Превосходная защита для небольших компаний

В защите ценных данных и сети нуждаются все, не исключая пользователей домашних офисов и сотрудников малых предприятий. Брандмауэры стали стандартным решением для защиты внешнего периметра организаций от взломщиков, которые пытаются похитить информацию, захватить ресурсы и иными способами воспользоваться властью над сетью. Однако найти подходящий брандмауэр непросто. Не так давно выбор компаний любых размеров сводился к одному из двух вариантов: простые широкополосные маршрутизаторы, защита которых была, в сущности, побочным следствием их способности разделять Internet-соединение через NAT (Network Address Translation), и крупные корпоративные брандмауэры стоимостью в тысячи долларов, установить которые часто бывает под силу только квалифицированному специалисту по сетям.

За последние несколько лет рынок брандмауэров рос очень быстрыми темпами, и результатом стало множество новых продуктов, предназначенных специально для таких потребителей, как пользователи малого/домашнего офиса. Поставщики корпоративных брандмауэров, которые когда-то ориентировались исключительно на крупные организации, сегодня предлагают гораздо более дешевые продукты для защиты малых сетей. В этих мощных брандмауэрах сохранены многие передовые функции безопасности, заимствованные из дорогостоящих продуктов. Традиционные широкополосные маршрутизаторы начального уровня также продолжают совершенствоваться; в них появились функции, в прошлом доступные только обладателям дорогостоящих моделей.

Широкополосный маршрутизатор стоимостью 70 долл., конечно, не располагает функциями безопасности и базовой технологией защиты, которая реализована в брандмауэре за 500 долл. Администратору необходимо выбрать продукт, наиболее подходящий для защиты конкретной сети. В данном обзоре рассматриваются аппаратные брандмауэры стоимостью не более 500 долл., предназначенные для сетей малого или домашнего офиса с числом пользователей не более 10 человек. Большинство поставщиков корпоративных брандмауэров выпускают упрощенные модели мощных продуктов для пользователей малых/домашних офисов стоимостью менее 500 долл. Именно поэтому для обзора был выбран такой диапазон.

Конструктивные параметры

Как правило, в аппаратных брандмауэрах для малого/домашнего офиса есть по крайней мере два интерфейса для подключения внешнего (общедоступного) соединения Internet и внутренней (частной) сети. Большинство продуктов поддерживает такие протоколы, как DHCP и Point-to-Point Protocol over Ethernet (PPPoE). Обычно по умолчанию выбирается конфигурация с NAT, что упрощает процедуру установки, и в большинстве устройств имеются мастера, которые проводят пользователя по этапам установки и настройки. Более передовые (и, как правило, более дорогостоящие) брандмауэры часто располагают мощными функциями маршрутизации и дополнительными интерфейсами, благодаря которым администратор может выбрать более надежную конфигурацию брандмауэра для защиты сети.

Передовая функциональность

Некоторые аппаратные брандмауэры для малого/домашнего офиса спроектированы на основе устройств корпоративного класса и унаследовали от них некоторые возможности. Во всех продуктах для повышения безопасности проводится проверка пакетов на соответствие заданным условиям (Stateful Packet Inspection, SPI). Но эффективность SPI в разных продуктах не одинакова, поэтому следует изучить конкретную реализацию SPI по документации поставщика. Благодаря функциям NAT и переадресации портов, внутренние компьютеры предприятия могут обращаться в Internet, а потребители из Internet — к некоторым внутренним ресурсам, таким как Web- и почтовые серверы. Все продукты поддерживают списки управления доступом (ACL) на базе сети, но лучшие брандмауэры обеспечивают дискретный контроль над сетевым входящим и исходящим трафиком. Полезная возможность инспектировать и выборочно блокировать сетевой трафик позволяет обнаружить и остановить «червя» или ненужное сетевое приложение либо службу.

Протоколирование

Блокирование сетевого трафика — не единственный важный фактор, который необходимо учитывать при выборе брандмауэра. Не менее важна возможность протоколировать доступ к сети. Протоколирование — важнейшая функция брандмауэра, которая дает важную информацию о возможных, текущих и имевших место атаках. В некоторых продуктах журнал можно просмотреть в браузере или экспортировать в другую программу для анализа и архивирования. Некоторые продукты предупреждают о подозрительных действиях. Функции обнаружения несанкционированного доступа (Intrusion Detection System, IDS) в разных продуктах различны.

Совместимость с VPN

С помощью некоторых продуктов можно организовать VPN между сайтами, а некоторые функционируют как VPN-серверы, позволяющие удаленным клиентам безопасно подключаться к сети предприятия. В таблице содержатся разнообразные сведения о соответствующих функциях, которые имеет смысл учитывать при выборе брандмауэра.

Важный инструмент защиты

Без брандмауэра невозможно надежно защитить домашний или малый офис. Сеть предприятия должна немедленно реагировать на нападения, и правильно выбранный брандмауэр смягчит последствия атаки и защитит ценные ресурсы.


Директор по информационной безопасности компании aQuantive. Автор книги IT Administrator?s Top 10 Introductory Scripts for Windows (издательство Charles River Media) (jeff@blackstatic.com)