Краткое описание Symantec Enterprise Firewall 6.5 (бывший Raptor Firewall) для Windows NT, Windows 2000 и Solaris

Symantec Enterprise Firewall (бывший Raptor Firewall) защищает важные данные предприятия наиболее быстродействующим и эффективным на данный момент решением, обеспечивающим безопасное соединение с Интернет и между сетями. Его уникальную гибридную архитектуру отличает безопасность и скорость, возможность обеспечить сильную и прозрачную защиту от нежелательного вторжения без уменьшения производительности работы канала предприятия в Интернет. В интеграции с Symantec Enterprise VPN (бывшая PowerVPN) Symantec Enterprise Firewall может существенно расширить периметр сети, обеспечивая безопасное соединение удаленных офисов и мобильных сотрудников с корпоративной сетью.

Благодаря своей архитектуре, Symantec Enterprise Firewall уменьшает уязвимость сети и обеспечивает полнофункциональную защиту, гарантируя полный контроль над входящей и исходящей информацией предприятия и в то же время позволяя партнерам и клиентам иметь безопасный, свободный доступ к общим ресурсам. Поддерживается широкий диапазон пользовательских методов идентификации пользователей, таких как Radius, цифровые сертификаты, LDAP, доменная идентификация NT. Для успешной работы системы в течение длительного времени и обеспечения масштабируемой производительности Symantec Enterprise Firewall предлагает целый ряд высокоэффективных программных и аппаратных решений, обеспечивающих сбалансированную загрузку сети, например, фильтрацию содержимого Web и Usenet.

Разработанный для Windows NT/2000 и Solaris, Symantec Enterprise Firewall обладает интуитивно понятным интерфейсом и широким набором средств для удобной конфигурации, управления и развертывания. С центральной консоли администраторы могут управлять политикой безопасности как локального, так и удаленного firewall-a, а также получать доступ к широкому спектру лог-файлов и отчетов. На данный момент Symantec Enterprise Firewall обеспечивает наиболее строгую защиту, способность к взаимодействию и соответствие требованиям предприятия, предъявляемым к продуктам безопасности.

Изолируя компьютеры и сети от несанкционированного доступа и автоматически протоколируя все попытки соединения, Symantec Enterprise Firewall обеспечивает возможность определять и поддерживать уровень защиты, необходимый для конкретного предприятия и вида бизнеса.

Основные функции

Firewall прикладного уровня

Symantec Enterprise Firewall (SEF) получает входящее соединение, определяет, допустимо ли оно, и создает соответствующее подключение с нужным компьютером. Исходная и конечная информация соединения перезаписываются для того, чтобы сохранить информацию о сетевых секретах. Всегда существует два соединения TCP/IP или два потока данных UDP - один между firewall и источником, а другой между firewall и адресатом.

Оцениваются все попытки передать данные в сеть или из сети. Несмотря на то, что хакеры могут использовать для вторжения в систему самые различные способы, большинство из них используют прикладные сервисы и потоки данных. Например, хакеры часто используют хорошо известные проблемы в безопасности почтового протокола SMTP для проникновения во внутренние почтовые системы. Другие атаки могут быть направлены на сервисы типа FTP (протокол передачи файлов), HTTP (просмотр web-страниц), ping (сервис для проверки состояния соединения) или Gopher.

Symantec Enterprise Firewall предотвращает эти нападения, просматривая и фильтруя их внутри потока данных при сетевом подключении. Такая работа позволяет системе исследовать весь поток данных при каждой попытке соединения. Это обеспечивает значительное преимущество над подходами, работающими на более низких уровнях стека протокола. В этих других подходах подключения "в" и "из" сети обычно оцениваются на основе "пакет за пакетом", а не в целом.

Некоторые из наиболее частых атак основываются на маршрутизации. Для защиты от такого рода атак система не маршрутизирует никакой IP-трафик. Вместо этого Symantec Enterprise Firewall действует как виртуальная кирпичная стена, которая обеспечивает физическое и логическое разделение внутренней (защищенной) и внешней (общедоступной) сетей.

Отказ от маршрутизации очень важен, потому что делает невозможным для пакетов проход через firewall на этом уровне, даже если ошибка происходит на компьютере с firewall. В системе просто не предусмотрено никакого сетевого пути или маршрута для пакетов, пытающихся проникнуть в сеть. Преимущества архитектуры Symantec Enterprise Firewall становятся очевидными при сравнении с другими подходами, типа:

Легкая фильтрация пакетов

Фильтры пакетов читают источник, цель и информацию о протоколе из заголовка каждого из пакетов. Фильтры пакетов работают обычно быстрее, чем прокси-сервера, потому что они выполняют лишь простую оценку каждого из пакетов.

Из-за ограниченного количества информации, к которой пакетные фильтры имеют доступ, они не могут защитить от атак прикладного уровня и могут быть восприимчивы к сложной IP-фрагментации или атакам на источник IP-маршрутизации.

Фильтры автоматически не скрывают сетевые и системные адреса сети от публичного просмотра.

Главным недостатком фильтра пакетов является то, что правила фильтров должны быть сконфигурированы в определенном порядке, иначе может произойти нарушение политики безопасности. Это делает их трудно настраиваемыми, и все бремя ответственности ложится на сетевого администратора, который должен расположить их в надлежащем порядке. Кроме того, системы фильтрации пакетов выполняются некоторые функции маршрутизации, что делает их восприимчивыми к некоторым атакам на основе маршрутизации.

Кумулятивно изменяющаяся фильтрация пакетов

Кумулятивно изменяющиеся пакетные фильтры собирают информацию обо всех пакетах, проходящих через firewall. Эта информация используется для отслеживания открытых, разрешенных соединений без отработки набора правил для каждого пакета. По существу, только первый пакет TCP-соединения должен быть одобрен. Остальные пакеты распознаются как часть того же соединения.

В этом подходе есть несколько слабостей, наиболее серьезной из которых является то, что нет никакой защиты от атак прикладного уровня.

Циклические шлюзы

Циклические шлюзы работают только на уровне сессии. Когда сессия установлена, firewall позволяет пропускать через себя любой трафик. Это может оставить защищенную сеть открытой для атак, использующих недостаток контекстной информации у firewall и не позволяющих управлять различными типами трафика, типа команд FTP put и get.

Варианты шлюзов безопасности Symantec

Шлюзы безопасности Symantec поставляются в нескольких вариантах, в зависимости от того, что необходимо заказчику. Существует пять вариантов поставки:



Symantec Enterprise Firewall без поддержки VPN

Рис. 2 Symantec Enterprise Firewall без поддержки VPN

Защищает только системы, находящиеся в его внутренней сети.

Symantec Enterprise Firewall c Site-to-Site VPN

Рис. 3 Symantec Enterprise Firewall c Site-to-Site VPN

Защищает внутреннюю сеть и осуществляет соединение LAN-to-LAN с другим firewall'ом через VPN-туннель.

Symantec Enterprise Firewall c VPN

Рис. 4 Symantec Enterprise Firewall c VPN

Защищает внутреннюю сеть и соединяется с другими firewall'ами и мобильными пользователями через туннель VPN.

Symantec Enterprise VPN

Рис. 5 Symantec Enterprise VPN

Соединяется с мобильными пользователями через туннель VPN

Устройство VelociRaptor Firewall

Рис. 6 Устройство VelociRaptor Firewall

VelociRaptor - автономное устройство с загруженным Symantec Enterprise Firewall. Эта система защищает только внутреннюю сеть.

Использование правил на прикладном уровне

Symantec Enterprise Firewall разрешает все попытки подключения "в" и "из" сети и защищает корпоративную сеть за счет использования явных правил на прикладном уровне. Это запрещает любое соединение, не явно позволенное в соответствии с правилами.

Правила состоят из набора критериев, включающих источник и назначение адресата, тип службы, метод идентификации, членство в группах и время попытки доступа.

Поддержка стандартных служб

Symantec Enterprise Firewall является приложением прикладного уровня, использующим набор серверных приложений для создания прокси-соединений через firewall. Каждое приложение настроено на контроль определенного типа попыток подключения.

Поддержка индивидуальных протоколов

В дополнение к управлению попытками подключения при помощи стандартных сервисов, можно сконфигурировать Symantec Enterprise Firewall для управления подключениями на основе других протоколов и сервисов.

Например, вам нужно написать правило, позволяющее подключение к определенному хосту, используя индивидуальный протокол базы данных. Symantec Enterprise Firewall позволяет легко сделать это, сконфигуриров индивидуальный протокол и добавив его к вашим правилам.

Поддержка методов идентификации

Symantec Enterprise Firewall поддерживает несколько методов идентификации пользователей, включая:

Администраторы могут создавать индивидуальные шаблоны, в которых будут использоваться один или несколько методов идентификации в указанном порядке. В дополнение к этим методам, которые являются зависимыми от используемого протокола, в системе может быть определена независимая схема идентификации, которая может включать в себя любой из вышеперечисленных методов в сочетании с любым протоколом.

Методы защиты в Symantec Enterprise Firewall и Symantec Enterprise VPN

Symantec Enterprise Firewall и Symantec Enterprise VPN обеспечивают необходимую защиту сети предприятия, включая периметр между частной сетью (Intranet) и Internet и между частными подсетями и филиалами.

Особенности Symantec Enterprise Firewall

Автоматическое блокирование порта

Когда TCP или UDP прокси запускается, он уведомляет firewall о том, какие порты прослушиваются. Только эти порты могут получать входящие пакеты. Это защищает от неверной конфигурации компонент операционной системы администратором.

Графически конфигурируемая DNS

Графически конфигурируемая DNS, входящая в состав Symantec Enterprise Firewall, защищает от идентификации внутренние хосты и скрывает топологию внутренних защищенных сетей от внешнего мира. DNS является одним из наиболее трудных аспектов при конфигурировании структуры системы безопасности. Symantec Raptor Management Console (SRMC) и Raptor Console for Unix существенно упрощают конфигурирование DNS.

Безопасный сервер приложений SNTP

Безопасный графически конфигурируемый сервер SNTP облегчает настройку почтовой системы на доставку писем "в" и "из" сети. Он предотвращает основанные на SMTP атаки и получение спама. Для настройки почты необходимо указать, какие внутренние и внешние почтовые системы будут использоваться на почтовых серверах, и хотите ли вы разрешить прямую доставку почты из внутренних систем во внешние. SMTP-сервер автоматизирует большинство действий по генерации правил и переадресации сервисов.

Автоматический контроль подозрительной деятельности

Symantec Enterprise Firewall просматривает все соединения, проходящие через него. Подозрительная деятельность контролируется при помощи порогов использования (thresholds), которые устанавливаются для подключений при создании правил. Если подключение инициализируется больше определенного количества раз в отведенный период, это может означать что хакер пытается проникнуть сквозь защиту. Система применяет пороги использования на основании правило-за-правилом. При создании правил вы можете определять пороги, основываясь на ожидаемом уровне доступа.

"Прозрачный" доступ

Symantec Enterprise Firewall может поддерживать "прозрачное" соединение между внешними и внутренними хостами и подсетями. Когда пользователь обращается к ресурсу напрямую, он видит фактический адрес этого ресурса. Вы можете сконфигурировать систему так, чтобы пользователи могли соединяться через нее (подчиняясь существующим правилам авторизации) в обоих направлениях, не замечая присутствия firewall.

Symantec Enterprise Firewall поддерживает два типа "прозрачности":

"Прозрачность" поддерживается как для TCP, так и для UDP-соединений.

Переадресация сервисов

Как часть общего плана защиты, можно скрывать идентификацию некоторых внутренних хостов, в то же время оставляя пользователям возможность иметь доступ к информации на этих хостах. Используя перенаправление сервисов, вы можете разрешать доступ к любой информации на любом внутреннем хосте, оставляя реальный IP-адрес неизвестным для внешних пользователей. Эта возможность дополняет функцию прозрачности, позволяя обеспечить иллюзию прозрачности для внешних хостов. Также можно применять переадресацию сервисов и для клиентских адресов.

Контроль попыток обмана (spoof-checking) определенных систем и подсетей

Symantec Enterprise Firewall позволяет связывать внешние и внутренние сетевые объекты с определенными сетевыми интерфейсами. Это гарантирует, что попытки подключения достигнут системы посредством ожидаемого сетевого интерфейса. Попытки подключения от объекта с неопределенным интерфейсом отвергаются как возможные попытки атак.

Безопасное туннелирование с Proxy

Технология Symantec Enterprise VPN позволяет администраторам конфигурировать безопасные туннели через публичную сеть. Сетевой трафик в туннеле шифруется, и только назначенный получатель может использовать его. Туннельный трафик можно пропускать до сервисных приложений firewall, где он может быть обработан как прозрачное соединение. Фактически, туннели, которые используют NAT (Network Address Translation), должны использовать полномочия сервисов. Это не только позволяет трафику быть защищенным туннельным кодированием, но также обеспечивает дополнительную защиту за счет фильтрации содержимого, контроля сеанса, ведения журнала событий и пользовательской идентификации.

Фильтрация пакетов внутри безопасных туннелей

Фильтрация пакетов обеспечивает дополнительный уровень безопасности внутри безопасных туннелей, ограничивая типы сервисов, позволенных внутри туннелей. Фильтры пакетов используются в безопасных туннелях, в основном, как средство обеспечения контроля за типом и направлением разрешенного трафика, когда уровень защиты, обеспечиваемый полномочиями, не требуется.

Фильтрация пакетов на интерфейсах

Входящие и исходящие фильтры пакетов могут быть установлены на каждый интерфейс Symantec Enterprise Firewall. Эта возможность позволяет осуществлять прекрасный разветвленный контроль над тем, что поступает и исходит с firewall на очень низком уровне.

Сканирование портов на интерфейсах

Symantec Enterprise Firewall может быть сконфигурирован таким образом, чтобы фиксировать в журнале все попытки подключения к любому из интерфейсов или к неопределенному порту. Попытка использования всех портов является общей для всех видов атак. Если попытка сканирования портов была предпринята, то это обязательно отразится в лог-файле.

SYN Flood Protection

SYN Flooding может происходить при TCP/IP соединениях, когда недостаток ACK-ответов приводит к появлению полуоткрытых соединений. Функция защиты от SYN Flooding сбрасывает все полуоткрытые подключения как от известных, так и от неизвестных систем.

Прохождение данных через Symantec Enterprise Firewall

Безопасность не является проблемой только в том случае, если firewall не пропускает через себя никакие данные. Проблемы начинаются при разрешении максимального доступа наружу и внутрь сети без обеспечения необходимого уровня безопасности корпоративной сети. Symantec Enterprise Firewall обеспечивает несколько путей обеспечения доступа наружу и внутрь сети:

Стандартные протоколы

Шлюз защиты Symantec идет с proxies для многих общих сервисов: HTTP, NNTP, RealMedia, SMTP, DNS, NTP, Gopher, CIFS, SQL*NET, H.323, PING, NetBIOS, datagram. Многие из этих proxy имеют специальную защиту и особенности доступа. Например, вы можете разрешить для FTP только получение файлов или только отправку файлов.

Клиентские протоколы GSP (Generic Service Passer)

Большинство TCP и UDP протоколов, для которых Symantec Enterprise Firewall не обеспечивает безопасных proxy, могут быть обработаны общим proxy, называемым Generic Service Passer (GSP). Как только идентифицирован протокол (стандартный или индивидуальный), и вам нужно пройти через шлюз защиты, конфигурируются правила, позволяющие работать по этому протоколу.

Виртуальные Частные Сети (VPN - Virtual Private Networks)

Symantec Enterprise VPN может передавать трафик, используя безопасные туннели, через которые можно подключаться к удаленным сайтам в пределах Виртуальной Частной Сети. Внутри туннелей данные шифруются для обеспечения секретности информации. В туннельных шлюзах данные расшифровываются и проходят через безопасные proxy на предмет проверки соответствия правилам.

Ускоряющий фильтр

Функция ускоряющего фильтра позволяет вам выбирать фильтр, через который будут проходить все входящие и исходящие пакеты, достигающие любого интерфейса межсетевой защиты. Ускоряющий фильтр работает как канал через firewall. Ускоряющий фильтр полезен в тех случаях, когда вам необходимо разрешить работу через firewall такого сервиса, который не может быть отработан ни одним из proxy. Однако, если возможно, рекомендуется использовать индивидуальные протоколы (generic service), а не ускоряющие фильтры. Ускоряющие фильтры обеспечивают слабую безопасность, так как содержимое пакетов не проверяется.

RaptorMobile

RaptorMobile является самостоятельным продуктом Symantec, устанавливаемым на системах под управлением Windows 95/98/NT/2000. RaptorMobile позволяет отдельно стоящему компьютеру действовать как одному из концов VPN вне межсетевой защиты. С технологией VPN вы можете объединять удаленные друг от друга офисы через Internet, без необходимости использовать выделенные каналы. С RaptorMobile вы можете соединяться с офисом через Internet, не нарушая безопасности сети при использовании удаленного доступа.

Элементы Symantec Enterprise Firewall/Symantec Enterprise VPN

Система может быть разделена на следующие функциональные области:


Назад Содержание Вперед
Hosted by uCoz