Информационная безопасность постоянно находится в опасности — нашим системам угрожают вирусы, вредоносные программы, то и дело предпринимаются попытки фишинга и взлома со стороны киберпреступников. Поэтому так важно строить ИТ-инфраструктуру на надежном фундаменте. Неотъемлемая часть защиты любой сети — аппаратный брандмауэр, компонент инфраструктуры, с помощью которого можно ограничить внешний доступ к корпоративной сети только кругом доверенных пользователей и организаций. Существуют как аппаратные, так и программные брандмауэры; в данном обзоре рассматриваются аппаратные модели стоимостью менее 15 тыс. долл. Многие расширенные и передовые функции брандмауэров доступны только по подписке, поэтому следует учитывать общие затраты на решение, помимо стоимости базового устройства.
Обязательные функции каждого брандмауэра
Выбирая аппаратный брандмауэр, нужно начинать с основных характеристик: каждый продукт должен располагать простой в применении консолью, обеспечивать элементарную защиту периметра, блокировать порты TCP и UDP и выполнять проверку пакетов на соответствие заданным условиям. Кроме того, должны быть предусмотрены простые способы замены аппаратных средств и программных компонентов. Помимо основных характеристик, следует обратить внимание и на некоторые другие показатели.
Пропускная способность. Как отмечает Тони Хаулетт, директор по технологии консультационной фирмы Network Security Services, специализирующейся на безопасности, очень важно, чтобы брандмауэр соответствовал пропускной способности сети: «Пригоден ли брандмауэр для обработки входящего или исходящего трафика? Достаточны ли его возможности для будущего роста? Или оборудование придется менять в случае существенного увеличения пропускной способности сети?» По данным отчета компании Gartner за сентябрь 2007 г., средняя максимальная пропускная способность брандмауэров для сетей предприятий составляла 2,5 Гбит/с, а нагрузка на систему предотвращения несанкционированного доступа тех же продуктов была в среднем 945 Мбит/с. Пропускная способность брандмауэра так же важна для компании, как и функциональные возможности продукта.
Управляемость. Эффективное и централизованное управление устройством — обязательное требование к любому продукту, в том числе и к брандмауэрам для предприятий. Многие поставщики брандмауэров устанавливают особые условия лицензирования своих устройств. «Крупным компаниям с сертифицированными специалистами в штате лучше всего покупать корпоративный брандмауэр у крупного поставщика, — считает Хаулетт. — Но компаниям с малочисленным ИТ-персоналом без специальной подготовки предпочтительно рассмотреть решения небольшого поставщика, в которых используются Web-интерфейсы, а с базовыми моделями поставляются программы подготовки отчетов». Хаулетт добавляет, что крупным организациям также необходимо выяснить, насколько удобно управлять выбранным продуктом при использовании нескольких единиц одного устройства или совместно с брандмауэрами других поставщиков.
Расширяемость. Многие поставщики оснащают свои продукты дополнительными функциями безопасности, в результате их возможности становятся значительно шире, чем у обычных брандмауэров. «Разработчики оборудования употребляют такие термины, как «единое управление угрозами» и «система предотвращения несанкционированного доступа», — комментирует Хаулетт. — Некоторые устройства можно дополнить фильтрацией контента, фильтрацией спама, контроля соответствия законодательным актам и многими другими функциями. Однако в большой сети наличие отдельных устройств может обеспечить высокую гибкость при выборе конкретных функций и поставщиков». Многие современные брандмауэры оснащаются возможностями VPN.
Защита сети — одна из основных обязанностей любого ИТ-специалиста, поэтому выбранные продукты должны обязательно располагать некоторыми определяющими функциями. «Чрезвычайно важна возможность выполнять фильтрацию на уровне пакета, соединения и приложения, — утверждает технический директор Windows IT Pro Майкл Оти. — Особенно учитывая широкое использование Web-служб и XML. Еще одна основная функция — кэширование».
Ошибки при выборе
В дополнение к возможностям, которыми должен располагать брандмауэр, Хаулетт рекомендует при выборе стараться избегать следующих ошибок:
-
покупка брандмауэра с недостаточными или ненужными возможностями. «Иначе спустя несколько месяцев или год может потребоваться модернизация», — предупреждает Хаулетт;
-
покупка слишком сложного устройства или оборудования, требующего чрезмерных затрат на обучение и обслуживание;
-
слепое доверие рекламе, без подробного знакомства с реальными возможностями продукта. Действительно ли так уж необходимо новейшее оборудование от известного поставщика?
-
приобретение функций, которые никогда не будут использоваться.
«Убедитесь, что квалификация сотрудников или приглашенных специалистов позволяет правильно настроить и обслуживать брандмауэр, — советует Хаулетт. — Иметь неверно настроенный брандмауэр почти так же плохо, как обходиться без него вообще».
Специалисты по сетевой безопасности любят рассказывать страшные истории о неудачных установках корпоративных брандмауэров. Хаулетту приходилось встречать брандмауэры, которые не обновлялись в течение месяцев, если не лет, с ошибками, давно исправленными поставщиком. Некоторые администраторы никогда не вспоминают о необходимости обратиться к поставщику брандмауэра за обновленным микропрограммным обеспечением, хотя делать это, по мнению Хаулетта, обязательно. «С аппаратным брандмауэром нужно обращаться как с любой операционной системой, возможно даже более внимательно, поскольку устройство защищает вход в сеть, — убежден Хаулетт. — Очень важно регулярно обновлять и обслуживать установленные брандмауэры».
Даже лучшие, безупречно установленные продукты не защитят сеть от ошибок и небрежности сотрудников. «Один из клиентов открыл сервер домена Windows всему миру для доступа через RDP с простым административным паролем, — рассказал Хаулетт. — Просто чудо, что взлома не произошло. А может быть, он и был, но клиент так и не узнал об этом».
Джефф Джеймс (jjames@windowsitpro.com) — редактор журналов Windows IT Pro и SQL Server Magazine. Специалист по виртуализации и терминальным службам