Мета цієї статті полягає в тому, щоб познайомити вас з брандмауером ISA firewall і допомогти вам дізнатися про його можливості та інструменти.
Нещодавно я зустрічався з деякими покупцями і консультантами, які нагадали мені про ситуацію, про яку я давно знав. Чи знаєте ви, що більшість людей насправді не знають, що таке брандмауер ISA firewall, і що він робить? Я думаю, деяке замішання вносить назву продукту. По-перше, існує "Internet Security and Acceleration (безпека і прискорення інтернету)", яка в дійсності нічого вам не говорить про призначення і функції продукту, а по-друге, додайте назву "Server (сервер)" до назви продукту, і ви приведете в замішання ще більше людей, тому що більшість людей не асоціюють брандмауер з сервером брандмауера.
Звичайно, люди можуть зайти на сайт Microsoft Web site і спробувати з'ясувати, що таке брандмауер ISA firewall, і для чого він потрібен. Але як і більшість сторінок на сайті Microsoft.com, він складно читаються і часто буває незрозуміло, що це за продукт і для чого він потрібен. Ви зможете побачити, що його називають "security gateway (шлюз безпеки)", що є модним терміном в бізнесі. Ви можете також почути назву "secure application publishing (безпечна публікація додатків)". Добре, а що ж це таке в загальному? Проблема полягає в тому, що покупці і консультанти не завжди добре розуміють маркетинговий мову, а просто хочуть дізнатися, що таке брандмауер ISA firewall, і для чого він потрібен.
Для того, що б допомогти вам зрозуміти, що може зробити ISA Server або шлюз безпеки (security gateway) серії NS9200 для забезпечення безпеки основних додатків і серверів вашої мережі, ми обговоримо наступні теми:
- Брандмауер мережевого рівня (network layer firewall)
- Безпечний шлюз перевірки на прикладному рівні (application layer inspection security gateway)
- Прямий (Forward) і зворотний (reverse) Web проксі (proxy) і кеш-сервер (caching server)
- Сервер віддаленого доступу до VPN
- Шлюз Site to site VPN
Брандмауер мережевого рівня
Шлюз перевірки безпеки на прикладному рівні (Application Layer Inspection Security Gateway)
Брандмауери, які виконують перевірку пакетів, не можуть визначити, на що конкретно спрямована атака - проти Web сервера, поштового сервера (mail server), FTP сервера або проти ще якогось мережевого додатки. Все що можуть брандмауера такого типу - це захистити вашу мережу від простих мережевих атак. З цієї причини необхідно також, щоб брандмауер проводив перевірку на прикладному рівні (application layer inspection firewall) або необхідний безпечний шлюз (security gateway).
Прямий (Forward) і зворотний (Reverse) Web проксі (Proxy) і кеш-сервер (Caching Server)
Коли служби Web proxy брандмауера ISA firewall перехоплюють Web з'єднання, вони можуть виконувати різні перевірки для захисту вашої мережі. Деякі з них включають:
Сервер віддаленого доступу до VPN (Remote Access VPN Server)
Все більшій кількості співробітників необхідний доступ до інформації, яка зберігається в корпоративній мережі, коли вони знаходяться поза офісом в дорозі. Співробітникам необхідний доступ до документів Word, файлів PowerPoint, баз даних і багато чому іншому в той час, коли вони знаходяться в дорозі, або під час роботи на дому. Ще більш важливий аспект бізнесу - це можливість надання стороннім робочим (off-site worker) доступу до корпоративної інформації в разі особливої необхідності, коли співробітники не можуть покинути свої будинки. Одні з найбільш безпечних спосіб, за допомогою якого співробітники можуть отримати доступ до цієї інформації - це використовувати VPN сервер віддаленого доступу (remote access VPN server).
Сервер VPN (virtual private networking - віртуальна приватна мережа) дозволяє зовнішнім користувачам підключатися до корпоративної мережі з ноутбука або робочої станції з будь-якого місця в світі. Після того, як користувач створює безпечне VPN з'єднання, то комп'ютер це користувача, також як і комп'ютер розташований в офісі може мати доступ до інформації, що зберігається на будь-якому сервері всередині корпоративної мережі.
Одним з недоліків традиційних рішень VPN серверів, пропонованих постачальниками, є те, що після того, як користувач підключається до VPN сервера, то у цього користувача є доступ до будь-якого ресурсу в корпоративній мережі (corporate network). Проблема тут полягає в тому, що комп'ютери віддалених користувачів, які використовуються для підключення до корпоративної мережі, зазвичай є некерованими машинами, і тому зростає небезпека зараження вірусом або хробаком.
Потужний контроль доступу, заснований на користувачах / групах і використання принципу найменших прав для віддалених з'єднань VPN
Перевірка на прикладному рівні (Application Layer Inspection) для всіх віддалених VPN з'єднань
Ті, що вижили після появи хробака Blaster worm можуть розповісти, що у них було фальшиве відчуття безпеки, коли вони налаштували свої інтернет брандмауери для блокування доступу до своєї мережі з Інтернет. Ці компанії були як і раніше інфіковані Blaster, але не з Інтернет, а від VPN користувачів. Ці компанії використовували традиційні апаратні VPN сервера для віддаленого доступу, які не могли проводити перевірку прикладного рівня для VPN користувачів.
Шлюз Site to Site VPN Gateway
Всі ми сподіваємося, що наші компанії виростуть до таких розмірів, що з'являться дочірні офіси (branch offices). Але з появою дочірніх офісів (branch office) збільшується складність і вартість витрат, на підключення цих дочірніх офісів до ресурсів головного офісу (main office).
Існує набір налаштувань для підключення дочірнього офісу (branch office) до головного офісу (main office), серед них:
Виділений (Dedicated) WAN канал і керовані VPN - це прекрасне рішення для компаній, для яких не важлива ціна питання. Ці установки можуть бути занадто дорогими для організацій, які зацікавлені в зниженні фінансових витрат при організації взаємодій такого типу.
VPN шлюз (gateway) дозволяє вам підключити ваш головний офіс (main office) до всіх ваших дочірнім офісах (branch offices) за допомогою недорогих інтернет з'єднань, і зробити це досить безпечним способом. Кожен брандмауер ISA firewall і шлюз безпеки (security gateway) в дочірньому і головному офісі забезпечує потужну перевірку пакетів (stateful packet inspection) і перевірку на прикладному рівні (application layer inspection) для інформації, що переміщається по site to site VPN каналах. Додатково, всі з'єднання, виконані користувачами з дочірніх офісів (branch office) заносяться в журнал, щоб таким чином у вас була повна історія взаємодії користувачів дочірніх офісів з ресурсами головного офісу.
Branch office security gateway (шлюз безпеки дочірнього офісу)
Worm and flood protection (захист від черв'яків і флуду)
Стандартна версія (Standard Edition) або корпоративна версія (Enterprise Edition)?
Метою цієї статті було розповісти вам про брандмауер ISA firewall і допомогти вам дізнатися про його можливості та інструменти. Брандмауер ISA firewall - це складне рішення для забезпечення мережевої безпеки (network security solution), яке забезпечує захист на кордоні і по периметру мережі, сервер віддаленого доступу (remote access VPN server), шлюз site to site VPN gateway, Web проксі (proxy) і кеш-сервер в одному продукті.
Все з цих інструментів можуть бути встановлені одночасно на одному пристрої, або ж ви можете встановити брандмауер ISA firewall для роботи в якості деяких з цих ролей. У своїй основі брандмауер ISA firewall - це мережевий брандмауер (etwork firewall) одного рівня з Cisco PIX / ASA або Check Point, але володіє додатковою функціональністю Web проксі (proxy) і кеш-сервера, якої немає в Cisco і Check Point.
Брандмауер ISA firewall - це також високопродуктивний продукт, легко підтримує перевірку пакетів понад 1.5Gbps (stateful packet inspection) і понад 300Mbps перевірку на прикладному рівні Web proxy (application layer inspection). Брандмауер ISA firewalls поставляється в двох версіях: Standard Edition (стандартна версія) для середнього бізнесу без дочірніх офісів, і Enterprise Edition (корпоративна версія), спроектована для середніх і великих компаній, для яких необхідна централізована підтримка установки, настройки і управління розподілених брандмауерів і Web proxy.