.
Компания: WatchGuard Technologies Inc.
Местоположение: Сиэтл, шт. Вашингтон
(206) 521-8340, (888) 682-1855, http://www.watchguard.com
Тест-центр CRN присудил знак отличия «Выбор редакции» компании WatchGuard Technologies за брандмауэр LiveSecurity System. Это решение не только просто инсталлировать, но и легко продавать. Почетного упоминания заслуживает также система PIX 520 128 фирмы Cisco Systems.
Почти все представленные брандмауэры работали именно так, как и было заявлено поставщиками. Разрешение или запрещение сетевого трафика на основе задаваемых пользователем критериев не представляет собой сложной задачи. Большая часть обнаруженных «дыр» в защите возникает из-за просчетов администратора, в частности, неверного конфигурирования устройства. Поэтому совершенно необходим интуитивно понятный интерфейс управления, чтобы процесс конфигурирования был как можно более простым.
Еще одна важная особенность брандмауэра — это наличие дополнительного сетевого интерфейса для создания демилитаризованной зоны (DMZ), которая позволяет ограничить трафик в сети, разделив ее на отдельные сегменты. Обеспечив фильтрацию пакетов в каждом сегменте, можно защитить критически важные серверы компании от угрозы извне и изнутри.
При работе с каналами поставщик аппаратного брандмауэра должен позиционировать решение не как «расширение» сети, а как ядро всей системы безопасности. Брандмауэр, механически «вставленный» в сеть без детального ее анализа, как минимум бесполезен, а то и опасен, поскольку вызывает ложное ощущение защищенности. Кроме того, брандмауэры открывают реселлерам дорогу к будущим продажам виртуальных частных сетей (VPN), так что компании, активно использующие серверы удаленного доступа, смогут обойтись без покупки отдельного пакета.
Одно из самых важных отличий системы фирмы WatchGuard — служба обновления. При обнаружении новой угрозы вторжения устройство WatchGuard посылает предупреждение и вместе с ним соответствующую «заплату», которую можно быстро установить. В стоимость брандмауэра входит и первый год обслуживания; за последующие годы придется платить по 995 долл. — прекрасная возможность для реселлера вновь навестить клиента. Live Security System можно наращивать, обеспечивая в нее доступ через VPN.
Инженеров Тест-центра поразили и программы подбора заказчиков, предлагаемые фирмой WatchGuard. Исходя из того, что конечный пользователь, обратившийся на Web-узел компании, вполне может оказаться потенциальным клиентом, фирма предусмотрела специальную службу, которая инициирует ответный звонок спустя 10 с после того, как он ввел свой телефонный номер. При этом торговый представитель компании может переслать пользователю соответствующие Web-страницы и тут же порекомендовать реселлера. В число рекомендуемых попадают лишь основные реселлеры компании, и, как отметили ее представители, эта служба пользуется большим спросом.
Для конфигурирования системы Live Security System применены интерфейс управления собственной разроботки. Утилита содержит серию пиктограмм, обозначающих различные протоколы, выбирая которые, можно разрешить или запретить прохождение соответствующего трафика в сеть.
Компания Cisco, крупнейший из поставщиков сетевого оборудования, также предлагает прекрасный аппаратный брандмауэр PIX 520 128. Хотя он поставляется лишь с двумя сетевыми интерфейсами, можно установить дополнительные платы. Конфигурирование устройства производится из командной строки через последовательное соединение или по Telnet, либо с помощью Web-интерфейса. Реселлеры, знакомые с продукцией Cisco, скорее всего выберут командную строку, так как это быстрее и проще — если, конечно, вы знаете синтаксис основных команд.
В своих многоуровневых программах для VAR’ов, Cisco предлагает богатый набор услуг от занесения на Web-узел компании до поставки демонстрационных образцов с весьма значительной скидкой. Программы компании Cisco становятся все более дружественными к каналу. Среди других важных элементов следует назвать встречную продажу новой технологии и бесплатную круглосуточную техническую поддержку по междугородному телефону. (Реселлеры могут также познакомиться с другим аналогичным решением фирмы Cisco, которое нацелено на малый и средний бизнес и стоит гораздо дешевле.)
Брандмауэр Fort Knox Policy Router фирмы Internet Devices, которая была лауреатом Тест-центра в прошлогоднем обзоре виртуальных частных сетей, также заслуживает внимания реселлеров. Потенциальные заказчики, предварительно отобранные поставщиком, получают информацию не только о возможностях предлагаемого устройства, но и о сетевой безопасности вообще, что готовит благодатную почву для реселлера. Компания предусматривает скидки на обучение и программу встречной продажи для аппаратных и программных средств. Fort Knox Policy Router оказался чрезвычайно прост в установке. Поскольку для его конфигурирования необходим лишь Web-интерфейс, установка каких-либо других программ на рабочую станцию администратора не требуется.
Брандмауэр фирмы Lucent Technologies стоит намного дороже других систем, рассмотренных в обзоре, однако он оснащен и наиболее полным набором сетевых интерфейсов, что позволяет реселлерам защитить от посягательств большее количество сегментов сети. Для его установки потребуется инсталлировать сервер, который сохранит параметры конфигурации до того, как они будут выгружены на брандмауэр. Программа работы с каналами компании Lucent столь же сильна, что и у других поставщиков, и отличается от остальных 4%-ной скидкой на изделие. Кроме того, VAR’ов может заинтересовать и предлагаемая фирмой программа управления инфраструктурой.
| Поставщик/Наименование изделия | Управление | Безопасность | Функциональные возможности | Инсталляция | Масштабируемость | Программы работы с каналом | Общая оценка |
|---|---|---|---|---|---|---|---|
| Cisco | +A+ | B | B | +A+ | A | +B+ | A |
| Internet Devices | B | +B+ | +B+ | +B+ | B | A | +B+ |
| Lucent | +C+ | A | B | C | B | A | +B+ |
| WatchGuard | A | +B+ | A | A | A | +B+ | A |
| Удельный вес показателей (%) | 20 | 10 | 10 | 5 | 5 | 50 | 100 |
Cisco PIX 520 128
Цена: 9000 долл.
Дистрибьюторы, интеграторы: Comstor, Ingram Micro, Tech Data
Условия авторизации: нет
Cisco Systems Inc.
Сан-Хосе, шт. Калифорния, (408) 526-4000, www.cisco.com
Компания Cisco Systems Inc. выпускает один из самых популярных на рынке брандмауэров, PIX Firewall. Инженеры Тест-центра нашли, что он не только удобен в работе, но и чрезвычайно прост в установке и конфигурировании.
Хотя большинство других устройств в обзоре оснащены интерфейсом управления на базе Java, конфигурирование системы PIX выполняется из командной строки. Cisco также предлагает Web-интерфейс, однако, реселлеры, выбравшие интерфейс командной строки, с которым можно работать через эмулятор терминала или из клиента Telnet, смогут вскоре убедиться в том, что он существенно быстрее и к тому же проще в навигации, чем многооконный Web-интерфейс с различными режимами просмотра.
Установка брандмауэра Cisco оказалась чрезвычайно простым делом. Всю работу берет на себя «мастер» PIX Firewall Setup Wizard, который назначает IP-адреса сетевым интерфейсам. Реселлер может сделать все и сам, подключившись к устройству по безмодемному кабелю и выполнив конфигурирование из командной строки.
Следует иметь в виду, что конфигурирование из командной строки может потребовать определенных знаний, однако, в большинстве случаев оно сводится к использованию лишь двух команд: CONDUIT и STATIC. Они дают указание брандмауэру открыть порты для входящего трафика. Имеется и обширная онлайновая справка, в которой дается описание всех команд и их синтаксис.
Брандмауэр PIX обладает богатыми функциональными возможностями. Функция фильтрации Web-адресов (URL) работает на базе сервера NetPartners WebSENSE, определяющего, следует ли разрешить запрошенное соединение. Поскольку основная обработка выполняется на сервере, производительность самой системы никак при этом не страдает.
Другая важная особенность решения Cisco — его способность к совместной работе с другим, параллельно включенным брандмауэром PIX, что обеспечивает отказоустойчивость всей системы защиты. Это может быть важно для крупных корпораций, которые не могут допустить потери соединения.
Кроме того, по заказу компания предлагает плату шифрования по IPSec, которая позволяет добавить функцию построения виртуальных частных сетей (VPN).
Internet Fort Knox Policy Router Professional Series
Цена: 4995 долл.
Дистрибьюторы, интеграторы: поставки
напрямую VAR’ам и системным интеграторам
Условия авторизации: обучение методике сбыта и техническая подготовка (плата за обучение 1500 долл.)
Internet Devices Inc.
Саннивейл, шт. Калифорния, (408) 541-1400, (888) 237-2244, www.internetdevices.com
Система Fort Knox Policy Router 3000 компании Internet Devices представляет собой простой в работе брандмауэр прикладного уровня, который использует прозрачные модули-посредники. Устройство оснащено тремя 100-Мбит/с адаптерами сети Ethernet: один для частной сети, другой для общедоступной, а третий для демилитаризованной зоны (DMZ), где расположены общедоступные серверы.
Policy Router снабжен двумя последовательными портами. В один из них, имеющий обозначение «key», вставлен электронный ключ красного цвета, который предназначен для восстановления заводских настроек по умолчанию в случае, если устройство было неверно сконфигурировано или был забыт пароль. Ко второму порту можно подключить источник бесперебойного питания, что позволит корректно закрыть систему в случае отключения питания.
Интересная особенность этого решения — встроенный 33,6-кбит/с модем для дистанционного управления устройством.
У брандмауэра Internet Devices одна из самых новаторских процедур установки из всех рассмотренных в этом обзоре. Чтобы подготовиться к инсталляции, достаточно всего лишь подсоединить к системе сетевой кабель, открыть Web-браузер и ввести IP-адрес, назначаемый внутреннему интерфейсу.
Устройство принимает запрос и назначает себе IP-адрес. После этого запускается «мастер», который помогает реселлеру ввести всю важную информацию, необходимую для правильной установки брандмауэра.
«Мастер» позволяет также выбрать одну из заранее заданных стратегий защиты. В целом инсталляция прошла без проблем, за исключением одного мелкого недоразумения. «Мастер» не дает возможности настроить IP-конфигурацию интерфейса демилитаризованной зоны. Это озадачивает тем больше, что при выборе стратегии защиты с использованием DMZ требуется вручную ввести IP-адрес соответствующего интерфейса.
Для обеспечения управления не нужно устанавливать никаких других программ, кроме Web-браузера с Java-возможностями. Управление происходит через защищенный протокол HTTP на порте 88. Администратор, подключившись к бранмауэру, получает в распоряжение исчерпывающий набор утилит для конфигурирования Policy Router. Кроме того, Internet Devices прилагает полезный комплект средств поиска и устранения неисправностей.
WatchGuard LiveSecurity System
Цена: 4995 долл.
Дистрибьюторы, интеграторы: Inacom, Ingram Micro, Merisel, MicroAge, Pinacor, Pomeroy, Tech Data
Условия авторизации: нет
WatchGuard Technologies Inc.
Сиэтл, шт. Вашингтон, (206) 521-8340, (888) 682-1855, www.watchguard.com
Инженеры Тест-центра уже знакомились с брандмауэром LiveSecurity System компании WatchGuard Technologies, который входил в состав решения по построению виртуальных частных сетей (VPN). На арене VPN система LiveSecurity System отстала от конкурентов, однако, в роли брандмауэра она оказалась на высоте. Дополнительные функциональные возможности сделали ее одним из самых привлекательных устройств в этом обзоре.
На лицевой панели этой системы ярко-красного цвета имеется набор индикаторов, сообщающих информацию о нагрузке и трафике. Индикаторы, расположенные треугольником, показывают степень загрузки каждого сегмента сети, а также направление трафика. Другой набор индикаторов сообщает, работает устройство или нет. Сзади находятся разъемы трех интерфейсов, позволяющие подключить к брандмауэру внешнюю и внутреннюю сеть, а также дополнительный сетевой сегмент.
Инсталляция решения WatchGuard Technologies существенно отличалась от запуска других рассмотренных устройств. Компания предлагает «мастер» быстрой установки (QuickSetup), который поможет реселлерам задать базовую стратегию защиты, а также параметры настройки, такие как IP-адрес каждого интерфейса, шлюз по умолчанию, IP-адреса серверов внутренней электронной почты, Web и FTP. По завершении работы «мастера» управляющую рабочую станцию следует подсоединить к системе LiveSecurity System через безмодемный кабель и Ethernet-кабель (витая пара) и выгрузить новую конфигурацию на брандмауэр.
Интерфейс утилиты управления интуитивно понятен; для обозначения сетевых служб используются пиктограммы. Реселлер указывает критерии для трафика, который будет допустим в сети. Такими критериями могут служить IP-адреса или имена пользователей; они задаются как для входящего, так и исходящего трафика. В решение WatchGruard Technologies входит также специальная служба, которая задает, в каком объеме можно управлять работой брандмауэра.
Специальная функция устройства LiveSecurity позволяет управляющей рабочей станции использовать технологию проталкивания, автоматически получая обновленные версии утилит управления через Интернет. Стоимость подписки на первый год уже включена в цену изделия; в дальнейшем она обойдется 995 долл. ежегодно.
Описание брандмауэра Lucent Managed Firewall v. 4.0 компании Lucent Technologies отсутствует в оригинале CRN (на английском языке).Дистрибьюторы, продвигающие на российском рынке системы, упомянутые в обзоре
| Cisco Systems | CompTek, Computer 2000, Marvel, OCS |
| Lucent Technologies | CompTek, Intertel, North-West Group, «АйТи», «АйТиЭс», «Атлантис», «Диалог-Дельта», «Диалог-Сети», «Корос» |
| Internet Devices, WatchGuard Technologies | нет данных |