`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

VigorPro 5500: шлюз для SMB со встроенной защитой от Касперского

Статья опубликована в №5 (573) от 6 февраля

0 
 

Известно, что в настоящее время основными источниками угроз для информации, хранящейся на компьютере пользователя, являются Web и электронная почта. Не так давно список шлюзов-брандмауэров, ориентированных на использование в SMB-секторе, пополнился довольно интересной моделью от хорошо известной в Европе корпорации DrayTek. VigorPro 5500 позиционируется как решение для компаний, не имеющих в штате квалифицированных IT-сотрудников, которые следили бы за исполнением базовых правил безопасности в малых и средних сетях.

VigorPro 5500 шлюз для SMB со встроенной защитой от Касперского

DrаyTek VigorPro 5500

Интерфейсы:
WAN 2 порта 10/100 Base-Tx Ethernet
LAN 5 портов 10/100/1000 Base-Tx Ethernet

Индикация активность, антивирусная защита, IDP, DMZ, мониторинг, VPN, поддержка QoS

Управление и контроль Web-интерфейс, CLI, SNMP management MIB-I

Функции брандмауэра:
общие Multi-NAT, DMZ, перенаправление портов, SPI, защита от атак DoS/DDoS и от спуффинга
блокирование IM- и P2P-приложений, загрузки исполняемых, компрессированных и мультимедийных файлов
интернет-серфинг блокировка автоматически загружаемых апплетов Java, скриптов Active X и Cookie

Антивирусная защита: протоколы SMTP, POP3, HTTP, IMAP, FTP
обновление сигнатур автоматическое, по подписке

Противодействие вторжениям: метод на основе списка правил обновление автоматическое реакции игнорирование, блокирование, разрыв сессии

Документирование/ оповещение журнал событий, отправка почтового сообщения

Поддержка QoS:
на основе классов по полосе есть, по определяемым категориям трафика
количество уровней приоритета 4
на основе классификации DiffServ есть

Поддержка VPN:
одновременно туннелей до 200
типы и режимы соединений удаленная работа, LAN-to-LAN; DHCP поверх IPSec, NAT-Traversal (NAT-T), VPN Pass-Through
протоколы PPTP, IPSec, L2TP, L2TP поверх IPSec
шифрование AES, MPPE, DES/3DES
аутентификация MD5, SHA-1, IKE (Pre-shared key и по X.509)

Обновление ПО через TFTP / FTP

Габариты 273×166×44,6 мм

Потребляемая мощность 15 Вт

Питание 100...240 В

Выходу модели на рынок предшествовала совместная работа DrayTek с «Лабораторией Касперского» по аппаратной реализации технологии Kaspersky SafeStream, итогом которой стала функция антивирусной проверки всего трафика, проходящего через межсетевой экран в режиме реального времени.

Следует напомнить, что модель использования антивирусных средств в устройстве, предназначенном для потокового анализа трафика, несколько отличается от алгоритмов обеспечения безопасности антивирусных пакетов, устанавливаемых на ПК. Последние, если исключить из рассмотрения сканирующие программные модули, в первую очередь служат для обработки статических файлов. Или, в случае установки такого ПО на выделенный сервер-шлюз доступа, – для анализа либо предварительно «собранных» в оперативной памяти, либо промежуточно сохраненных на диске данных.

Для обработки «на лету» без существенного уменьшения сетевой производительности в VigorPro 5500 применяется фирменная технология сканирования Multi-Stack Stateful Inspection (MSSI), включающая контент-анализ, который выполняется специальным аппаратным ускорителем, тесно взаимодействующим с системой обнаружения и предотвращения вторжения IDP (Intrusion Detection and Prevention). Таким образом осуществляется инспектирование пакетов на седьмом уровне модели OSI, основанное на сравнении одиночных пакетов либо их малых групп на соответствие обновляемым сигнатурам, что позволяет блокировать вирусы, «сетевые черви», «троянские» программы и другое вредоносное ПО.

Подобная идеология построения шлюза не только не снижает стандартных для таких устройств возможностей по обеспечению безопасного экранирования LAN от внешней сети, но и благодаря достаточно мощному процессору способствует реализации нескольких привлекательных и простых в настройке сервисных функций по администрированию внутренней LAN. Но обо всем по порядку.

С точки зрения сетевых интерфейсов VigorPro 5500 выполнен как маршрутизатор с двумя портами WAN, используемыми либо независимо друг от друга (в том числе «закрепленными» в соответствии с правилами за определенным пулом внутренних адресов по разным типам протоколов), либо в режиме балансировки (в заданной пропорции или настраиваемых в зависимости от пропускной способности внешних каналов). Среди режимов доступа – PPPoE, работа со статическим или динамическим адресом и возможность использования PPTP.

Для подключения клиентов локального сегмента предусмотрены пять портов 10/100/1000 Base-Tx. Для повышения производительности взаимодействия имеется возможность группирования их в четыре VLAN, а также указания правил статической маршрутизации между двумя организовываемыми подсетями со своими DHCP.

В меню NAT имеются пункты, позволяющие организовывать для отдельных устройств «проброс» конкретно определяемых (Port Redirection) или всех портов (DMZ) во внешнюю сеть.

С целью упрощения последующих манипуляций по настройке клиенты LAN могут объединяться как IP-объекты (например, в заданном диапазоне адресов), и в дальнейшем группироваться с учетом различия в правах. При необходимости нежелательный трафик VoIP-, IM-, и P2P-приложений для отдельных групп блокируется.

За каждым из классов на WAN-интерфейсах в любом из направлений может быть зарезервирована определенная полоса пропускания. Управление ею предполагает возможность введения ограничений по количеству одновременных сессий для каждого из типов протоколов и обеспечивает поддержу базовых и расширенных (в масштабах сети) функций QoS. Возможно уточнение правил приоритетности обслуживания трафика в отношении отдельных IP-адресов или групп пользователей.

VigorPro 5500 шлюз для SMB со встроенной защитой от Касперского
Процесс обновления сигнатур осуществляется автоматически или по расписанию

Среди возможностей брандмауэра кроме стандартной IP-фильтрации поддерживаются механизмы анализа содержимого пакетов SPI (Stateful Packet Inspection), имеются системы предотвращения атак типа DoS/DDoS, а также CSM (Content Security Management), ориентированная на IM- и P2P-приложения. Помимо этого, обеспечивается контентная фильтрация по создаваемым вручную (по ключевым словам) URL-спискам. Применим и запрет обращения к группам Web-сайтов, указанных в соответствующих разделах пополняемой базы данных, предупреждающий посещение сотрудниками «непрофильных» Web-сайтов (исходя из их направленности по классификации SurfControl).

Для предотвращения вторжений и антивирусной защиты (а именно в таком объединенном виде реализованы эти функции в шлюзе) предусмотрено свыше 200 правил, обновляемых после прохождения регистрации на сайте DreyTek. Они сгруппированы по логическим типам воздействия. Для каждого из них в режиме расширенной настройки может быть установлено, что делать в случае их обнаружения: игнорировать, блокировать пакеты или разорвать связь с их источником. Соответственно все события подлежат протоколированию, имеется также возможность отправки необходимого уведомления.

Антивирусному анализу может быть подвергнут весь обмен по протоколам SMTP, POP3, IMAP, HTTP, FTP. Как и в отношении вторжений, настройки антивирусного алгоритма предусматривают по каждому из протоколов отдельно три аналогичных типа реакции.

VigorPro 5500 шлюз для SMB со встроенной защитой от Касперского
По каждому вредоносному коду из внушительного списка обнаруживаемых VigorPro 5500 можно провести индивидуальную подстройку реакции

В ходе тестирования мы убедились, что шлюзу удается выявить злонамеренный код даже в компрессированных файлах с расширениями .zip, .gzip, .bzip2. Предлагаемый Европейским институтом исследований компьютерной безопасности тестовый файл eicar.com, прикрепленный к письму, легко обнаруживается, равно как и однократно (eicar_com.zip), и дважды его заархивированные версии. Согласно заявлению производителя, максимальный для анализа уровень архивации (вложения) у VigorPro 5500 – трехкратный. Однако следует учесть, что файлу, защищенному паролем или сжатому с помощью WinRAR (rar-алгоритм), удается преодолеть защиту, хотя он и определяется как «архивный, неизвестного формата» и при необходимости также блокируется. Подобные инструкции можно применить и в отношении многопотоковой загрузки файлов или для регламентации обмена фрагментированными почтовыми сообщениями.

В заключение краткого обзора VigorPro 5500 отметим, что на сайте DrаyTek предлагается сервис, позволяющий частично эмулировать настройку этого шлюза. В ближайших планах компании – обеспечение защиты клиентов SMB-сетей от почтового спама, хоть и не являющегося источником прямой угрозы, но способного нанести существенный урон бизнес-процессам предприятия.

Несмотря на огромное количество настроек, вариантов вводимых правил и регламентов их взаимодействия (для их перечисления потребовался бы весь отведенный для данного материала объем) для начального запуска с оптимальной степенью защиты при стандартной конфигурации внутренней сети понадобится лишь несколько шагов под управлением мастера быстрого старта.

Кроме того, считаем своим долгом напомнить, что использование шлюза не освобождает от применения на ПК пользователя персональных средств защиты. Это как раз тот случай, когда «защиты много не бывает», а ее обеспечение на корпоративном уровне будет органично дополнено за счет средств защиты рабочих станций.

Ориентировочная цена – $ 750. Устройство предоставлено компанией
«Монблан Нетворк»
, www.mounblan.com

0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT