В устройстве компании WatchGuard применяется ПО безопасности Citrix

Камерон Стардевант

Устройство Firebox SSL Core компании WatchGuard Technologies с пакетом Citrix Secure Access производства Citrix Systems представляет собой хорошее решение для создания виртуальных частных сетей с использованием протокола SSL (Secure Sockets Layer VPN) в компаниях малого и среднего бизнеса, которые стремятся обеспечить удаленным пользователям простой доступ к конфиденциальным ресурсам сети.

Однако SSL VPN в исполнении компании WatchGuard несколько напоминает матрешку или блюдо из индейки, нашпигованной уткой, которая в свою очередь нашпигована курицей. Речь не только о том, что аппаратная платформа разработана WatchGuard, а основная часть ПО - компанией Citrix. В ходе тестирования в Лаборатории eWeek Labs обнаружилось, что в устройстве Firebox SSL Core повсеместно используется ПО, приобретенное Citrix у компании Net6. Хорошая новость заключается в том, что все это аппаратное и программное обеспечение объединено со знанием дела. У нас не возникло никаких трудностей с испытанием в работе ни одного из компонентов.

Firebox SSL Core с установленным пакетом Citrix Secure Access представляет собой монтируемое в стойку устройство высотой 1U (1,75 дюйма), которое стоит 2790 долл. В эту цену входит стоимость лицензии на пять виртуальных каналов. Поставки устройства начались в августе. За 22 590 долл. можно приобрести лицензию на 205 виртуальных каналов.

Устройство Firebox SSL Core требует отдельной консоли управления WatchGuard

Firebox SSL Core с установленным пакетом Citrix Secure Access поддерживает меньше туннелей, чем рассчитывала предоставить Citrix для широкомасштабного использования в условиях предприятий. Устройство Firebox конкурирует с EX-750 корпорации Aventail и Nokia 60s SSL VPN.

Установка и запуск WatchGuard SSL VPN обходятся дешевле, чем у конкурирующих продуктов. Однако Firebox SSL Core нельзя управлять с помощью WatchGuard Firebox System Manager - инструмента, применяемого для контроля брандмауэров WatchGuard. Поэтому создание более полной картины событий для целей управления может потребовать дополнительных затрат.

Безопасные соединения

Для создания "облегченной" клиентской системы и туннеля между конечными пользователями WatchGuard использует технологию Citrix SSL VPN.

Решение WatchGuard поддерживает множество клиентских ОС, включая все варианты Microsoft Windows 2000 и Windows XP, а также платформы Linux с версией ядра не ниже 2.4. Устройство Firebox SSL Core имеет также клиентскую часть, поддерживающую системы Apple Computer Mac OS X с установленной виртуальной машиной Java Virtual Machine версии 1.4.2 и выше.

Резюме для руководителей

 

Firebox SSL Core

Firebox SSL Core компании WatchGuard Technologies с установленным пакетом Citrix Secure Access представляет собой легкое в установке и управлении устройство с хорошо интегрированным набором ПО для SSL VPN. Это монтируемое в стойку устройство, аппаратная часть которого разработана компанией WatchGuard, а ПО - компанией Citrix, предназначено для малого и среднего бизнеса. Тем не менее оно обладает и возможностями, ориентированными на крупные компании, такими, как проверка файлов и реестров на системах конечных пользователей, настраиваемые порталы для входа в сеть, подробное протоколирование и контроль соединений. Правда, данный продукт требует отдельной управляющей консоли WatchGuard. Дополнительная информация на сайте www.watchguard.com.

 Анализ затрат. Устройство Firebox SSL Core с лицензией на создание 5 туннелей стоит 2790 долл. и 22 590 долл. для создания 205 туннелей VPN. Хотя SSL VPN - сравнительно дорогая технология, чтобы начинать с нее создание сети, при цене около 110 долл. на каждое лицензированное соединение решение компании WatchGuard оказывается в нижней части ценового спектра.

Краткий список аналогов

- EX-750 (Aventail) - небольшое устройство, которое может интегрироваться с продуктами компании Aventail масштаба предприятия и управляться с единой консоли (www.aventail.com).

 - Nokia 60s SSL VPN Remote (Nokia) - устройство удаленного доступа, поддерживающее широкий спектр клиентских программ (www.nokia.com).

- Clientless VPN Gateway 4400 Series (Symantec) - позволяет использовать SSL VPN, не требуя установки клиентского ПО (www.symantec.com).    

Оценка основных характеристик

Удобство использования

 Хорошо

Возможности

Хорошо

Управляемость  

Хорошо

Безопасность

Отлично

Возможности настройки

Хорошо  

В ходе испытаний в Лаборатории eWeek Labs установка устройства и управление им оказались довольно простыми, особенно по сравнению с инструментами VPN на базе IP Security. Мы инсталлировали Firebox SSL Core позади экрана WatchGuard Firebox X1000 в качестве равноправной системы в нашей защищенной сети. (Хотя Firebox SSL Core внешне выглядит точно так же, как брандмауэры WatchGuard, в отличие от них оно не является конвейерным устройством.) Инсталляция устройства и его интеграция с имевшейся у нас инфраструктурой безопасности заняли несколько часов. Для авторизации пользователей мы применили сервер SteelBelted Radius компании Funk Software. С помощью брандмауэра мы открыли порт 443, что необходимо в любых сетях SSL VPN, создав возможность соединения с нашим Firebox SSL Core. Когда клиент подключается в первый раз, часть клиентской программы SSL VPN инсталлируется на системе конечного пользователя. После этого пользователям достаточно дважды щелкнуть мышкой на иконке Firebox SSL Core, чтобы установить соединение.

Интерфейс управления Firebox SSL Core ориентирован на крупные сети, но его можно использовать и в менее масштабных средах.

Справочная информация, постоянно выводимая на удаленный административный терминал, созданный на базе веб, была обширной и полезной. Мы воспользовались также настраиваемыми таблицами портала, чтобы создать начальные страницы для различных групп пользователей. Например, мы сконфигурировали систему таким образом, чтобы определенная группа пользователей имела доступ к системе электронной почты, но не могла обращаться к системе учета. Простота администрирования с помощью настраиваемых порталов стала для нас приятной мелочью.

Мы сконфигурировали устройство Firebox SSL Core так, чтобы оно проверяло файлы клиентских систем, записи реестра и активные процессы, дабы до создания туннеля VPN убедиться, что на клиентских системах установлены антивирусные программы и персональные брандмауэры. Проверка реестра и файлов производилась только в момент подключения пользователей. А процессы, запущенные на компьютерах пользователей, клиентская программа Firebox SSL Core проверяет постоянно.

Мы смогли также задать конфигурацию с разделением туннеля. При этом трафик, предназначенный для защищенной сети, направлялся по туннелю Firebox SSL Core, а сетевой трафик, связанный с работой в Интернете, например с просмотром веб-страниц, - нет. Все произведенные нами изменения конфигурации были немедленно доступны подключенным к сети клиентам.

Устройство Firebox SSL Core обладает также возможностями, которые, вероятно, немногие пользователи сочтут полезными. Среди них - работа в режиме "киоска", позволяющая авторизованным системам конечных пользователей с помощью браузеров Internet Explorer или Mozilla Foundation Firefox подключаться к сетевым ресурсам без участия клиентского ПО.

Мы задействовали режим киоска для установления соединения, сходного с подключением виртуального сетевого компьютера (Virtual Network Computing, VNC). Это позволило нам получить доступ к совместно используемым сетевым дискам тестовой сети, а также к компьютерам, на которых запущены Windows Terminal Services. В режиме киоска можно воспользоваться лишь несколькими сервисами, но в ходе нашего тестирования он работал прекрасно.