Контакты
Подписка
МЕНЮ
Контакты
Подписка

Корпоративные межсетевые экраны: из века XX в XI

Корпоративные межсетевые экраны: из века XX в XI

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Корпоративные межсетевые экраны: из века XX в XXI

Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems

С чего все начиналось

Впервые брандмауэры появились на поездах. Те, кто помнят старые советские фильмы о революции, например о герое-большевике Лазо, сразу вспомнят, что такое брандмауэр. Уголь, которым топилась топка паровоза, находился поблизости от огня, что существенно повышало риск возгорания угольной пыли. Пожар в машинном отделении мог перекинуться на пассажирские вагоны, что в свою очередь сказывалось на доходах транспортных компаний (яркий пример, когда безопасность напрямую влияла на бизнес). Тогда паровозы стали оборудоваться железной переборкой позади машинного отделения. Ее и назвали брандмауэром. По-немецки это означает "огненная стена"; термин "firewall" имеет аналогичное значение, но взят из английского языка. К слову сказать, термин "брандмауэр" никогда не применяется специалистами по отношению к системам защиты. Просто исторически так сложилось, что российские журналисты стали его использовать как синоним "firewall". В России же принято другое обозначение данного класса защитных средств - межсетевой экран (МСЭ). Если вернуться к брандмауэру, то он, кстати, не защищал самого машиниста. По большому счету, брандмауэр был призван не защитить от пожара, а локализовать его и не дать распространиться по вагонам.

В конце 80-х гг. прошлого века появляется первый МСЭ, который выглядел как маршрутизатор, разделяющий несколько локальных сетей с помощью правил фильтрации. 13 июня 1991 г. компания DEC поставила в DuPont первый коммерческий МСЭ - DEC SEAL. С этого момента начинается история МСЭ.

Факторы, которые замалчиваются

Сегодня, когда двери корпоративных сетей все чаще открываются для клиентов, партнеров и т.п., МСЭ, разработанные на заре Интернета, становятся анахронизмом. Однако до сих пор в рекламе многих производителей делается упор на моменты, которые уже давно стали стандартом де-факто и неотъемлемой частью любого МСЭ, представленного на рынке. Например, централизованное управление, инспекция разных сетевых и прикладных протоколов, поддержка NAT, интеграция с различными серверами аутентификации, фильтрация URL и т.д. Без этих свойств корпоративный МСЭ мало кому нужен. Зато остальные существенные факторы, которые очень важны современному потребителю, обычно замалчиваются или утаиваются.

В первую очередь, корпоративному пользователю важна возможность одновременного доступа к консоли управления МСЭ разных администраторов. Ведь нередки ситуации, когда за разные МСЭ на разных площадках отвечают разные администраторы. При этом, внедрив систему централизованного управления ими, мы получаем единую точку входа, контроля и управления. И логично представить, что в один момент времени к этой центральной консоли могут получить доступ разные администраторы для управления своими участками защитной инфраструктуры. Не каждый производитель предлагает такую возможность. Развитием этой функции является ролевое управление доступом, когда разные администраторы носят разные "личины" - один отвечает за управление всеми межсетевыми экранами, например, в городе Когалым; другой может только проверять правила фильтрации, но не может их изменять, и т.д. Если привязывать эти настройки к конкретному пользователю, то с его увольнением, переходом на новую должность или временным отсутствием мы встаем перед проблемой повторного включения данных настроек для другого пользователя (а потом надо не забыть их отключить). Ролевое же управление лишено такого недостатка, так как мы создаем нужное нам количество ролей, а потом просто связываем пользователя с конкретной ролью, что выполняется всего в один-два клика мыши.

Чтобы было проще

В корпоративном окружении есть возможность работы с одной консоли с разными политиками безопасности. Например, для МСЭ в Лангепасе должны быть одни правила и настройки, для московского МСЭ - вторые, для тверского -третьи и т.д. Держать для каждой политики свою консоль - не только сложно, но и довольно дорого. Гораздо проще выбрать МСЭ, система управления которого позволяет оперировать разными политиками безопасности. При этом даже увеличение числа управляемых точек не должно приводить к дополнительным финансовым затратам.

Еще одна важная характеристика, особенно для многих корпоративных пользователей, - контроль работоспособности и непротиворечивости правил. Допустим, администратор создал на МСЭ первичный набор из 3-4 десятков правил. Через какое-то время на МСЭ добавились еще несколько десятков правил; потом еще. И вот тут начались проблемы. Правило из первого десятка начинает конфликтовать с правилом из пятого и десятого, пятнадцатое правило уже вообще не работает, так как соответствующий ему трафик перестал "ходить" в сети, а 133-е правило дублирует 14-е, а это занимает ресурсы МСЭ на обработку лишних правил. Функция определения неработающих правил, а также поиска конфликтов или несогласованности является очень значительной для современных МСЭ.

Представьте, что, внедрив систему централизованного управления, мы все равно иногда сталкиваемся с ситуацией, когда администраторы "на местах" меняют настройки МСЭ из командной строки в обход центральной точки контроля. Как отследить такие ситуации? Как вернуть систему к эталонной политике безопасности? Как узнать, кто произвел несанкционированные изменения? Если МСЭ не дает ответа на эти вопросы, то истинно корпоративным он считаться не может.

Мы рассмотрели всего несколько свойств, которыми должны обладать современные межсетевые экраны для эффективного решения поставленной перед ними задачи. Можно заметить, что я ни слова не сказал про инспекцию мультиме-диатрафика, балансировку нагрузки, отказоустойчивость и т.д. Я считаю, что все эти функции должны входить в "джентльменский" набор любого МСЭ. В первые ряды сегодня выдвигаются совершенно иные механизмы, которые облегчают управление МСЭ, снижают совокупную стоимость их владения, уменьшают число ошибок и, тем самым, повышают уровень безопасности защищаемой сети.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2007

Приобрести этот номер или подписаться

Статьи про теме