Брандмауэр FireWall-1 2.1 фирмы CheckPoint
использует метод проверки на соответствие

Фирма CheckPoint Software Technologies вышла за рамки своей традиционной поддержки Unix-платформ, выпустив в июле брандмауэр FireWall-1 версии 2.1. Новая верси ПО, появившаяся в июле, не только переносит все функции своей предшественницы в среду Windows NT, но и обеспечивает удаленные офисы безопасной связью по виртуальным частным сетям в Internet.

Кроме того, в пакет включен клиент шифрования Windows 95, который позволяет удаленным пользователям создавать в Сети защищенные каналы и связываться по ним со своими офисами из любой точки планеты.

Лицензи FireWall-1 на 50 пользователей стоит $4990, а на неограниченное их число - $18 900. Установочный компакт-диск содержит варианты ПО для всех поддерживаемых операционных систем, включая Windows NT.

В целом нам понравилась простота инсталляции, конфигурирования и управления продуктом в новой для него среде, однако ему все же не хватает связи с доменами Windows NT. По этой причине аутентификация удаленных пользователей требует создания счетов даже для тех из них, на кого уже заведены учетные записи в сети.

Организаци ВЧС (виртуальной частной сети), необходимой для передачи трафика ЛВС через Internet, также оказалась несложной. В ходе тестирования такая сеть была организована между рабочей станцией SunSPARC 10 компании Sun Microsystems Computer и компьютером Vectra/XU компании Hewlett-Packard на базе 200 МГц процессора Pentium Pro с установленным ПО Windows NT Workstation 3.51.

К сожалению, CheckPoint пока применяет собственную нестандартную технологию ВЧС, поэтому для создания канала требуется применение еще одного пакета FireWall-1 или заказной версии клиентского ПО SecuRemote из комплекта Windows 95.

К концу года фирма намерена обеспечить поддержку спецификации IPsec, разработанной Целевой группой инженерной поддержки Internet (IETF). Этот стандарт вселяет надежду, что средства создания ВЧС, предлагаемые разными производителями, смогут взаимодействовать между собой.

Провести конфигурирование FireWall-1 таким образом, чтобы задерживался весь трафик, поступающий из Internet, труда не составило. Этот процесс проводится с использованием графической модели на базе правил, которая впервые нашла применение в продуктах фирмы CheckPoint для среды Unix. Одно правило можно налагать поверх другого, что позволяет создавать комплексные фильтры и с большой точностью определять, какие разновидности IP-протоколов допустимы при работе с тем или иным хост-компьютером.

После инсталлировани FireWall-1 мы проверили надежность защиты с помощью Internet Scanner 3.3 фирмы Internet Security Systems, однако обнаружить какие-либо уязвимые места нам не удалось.

Огромный список Unix-протоколов, которые поддерживает FireWall-1, в версии 2.1 еще больше расширен. Из новинок наше особое внимание привлекла возможность работы с протоколом RealAudio и удобное диалоговое окно, позволяющее добавлять поддержку новых протоколов простым указанием номера порта и типа IP-пакетов.

В отличие от брандмауэров на базе представителей, в FireWall-1 применяется сложная форма фильтрации пакетов, названная проверкой на соответствие (stateful inspection). Этот метод предусматривает сопоставление всего поступающего трафика с исходящим и пропуск в систему лишь тех данных, которые соответствуют посланным ранее запросам.

Некоторые претензии можно предъявить к документации и онлайновой справочной системе FireWall-1: первая излишне скудна, а вторая не всегда понятна. К счастью, работа с самим ПО вполне проста и логична, поэтому обращатьс за справками нам приходилось крайне редко.

Новый пакет может оказатьс надежным, хотя и несколько дорогостоящим средством защиты индивидуальных компьютеров под управлением Windows NT, подключенных к внутрикорпоративной сети. Его Unix-версии также способны обеспечить безопасность отдельных ЭВМ.

Брандмауэры в сети intrаnet

Некоторые менеджеры могут спать спокойнее, зная, что на страже важной информации стоят не только стандартные пользовательские идентификаторы и пароли, применяемые в системе защиты Windows NT. Благодаря брандмауэру доступ к основным серверам возможен только с определенных IP-адресов и с применением заданных типов протоколов. Например, ни один злоумышленник, даже раздобывший все данные для входа в систему, не сможет проникнуть в финансовый сервер, потому что доступ в него открыт лишь с некоторых компьютеров, установленных непосредственно в офисе.

Администраторы больших сетей, использующих множество брандмауэров, по достоинству оценят такие особенности версии 2.1, как дистанционное управление и масштабируемость по всем поддерживаемым платформам. Кроме того, контролировать работу любого брандмауэра FireWall-1 можно с помощью 32-разрядного ПО управления под Windows, установленного на любом ПК с ОС Windows 95 или Windows NT. При этом файлы регистрации могут располагатьс на других хост-компьютерах, обеспечивая тем самым возможность централизованной регистрации пользователей.