Фирма CheckPoint Software Technologies вышла за рамки своей традиционной поддержки Unix-платформ, выпустив в июле брандмауэр FireWall-1 версии 2.1. Новая версия ПО, появившаяся в июле, не только переносит все функции своей предшественницы в среду Windows NT, но и обеспечивает удаленные офисы безопасной связью по виртуальным частным сетям в Internet.
Кроме того, в пакет включен клиент шифрования Windows 95, который позволяет удаленным пользователям создавать в Сети защищенные каналы и связываться по ним со своими офисами из любой точки планеты.
Лицензия FireWall-1 на 50 пользователей стоит $4990, а на неограниченное их число - $18 900. Установочный компакт-диск содержит варианты ПО для всех поддерживаемых операционных систем, включая Windows NT.
В целом нам понравилась простота инсталляции, конфигурирования и управления продуктом в новой для него среде, однако ему все же не хватает связи с доменами Windows NT. По этой причине аутентификация удаленных пользователей требует создания счетов даже для тех из них, на кого уже заведены учетные записи в сети.
Организация ВЧС (виртуальной частной сети), необходимой для передачи трафика ЛВС через Internet, также оказалась несложной. В ходе тестирования такая сеть была организована между рабочей станцией SunSPARC 10 компании Sun Microsystems Computer и компьютером Vectra/XU компании Hewlett-Packard на базе 200 МГц процессора Pentium Pro с установленным ПО Windows NT Workstation 3.51.
Диалоговые окна FireWall-1 2.1
упрощают конфигурирование шифрованных
виртуальных частных сетей
Чтобы увидеть картинку в натуральном размере дважды щелкните мышкой по этой строке.
К сожалению, CheckPoint пока применяет собственную нестандартную технологию ВЧС, поэтому для создания канала требуется применение еще одного пакета FireWall-1 или заказной версии клиентского ПО SecuRemote из комплекта Windows 95.
К концу года фирма намерена обеспечить поддержку спецификации IPsec, разработанной Целевой группой инженерной поддержки Internet (IETF). Этот стандарт вселяет надежду, что средства создания ВЧС, предлагаемые разными производителями, смогут взаимодействовать между собой.
Провести конфигурирование FireWall-1 таким образом, чтобы задерживался весь трафик, поступающий из Internet, труда не составило. Этот процесс проводится с использованием графической модели на базе правил, которая впервые нашла применение в продуктах фирмы CheckPoint для среды Unix. Одно правило можно налагать поверх другого, что позволяет создавать комплексные фильтры и с большой точностью определять, какие разновидности IP-протоколов допустимы при работе с тем или иным хост-компьютером.
После инсталлирования FireWall-1 мы проверили надежность защиты с помощью Internet Scanner 3.3 фирмы Internet Security Systems, однако обнаружить какие-либо уязвимые места нам не удалось.
Огромный список Unix-протоколов, которые поддерживает FireWall-1, в версии 2.1 еще больше расширен. Из новинок наше особое внимание привлекла возможность работы с протоколом RealAudio и удобное диалоговое окно, позволяющее добавлять поддержку новых протоколов простым указанием номера порта и типа IP-пакетов.
В отличие от брандмауэров на базе представителей, в FireWall-1 применяется сложная форма фильтрации пакетов, названная проверкой на соответствие (stateful inspection). Этот метод предусматривает сопоставление всего поступающего трафика с исходящим и пропуск в систему лишь тех данных, которые соответствуют посланным ранее запросам.
Некоторые претензии можно предъявить к документации и онлайновой справочной системе FireWall-1: первая излишне скудна, а вторая не всегда понятна. К счастью, работа с самим ПО вполне проста и логична, поэтому обращаться за справками нам приходилось крайне редко.
Новый пакет может оказаться надежным, хотя и несколько дорогостоящим средством защиты индивидуальных компьютеров под управлением Windows NT, подключенных к внутрикорпоративной сети. Его Unix-версии также способны обеспечить безопасность отдельных ЭВМ.
Брандмауэры в сети intranet
Некоторые менеджеры могут спать спокойнее, зная, что на страже важной информации стоят не только стандартные пользовательские идентификаторы и пароли, применяемые в системе защиты Windows NT. Благодаря брандмауэру доступ к основным серверам возможен только с определенных IP-адресов и с применением заданных типов протоколов. Например, ни один злоумышленник, даже раздобывший все данные для входа в систему, не сможет проникнуть в финансовый сервер, потому что доступ в него открыт лишь с некоторых компьютеров, установленных непосредственно в офисе.
Администраторы больших сетей, использующих множество брандмауэров, по достоинству оценят такие особенности версии 2.1, как дистанционное управление и масштабируемость по всем поддерживаемым платформам. Кроме того, контролировать работу любого брандмауэра FireWall-1 можно с помощью 32-разрядного ПО управления под Windows, установленного на любом ПК с ОС Windows 95 или Windows NT. При этом файлы регистрации могут располагаться на других хост-компьютерах, обеспечивая тем самым возможность централизованной регистрации пользователей.
Майкл Суркан
Со старшим аналитиком Майклом Сурканом можно связаться через Internet по адресу: michael_surkan@zd.com.
СОВЕТЫ КОРПОРАТИВНОМУ ПОКУПАТЕЛЮ
СИЛА И СЛАБОСТЬ
FireWall-1 2.1
Фирма CheckPoint Software Technologies
Редвуд-Сити, шт. Калифорния; (800) 429-4391 http://www.checkpoint.com
+ Вариант пакета для Windows NT обладает полным набором функций Unix-версии, включая шифрование и организацию виртуальных частных сетей; новый клиент шифрования для Windows 95 дает возможность удаленным пользователям осуществлять безопасный доступ в корпоративные ЛВС.
- Отсутствует непосредственная поддержка функций безопасности операционных систем (доменов NT или Unix), что требует дублирования пользовательских счетов.
РЕЗЮМЕ
Сетевые администраторы, которым необходим брандмауэр на базе Windows NT, не могут не обратить внимание на FireWall-1 2.1. Этот продукт предлагает тот же набор функций, что и его двойник для среды Unix, включая организацию виртуальных частных сетей и шифрование. Разработанная фирмой CheckPoint технология проверки на соответствие значительно повышает гибкость брандмауэра по сравнению с его конкурентами.