Обзор аппаратных хостовых файерволов (Host Firewalls – 3Com)

По материалам журнальчика «Сети и телекоммуникации» №6 за 2005 год

Содержание

1. Введение
2. Описание 3Com Embedded Firewall
3. Установка 3Com Firewall PCI Card
4. Установка 3COM Embedded Firewall Policy Server
5. Заключение

1. Введение

В наше время рынок индивидуальных файерволов довольно широкий. В главном в этом списке представлены программные решения, к примеру Symantec Client Security, Agnitum Outpost Firewall, AtGuard, интегрированный в Windows XP файервол и многие другие. Все эти файерволы имеют один недочет. Они все управляются конечным юзером, что в случае корпоративного использования становится быстрее недочетом, чем достоинством. Т.е. в хоть какой момент правила могут быть изменены (естественно, если у юзера компьютера есть право на их изменение). Другим недочетом является невозможность централизованного управления клиентами.
В ближайшее время на рынке появились так именуемые сетевые карты-брандмауэры, представляющие из себя распределенные аппаратные брандмауэры для серверов и настольных ПК. Данные устройства расширяют устойчивые к наружным воздействиям способности фильтрации и контроля на всю корпоративную сеть — включая системы, расположенные как снутри, так и снаружи сетевого периметра. Разглядим их подробнее на примере продукции компании 3COM.

2. Описание 3Com Embedded Firewall

Централизованно управляемые карты-брандмауэры 3Com Embedded Firewall защищают ваши серверы и настольные ПК, обеспечивая потрясающую устойчивость к наружным воздействиям, которую не могут предоставить чисто программные брандмауэры. Любая карта-брандмауэр оборудована интегрированной ASIC T2 микросхемой, обеспечивающей неприметную для конечного юзера защиту локальных приложений и операционных систем и фактически их неуязвимость для атак из Веба, неправильных действий конечного юзера либо злостных программ.

Набросок 1: Разные варианты 3Com Embedded Firewall

Обзор аппаратных хостовых файерволов (Host Firewalls - 3Com)
Что более принципиально, любая карта-брандмауэр может настраиваться и управляться только через аутентифицированный 3Com Embedded Firewall Policy Server. Даже если вышло проникновение в защищаемый компьютер, карта-брандмауэр сумеет запретить внедрение пораженного компьютера в качестве стартовой площадки для предстоящего распространения опасности в вашей сети.
Карта 3Com Firewall PCI Card вставляется в стандартный разъем PCI, заменяя обыденные сетевые карты 10/100 Мбит/с. В среде Windows 2003, 2000, XP, 98, МЕ либо NT задачки TCP-соединения и защиты перекладываются на интегрированный микропроцессор карты-брандмауэра, что обеспечивает увеличение общей производительности системы. Вероятна также установка 3Com Firewall PCI Card и под Linux (поддерживается ядро 2.4, протестирована на Redhat 7.3 – 9.0 и AS 3.0).
Короткое описание карты:

Обеспечивает устойчивость к воздействию злостных программ либо воинственно настроенных юзеров, неавторизованному доступу либо попыткам блокировки; карта-брандмауэр принимает команды только от аутентифицированного сервера политик.
Упрощает установку уровня защиты для группы либо функции и позволяет оперативно реагировать на обнаруженные сетевые атаки.
Принимает централизованно установленные опции и политики безопасности, также команды управления от аутентифицированных серверов политик независимо от маршрутизаторов либо потоков трафика.
Обеспечивает независящее от собственного хоста усиление уровня безопасности, круглосуточную защиту от вторжений и устойчивость, что крепит уверенность админов в надежности сети.
Защищает открытые подключения к Вебу, к примеру, конечные точки VPN и шлюзы широкополосного доступа, размещенные как до, так и после брандмауэра защиты периметра.
Обеспечивает несколько уровней защиты юзеров, где бы они ни работали — от менее серьезного для соединений во внутренней локальной сети и до более серьезного в случае вместе применяемых систем и систем, присоединенных к Веб.
Позволяет усилить защиту Web-серверов, серверов электрической коммерции, субсетей DMZ и клиентских баз данных от атак из Веба и неавторизованного доступа.
Автоматом ограничивает коммуникации с системами за пределами сетевого периметра; обеспечивает игнорирование ненадобных протоколов, блокирование ненадобных портов, отклонение ping-запросов и отключение сниффинга пакетов и IP-спуфинга.
Обеспечивает круглосуточную защиту; в случае, если карты-брандмауэры не имеют связи с сервером политик, они по дефлоту настроятся на наибольший уровень защиты.
Дополняет другие, совместимые со спецификацией 802.3, решения защиты — включая коммутаторы с функциями обеспечения безопасности, брандмауэры/VPN, антивирусные сканеры и системы обнаружения вторжений (IDS).
Позволяет понизить расходы на IT-администрирование благодаря круглосуточной защите, которая исключает неверные волнения, генерируемые повсевременно действующей системой обнаружения вторжений.

В процессе опыта были установлены карты на компы под управлением Windows 2000 Workstation, установлен сервер управления, проведена настройка карт и опробована атака на компы с аппаратным файерволом при помощи сканера безопасности XSpider 7 Demo (была применена бесплатная версия известного сканера от Positive Technologies).

3. Установка 3Com Firewall PCI Card

Установка карты 3Com Firewall PCI Card ни чем же не отличается от установки обыкновенной сетевой карты. После того, как карта вставлена в разъем PCI, делается установка ее драйверов, которые находятся на прилагаемом CD-ROM с программным обеспечением (набросок 3).

Набросок 2: Установка драйвера карты 3Com Firewall PCI Card

Обзор аппаратных хостовых файерволов (Host Firewalls - 3Com)
А вот так смотрится перечень устройств с уже присоединенной картой (набросок 3).

Набросок 3: 3Com Firewall PCI Card в диспетчере устройств Windows

Обзор аппаратных хостовых файерволов (Host Firewalls - 3Com)
В нашем случае в компьютере установлено две сетевые карты. 1-ая часть работы окончена. Карта установлена и опознана системой.
Перед установкой программного клиента для опции файервола делается выбор клиентской операционной системы (Набросок 4).

Набросок 4: Установкой программного клиента для 3Com Firewall PCI Card

Обзор аппаратных хостовых файерволов (Host Firewalls - 3Com)
Сейчас начинается 2-ая, более ответственная часть работы – установка и настройка программного обеспечения для удаленного управления аппаратным файерволом.

4. Установка 3COM Embedded Firewall Policy Server

На одном из компов сети (обычно, это компьютер админа безопасности сети) устанавливается 3COM Embedded Firewall Policy Server. Для его установки нужно за ранее установить Windows 2000 Server либо Windows Server 2003.

Набросок 5: Выбор компонент установки

Обзор аппаратных хостовых файерволов (Host Firewalls - 3Com)
После выбора нужных компонент для установки (набросок 5) осуществляется создание нового Embedded Firewall domain либо добавление клиента в имеющийся (набросок 6).

Набросок 6: Выбор нужного домена

Обзор аппаратных хостовых файерволов (Host Firewalls - 3Com)
После выбора домена осуществляется выбор нужного порта. В нашем случае выбирались значения по дефлоту (набросок 7).

Набросок 7: Выбор портов

Обзор аппаратных хостовых файерволов (Host Firewalls - 3Com)
Потом задается имя домена, имя и пароль админа и мы перебегаем к фактически настройке (набросок 8).

Набросок 8: Вход в консоль 3COM Embedded Firewall Policy Server

Обзор аппаратных хостовых файерволов (Host Firewalls - 3Com)
В процессе опции указывается перечень открытых портов, Айпишников для шифрованного (нешифрованного) обмена.
После опции была осуществлена попытка сканирования при помощи сканера безопасности XSpider. Как и следовало ждать, попытка была безуспешной.

5. Заключение

Областью внедрения данных аппаратных решений, на мой взор, может быть компьютерная сеть с завышенными требованиями к безопасности и защите от несанкционированного доступа (НСД). Главным достоинством данного решения может служить то, что юзер не может нарушить политику безопасности, потому что все опции могут быть изменены только с компьютера админа безопасности.
Вкупе с тем стоит держать в голове о том, что взлом аппаратных систем существенно труднее чем взлом подобных программных товаров.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.