ОБЗОР

Брандмауэр для NT управляет полосой пропускания, поддерживает NDS и LDAP, но не ВЧС

(для PC Week Labs)

Функциональность Novell Firewall for NT должна понравиться любой организации, испытывающей потребность в брандмауэрной защите. Этот брандмауэр, выпуск которого начался в декабре, имеет две очень интересные особенности. Во-первых, в него встроены средства управления полосой пропускания, а во-вторых, он способен работать с базами данных NDS. Как показали испытания, проведенные в Тестовом центре PC Week Labs, благодаря таким достоинствам новая разработка Novell вполне может рассчитывать на солидную долю рынка Windows NT, потеснив прежние модели брандмауэров.    

Novell Firewall for NT быстро подключился к базе данных NDS для ускоренного конфигурирования

Правда, тем, кому нужны виртуальные частные сети (ВЧС), лучше обратить внимание на другие подобные продукты. Такие сети, в отличие от многих своих конкурентов, брандмауэр Novell пока не поддерживает. Справедливости ради отметим, что Firewall for NT рассчитан на небольшие и средние компании, которым в большинстве случаев ВЧС не нужны, однако конкурирующие продукты данного класса все же позволяют их создавать.

Цена на Novell Firewall for NT установлена на среднем уровне - версия на 250 пользователей, обеспечивающая управление полосой пропускания на скоростях цифровых абонентских линий и каналов Т-1, стоит $14 495. Более высокая скорость передачи данных или неограниченное количество пользовательских подключений обойдется покупателю на несколько тысяч долларов дороже. Базовая же версия брандмауэра с пропускной способностью 128 кбит/с, рассчитанная на 25 пользователей, стоит $2245.

Новый продукт состоит в близком родстве с NetWare, поэтому нет ничего удивительного в том, что Firewall for NT полностью совместим с NDS. Эта служба каталога - настоящий кладезь информации о пользователях и группах, что делает новый продукт Novell незаменимым помощником администратора сети. Брандмауэр самостоятельно добывает информацию, на поиск которой раньше приходилось затрачивать поистине титанические усилия. Кроме того, он поддерживает протокол LDAP и базы данных доменов NT.

Особый интерес у малых и средних компаний должна вызвать возможность управления полосой пропускания, ведь им постоянно приходится решать проблему обслуживания критичных для бизнеса приложений в часы пик. Чтобы гарантировать выделение необходимой полосы пропускания, Firewall for NT учитывает как правила обслуживания трафика, так и правила безопасности.

В конкурирующих брандмауэрах можно найти и другие функции. Скажем, Gauntlet Firewall фирмы Network Associates и FireWall-1 фирмы Check Point Software Technologies предлагают серверы ВЧС, средства для борьбы с почтовым мусором, аутентификацию по интеллектуальным карточкам, тесную интеграцию с антивирусными механизмами и различными фильтрами. Однако ни один из соперников не способен поддерживать базы данных NDS, а брандмауэру Gauntlet к тому же не достает и возможностей управления полосой пропускания.

С Windows 2000 пока несовместим

Firewall for NT пока еще не готов к работе с операционной системой Windows 2000, но в среде Windows NT его установка никаких затруднений не вызывает. Для тестирования продукта мы инсталлировали его на сервере Deskpro EN6400 корпорации Compaq Computers с ОС Windows NT 4.0 Server. Правда, нас несколько удивило, что в конфигурации сетевой привязки драйвер брандмауэра по умолчанию отключен. Такой необъяснимый каприз инженеров Novell озадачил не только нас, но и систему: та внесла в журнальный файл сообщение о серьезных ошибках.

Разочаровало нас и то, что графический интерфейс управления может запускаться локально лишь при наличии каталога NDS или LDAP. Правда, сетевые узлы, где имеются только домены NT, могут воспользоваться удаленным ГИП, однако браузерные функции в нем отсутствуют.

Процесс создания правил доступа интуитивно понятен. Да и интеллектуальный графический интерфейс всегда готов дать ясный и четкий совет, если пользователь сделает грубую ошибку. Более того, в ходе тестирования брандмауэр исправлял многие просчеты автоматически, избавляя нас от ручной работы. Сортировка правил влияет только на последовательность отображения - на безопасности системы порядок их расположения никак не сказывается. Не составило нам труда также предусмотреть в правилах временные ограничения для отдельных пользователей и групп.

Распределение пропускной способности производится с помощью другого ГИП и набора правил, имеющих очень много общего с описанными выше. Каждый пакет проходит всего одну проверку, при которой контролируется как соответствие правилам безопасности, так и приоритетность обслуживания. Ограничения по пропускной способности вступают в силу лишь после того, как в канале отмечается перегрузка. Пока ее нет, пользователю полностью выделяется вся полоса пропускания, необходимая для соответствующего приложения. Но как только в канале возникают заторы, брандмауэр отказывается передавать неприоритетные пакеты и начинает ограничивать доступ новых пользователей.

Такая схема сильно отличается от балансировки нагрузки, при которой, к примеру, система способна распределять обработку трафика между различными серверами.

Аутентификация осуществляется службой каталога NDS единожды, при входе в систему. В некоторых случаях может применяться и одноразовый обмен запросом и отзывом (функция обработки сообщений Message Digest Function 4 или 5). На данный момент Firewall for NT не поддерживает ни серверы RADIUS (Remote Authentication Dial-In User Service - служба дистанционной аутентификации пользователей по коммутируемым линиям), ни интеллектуальные карточки.

Новый брандмауэр Novell способен производить фильтрацию URL, однако она выполняется на столь примитивном уровне, что и говорить о ней не стоит. К счастью, продукт, как и FireWall-1 фирмы Checkpoint, поддерживает приложения, совместимые с протоколом CVP (Content Vectoring Protocol - протокол классификации информационного наполнения), что позволяет расширять возможности брандмауэра с помощью продуктов независимых производителей. К тому же Firewall for NT интегрирован со службой URL-фильтрации фирмы Websense. В заключение отметим еще одну сильную сторону нового брандмауэра: он снабжен развитой системой предупреждений, которые могут передаваться посредством SNMP-прерываний, по пейджинговой связи и включаться в сообщения электронной почты.

С внештатным редактором Кеном Филлипсом можно связаться по адресу: kenp@wtp.net.        

 

Резюме для руководителей

Novell Firewall for NT

Новый брандмауэр Novell хорошо подойдет тем организациям, где уже используются каталоги NDS или LDAP. В первую очередь он рассчитан на обслуживание малых и средних узлов, нуждающихся в интеллектуальном управлении полосой пропускания. К сожалению, Firewall for NT не позволяет создавать ВЧС, не достает этому продукту и ряда других функций.

КРАТКОСРОЧНЫЙ ПРОГНОЗ. Используя Firewall for NT, компании могут сделать работу в Интернете и связь между подразделениями более безопасными. Правда, как и другие брандмауэры, внутренним злоумышленникам продукт Novell противостоять не способен. Интеграция с базами данных о пользователях помогает значительно сократить время, затрачиваемое на конфигурацию и сопровождение продукта.

ДОЛГОСРОЧНЫЙ ПРОГНОЗ. Управление полосой пропускания предупреждает появление заторов в каналах связи и тем самым обеспечивает нормальную работу важнейших приложений.    

"+" Возможность конфигурации правил для пользователей и групп с помощью каталогов NDS, LDAP и доменов NT; распределение полосы пропускания с учетом приоритетов пользователей и приложений; поддержка дополнительных приложений, совместимых с протоколом CVP; способность рассылать уведомления и производить элементарную фильтрацию по URL; одноразовая аутентификация по паролю.

"-" Отсутствие сервера ВЧС или хотя бы поддержки виртуальных частных сетей; отсутствие дистанционного управления для каталогов NDS и LDAP; отсутствие непосредственной интеграции с антивирусными механизмами.

Методика оценки: www.pcweek.com/reviews/meth.html.    

Фирма Novell, Прово, шт. Юта, (888)321-4272, www.novell.com/products/ntfirewall.