Несколько лет назад мне пришлось окунуться в мир firewall-ов и найти нужный вариант. Платный/бесплатный, открытый/закрытый, железо или софт. Опций предостаточно. Сегодня все это позади и у меня уже давно есть любимый firewall, который я ставлю за считанные минуты, но тем, кто только начинает работать в этой области, хотелось бы помочь внеся хоть какую-то ясность. Надеюсь, что поможет.
(Не могу заставить себя писать “межсетевой экран”, firewall – он и в Африке firewall).
1. Изначально firewall-ы разделяются на 2 типа: host-based и network. Host-based устанавливается непосредственно на клиентскую машину (поверх существующей ОС) и защищает исключительно одну эту машину. Это может быть полезно в домашних условиях (особенно, если у вас всего один компьютер и он напрямую подключен к модему) или в сетевом окружении, как дополнительное средство безопасности.
Network firewall защищает всю сеть и обычно служит шлюзом для этой сети. Сеть может состоять как из одного компьютера, так и из многих тысяч. Тип firewall-а выбирается в зависимости от сетевой среды и потребностей.
2. Network firewall подразделяются на 2 вида: PC-based (основанные на обычном компьютере) и ASIC-accelerated.
ASIC – application-specific integrated circuit. Подразумеваются машины, в которых основной функционал firewall-а происходит на аппаратном уровне. Как правило, это очень дорогие системы, стоимость которых зачастую доходит до нескольких десятков и даже сотен тысяч долларов. Используются обычно в ISP-подобных организациях, которым нужна очень высокая пропускная способность.
Все остальные firewall-ы являются PC-based. Не попадайтесь на удочки продавцов и маркетологов: все остальные firewall-ы являются PC-based.
3. В свою очередь PC-based firewall-ы подразделяются на 2 вида: дистрибутивы и appliances (корОбки). У каждого из них есть свои плюсы и минусы.
В пользу дистрибутивов:
— В зависимости от ситуации, у вас уже может быть в наличии нужное железо, которое вы можете выделить под firewall. Или же можете купить сервер/компьютер по относительно дешевой цене. Т.е. скорее всего это будет дешевле.
— Вы можете купить компьютер или сервер, который может быть маленьким или огромным – ваш выбор.
— Вы можете добавить в этот компьютер/сервер нескольких дополнительных сетевых карточек, или например поставить ОС на RAID массив – гибкость.
— Если понадобится, можете перенести (переустановить) ПО на другой сервер – мобильность.
— Вы конкретно знаете все технические характеристики вашего сервера.
— Вы гораздо меньше зависите от поставщика.
В пользу appliances:
— Меньше головной боли при выборе железа, особенно при попытке объять необъятное и просчитать наперед рост фирмы, объем траффика и т.д. Специалисты поставщика, как правило, могут подсказать какой именно аппарат из их ассортимента следует брать и зачасутю будут правы.
— Не все железо поддерживается всеми дистрибутивами. Зачастую софт “обрезан” довольно жестко. При установке ПО на новенький блестящий сервер, вы можете попасть в ситуацию, когда вы увидите на одном из форумов, что ваше железо однозначно не поддерживается. Причем предугадать такую ситуацию довольно трудно, ибо обычно в нее попадают когда деньги уже потрачены и прогресс пошел.
— Обычно они имеют “правильную” форму, т.е. маленькие аккуратные корОбки или 1U rackmounts (т.е. под серверную стойку).
— Как правило, они уже подогнаны под определенные категории использования, т.е. CPU, RAM, HD будут подходить под ваши нужды, а по количеству сетевых интерфейсов они будут превосходить стандартные 1U сервера.
— Поддерживаются как appliance, т.е. один адрес поддержки и для железа и для софта.
— Никакой головной боли с установкой ПО.
— Ну и напоследок, они зачастую очень неплохо выглядят.
4. (Теперь уже по традиции), дистрибутивы делятся на 2 вида: с открытыми исходниками и проприетарные.
Не вдаваясь слишком много в подробности и холивары, можно отметить, что нередко люди попадаются на удочки “FUD (Fear, uncertainty and doubt) campaign”, которую ведут вендоры проприетарного ПО, и ошибочно считают свободный/открытый софт недостаточно защищенным, не имеющим поддержки, некачественно написанным и т.д. Конечно, все это всего лишь FUD и не более. Опенсорсные firewall-ы ничуть не уступают по качеству своим закрытым товарищам. Но следует отметить некоторые моменты:
— Даже не являясь программистом можно насладиться прелестями СПО, ибо на форумах есть достаточно людей, которые с радостью помогут вам, вплоть до того, что могут даже написать небольшие патчи.
— Вы можете всегда посмотреть в код и попытаться понять что и как работает. Это зачастую помогает при решении проблем.
— С другой стороны, поставщик закрытого ПО предоставит вам поддержку (за немалые деньги) и специально обученные профессионалы помогут решить любую проблему.
Конечно, такой вид поддержки существует и в открытом ПО, но там, как правило, люди пытаются справиться сами.
5. Теперь давайте посмотрим чем обросли за все это время firewall-ы.
UTM – Unified Threat Management. По сути это тот же PC-based firewall, только обросший дополнительным функционалом. Сюда добавляют как стандартные (сегодня) функции firewall-а: IDS/IPS, VPN, load-balancing, routing, так и другие: content filtering, antivirus, anti-spam и т.д.
Обычно только небольшие организации с маленьким бюджетом пользуются UTM. Специалисты настоятельно рекоммендуют все-таки разделять и ставить машину с функционалом UTM за firewall-ом.
6. Сервер. Который “делает все серверные дела”. Есть такая птица. У него в наличии и firewall, и почта, и ftp, и файлохранилище, и еще куча вещей. Несмотря на невероятное удобство такого богатого функционала, пользоваться им крайне не рекомендуется, ибо в плане безопасности – это просто одна большая дыра.
7. IDS/IPS. Некое подобие анализатора траффика, работающего на основе базы подписей и пытающегося выявить аномалии. IDS (intrusion detection system) пытается их обнаружить, в то время как IPS (intrusion prevention system) пытается их еще и остановить.
Многие firewall-ы сегодня имеют этот функционал встроенным или же добавляют его как пакет.
8. IDS/IPS не идеальны, ибо не понимают протоколов, поэтому для более серьезной защиты используется Layer 7 firewall. Как правило, имеется в большинстве firewall-ов.
Стоит заметить, что и IDS/IPS и Layer 7 firewall достаточно прожорливы в плане CPU и RAM.
9. Функционал. Большинство firewall-ов пытаются включить в себя всевозможные ништяки, и при правильном маркетинге это звучит красиво.
Нужен ли вам весь этот функционал? Нет. Нужен ли он вам частично? Да. Поэтому желательно понять что вам нужно, что вам предлагают и почитать подробнее о каждой функции, чтобы не попадаться на удочку и не платить за то, что вы и через 10 лет не будете использовать.
10. Поддержка. Это одна из самых важных вещей в мире firewall-ов: кто-то должен уметь оперировать им и уметь разобраться при сбоях. Если у вас есть компетентные работники или Вы сами таким являетесь – прекрасно. Если нет – придется заплатить. Причем позаботиться об этом надо уже при покупке firewall-а. Зачастую поддержка совсем не дешевая, но это ваша гарантия. Стоит ли рисковать в данном случае?
Ну вот вроде и все. Если что-то забыл — пишите.
(Не могу заставить себя писать “межсетевой экран”, firewall – он и в Африке firewall).
1. Изначально firewall-ы разделяются на 2 типа: host-based и network. Host-based устанавливается непосредственно на клиентскую машину (поверх существующей ОС) и защищает исключительно одну эту машину. Это может быть полезно в домашних условиях (особенно, если у вас всего один компьютер и он напрямую подключен к модему) или в сетевом окружении, как дополнительное средство безопасности.
Network firewall защищает всю сеть и обычно служит шлюзом для этой сети. Сеть может состоять как из одного компьютера, так и из многих тысяч. Тип firewall-а выбирается в зависимости от сетевой среды и потребностей.
2. Network firewall подразделяются на 2 вида: PC-based (основанные на обычном компьютере) и ASIC-accelerated.
ASIC – application-specific integrated circuit. Подразумеваются машины, в которых основной функционал firewall-а происходит на аппаратном уровне. Как правило, это очень дорогие системы, стоимость которых зачастую доходит до нескольких десятков и даже сотен тысяч долларов. Используются обычно в ISP-подобных организациях, которым нужна очень высокая пропускная способность.
Все остальные firewall-ы являются PC-based. Не попадайтесь на удочки продавцов и маркетологов: все остальные firewall-ы являются PC-based.
3. В свою очередь PC-based firewall-ы подразделяются на 2 вида: дистрибутивы и appliances (корОбки). У каждого из них есть свои плюсы и минусы.
В пользу дистрибутивов:
— В зависимости от ситуации, у вас уже может быть в наличии нужное железо, которое вы можете выделить под firewall. Или же можете купить сервер/компьютер по относительно дешевой цене. Т.е. скорее всего это будет дешевле.
— Вы можете купить компьютер или сервер, который может быть маленьким или огромным – ваш выбор.
— Вы можете добавить в этот компьютер/сервер нескольких дополнительных сетевых карточек, или например поставить ОС на RAID массив – гибкость.
— Если понадобится, можете перенести (переустановить) ПО на другой сервер – мобильность.
— Вы конкретно знаете все технические характеристики вашего сервера.
— Вы гораздо меньше зависите от поставщика.
В пользу appliances:
— Меньше головной боли при выборе железа, особенно при попытке объять необъятное и просчитать наперед рост фирмы, объем траффика и т.д. Специалисты поставщика, как правило, могут подсказать какой именно аппарат из их ассортимента следует брать и зачасутю будут правы.
— Не все железо поддерживается всеми дистрибутивами. Зачастую софт “обрезан” довольно жестко. При установке ПО на новенький блестящий сервер, вы можете попасть в ситуацию, когда вы увидите на одном из форумов, что ваше железо однозначно не поддерживается. Причем предугадать такую ситуацию довольно трудно, ибо обычно в нее попадают когда деньги уже потрачены и прогресс пошел.
— Обычно они имеют “правильную” форму, т.е. маленькие аккуратные корОбки или 1U rackmounts (т.е. под серверную стойку).
— Как правило, они уже подогнаны под определенные категории использования, т.е. CPU, RAM, HD будут подходить под ваши нужды, а по количеству сетевых интерфейсов они будут превосходить стандартные 1U сервера.
— Поддерживаются как appliance, т.е. один адрес поддержки и для железа и для софта.
— Никакой головной боли с установкой ПО.
— Ну и напоследок, они зачастую очень неплохо выглядят.
4. (Теперь уже по традиции), дистрибутивы делятся на 2 вида: с открытыми исходниками и проприетарные.
Не вдаваясь слишком много в подробности и холивары, можно отметить, что нередко люди попадаются на удочки “FUD (Fear, uncertainty and doubt) campaign”, которую ведут вендоры проприетарного ПО, и ошибочно считают свободный/открытый софт недостаточно защищенным, не имеющим поддержки, некачественно написанным и т.д. Конечно, все это всего лишь FUD и не более. Опенсорсные firewall-ы ничуть не уступают по качеству своим закрытым товарищам. Но следует отметить некоторые моменты:
— Даже не являясь программистом можно насладиться прелестями СПО, ибо на форумах есть достаточно людей, которые с радостью помогут вам, вплоть до того, что могут даже написать небольшие патчи.
— Вы можете всегда посмотреть в код и попытаться понять что и как работает. Это зачастую помогает при решении проблем.
— С другой стороны, поставщик закрытого ПО предоставит вам поддержку (за немалые деньги) и специально обученные профессионалы помогут решить любую проблему.
Конечно, такой вид поддержки существует и в открытом ПО, но там, как правило, люди пытаются справиться сами.
5. Теперь давайте посмотрим чем обросли за все это время firewall-ы.
UTM – Unified Threat Management. По сути это тот же PC-based firewall, только обросший дополнительным функционалом. Сюда добавляют как стандартные (сегодня) функции firewall-а: IDS/IPS, VPN, load-balancing, routing, так и другие: content filtering, antivirus, anti-spam и т.д.
Обычно только небольшие организации с маленьким бюджетом пользуются UTM. Специалисты настоятельно рекоммендуют все-таки разделять и ставить машину с функционалом UTM за firewall-ом.
6. Сервер. Который “делает все серверные дела”. Есть такая птица. У него в наличии и firewall, и почта, и ftp, и файлохранилище, и еще куча вещей. Несмотря на невероятное удобство такого богатого функционала, пользоваться им крайне не рекомендуется, ибо в плане безопасности – это просто одна большая дыра.
7. IDS/IPS. Некое подобие анализатора траффика, работающего на основе базы подписей и пытающегося выявить аномалии. IDS (intrusion detection system) пытается их обнаружить, в то время как IPS (intrusion prevention system) пытается их еще и остановить.
Многие firewall-ы сегодня имеют этот функционал встроенным или же добавляют его как пакет.
8. IDS/IPS не идеальны, ибо не понимают протоколов, поэтому для более серьезной защиты используется Layer 7 firewall. Как правило, имеется в большинстве firewall-ов.
Стоит заметить, что и IDS/IPS и Layer 7 firewall достаточно прожорливы в плане CPU и RAM.
9. Функционал. Большинство firewall-ов пытаются включить в себя всевозможные ништяки, и при правильном маркетинге это звучит красиво.
Нужен ли вам весь этот функционал? Нет. Нужен ли он вам частично? Да. Поэтому желательно понять что вам нужно, что вам предлагают и почитать подробнее о каждой функции, чтобы не попадаться на удочку и не платить за то, что вы и через 10 лет не будете использовать.
10. Поддержка. Это одна из самых важных вещей в мире firewall-ов: кто-то должен уметь оперировать им и уметь разобраться при сбоях. Если у вас есть компетентные работники или Вы сами таким являетесь – прекрасно. Если нет – придется заплатить. Причем позаботиться об этом надо уже при покупке firewall-а. Зачастую поддержка совсем не дешевая, но это ваша гарантия. Стоит ли рисковать в данном случае?
Ну вот вроде и все. Если что-то забыл — пишите.
