Potęga żelastwa

Sprzętowe firewalle

Zapora ogniowa to podstawowy środek ochrony sieci prywatnych przed infiltracją ze strony osób niepowołanych. W większości przypadków chroniony jest dostęp do mocy obliczeniowej sieci oraz i udostępnianych przez nią zasobów. Firewall jest oprogramowaniem komputerowym lub urządzeniem instalowanym na styku sieci lokalnej (LAN) i rozległej (WAN, np. Internet). Dzięki skoncentrowaniu w jednym punkcie całego ruchu przechodzącego między nimi możliwa jest kontrola wszystkich informacji przesyłanych w obie strony i eliminowanie prób nielegalnego dostępu do określonych zasobów.

Przywykliśmy już do tego, że ścianę ogniową realizuje się najczęściej programowo, za pomocą specjalnej aplikacji lub wykorzystując możliwości systemu operacyjnego. Na rynku istnieją jednak alternatywne rozwiązania sprzętowe, których jedynym celem jest obrona sieci lokalnej przed niepowołanym dostępem z zewnątrz. Urządzenia tego typu przeznaczone są w zasadzie do ochrony średnich i dużych sieci, choć w ofercie większości producentów osprzętu sieciowego znajdują się też tańsze, mniej zaawansowane rozwiązania dla małych grup.

Co może zapora?

Mimo że sposoby ochrony danych są coraz doskonalsze, nadal możemy być pewni jednego – nie ma zabezpieczenia, którego nie można by pokonać. Pod tym względem zapora ogniowa nie jest żadnym wyjątkiem. Powinniśmy jednak zdać sobie sprawę, że zazwyczaj najsłabszym ogniwem systemu zabezpieczeń nie jest ani maszyna, ani oprogramowanie, lecz… człowiek. Dlatego dzięki centralizacji mechanizmów ochrony oraz ich uniezależnieniu od beztroskich działań poszczególnych użytkowników dobrze skonfigurowany firewall istotnie podnosi bezpieczeństwo sieci lokalnej. Zapora ogniowa filtruje wszystkie przesyłane pakiety, przepuszczając tylko te, które nie naruszają zasad polityki bezpieczeństwa określonych przez administratora. To zadanie podstawowe. Ponadto firewall może realizować wiele dodatkowych funkcji – począwszy od translacji adresów, poprzez rejestrowanie i śledzenie wszelkich przepływających pakietów, na zdalnym zarządzaniu, buforowaniu czy szyfrowaniu danych skończywszy.

Chroń siebie…

Bardziej zaawansowane urządzenia zapewniają ochronę przed tzw. atakami Denial of Service (DoS), których celem jest unieruchomienie wybranej usługi sieciowej. Z pewnością w niejednej firmie zablokowanie serwera WWW lub poczty elektronicznej mogłoby na wiele godzin sparaliżować jej pracę. Firewall powinien być odporny na takie ataki, jak Ping of Death (przesłanie pakietu przekraczającego maksymalną dozwoloną długość), SYN Flood („zalanie” komputera setkami żądań nawiązania połączenia), LAND Attack (przesłanie pakietu z takim samym adresem i portem nadawcy oraz odbiorcy), IP Spoofing (przesyłanie pakietów ze sfałszowanym adresem nadawcy) czy Teardrop (atak wykorzystujący błąd w systemach Windows 95/NT, powodujący zawieszenie się komputera).

Oprogramowanie zarządzające udostępnia niekiedy jeszcze bardziej rozbudowany system kontroli wykorzystania Internetu przez użytkowników sieci lokalnej. Na przykład w przypadku urządzeń serii OfficeConnect firmy 3Com, korzystając ze specjalnego internetowego katalogu klasyfikującego treści dostępne w ogólnoświatowej Sieci, można zablokować dostęp do stron WWW, serwerów FTP i grup dyskusyjnych, zawierających np. materiały pornograficzne lub propagujących przemoc. Firewall automatycznie łączy się z odpowiednim adresem i co pewien czas aktualizuje katalog. Usługa ta dostępna jest bezpłatnie przez pierwszy miesiąc od zarejestrowania urządzenia.

Ponadto można stworzyć listę słów kluczowych, których wystąpienie w adresie strony WWW uniemożliwi jej pobieranie.

Zestawienie wybranych sprzętowych firewalli
Model + – jest; – – nie ma; b.l. – bez limitu; 1) – liczba sesji zależna od wykupionego oprogramowania; 2) urządzenie jeszcze nie jest sprzedawane; NAT – moduł translacji adresów, DHCP – serwer nazw adresów IP, VPN – prywatna sieć wirtualna, RAS – serwer zdalnego dostępu, IDS – system detekcji intruzów, DMZ – strefa zdemilitaryzowana, DOS – blokowanie serwisów; ceny z dnia 4.02.2002 r.
Reklama

Porty

Maks. użytkown.

zarządzanie

NAT Serwer DHCP Serwer DNS DMZ VPN Detekcja DoS IDS RAS DNS Proxy Data Proxy Router Przełącznik Detekcja wirusów Cena
WWW Klient Windows Port RS-232C Telnet SNMP i inne
Nokia IP 51 10/100 Mbit/s LANx4, WAN, 1xRS-232C 50 + + + + + + + + + + 3420
3Com OfficeConnect IF DMZ 10 Mbit/s LAN, WAN 100 + + + + + + 7750
3Com OfficeConnect IF 25 10 Mbit/s LAN, WAN, DMZ 25  + + + + + + + 3080
SonicWall TELE3 10/100 Mbit/s LAN, WAN, RS-232C 5 + + + + + + + + + 2900
SonicWall SOHO3 10/100 Mbit/s LAN, WAN, RS-232C 10/50 + + + + + + + + + 2900 1)
SonicWall PRO 100 10/100 Mbit/s LAN, WAN, DMZ, RS-232C b.l. + + + + + + + + + + 10500
Lucent SuperpPipe 155 10/100 Mpbs LAN, ISDNx2/T1 WAN, ISDN OUT, RS-232C b.l. + + + + + + + + + 9300
D-link DI-701 10/100 Mbit/s LAN, 10 Mbit/s WAN, RS-232C 128 + + + + + 760
D-link DI-804 10/100 Mbit/s LANx4, 10 Mbit/s WAN, RS-232C 253 + + + + + + + 920
D-link DI-704 10/100 Mbit/s LANx4, 10 Mbit/s WAN, RS-232C 253 + + + + + + + 1080
D-link DI-707 10/100 Mbit/s LANx7, 10 Mbit/s WAN, RS-232C 253 + + + + + + + 1470
D-link DRE-I304 10/100 Mbit/s LANx4, 10 Mbit/s lub ISDN WAN, RS-232C b.l. + + + + + + + + + + + 2770
D-link DFL-300 10/100 Mbit/s LAN, WAN i DMZ b.l. + + + + + + + + ok. 2850
Surecom EP-4501 10/100 Mbit/s LAN, 10 Mbit/s WAN, RS-232C 64 + + + + + + 650
Surecom EP-4504 10/100 Mbit/s LANx4, 10 Mbit/s WAN, RS-232C 64 + + + + + + + 850
Surecom EP-4508 10/100 Mbit/s LANx8, 10 Mbit/s WAN, RS-232C 64 + + + + + + + 1000
Surecom EP-4705VX-V 10/100 Mbit/s LANx5 i WAN, RS-232C b.l. + + + + + + + b.d. 2)
Surecom EP-3501 (do SDI)  2xRS232C (WAN+zarz.), 10/100 Mbit/s LAN b.l. + + + + + + 480