Межсетевое экранирование

На сегодняшний день межсетевые экраны в чистом виде встречаются довольно редко. Чаще всего, кроме функций фильтрации трафика, устройства включают в себя различные дополнительные возможности по контролю содержимого (content filtering), трансляции сетевых адресов (NAT), организации виртуальных частных сетей (VPN), обнаружению наиболее распространённых атак (IDS) и другие.

Российский рынок в настоящее время изобилует различными средствами защиты информации как отечественного, так и зарубежного производства. Однако следует отметить тот факт, что зарубежные средства обладают двумя серьезными недостатками. Во-первых, это высокая стоимость (в 1, 5-2 раза выше, чем отечественные средства), что вызвано более высокой себестоимостью и дополнительными расходами на транспортировку и таможенные сборы. Во-вторых, основная масса средств защиты информации основана на криптографическом преобразовании данных, а в ряде стран, в том числе и в США, которые являются основным импортером данной продукции, существует ряд ограничений на вывоз криптосредств с высоким уровнем стойкости.

На российском рынке можно отметить следующие межсетевые экраны (с различными функциями):

1. Cisco PIX Firewall компании Cisco Systems (аппаратно-программный).

2.CheckPoint Firewall-1 компании CheckPoint (программный, функционирующий под управлением операционных систем Windows NT, Solaris, HP UX и AIX).

3. CyberGuard Firewall компании Cyberguard Corporation (программный, функционирует под управлением ОС Windows NT и UnixWare).

4. ФПСУ-IP - разработка ООО «АМИКОН» (аппаратный комплекс);

5.Z-2 компании «Инфосистемы Джет» (программный комплекс, функционирующий под управлением ОС Solaris).

6. VipNet OFFICE FIREWALL компании «Инфотекс» (программный);

7.Континент-К - разработка НИП «Информзащита» (аппаратно-программный комплекс).

8. «Застава» - разработка компании «Элвис+» (программный комплекс, предназначен для работы в ОС Solaris).

9. «Застава-Джет» компании «Инфосистемы Джет» (аппаратно-программный комплекс, использующий платформу Solaris) и др.

При выборе межсетевого экрана было учтено следующее:

1.Проанализировав потребности органа муниципального управления в Интернет, было принято решение организовать доступ в глобальную сеть со специально выделенных рабочих мест в каждом отделе (пользователи внутренней ЛВС доступ в Интернет иметь не должны).

2. Нет необходимости в средстве с функциями VPN.

3.Необходимо создать демилитаризованную зону (для размещения почтового сервера), то есть межсетевой экран должен поддерживать как минимум 3 сетевых интерфейса.

4.Необходимо наличие у продукта сертификата (не ниже 4 класса защищенности).

Исходя из этого, для защиты сети органа муниципального управления был выбран VipNet Office Firewall - разработка ОАО «ИнфоТеКС».

ViPNet Office Firewall 4.1 — программный межсетевой экран, предназначенный для контроля и управления трафиком и преобразования трафика (NAT) между сегментов локальных сетей при их взаимодействии, а также при взаимодействии узлов локальных сетей с ресурсами сетей общего пользования.

Основные возможности программы:

1.Использование технологии MSI для установки ПО ViPNet.
Для программы ViPNet Office Firewall версии 4.1 разработан установочный пакет, который позволяет устанавливать программу с использованием Microsoft System Center, а также с помощью программ, обращающихся к командной строке Windows для запуска автоматической установки ViPNet Office.

2.Динамическая и статическая трансляция сетевых адресов (NAT).
Динамическая трансляция сетевых адресов позволяет работать множеству внутренних клиентов под одним внешним IP-адресом.
Реализована также статическая трансляция сетевых адресов, что позволяет публиковать во внешней сети (Интернете) серверы, находящиеся во внутренней сети, например, почтовый сервер, веб-сервер, FTP-сервер.
Трансляция сетевых адресов доступна также и для протоколов, отличных от TCP, UDP и ICMP.

3.Автоматическая настройка фильтров антиспуфинга.
При включении антиспуфинга соответствующие фильтры формируются автоматически на основе таблицы маршрутизации данного сетевого узла.

4. Возможность использования экранной клавиатуры для аутентификации.

5.Специальные правила обработки IP-трафика от приложений, использующих протоколы FTP, DNS, H.323, SCCP, SIP.
Специальная функция обработки прикладных протоколов обеспечивает активацию разрешающего сетевого фильтра для дополнительного соединения на случайно выбранный порт, открываемый прикладным протоколом.

6. Использование групп объектов.

Группы объектов — это средство, позволяющее упростить создание сетевых фильтров и правил трансляции адресов в программе ViPNet Office Firewall. Они объединяют несколько значений одного типа и могут быть заданы при настройке параметров фильтра или правила вместо отдельных объектов.

7. Фильтрация широковещательных IP-пакетов по адресам отправителя.

Можно фильтровать широковещательные IP-пакеты по адресам конкретных отправителей.

8. Работа сетевых фильтров по расписанию.

Реализована возможность применения правил фильтрации по заранее заданному расписанию, позволяющая гибко управлять и ограничивать расходы на оплату каналов связи.

9. Журнал регистрации IP-пакетов и преобразования сетевых адресов (NAT).

В программе реализованы средства регистрации и отображения результатов (событий) обработки IP-пакетов. Поддерживается автоматическая архивация журналов и экспорт данных в формат html или MS Excel.

10. Создание нескольких конфигураций и быстрое переключение.

Реализована возможность создавать различные конфигурации с разными наборами фильтров и оперативно переключаться между ними.