Сравнение функций брандмауэра

Опубликовано: 14 Апреля, 2023

Каждой бизнес-организации, подключенной к Интернету, необходим брандмауэр для защиты внутренней сети от атак, но выбор правильного брандмауэра может оказаться непосильной задачей. На рынке представлено множество продуктов, стоимость которых варьируется от нескольких сотен долларов до десятков тысяч. Программные брандмауэры, аппаратные брандмауэры, «персональные» брандмауэры, корпоративные брандмауэры — как вообще начать оценивать их возможности и определять, что вам нужно, а что нет?


Не брандмауэр твоего отца


Потребности в компьютерной и сетевой безопасности резко изменились за последние несколько лет, и технология брандмауэра эволюционировала, чтобы удовлетворить эти новые, более требовательные потребности. Традиционный брандмауэр представлял собой довольно простую конструкцию: он располагался между локальной сетью (или, в случае персональных брандмауэров, отдельным компьютером) и «внешним миром» Интернета, и фильтровал входящие и, в некоторых случаях, исходящие пакеты. – на основе информации в заголовках уровней 3 и 4 (IP, TCP, UDP, ICMP). Решение принять или отклонить пакет обычно основывалось на адресе источника или получателя или номере порта.


По мере того, как злоумышленники становились все более изощренными и начали использовать протоколы более высокого уровня (DNS, SMTP, POP3 и т. д.), брандмауэрам приходилось делать больше. Сегодня большинство брандмауэров бизнес-класса выполняют по крайней мере некоторую фильтрацию прикладного уровня, или ALF. Подробности смотрите в моей статье «ALF: что это такое и как это вписывается в ваш план обеспечения безопасности». ALF необходим для предотвращения атак на прикладном уровне и для фильтрации спама и вирусов или для выполнения фильтрации содержимого для блокировки нежелательных веб-сайтов на основе содержимого, а не только IP-адреса.


Брандмауэры сегодня часто больше, чем просто «часовые» у сетевых ворот. Поставщики добавили другие функции, не являющиеся строго функциями брандмауэра, такие как VPN-шлюз и веб-кэширование. Почти все современные брандмауэры, за исключением самых бюджетных, поддерживают VPN, и многие из них либо включают кэширование для ускорения работы в Интернете, либо предлагают дополнительные модули для этой цели. Фактически, многие поставщики стали называть свои продукты «многофункциональными устройствами безопасности» или программным обеспечением, а не просто «брандмауэрами».


Хост-базированные и сетевые брандмауэры


Хост-брандмауэры (иногда называемые «персональными» брандмауэрами) — это простые, недорогие программы или устройства, предназначенные для защиты одного компьютера. Примеры включают ZoneAlarm, персональный брандмауэр Norton и брандмауэр подключения к Интернету (ICF), встроенный в Windows XP.


Сетевые брандмауэры могут защитить несколько компьютеров. Однако не все сетевые брандмауэры одинаковы. Некоторые из них представляют собой простые устройства или программы, которые стоят немногим больше, чем персональные брандмауэры. Многие потребительские DSL и кабельные маршрутизаторы используют этот тип технологии брандмауэра. Простые сетевые брандмауэры выполняют фильтрацию пакетов, но обычно не делают ничего, кроме очень элементарного ALF.


Корпоративные брандмауэры предназначены для «всего бизнеса» и предназначены для больших и сложных сетей. Само собой разумеется, что они стоят намного дороже. Они будут обслуживать гораздо больше пользователей, имеют более высокую пропускную способность и расширенные функции, такие как:



  • Включение VPN-шлюзов
  • Возможность централизованного управления несколькими брандмауэрами
  • Сложные механизмы мониторинга и отчетности
  • Может быть расширен за счет дополнительных модулей или плагинов.
  • Возможность контролировать доступ с помощью политик и применять разные политики к разным пользователям
  • Более сложные механизмы аутентификации
  • Высокая доступность с балансировкой нагрузки и отказоустойчивостью

Стоимость межсетевых экранов на основе хоста обычно составляет около 100 долларов или меньше. Корпоративные брандмауэры могут стоить более 25 000 долларов. Самые популярные межсетевые экраны для среднего бизнеса стоят от 1500 до 5000 долларов. Но это только начальная цена покупки. Как мы увидим позже, многие поставщики взимают дополнительную плату за функции, которые другие предоставляют бесплатно.


Аппаратные и программные брандмауэры


Все брандмауэры работают с программным обеспечением брандмауэра, и все они запускают его на каком-то оборудовании, но термины аппаратный брандмауэр и программный брандмауэр используются для различения продуктов, продаваемых как интегрированное устройство, которое поставляется с предустановленным программным обеспечением, обычно в проприетарной операционной системе. и программы брандмауэра, которые можно установить в сетевых операционных системах общего назначения, таких как Windows или UNIX.


Аппаратные брандмауэры можно дополнительно разделить на те, которые в основном представляют собой выделенные ПК с жесткими дисками, и те, которые представляют собой твердотельные устройства, построенные на архитектуре ASIC (специализированных интегральных схем). Брандмауэры ASIC, как правило, работают быстрее и не имеют жесткого диска (механического устройства) в качестве потенциальной точки отказа.


К программным брандмауэрам относятся Microsoft ISA Server, CheckPoint FW-1 и Symantec Enterprise Firewall на уровне предприятия, а также большинство персональных брандмауэров. ISA Server работает на Windows 2000/2003, а FW-1 работает на Windows NT/2000, Solaris, Linux и AIX, а также на проприетарных операционных системах устройств. Symantec EF работает в Windows и Solaris.


К аппаратным брандмауэрам относятся устройства Cisco PIX, Nokia (которые используют CheckPoint FW-1 поверх своей операционной системы IPSO), SonicWall, NetScreen, Watchguard и устройства Symantec серии 5400 (которые работают под управлением их программного обеспечения Enterprise Firewall).


Аппаратные брандмауэры часто продаются как «под ключ», потому что вам не нужно устанавливать программное обеспечение или беспокоиться о конфигурации оборудования или конфликтах. Те, кто использует проприетарные операционные системы, заявляют о большей безопасности, потому что ОС уже «защищена» (однако, тем не менее, многие проприетарные системы были взломаны). Недостатком аппаратных брандмауэров является то, что вы привязаны к спецификациям производителя. Например, брандмауэр будет иметь определенное количество сетевых интерфейсов, и вы застряли с этим числом. С помощью программного брандмауэра вы можете добавить сетевые карты к машине, на которой он работает, чтобы увеличить количество доступных интерфейсов. Вы также можете легко обновить стандартный ПК, на котором работает программный брандмауэр, легко добавив стандартную оперативную память или даже несколько процессоров для повышения производительности.


Важные функции брандмауэра


Большинству предприятий требуется больше, чем может предложить персональный или простой сетевой брандмауэр, но если вы не используете интернет-провайдера или центр обработки данных, первоклассные корпоративные брандмауэры, вероятно, будут излишними (не говоря уже о том, как они могут убить ваш бюджет). Предполагая, что у вас есть бизнес среднего размера и вы ищете брандмауэр в диапазоне от 2000 до 10 000 долларов, что там есть и в чем разница между ними?


Вот некоторые вещи, которые вы должны искать:



  • Архитектура: вы предпочитаете программный брандмауэр, который можно установить на новый или существующий ПК, или на специальное устройство?
  • Сколько одновременных сеансов брандмауэра должен поддерживать брандмауэр?
  • Сколько VPN-туннелей вам нужно для одновременной работы?
  • Какие протоколы VPN вы хотите использовать (IPSec, PPTP, L2TP)?
  • Нужна ли вам интеграция с почтовыми серверами Exchange или серверами совместной работы SharePoint?
  • Какой тип пользовательского интерфейса управления (UI) вы предпочитаете: интерфейс командной строки (CLI), графическая консоль управления, веб-интерфейс? Вам нужно управлять брандмауэром через SSH, Telnet или SNMP? Вам нужно централизованное управление несколькими брандмауэрами?
  • Вам нужны функции высокой доступности (балансировка нагрузки, аварийное переключение)?

Единого идеального брандмауэра не существует. У каждого продукта есть сильные и слабые стороны, и после того, как вы оцените свои потребности и решите, какие функции наиболее важны для вашей организации, вы должны тщательно сравнить технические характеристики и спецификации различных продуктов брандмауэра, чтобы определить, какой из них лучше всего соответствует вашим потребностям.


Например, брандмауэры Cisco PIX надежны и популярны, но многим администраторам не нравится веб-интерфейс PIX Device Manager (PDM) и они предпочитают использовать интерфейс командной строки. Если вам не нравится командная строка, это может быть фактором в вашем выборе. Брандмауэры среднего уровня SonicWall Pro 230 предлагают большое ценовое преимущество по сравнению с другими брендами, но поддерживают меньше VPN-туннелей (500 по сравнению с 12 500 для Nokia 350 среднего уровня и 8000 для среднего уровня Watchguard V80). С другой стороны, NetScreen 50, который стоит на 4000 долларов больше, чем SonicWall, обеспечивает меньшее количество VPN-туннелей (100) и меньше одновременных сеансов (8000 против 30 000 у SonicWall).


Вам нужны дополнительные функции?


Некоторые функции предоставляются некоторыми поставщиками за дополнительную плату (например, вам, возможно, придется купить дополнительную лицензию для использования шифрования 3DES, или фильтрация содержимого может выполняться через службу подписки, такую как SonicWall CFS, или через стороннюю службу, такую как Websense). Некоторые функции предоставляются бесплатно для некоторых брандмауэров, недоступны для некоторых других и требуют дополнительных надстроек для других (например, веб-кэширование входит в стандартную комплектацию ISA Server, может быть добавлено в CheckPoint с помощью дополнительного продукта)., должно выполняться «вне коробки» с PIX и является частью службы фильтрации контента с SonicWall).


Функции, за которые вам, возможно, придется доплачивать, включают:



  • Веб-кеширование
  • Централизованное управление и отчетность
  • Фильтрация спама
  • Высокая доступность
  • Проверка URL
  • Антивирус

В других брандмауэрах некоторые или все эти функции встроены. Например, консоль управления ISA Server может использоваться для управления несколькими ISA Server, а его функции ALF могут использоваться для элементарной фильтрации спама, в то время как ISA может использовать операционную систему Windows Server. встроенная в систему функция балансировки нагрузки.


Еще одним соображением является пропускная способность (количество данных, передаваемых в секунду). Производительность важна в загруженной сети, где люди нуждаются в быстром доступе к ресурсам. Пропускная способность межсетевого экрана может варьироваться от 150 Мбит/с до более 1 Гбит/с. Сравнивая заявления поставщиков о пропускной способности, будьте внимательны, чтобы убедиться, что вы не сравниваете яблоки и апельсины. Пропускная способность VPN, особенно с надежным шифрованием, будет намного медленнее, чем пропускная способность брандмауэра. Кроме того, некоторые поставщики указывают пропускную способность как двунаправленную. Конечно, пропускная способность не определяет скорость доступа в Интернет; вы по-прежнему ограничены скоростью вашего интернет-соединения.


Некоторые особые соображения диктуют использование конкретного брандмауэра. Например, ни один другой продукт не интегрируется с серверами Exchange и пользователями Outlook Web Access (OWA) и не защищает их так хорошо, как ISA Server, потому что оба продукта созданы корпорацией Майкрософт для безупречной совместной работы. ISA Server также изначально разработан для работы с серверами SharePoint Portal Server (SPS). Если защита ваших серверов Exchange и SPS является приоритетной задачей, ISA — ваш логичный выбор.


Важные соображения стоимости


Когда вы сравниваете стоимость различных брандмауэров, вам необходимо учитывать любые дополнительные функции, которые вам необходимо реализовать. Если вам не нужно веб-кэширование, покупка коробки SonicWall может стоить дешевле, чем покупка ПК, операционной системы Windows Server и ISA Server. С другой стороны, если вам ДЕЙСТВИТЕЛЬНО необходимо кэширование и у вас уже есть дополнительный блок, на котором можно установить ISA, это может оказаться гораздо более рентабельным, чем покупка SonicWall плюс сервер или устройство веб-кэширования.


Схемы лицензирования сильно различаются, а некоторые из них настолько сложны, что сбивают с толку. Например, некоторые поставщики взимают дополнительную плату за каждого VPN-клиента. Если у вас есть 1000 VPN-клиентов, даже по 15 долларов каждый, это в сумме составляет 15 000 долларов. Другие поставщики, такие как Microsoft, не требуют клиентских лицензий для VPN-соединений, а их клиентское программное обеспечение VPN (клиенты PPTP и L2TP) встроено в каждую современную операционную систему Microsoft. Некоторые поставщики также основывают начальную стоимость брандмауэра на определенном количестве пользователей, и если вы превысите это число, вам придется купить обновленную лицензию.


Решение брандмауэра, которое кажется самым дешевым на основе прейскурантной цены на программное обеспечение или устройство, может в конечном итоге стоить намного дороже, если вы купите все необходимые лицензии и дополнительные модули или услуги.


Резюме


Покупка брандмауэра для вашей организации может оказаться непростой задачей, но ее можно облегчить, если к ней правильно подготовиться. Это означает знание того, сколько пользователей необходимо поддерживать (с учетом будущего роста), будут ли у вас пользователи VPN и сколько, есть ли у вас серверы Exchange и SharePoint, которые нужно защищать, нужно ли вам централизованно управлять несколькими серверами., и нужны ли вам дополнительные функции, такие как веб-кэширование. Вы также захотите определить, предпочитаете ли вы, чтобы дополнительные функции выполнялись «вне коробки» (что увеличивает количество необходимого оборудования, но снижает нагрузку на процессор брандмауэра) или «в коробке», что может быть более удобным и снизить стоимость. Когда вы начинаете оценивать варианты брандмауэра, вам нужно принять множество решений. В этой статье мы обсудили лишь некоторые из вопросов, которые вам следует учитывать.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023