ZyWALL — объединенная защита сети

ZyWALL — объединенная защита сети

Владимир Алферьев, менеджер по продукции ZyXEL

Реалии сегодняшнего дня превращают прежнее устройство с единой функциональностью — межсетевой экран — в универсальную платформу, обеспечивающую значительный набор средств защиты и решающую широкий ряд дополнительных задач. Характерный пример — экраны ZyWALL.

Не страшны любые атаки

Основное назначение этих устройств — защита сети и блокирование атак типа DoS (скажем, отказ в обслуживании: IP Spoofing, Ping of Death, Teardrop, SYN/FIN/LAND, brute-force, IPCM redirect). Продукт гарантирует безопасную работу и надежную связь компании с внешним миром практически при любых условиях — даже на фоне массированных атак.

Вместе с тем любой межсетевой экран из линейки ZyWALL позволяет реализовать резервирование Интернет-доступа с помощью коммутируемых каналов связи — обычного, ISDN- или сотового модема. А в моделях ZyWALL 35 и ZyWALL 70W предусмотрены два WAN-канала Fast Ethernet. Один из портов может быть настроен в качестве резервного канала: при выходе из строя основного происходит автоматический переход на резервный порт без потери скорости Интернет-соединения. При одновременной работе каналов доступен механизм распределения нагрузки (load balancing). Оба WAN-порта поддерживают три режима инкапсуляции: Ethernet, PPPoE, РРТР и при использовании независимых каналов связи способны многократно повысить надежность подключения к Интернету и распределенной корпоративной сети.

Шире круг!

Да, да, именно распределенной — это не оговорка! Потому что еще один круг задач, решаемых экранами ZyWALL, — это организация защищенных виртуальных частных сетей по протоколу IPSec с аппаратным шифрованием VPN-туннелей: сетевой экран организует шифрованные каналы через открытую сеть Интернет и обеспечивает высокий уровень конфиденциальности передаваемых данных, сертифицированный лабораторией ICSA. Такая виртуальная сеть представляет собой совокупность технологий туннели-рования, шифрования, аутентификации, управления доступом и контролем, используемых для передачи трафика через Интернет или другие небезопасные сети, которые применяют для коммутации стек протоколов TCP/IP. В межсетевом экране ZyWall используется протокол IPSec, в основе которого лежат алгоритмы шифрования DES, 3DES, AES и алгоритмы аутентификации MD5, SHA-1.

Все модели ZyWALL имеют средства контроля содержимого, закрывая или открывая доступ к определенным Интернет-ресурсам на основании корпоративной политики. При этом можно вести список запрещенных и разрешенных Интернет-ресурсов — как самостоятельно, так и с помощью постоянно обновляемой централизованной базы данных, размещенной на сервере my.zyxel.com (с ним связывается ZyWALL). Сервер использует современную технологию Blue Coat и ежедневно осуществляет мониторинг миллионов Web-серверов, классифицируя их по 52 группам: от «бизнеса и экономики» до «игр» и «спорта». Это позволяет в режиме реального времени ранжировать новые сайты, к которым обращаются сотрудники организации, и блокировать или открывать доступ к тем или иным ресурсам, повышая эффективность работы сотрудников.

По списку

Составление списков управления доступом (Access Control List) — удобный механизм определения правил доступа для пользователей. Возможность указать период действия такого правила, например в рабочее время (указывается день, время), и программное выключение правила в нерабочее время делают это устройство удобным для применения широким кругом корпоративных заказчиков.

Для предотвращения атак типа DoS предусмотрена регулировка пороговых значений параметров срабатывания системы на некорректный трафик. При их превышении достаточно удалить открытые сессии и заблокировать их на срок до 256 минут.

Помимо настройки безопасности DoS, VPN, фильтрации контента, ограничения пропускной способности можно организовать защищенный доступ по беспроводной связи и саму беспроводную точку доступа: в межсетевой экран ZyWALL вставляется беспроводной PC Card-адаптер — и ZyWALL выступает в качестве точки доступа для подключения беспроводных пользователей к проводной сети.

Аппаратная реализация межсетевого экрана позволяет подключать публичные Web-, FTP-, почтовые серверы к портам DMZ (демилитаризованная зона). Этим повышается защита сети от подключения пользователей из внешней сети.

Управлять ZyWall несложно как посредством Telnet, консольного порта, SNMP, так и посредством централизованной системы управления Vantage CNM. Доступно защищенное управление SSH.