Когда Вы соединяете Вашу сеть с Internet или с другой сетью, фактор обеспечения безопасности доступа в Вашу сеть имеет критическое значение. Наиболее эффективный способ защиты при связи с Internet предполагает размещение системы FireWall между Вашей локальной сетью и Internet.
Цель FireWall - обеспечить связь между сетью организации и Internet в соответствии с некоторой политикой защиты. Дополнительные меры защиты, идентификация подлинности пользователей и обеспечение секретности передачи данных могут дополнять FireWall, но обеспечение надежного барьера от вторжений извне в частную сеть имеет первостепенное значение.
В концепции Internet FireWall, как правило, используются два разных подхода, обычно используемые совместно. Главное различие между ними - глубина обработки информации.
В Application Gateways все пакеты адресованы приложению пользовательского уровня, которое передает пакеты между двумя точками сети. В большинстве реализаций Application Gateway, требуются дополнительные фильтры пакетов для управления и контроля за трафиком между сетями. Типичная конфигурация - два маршрутизатора с установленными фильтрами и бастион с Application Gateway между ними.
Application Gateway безопасны, но неэффективны. Они непрозрачны для пользователей и приложений и сложны в управлении. Application Gateway позволяет контролировать только ограниченное число приложений и часто требуется доработка программного обеспечения как для клиента, так и для сервера.
Программы пакетных фильтров действуют как маршрутизаторы между двумя сетями. Поскольку пакеты следуют от источника до адресата, программа либо пропускает их, либо блокирует. Пакетные фильтры обеспечивают меньший уровень защиты чем Application Gateway, но более эффективны. Они прозрачны для многих протоколов и приложений. Однако, традиционные пакетные фильтры не имеют представления о структуре передаваемых данных и сложны в настройке и проверке. Отсутствие механизмов верификации - еще один их заметный недостаток.
CheckPoint FireWallЦ1 объединяет преимущества обоих методов, исключая их недостатки, создавая эффективное, надежное и независимое от протокола решение.
CheckPoint FireWallЦ1 предусматривает защиту на прикладном уровне, идентифицирует пользователей, обеспечивает единую поддержку и обработку всех протоколов, контроль трафика и предупреждение в случае возникновения опасности.
Работа с CheckPoint FireWall-1 прозрачна для пользователей и систем.
В дополнение к инспекционной технологии, CheckPoint FireWallЦ1 включает простой и понятный объектно-ориентированный графический интерфейс пользователя, облегчающий сопровождение системы и конфигурирование.
Для каждого приложения, Application Gateway использует отдельную программу. Application Gateways могут обеспечить высокий уровень защиты, хотя они, как правило, содержат ряд неточностей и поддерживают только ограниченный набор (обычно только малое подмножество) приложений и услуг Internet. Чтобы использовать Application Gateway, пользователи должны соединиться с Gateway-машиной или установить специфическую клиентскую часть для каждого приложения, которое они хотят использовать. Каждое приложение в Application Gateway - отдельный фрагмент программного обеспечения и требует собственного набора инструментальных средств управления и настройки.
Circuit Gateways обеспечивают более общий способ для разработки Application Gateway и поддерживают некоторые (но не все) приложения TCP. Circuit Gateways не поддерживают другие протоколы (UDP, например). Пользователи вынуждены часто устанавливать и использовать различные клиентские приложения или изменять их настройки. Поэтому установка специальных клиентских приложений на каждом внутреннем компьютере - чрезвычайно трудоемкая задача, так как внутренняя сеть предприятия, как правило, является гетерогенной относительно платформ, операционных систем, версий, и т.д.
Application Gateway и Circuit Gateway также влияют на эффективность сети; каждый пакет должен быть скопирован и обработан по крайней мере дважды всеми уровнями соединения и программой пользовательского уровня, что требует переключения контекста системы. Кроме того, должен быть запущен новый процесс для каждого соединения.
Сам Application Gateway непосредственно требует дополнительных средств защиты типа пакетного фильтра. Приложения и daemons должны тщательно управляться. Даже с пакетными фильтрами они уязвимы в непривилегированных портах. Все эти меры предупреждения обычно требуют использования дополнительных аппаратных средств, ограничения доступных услуг и утомительных, подверженных ошибкам, административных усилий.
Технологии фильтрации пакетов обеспечивают эффективный способ управления любым типом сетевого трафика и приложений. Они не требуют никаких изменений в клиентских приложениях, никакого специфического управления приложениями или установки дополнительных аппаратных средств. При использовании одной системы пакетной фильтрации весь трафик обрабатывается, а затем или пересылается, или блокируется в единственном контрольном пункте.
Однако технологии фильтрации пакетов не обеспечивают всех требований защиты. Информация, доступная для фильтрации (адреса источника и получателя, номер порта) редко достаточна. Число правил ограничено, и имеется значительный проигрыш в эффективности, когда используются много образцов правил. Недостаток контекста или информации о состоянии протокола делает невозможным использовать пакетные фильтры для протоколов типа UDP (User Datagram Protocol), RPC (Remote Procedure Call) или FTP (Протокол Передачи Файлов, давно используемый и на удивление сложный). В большинстве случаев технологии фильтрации пакетов не обеспечивают протоколирование работы системы или механизмы оповещения при возникновении нештатных ситуаций.
В основном, программные продукты на основе технологии фильтрации пакетов страдают из-за отсутствия интерфейсов управления. Работа с ними требует высокого уровня понимания внутренней организации протоколов и написания программного кода на самом низком уровне системы, что создает дополнительные трудности при необходимости модификации. Некоторые пакетные фильтры выполнены внутри маршрутизаторов, что ограничивает пропускную способность (вычислительную мощность) последних и делает невозможным протоколирование и инспектирование на должном уровне. Другие выполнены как наборы программ, которые фильтруют пакеты на прикладном уровне. Но это неэффективный подход, требующий множественных копий данных, больших задержек и контекстных переключений и снижающий производительность. Процессы прикладного уровня плохо масштабируются при увеличении числа пользователей.
Наиболее известные системы Internet FireWall используют комбинацию пакетного фильтра на компьютере или на аппаратном маршрутизаторе, для управления нижними уровнями коммуникаций, и Application Gateway, для разрешенных приложений. Эта конфигурация обеспечивает только ограниченные, непрозрачные, негибкие связи и влечет за собой большие издержки при установке, управлении и экспертизе.
Напротив, CheckPoint FireWallЦ1 объединяет лучшие решения, используемые в обеих концепциях:
CheckPoint FireWallЦ1 содержит инспекционный модуль, применимый ко всем протоколам, который использует технологию учета состояния до любого уровня (SMLI). Этот подход анализирует данные в пакете, начиная с сетевого уровня (заголовка IP), до прикладного уровня и обеспечивает привязку к контексту.
Таким образом, CheckPoint FireWallЦ1 защищает сложные приложения более эффективно, чем технологии, которые основаны на разноуровневом контроле данных. Например, в то время как Application Gateways имеет доступ только к прикладному уровню, а программы маршрутизации имеют доступ только к нижним уровням, CheckPoint FireWallЦ1 интегрирует информацию, собранную из всех уровней в единую систему.
В то же самое время, CheckPoint FireWallЦ1 и SMLI технология обеспечивают прозрачную и эффективную защиту для всех протоколов и приложений.
CheckPoint FireWallЦ1 содержит модули Application Gateways (proxy), которые поставляются отдельно и обеспечивают шифрование и идентификацию пользователей.
CheckPoint FireWallЦ1 протоколирует происходящие события, содержит механизмы выдачи предупреждений и, кроме этого, прост в установке и настройке.
CheckPoint FireWallЦ1 - единственное интегрированное решение системы безопасности, обеспечивающее распределенную систему защиты. Стратегия защиты может быть создана для любого количества систем FireWall, и любое число зарегистрированных пользователей может контролироваться системой. FireWall-1 построен на основе единой стратегии защиты, основанной на общих правилах, и имеет один централизованный файл регистрации. Если необходимо, интегрированная стратегия защиты может поддерживать различные Базы Правил, которые будут выполнены, например, в разное время дня.
Интуитивный, объектно-ориентированный интерфейс пользователя воплощает в себе простую, гибкую и единую реализацию стратегии защиты для всей организации в целом.
Далее примеры показывают, как создать стратегию защиты в CheckPoint FireWallЦ1, и объясняют принципы функционирования продукта.