• Symantec Enterprise Firewall (SEF) функционирует как proxy-сервер, который исследует все попытки входящих и исходящих TCP/IP соединений и определяет, насколько они безопасны.
  
  

• Для стандартных протоколов SEF исследует прикладные данные на предмет нарушения политики безопасности.
  
  

• SEF эффективно скрывает организацию внутренней сети и сетевые адреса от публичного просмотра. Некоторые или все адреса можно сделать видимыми.
  
  

• SEF разрешает или запрещает любую попытку соединения, основываясь на определенных правилах авторизации и опознавательных методах.
  
  

• SEF защищает от различных типов угроз сетевого уровня, таких как подмена IP-адресов или атак на основе фрагментации.
  
  

• Выборочно или на основе конфигурации SEF позволяет подключаться клиентам с другой стороны firewall-а к локальным сайтам прозрачно и незаметно. Для этих соединений компьютеры, к которым происходит подключение, соединяются непосредственно с компьютерами клиентов, и внутренние сервера знают адреса этих клиентов.
  
  

• SEF способен переадресовывать некоторые подключения с одного компьютера на другой
  
  

• SEF способен отслеживать обширную информацию, включая статистику подключений, количество попыток подключения, размер трафика и другие характеристики.
  
  

• SEF может автоматически предупреждать определенных людей о том, что уровень доступа к определенным серверам сети подозрительно высок или о других подобных событиях.
  
  

• SEF имеет всеобъемлющую гибридную архитектуру, обеспечивающую одновременно быстродействие и безопасность.
  
  

• SEF обеспечивает автоматическое или по требованию ужесточение политики безопасности для уменьшения риска и уязвимости.
  
  

• Сильные альтернативные методы идентификации пользователей, такие как протоколы TACACS+, Radius или протоколы прочих фирм, обеспечивают гибкость в использовании существующих баз данных безопасности.
  
  

• Сертификация ICSA гарантирует совместимость с самыми строгими требованиями безопасности.
  
  

• Прозрачная интеграция с Symantec Enterprise VPN обеспечивает недорогое безопасное подключение удаленных пользователей.
  
  

Symantec Enterprise Firewall (SEF) получает входящее соединение, определяет, допустимо ли оно, и создает соответствующее подключение с нужным компьютером. Исходная и конечная информация соединения перезаписываются для того, чтобы сохранить информацию о сетевых секретах. Всегда существует два соединения TCP/IP или два потока данных UDP - один между firewall и источником, а другой между firewall и адресатом.

Оцениваются все попытки передать данные в сеть или из сети. Несмотря на то, что хакеры могут использовать для вторжения в систему самые различные способы, большинство из них используют прикладные сервисы и потоки данных. Например, хакеры часто используют хорошо известные проблемы в безопасности почтового протокола SMTP для проникновения во внутренние почтовые системы. Другие атаки могут быть направлены на сервисы типа FTP (протокол передачи файлов), HTTP (просмотр web-страниц), ping (сервис для проверки состояния соединения) или Gopher.

Symantec Enterprise Firewall предотвращает эти нападения, просматривая и фильтруя их внутри потока данных при сетевом подключении. Такая работа позволяет системе исследовать весь поток данных при каждой попытке соединения. Это обеспечивает значительное преимущество над подходами, работающими на более низких уровнях стека протокола. В этих других подходах подключения "в" и "из" сети обычно оцениваются на основе "пакет за пакетом", а не в целом.

Некоторые из наиболее частых атак основываются на маршрутизации. Для защиты от такого рода атак система не маршрутизирует никакой IP-трафик. Вместо этого Symantec Enterprise Firewall действует как виртуальная кирпичная стена, которая обеспечивает физическое и логическое разделение внутренней (защищенной) и внешней (общедоступной) сетей.

Отказ от маршрутизации очень важен, потому что делает невозможным для пакетов проход через firewall на этом уровне, даже если ошибка происходит на компьютере с firewall. В системе просто не предусмотрено никакого сетевого пути или маршрута для пакетов, пытающихся проникнуть в сеть. Преимущества архитектуры Symantec Enterprise Firewall становятся очевидными при сравнении с другими подходами, типа:

• Легкая фильтрация пакетов
• Кумулятивно изменяющаяся фильтрация пакетов
• Циклические шлюзы

Легкая фильтрация пакетов

Фильтры пакетов читают источник, цель и информацию о протоколе из заголовка каждого из пакетов. Фильтры пакетов работают обычно быстрее, чем прокси-сервера, потому что они выполняют лишь простую оценку каждого из пакетов.

Из-за ограниченного количества информации, к которой пакетные фильтры имеют доступ, они не могут защитить от атак прикладного уровня и могут быть восприимчивы к сложной IP-фрагментации или атакам на источник IP-маршрутизации.

Фильтры автоматически не скрывают сетевые и системные адреса сети от публичного просмотра.

Главным недостатком фильтра пакетов является то, что правила фильтров должны быть сконфигурированы в определенном порядке, иначе может произойти нарушение политики безопасности. Это делает их трудно настраиваемыми, и все бремя ответственности ложится на сетевого администратора, который должен расположить их в надлежащем порядке. Кроме того, системы фильтрации пакетов выполняются некоторые функции маршрутизации, что делает их восприимчивыми к некоторым атакам на основе маршрутизации.

Кумулятивно изменяющаяся фильтрация пакетов

Кумулятивно изменяющиеся пакетные фильтры собирают информацию обо всех пакетах, проходящих через firewall. Эта информация используется для отслеживания открытых, разрешенных соединений без отработки набора правил для каждого пакета. По существу, только первый пакет TCP-соединения должен быть одобрен. Остальные пакеты распознаются как часть того же соединения.

В этом подходе есть несколько слабостей, наиболее серьезной из которых является то, что нет никакой защиты от атак прикладного уровня.

Циклические шлюзы

Циклические шлюзы работают только на уровне сессии. Когда сессия установлена, firewall позволяет пропускать через себя любой трафик. Это может оставить защищенную сеть открытой для атак, использующих недостаток контекстной информации у firewall и не позволяющих управлять различными типами трафика, типа команд FTP put и get.

Шлюзы безопасности Symantec поставляются в нескольких вариантах, в зависимости от того, что необходимо заказчику. Существует пять вариантов поставки:

• Symantec Enterprise Firewall без поддержки VPN
• Symantec Enterprise Firewall c Site-to-Site VPN
• Symantec Enterprise Firewall с VPN
• Symantec Enterprise VPN
• VelociRaptor

Symantec Enterprise Firewall без поддержки VPN

Рис. 2 Symantec Enterprise Firewall без поддержки VPN

Защищает только системы, находящиеся в его внутренней сети.

Symantec Enterprise Firewall c Site-to-Site VPN

Рис. 3 Symantec Enterprise Firewall c Site-to-Site VPN

Защищает внутреннюю сеть и осуществляет соединение LAN-to-LAN с другим firewall'ом через VPN-туннель.

Symantec Enterprise Firewall c VPN

Рис. 4 Symantec Enterprise Firewall c VPN

Защищает внутреннюю сеть и соединяется с другими firewall'ами и мобильными пользователями через туннель VPN.

Symantec Enterprise VPN

Рис. 5 Symantec Enterprise VPN

Соединяется с мобильными пользователями через туннель VPN

Устройство VelociRaptor Firewall

Рис. 6 Устройство VelociRaptor Firewall

VelociRaptor - автономное устройство с загруженным Symantec Enterprise Firewall. Эта система защищает только внутреннюю сеть.

Symantec Enterprise Firewall разрешает все попытки подключения "в" и "из" сети и защищает корпоративную сеть за счет использования явных правил на прикладном уровне. Это запрещает любое соединение, не явно позволенное в соответствии с правилами.

Правила состоят из набора критериев, включающих источник и назначение адресата, тип службы, метод идентификации, членство в группах и время попытки доступа.

Поддержка стандартных служб

Symantec Enterprise Firewall является приложением прикладного уровня, использующим набор серверных приложений для создания прокси-соединений через firewall. Каждое приложение настроено на контроль определенного типа попыток подключения.

Поддержка индивидуальных протоколов

В дополнение к управлению попытками подключения при помощи стандартных сервисов, можно сконфигурировать Symantec Enterprise Firewall для управления подключениями на основе других протоколов и сервисов.

Например, вам нужно написать правило, позволяющее подключение к определенному хосту, используя индивидуальный протокол базы данных. Symantec Enterprise Firewall позволяет легко сделать это, сконфигуриров индивидуальный протокол и добавив его к вашим правилам.

Поддержка методов идентификации

Symantec Enterprise Firewall поддерживает несколько методов идентификации пользователей, включая:

• AXENT Defender
• Security Dynamics SecureID
• CRYPTOCard
• Bellcore S/Key
• Entrust
• LDAP
• Gateway password
• NT Domain (только в Windows NT)
• TACACS+
• Radius

Администраторы могут создавать индивидуальные шаблоны, в которых будут использоваться один или несколько методов идентификации в указанном порядке. В дополнение к этим методам, которые являются зависимыми от используемого протокола, в системе может быть определена независимая схема идентификации, которая может включать в себя любой из вышеперечисленных методов в сочетании с любым протоколом.

Методы защиты в Symantec Enterprise Firewall и Symantec Enterprise VPN

Symantec Enterprise Firewall и Symantec Enterprise VPN обеспечивают необходимую защиту сети предприятия, включая периметр между частной сетью (Intranet) и Internet и между частными подсетями и филиалами.

Автоматическое блокирование порта

Когда TCP или UDP прокси запускается, он уведомляет firewall о том, какие порты прослушиваются. Только эти порты могут получать входящие пакеты. Это защищает от неверной конфигурации компонент операционной системы администратором.

Графически конфигурируемая DNS

Графически конфигурируемая DNS, входящая в состав Symantec Enterprise Firewall, защищает от идентификации внутренние хосты и скрывает топологию внутренних защищенных сетей от внешнего мира. DNS является одним из наиболее трудных аспектов при конфигурировании структуры системы безопасности. Symantec Raptor Management Console (SRMC) и Raptor Console for Unix существенно упрощают конфигурирование DNS.

Безопасный сервер приложений SNTP

Безопасный графически конфигурируемый сервер SNTP облегчает настройку почтовой системы на доставку писем "в" и "из" сети. Он предотвращает основанные на SMTP атаки и получение спама. Для настройки почты необходимо указать, какие внутренние и внешние почтовые системы будут использоваться на почтовых серверах, и хотите ли вы разрешить прямую доставку почты из внутренних систем во внешние. SMTP-сервер автоматизирует большинство действий по генерации правил и переадресации сервисов.

Автоматический контроль подозрительной деятельности

Symantec Enterprise Firewall просматривает все соединения, проходящие через него. Подозрительная деятельность контролируется при помощи порогов использования (thresholds), которые устанавливаются для подключений при создании правил. Если подключение инициализируется больше определенного количества раз в отведенный период, это может означать что хакер пытается проникнуть сквозь защиту. Система применяет пороги использования на основании правило-за-правилом. При создании правил вы можете определять пороги, основываясь на ожидаемом уровне доступа.

"Прозрачный" доступ

Symantec Enterprise Firewall может поддерживать "прозрачное" соединение между внешними и внутренними хостами и подсетями. Когда пользователь обращается к ресурсу напрямую, он видит фактический адрес этого ресурса. Вы можете сконфигурировать систему так, чтобы пользователи могли соединяться через нее (подчиняясь существующим правилам авторизации) в обоих направлениях, не замечая присутствия firewall.

Symantec Enterprise Firewall поддерживает два типа "прозрачности":

• Прозрачные сервера, адреса которых регистрируются на firewall
• Прозрачные клиенты, адреса которых видны через firewall

Переадресация сервисов

Как часть общего плана защиты, можно скрывать идентификацию некоторых внутренних хостов, в то же время оставляя пользователям возможность иметь доступ к информации на этих хостах. Используя перенаправление сервисов, вы можете разрешать доступ к любой информации на любом внутреннем хосте, оставляя реальный IP-адрес неизвестным для внешних пользователей. Эта возможность дополняет функцию прозрачности, позволяя обеспечить иллюзию прозрачности для внешних хостов. Также можно применять переадресацию сервисов и для клиентских адресов.

Контроль попыток обмана (spoof-checking) определенных систем и подсетей

Symantec Enterprise Firewall позволяет связывать внешние и внутренние сетевые объекты с определенными сетевыми интерфейсами. Это гарантирует, что попытки подключения достигнут системы посредством ожидаемого сетевого интерфейса. Попытки подключения от объекта с неопределенным интерфейсом отвергаются как возможные попытки атак.

Безопасное туннелирование с Proxy

Технология Symantec Enterprise VPN позволяет администраторам конфигурировать безопасные туннели через публичную сеть. Сетевой трафик в туннеле шифруется, и только назначенный получатель может использовать его. Туннельный трафик можно пропускать до сервисных приложений firewall, где он может быть обработан как прозрачное соединение. Фактически, туннели, которые используют NAT (Network Address Translation), должны использовать полномочия сервисов. Это не только позволяет трафику быть защищенным туннельным кодированием, но также обеспечивает дополнительную защиту за счет фильтрации содержимого, контроля сеанса, ведения журнала событий и пользовательской идентификации.

Фильтрация пакетов внутри безопасных туннелей

Фильтрация пакетов обеспечивает дополнительный уровень безопасности внутри безопасных туннелей, ограничивая типы сервисов, позволенных внутри туннелей. Фильтры пакетов используются в безопасных туннелях, в основном, как средство обеспечения контроля за типом и направлением разрешенного трафика, когда уровень защиты, обеспечиваемый полномочиями, не требуется.

Фильтрация пакетов на интерфейсах

Входящие и исходящие фильтры пакетов могут быть установлены на каждый интерфейс Symantec Enterprise Firewall. Эта возможность позволяет осуществлять прекрасный разветвленный контроль над тем, что поступает и исходит с firewall на очень низком уровне.

Сканирование портов на интерфейсах

Symantec Enterprise Firewall может быть сконфигурирован таким образом, чтобы фиксировать в журнале все попытки подключения к любому из интерфейсов или к неопределенному порту. Попытка использования всех портов является общей для всех видов атак. Если попытка сканирования портов была предпринята, то это обязательно отразится в лог-файле.

SYN Flood Protection

SYN Flooding может происходить при TCP/IP соединениях, когда недостаток ACK-ответов приводит к появлению полуоткрытых соединений. Функция защиты от SYN Flooding сбрасывает все полуоткрытые подключения как от известных, так и от неизвестных систем.

Безопасность не является проблемой только в том случае, если firewall не пропускает через себя никакие данные. Проблемы начинаются при разрешении максимального доступа наружу и внутрь сети без обеспечения необходимого уровня безопасности корпоративной сети. Symantec Enterprise Firewall обеспечивает несколько путей обеспечения доступа наружу и внутрь сети:

Стандартные протоколы

Шлюз защиты Symantec идет с proxies для многих общих сервисов: HTTP, NNTP, RealMedia, SMTP, DNS, NTP, Gopher, CIFS, SQL*NET, H.323, PING, NetBIOS, datagram. Многие из этих proxy имеют специальную защиту и особенности доступа. Например, вы можете разрешить для FTP только получение файлов или только отправку файлов.

Клиентские протоколы GSP (Generic Service Passer)

Большинство TCP и UDP протоколов, для которых Symantec Enterprise Firewall не обеспечивает безопасных proxy, могут быть обработаны общим proxy, называемым Generic Service Passer (GSP). Как только идентифицирован протокол (стандартный или индивидуальный), и вам нужно пройти через шлюз защиты, конфигурируются правила, позволяющие работать по этому протоколу.

Виртуальные Частные Сети (VPN - Virtual Private Networks)

Symantec Enterprise VPN может передавать трафик, используя безопасные туннели, через которые можно подключаться к удаленным сайтам в пределах Виртуальной Частной Сети. Внутри туннелей данные шифруются для обеспечения секретности информации. В туннельных шлюзах данные расшифровываются и проходят через безопасные proxy на предмет проверки соответствия правилам.

Ускоряющий фильтр

Функция ускоряющего фильтра позволяет вам выбирать фильтр, через который будут проходить все входящие и исходящие пакеты, достигающие любого интерфейса межсетевой защиты. Ускоряющий фильтр работает как канал через firewall. Ускоряющий фильтр полезен в тех случаях, когда вам необходимо разрешить работу через firewall такого сервиса, который не может быть отработан ни одним из proxy. Однако, если возможно, рекомендуется использовать индивидуальные протоколы (generic service), а не ускоряющие фильтры. Ускоряющие фильтры обеспечивают слабую безопасность, так как содержимое пакетов не проверяется.

RaptorMobile

RaptorMobile является самостоятельным продуктом Symantec, устанавливаемым на системах под управлением Windows 95/98/NT/2000. RaptorMobile позволяет отдельно стоящему компьютеру действовать как одному из концов VPN вне межсетевой защиты. С технологией VPN вы можете объединять удаленные друг от друга офисы через Internet, без необходимости использовать выделенные каналы. С RaptorMobile вы можете соединяться с офисом через Internet, не нарушая безопасности сети при использовании удаленного доступа.

Система может быть разделена на следующие функциональные области:

• Система ужесточения просматривает входящие пакеты и осуществляет защиту от атак на основе фрагментации, IP Spoofing, SYN Flooding и т.п. На этом уровне firewall осуществляет автоматическое блокирование портов. Все входящие пакеты должны пройти этот первый уровень защиты, прежде чем попасть в VPN, компоненты proxy или обработки адресов.
  
  

• VPN обрабатывает пакеты для VPN-туннелей. Как только пакет был зашифрован или расшифрован, этот компонент отправляет пакет в стек TCP/IP.
  
  

• Обход полномочий происходит, если пакет должен быть отправлен без дальнейшего взаимодействия с системой. Обход полномочий увеличивает скорость подключений, не требующих взаимодействия с прикладными Proxy.
  
  

• Обработчик IP-адреса определяет, должны ли адреса пакетов быть изменены, прежде чем пакет будет переправлен на proxy. Сервис изменяет пакеты для сокрытия адреса и NAT.
  
  

• Прикладные Proxy разрешают и подтверждают подлинность прикладных запросов от клиентов. Proxy получают запросы, которые прошли стек TCP/IP. Например, FTP Proxy принимает ftp-запросы, разрешает и подтверждает подлинность каждого из них и выполняет запросы, используя протокол FTP.
  
  

• Контроль доступа производит проверку того, соответствует ли запрос клиента существующим правилам авторизации. Также этот сервис отвечает за управление и защиту базы данных правил авторизации, отслеживание активных подключений, использование фильтров оценки сети, таких как, например, Symantec WebNOT.
  
  

• Пользовательская авторизация производит идентификацию пользователей по паролю и поддерживает различные сторонние методы авторизации, такие как Defender, ACE, CRYPTOCard, S/Key, Entrust, LDAP и NT Domain. Также поддерживается простая схема авторизации на firewall (называемая gateway password) и любые Radius или TACACS совместимые продукты.
  
  

• Конфигурация и контроль представляют из себя набор файлов конфигурации и приложений для конфигурирования и контроля компонентов Symantec Enterprise Firewall, установленных на локальном или удаленном компьютере. Эта часть системы имеет графический интерфейс для управления.
  
  

• Регистрация и уведомление регистрируют сообщения и, в зависимости от типа сообщения, уведомляют соответствующий персонал, отправляя письма по электронной почте, сообщения на пейджер, запуская клиентские программы, проигрывая аудио-файлы или отправляя предупреждения по snmp.