Компании, намеренные делать бизнес в Интернете, должны серьезно позаботиться о безопасности. Первое (и самое главное), что необходимо сделать, это установить и правильно сконфигурировать брандмауэр.
Идея проста, но ее не так-то легко грамотно воплотить: брандмауэр прозрачен для полезных данных, но ставит непреодолимый заслон на пути нежелательного, а то и злонамеренного трафика. Устройство напоминает пункт досмотра в аэропорту, назначение которого - не допустить провоза запрещенного багажа или оружия.
Большинство людей рисуют себе хакеров (или взломщиков-кракеров) как подростков, пробующих все мыслимые пароли в надежде хоть как-то проникнуть в систему. Однако недовольный сотрудник компании (например, только что уволенный) может представлять гораздо более серьезную угрозу, так как он, скорее всего, намного лучше знает архитектуру сети, куда собирается проникнуть. Поэтому еще важнее защитить сеть от атак изнутри, чем извне.
Для предотвращения такого рода атак часто используется так называемая "демилитаризованная зона" (DMZ), представляющая собой третий сегмент сети, защищенный извне, но изолированный от остальной внутренней сети.
Аппаратный или программный?
Брандмауэры, как правило, предлагаются в виде программных решений, которые устанавливаются на машины, работающие под Unix или Windows NT. Инсталляция и правильное конфигурирование программного брандмауэра целиком зависят от системного интегратора или администратора сети. Обычно они должны выбрать аппаратную платформу, необходимую для установки брандмауэра.
Другой вариант, приобретающий все большую популярность, - аппаратные брандмауэры. Эти устройства отличает высокая степень готовности, и они требуют от реселлера минимума усилий по установке.
Чтобы установить программный брандмауэр, нужно подготовить отдельный компьютер со всеми необходимыми аппаратными компонентами, установить на него операционную систему, сервисные пакеты и "заплаты". Для установки аппаратного брандмауэра нужно лишь подключить его в сеть и выполнить минимальное конфигурирование - дистанционно либо с подсоединенной к нему клавиатуры.
Программные решения "усиливают" операционные системы - попросту говоря, "затыкая" всевозможные "лазейки" в защите, которые старательно изучаются хакерами и используются ими для неблаговидных целей. Однако программные брандмауэры работают на базе традиционных ОС, таких, как Windows NT или Unix, в которых время от времени обнаруживаются все новые слабые места, о чем тут же становится известно через Интернет, что делает такие сети уязвимыми для злоумышленников. Изготовители же аппаратных брандмауэров, напротив, обычно применяют операционные системы собственной разработки, мало известные широкой публике и потому менее уязвимые.
Главное - управление
Поскольку и программные, и аппаратные брандмауэры, как правило, работают именно так, как заявлено, большинство "лазеек" в защите бывает вызвано их неправильным конфигурированием. Поэтому грамотное управление брандмауэром очень важно.
В комплект поставки большинства брандмауэров входит утилита Web-управления, которую можно использовать с любой рабочей станции в сети. У этих утилит имеется графический интерфейс, позволяющий системному интегратору легко задавать правила, управляющие входящим и исходящим трафиками сети. Возможен и другой вид утилиты управления, которая работает через нуль-модемное соединение по протоколу Telnet.