систем, являющихся собственными разработками соответствующих компаний.
Продукты Centri Firewall компании Global Internet и Eagle компании Raptor
Systems работают под SunOS, Solaris и Windows NT.
Указанные шлюзы прикладного уровня можно устанавливать и в сети NetWare,
использующей протоколы TCP/IP. Для того чтобы начать использовать TCP/IP
в сети, работающей по протоколу IPX, необходимо установить шлюз IPX/IP
или установить стек TCP/IP каждому клиенту NetWare, который будет работать
со шлюзом прикладного уровня (например, используя продукт LAN WorkPlace
или LAN WorkGroup компании Novell).
Немного о "прозрачности"
Шлюзы прикладного уровня обеспечивают один из самых высоких на сегодняшний
день уровней защиты, однако существует мнение, что такая высокая степень
защиты имеет и оборотную сторону, а именно - отсутствие "прозрачности"
работы шлюза для пользователей. В идеале все брандмауэры должны быть "прозрачными",
т.е. их работа должна оставаться незаметной для пользователей, обращающихся
из своей внутренней сети в Internet. Однако в реальной жизни брандмауэры
вносят задержки в процесс передачи данных или требуют от пользователей
выполнения нескольких процедур регистрации при подключении к Internet или
корпоративной интрасети.
Многие поставщики утверждают, что их шлюзы прикладного уровня являются
"прозрачными", однако рекомендуют конфигурировать их таким образом,
чтобы они выполняли аутентификацию пользователей при их обращении к внешней
сети (т.е. процедуру, которая нарушает "прозрачность" работы
шлюза). Например, шлюз Black Hole компании Milkyway Networks можно сконфигурировать
так, что пользователи будут выходить во внешнюю сеть, не регистрируясь
на этом шлюзе. Однако Milkyway Networks рекомендует такую конфигурацию
шлюза, при которой пользователи должны будут регистрироваться на нем либо
один раз в течение установленного периода, либо при каждом запросе на установление
сеанса связи. Аналогичным образом может быть настроен шлюз Gauntlet Internet
Firewall компании Trusted Informa-tion Systems.
При работе шлюза в "непрозрачном" режиме пользователь подключается
к посреднику соответствующей службы (например, Telnet) и сообщает ему имя
хоста, к которому он собирается подключиться. После этого пользователь
получает и отправляет информацию так, как если бы было установлено прямое
соединение клиента с внешним хостом. В "прозрачном" же режиме
подключение пользователя к удаленному хосту выполняется без предварительного
взаимодействия со шлюзом, однако затем шлюз перехватывает все запросы пользователя.
Другие производители брандмауэров, относящихся к категории шлюзов прикладного
уровня, пытаются решить проблему "прозрачности" иными способами.
Например, компании CyberGuard и NEC Technologies используют вместо связанных
с приложениями программ-посредников вариант протокола SOCKS для маршрутизации
трафика, генерируемого службами TCP/IP, через свои шлюзы Cyber-Guard Firewall
и PrivateNet соответственно. SOCKS является стандартом, предлагаемым инженерной
группой IETF (Internet Engineering Task Force) и обеспечивающим "прозрачную"
аутентификацию пользователей, которые запрашивают соединения с внешними
хостами через брандмауэр. Однако использование SOCKS является "непрозрачным"
для администраторов, которые должны модифицировать все приложения, используемые
клиентами для доступа к внешним ресурсам через брандмауэр. Кроме того,
хотя SOCKS и предполагает использование других механизмов защиты (например,
шифрования с личным и открытым ключами), он не обеспечивает фильтрации
отдельных пакетов. Поэтому продукты, использующие SOCKS, скорее можно отнести
к категории шлюзов сеансового, а не прикладного уровня.
FTP://INFO.CERT.ORG или HTTP://WWW.CERT.ORG
Директория /pub/cert_advisories содержит список рекомендаций Координационного
центра CERT, касающихся решения известных проблем сетевой безопасности.
На этом узле можно также найти предупреждения о возможных нападениях в
Internet.
HTTP://WWW.NCSA.COM
Узел американской Национальной ассоциации по компьютерной безопасности
(NCSA) содержит руководство по политике реализации брандмауэров (Firewall
Policy Guide). На этом узле также можно найти список брандмауэров, сертифицированных
NCSA, и ссылки на другие Web-узлы, содержащие более подробную информацию
об этих брандмауэрах. NCSA занимается тестированием продуктов с целью выяснения
их функциональных возможностей и эффективности защиты от типовых нападений.
К продуктам, имеющим сертификат NCSA, относятся FireWall-1 компании Check
Point Software Technologies, ON Guard компании ON Technology и Gauntlet
Internet Firewall компании Trusted Information Systems.
HTTP://WWW.OUTLINK.COM
Outlink - исследовательская компания, специализирующаяся на информационной
безопасности и выпускающая бюллетень The Firewall Report, который поможет
вам быть в курсе всех новых технологий, продуктов и услуг в области защиты
информации. Этот бюллетень содержит унифицированные технические описания
20 лучших брандмауэров для Internet и интрасетей, а также необходимые сведения
об их поставщиках.
HTTP://WWW.TELSTRA.COM.AU/PUB/DOCS/SECURITY
Этот узел содержит ссылки на документы, написанные признанными экспертами
в области безопасности Internet.
FTP://FTP.GREATCIRCLE.COM/PUB/FIREWALLS
На этом узле вы сможете найти ответы на часто задаваемые вопросы по
поводу брандмауэров. Он также содержит ссылки на книги и другие публикации,
посвященные брандмауэрам.
HTTP://CS-WWW.NCSL.NIST.GOV
Этот узел принадлежит Национальному институту стандартов США и содержит
много ссылок на Web-узлы, содержащие сведения по информационной безопасности.
Сети · #2/97
