Potęga żelastwa

Co lepsze: sprzęt czy oprogramowanie? Czy hardware'owe metody zabezpieczania sieci są równie skuteczne?

Zapora ogniowa to podstawowy środek ochrony sieci prywatnych przed infiltracją ze strony osób niepowołanych. W większości przypadków chroniony jest dostęp do mocy obliczeniowej sieci oraz i udostępnianych przez nią zasobów. Firewall jest oprogramowaniem komputerowym lub urządzeniem instalowanym na styku sieci lokalnej (LAN) i rozległej (WAN, np. Internet). Dzięki skoncentrowaniu w jednym punkcie całego ruchu przechodzącego między nimi możliwa jest kontrola wszystkich informacji przesyłanych w obie strony i eliminowanie prób nielegalnego dostępu do określonych zasobów.

Przywykliśmy już do tego, że ścianę ogniową realizuje się najczęściej programowo, za pomocą specjalnej aplikacji lub wykorzystując możliwości systemu operacyjnego. Na rynku istnieją jednak alternatywne rozwiązania sprzętowe, których jedynym celem jest obrona sieci lokalnej przed niepowołanym dostępem z zewnątrz. Urządzenia tego typu przeznaczone są w zasadzie do ochrony średnich i dużych sieci, choć w ofercie większości producentów osprzętu sieciowego znajdują się też tańsze, mniej zaawansowane rozwiązania dla małych grup.

Co może zapora?

Mimo że sposoby ochrony danych są coraz doskonalsze, nadal możemy być pewni jednego – nie ma zabezpieczenia, którego nie można by pokonać. Pod tym względem zapora ogniowa nie jest żadnym wyjątkiem. Powinniśmy jednak zdać sobie sprawę, że zazwyczaj najsłabszym ogniwem systemu zabezpieczeń nie jest ani maszyna, ani oprogramowanie, lecz… człowiek. Dlatego dzięki centralizacji mechanizmów ochrony oraz ich uniezależnieniu od beztroskich działań poszczególnych użytkowników dobrze skonfigurowany firewall istotnie podnosi bezpieczeństwo sieci lokalnej. Zapora ogniowa filtruje wszystkie przesyłane pakiety, przepuszczając tylko te, które nie naruszają zasad polityki bezpieczeństwa określonych przez administratora. To zadanie podstawowe. Ponadto firewall może realizować wiele dodatkowych funkcji – począwszy od translacji adresów, poprzez rejestrowanie i śledzenie wszelkich przepływających pakietów, na zdalnym zarządzaniu, buforowaniu czy szyfrowaniu danych skończywszy.

Chroń siebie…

Bardziej zaawansowane urządzenia zapewniają ochronę przed tzw. atakami Denial of Service (DoS), których celem jest unieruchomienie wybranej usługi sieciowej. Z pewnością w niejednej firmie zablokowanie serwera WWW lub poczty elektronicznej mogłoby na wiele godzin sparaliżować jej pracę. Firewall powinien być odporny na takie ataki, jak Ping of Death (przesłanie pakietu przekraczającego maksymalną dozwoloną długość), SYN Flood („zalanie” komputera setkami żądań nawiązania połączenia), LAND Attack (przesłanie pakietu z takim samym adresem i portem nadawcy oraz odbiorcy), IP Spoofing (przesyłanie pakietów ze sfałszowanym adresem nadawcy) czy Teardrop (atak wykorzystujący błąd w systemach Windows 95/NT, powodujący zawieszenie się komputera).

Oprogramowanie zarządzające udostępnia niekiedy jeszcze bardziej rozbudowany system kontroli wykorzystania Internetu przez użytkowników sieci lokalnej. Na przykład w przypadku urządzeń serii OfficeConnect firmy 3Com, korzystając ze specjalnego internetowego katalogu klasyfikującego treści dostępne w ogólnoświatowej Sieci, można zablokować dostęp do stron WWW, serwerów FTP i grup dyskusyjnych, zawierających np. materiały pornograficzne lub propagujących przemoc. Firewall automatycznie łączy się z odpowiednim adresem i co pewien czas aktualizuje katalog. Usługa ta dostępna jest bezpłatnie przez pierwszy miesiąc od zarejestrowania urządzenia.

Ponadto można stworzyć listę słów kluczowych, których wystąpienie w adresie strony WWW uniemożliwi jej pobieranie.

Zestawienie wybranych sprzętowych firewalli
Model+ – jest; – – nie ma; b.l. – bez limitu; 1) – liczba sesji zależna od wykupionego oprogramowania; 2) urządzenie jeszcze nie jest sprzedawane; NAT – moduł translacji adresów, DHCP – serwer nazw adresów IP, VPN – prywatna sieć wirtualna, RAS – serwer zdalnego dostępu, IDS – system detekcji intruzów, DMZ – strefa zdemilitaryzowana, DOS – blokowanie serwisów; ceny z dnia 4.02.2002 r.

Porty

Maks. użytkown.

zarządzanie

NATSerwer DHCPSerwer DNSDMZVPNDetekcja DoSIDSRASDNS ProxyData ProxyRouterPrzełącznikDetekcja wirusówCena
WWWKlient WindowsPort RS-232CTelnetSNMP i inne
Nokia IP 5110/100 Mbit/s LANx4, WAN, 1xRS-232C50+++++++ + + +3420
3Com OfficeConnect IF DMZ10 Mbit/s LAN, WAN 100 + + + + + +7750
3Com OfficeConnect IF 2510 Mbit/s LAN, WAN, DMZ 25  + + + + + + +3080
SonicWall TELE310/100 Mbit/s LAN, WAN, RS-232C 5 + + + + + + + + +2900
SonicWall SOHO310/100 Mbit/s LAN, WAN, RS-232C 10/50 + + + + + + + + +2900 1)
SonicWall PRO 10010/100 Mbit/s LAN, WAN, DMZ, RS-232C b.l. + + + + + + + + + +10500
Lucent SuperpPipe 15510/100 Mpbs LAN, ISDNx2/T1 WAN, ISDN OUT, RS-232C b.l. + + + + + + + + +9300
D-link DI-70110/100 Mbit/s LAN, 10 Mbit/s WAN, RS-232C 128 + + + + +760
D-link DI-80410/100 Mbit/s LANx4, 10 Mbit/s WAN, RS-232C 253 + + + + + + +920
D-link DI-70410/100 Mbit/s LANx4, 10 Mbit/s WAN, RS-232C 253 + + + + + + +1080
D-link DI-70710/100 Mbit/s LANx7, 10 Mbit/s WAN, RS-232C 253 + + + + + + +1470
D-link DRE-I30410/100 Mbit/s LANx4, 10 Mbit/s lub ISDN WAN, RS-232C b.l. + + + + + + + + + + +2770
D-link DFL-30010/100 Mbit/s LAN, WAN i DMZ b.l. + + + + + + + +ok. 2850
Surecom EP-450110/100 Mbit/s LAN, 10 Mbit/s WAN, RS-232C 64 + + + + + +650
Surecom EP-450410/100 Mbit/s LANx4, 10 Mbit/s WAN, RS-232C 64 + + + + + + +850
Surecom EP-450810/100 Mbit/s LANx8, 10 Mbit/s WAN, RS-232C 64 + + + + + + +1000
Surecom EP-4705VX-V10/100 Mbit/s LANx5 i WAN, RS-232C b.l. + + + + + + +b.d. 2)
Surecom EP-3501 (do SDI) 2xRS232C (WAN+zarz.), 10/100 Mbit/s LAN b.l. + + + + + +480
0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.