Производители межсетевых экранов (МСЭ) на протяжении последних лет значительно расширили свои продуктовые линейки специализированными устройствами, выполняющими одну или несколько функций “классических” МСЭ, такими как системы обнаружения (IDS) и предотвращения (IPS) вторжений, VPN концентраторы и VPN-серверы доступа для решения узконаправленных задач и др. Выбор межсетевого экрана, обеспечивающего полноценную защиту периметра без излишнего функционала и невостребованной производительности, для предприятий, например, среднего бизнеса является нетривиальным вопросом. Мы проанализировали предложение ведущих производителей МСЭ: Cisco Systems, Check Point Software Technologies и Juniper Networks — и остановились именно на комплексных решениях.


Cisco PIX firewall
Cisco PIX firewall

Администратор при подключении корпоративной информационной системы к открытым сетям обеспечивает решение таких задач:

защиту внутренних информационных ресурсов от атак из внешних сетей и несанкционированного доступа;
конфиденциальность и целостность информации передаваемой по открытым каналам;
противодействие всем видам проникновения в корпоративную сеть вирусов, шпионского программного обеспечения;
защиту от утечки конфиденциальной информации из корпоративной сети, в том числе за счет организации скрытых каналов;
мониторинг и контроль защищенности информационной системы включая регистрацию и анализ событий безопасности, контроль использования ресурсов внешних сетей и сервисов информационного обмена;
оперативное реагирование на нарушения защиты в реальном времени;
централизованное управление средствами защиты.

В конвергентных сетях организаций, бизнес-процессы которых требуют передачи чувствительного к задержкам трафика (VoIP, видеоконференции), на первый план выходят вопросы отказоустойчивости сервисов и управления распределением полосы  пропускания или качеством услуг (QoS).

Для компаний, имеющих территориально распределенную структуру, требуется создание защищенного обмена данными через публичные сети между центральным офисом и удаленными подразделениями.

Наиболее востребованные при построении сетей компаний конфигурации VPN:

полносвязные (Meshed) — каждый сайт может автоматически организовать шифрованное соединение с любым другим сайтом;
звезда (Star) — филиалы могут организовать защищенные соединения с центральным сайтом;
связь через концентратор (Hub and Spoke) — филиалы могут соединяться между собой через концентратор центрального сайта;
удаленный доступ (Remote Access) — пользователи и группы могут организовать безопасные соединения с одним или несколькими сайтами.


Juniper NetScreen
Juniper NetScreen
Производители предлагают как программные, так и аппаратные реализации межсетевых экранов, каждая из которых имеет свои особенности. Межсетевые  экраны программной реализации представляют собой ПО, которое запускается на выделенном сервере и функционирует под управлением универсальной сетевой операционной системы. Производительность системы можно повышать, наращивая мощность сервера. Программный МСЭ очень гибкий в настройке и легко дополняется новой функциональностью. При этом цена программного продукта, как правило, ниже стоимости аппаратного решения.

Аппаратные решения имеют собственную операционную систему, написанную с учетом специфики оборудования и решаемых задач, при этом главный акцент сделан не на функциональность ОС, а на отказоустойчивость и стабильность работы. Такие решения дороже, но настройка их проще — настраивается лишь необходимая политика безопасности, внутренняя операционная система уже настроена. Производители поставляют свои аппаратные решения, конструктивно реализованные в виде отдельного устройства, входящими в состав маршрутизаторов или коммутаторов как модули расширения или как программный набор функций, расширяющий их функциональность. Межсетевыми экранами могут оснащаться и другие различные системы, например, модемы xDSL, концентраторы VPN, беспроводные точки доступа.

Управлять производительностью систем на аппаратном уровне можно незначительно — увеличивая объем ОЗУ и устанавливая опциональные модули — дополнительные криптопроцессоры, интерфейсные модули и др.

Компания Cisco Systems предлагает МСЭ, соответствующие продвигаемой ею стратегии “самозащищаемой сети”. Серия аппаратных межсетевых экранов Cisco PIX firewall работает под управлением специализированной операционной системы реального времени PixOS. Устройства позиционируются для широкого сегмента рынка, начиная с малых офисов и заканчивая крупными корпорациями и операторами связи.


Check Point Firewall
Check Point Firewall
В серию продуктов входят модели Pix 501/506E/515E/525/535, имеющие от 1 до 10 интерфейсов Ethernet 10/100 (модели Pix 525/535 имеют интерфейсы Ethernet 10/100/1000). Производительность работы МСЭ, в зависимости от модели, составляет от 60 Мбит/с до 1,6 Гбит/с, количество одновременно поддерживаемых сессий — от 19,5 тыс. до 1 млн.

Разработчики серии Cisco PIX firewall реализовали в устройствах поддержку технологий VPN, встроенную систему обнаружения атак, фильтрацию URL и блокирование ПО, поддержку протокола GTP/GPRS, виртуальные МСЭ. Отказоустойчивость включает поддержку VPN-туннелей. Устройства позволяют контролировать весь спектр протоколов IP-телефонии и мультимедиа — H.323, SIP, SCCP, MGCP, RTSP и т. д. Благодаря применению алгоритма адаптивной защиты (Adaptive Se-curity Algorithm — ASA) реальные адреса пользователей и порты приложений скрываются, что позволяет запретить прямую атаку конкретного пользователя.

Juniper Networks поставляет межсетевые экраны под торговой маркой NetScreen. Вся линейка работает под управлением операционной системы ScreenOS. В зависимости от модели (кроме 500, 5200 и 5400) устройства имеют от 4 до 8 интерфейсов Ethernet 10/100. Производительность NetScreen 5XT/5XG/25/50/204/208 — от 70 до 550 Мбит/с. Максимальное количество сессий — от 2 до 128 тыс.

Модели NetScreen 5XT/5XG могут поддерживать до 10 VPN туннелей, NetScreen-50–64 VPN, NetScreen 204/208 по 128.


По данным отчета Synergy за 2006 год, ситуация на рынке межсетевых экранов, совмещенных с VPN, не изменилась. Главная пятерка та же: Cisco с 43,7% рынка, Check Point с 13,4%, Juniper с 7,8%, Nokia с 6,7% и Symantec с 5,6%. При этом если Cisco и Symantec увеличили свою долю на 4,4% и 0,4%, то остальные производители — Check Point, Juniper и Nokia — сдали свои позиции на 1,5%, 0,3% и 0,5% соответственно. Интересно, что если в оценках лидеров данные Synergy совпадают с Gartner, то Symantec и Nokia последнее агентство не включает в пятерку. Объясняется это отчасти тем, что совсем недавно Symantec официально объявил о закрытии нескольких своих направлений по информационной безопасности, что негативно сказалось на отношении аналитиков и рынка к позициям данной компании. Пока же к пятерке лидеров наиболее близки Fortinet и Secure Computing.
По данным отчета Synergy за 2006 год, ситуация на рынке межсетевых экранов, совмещенных с VPN, не изменилась. Главная пятерка та же: Cisco с 43,7% рынка, Check Point с 13,4%, Juniper с 7,8%, Nokia с 6,7% и Symantec с 5,6%. При этом если Cisco и Symantec увеличили свою долю на 4,4% и 0,4%, то остальные производители — Check Point, Juniper и Nokia — сдали свои позиции на 1,5%, 0,3% и 0,5% соответственно. Интересно, что если в оценках лидеров данные Synergy совпадают с Gartner, то Symantec и Nokia последнее агентство не включает в пятерку. Объясняется это отчасти тем, что совсем недавно Symantec официально объявил о закрытии нескольких своих направлений по информационной безопасности, что негативно сказалось на отношении аналитиков и рынка к позициям данной компании. Пока же к пятерке лидеров наиболее близки Fortinet и Secure Computing.
Модель Netscreen 500 может комплектоваться 8 интерфейсами Ethernet 10/100 либо 8 mini-GBIC либо 4 GBIC и поддерживает до 250 тыс. сессий, обладая производительностью в 750 Мбит/с. Модели следующего уровня 5200 и 5400 имеют 2 и 6 интерфейсов XFP 10Gig соответственно. Эти устройства обладают рекордной производительностью в 10 и 30 Гбит/с, поддерживая до 1 млн. сессий и 25 тыс. VPN туннелей и позволяя обслуживать сети уровня корпораций и операторские сетевые решения. Все указанные МСЭ поддерживают протоколы маршрутизации OSPF, BGP, RIP версий 1 и 2.

Компания Check Point Software Technologies, успешная в своих решениях по созданию программных реализаций межсетевых экранов и организации VPN для больших компаний, расширила круг возможных потребителей своей продукции в совместных с  компанией Nortel Networks решениях. В продуктах компании Nortel в качестве ядра используется продукт CheckPoint — программный сетевой экран Firewall-1. Nortel выпускает две линейки МСЭ: Switched Firewall 5100 (включающая модели 5106, 5111, 5114 и 5124) и Accelerated Firewall System 6000 (6416, 64264, 6616 и 66264). Первая линейка — это аппаратные МСЭ, вторая — специальные устройства-ускорители (коммутаторы), которые предназначены для совместной работы с оборудованием серии 5100. При этом модели SF выступают в роли ведущих (Director), а ASF — в роли ведомых устройств (Accelerator). Производительность МСЭ 5100-й серии составляет 0,36-1,6 Гбит/с, при этом могут поддерживаться от 250 до 500 тыс. сессий. При использовании тандемной работы с 6000-й серией эти параметры увеличиваются: производительность возрастает до 5-7 Гбит/с, максимальное количество сессий — до 2 млн. Производительность VPN подсистемы — от 10 до 20 тыс. туннелей для серии 5100 и 25 тыс. — для серии 6000. Устройства поддерживают анализ пакетов на уровнях 4-7 и протоколы SIP и VoIP для передачи трафика в конвергентных сетях.

CheckPoint  предлагает на рынок еще две серии аппаратных платформ SofaWare Technologies — VPN-1 Edge и Safe @ Office,  созданных своей дочерней компанией. Производительность этих устройств будет достаточной для задач среднего бизнеса. Эти решения имеют аппаратную реализацию, базирующуюся на хорошо известном программном обеспечении VPN-1/Firewall-1.Отметим, что в основу функциональности устройств положены запатентованные технологии Stateful Inspection от Check Point, а также их развитие, примененное в продуктах VPN-1 Embedded NG.