Брандмауэр в коробочке
Алексей Батырь
Интернет-маршрутизаторы, или, точнее, шлюзы, выполненные в виде компактного автономного блока и обладающие большинством функций "настоящих" серверов-шлюзов, имеют по сравнению с ними ряд привлекательных черт. Это и небольшие размеры, и повышенная надежность (за счет отсутствия электромеханических устройств — вентиляторов, жестких дисков и т. п.), и простота запуска в эксплуатацию и настройки, а следовательно, возможность обойтись без ИТ-персонала, что особенно важно для сегмента SOHO.
Оснащение же такого мини-шлюза средствами беспроводной связи открывает новые возможности: подключение мобильных пользователей без прокладки новых кабелей, обеспечение совместной работы и доступа в Интернет в нестационарных условиях (выставки, выездные презентации и т. п.), организация виртуальных частных сетей (VPN) для мобильных сотрудников.
Компания Rainbow Technologies (http://www.rainbow.msk.ru) предоставила нашей лаборатории устройство Firebox SOHO 6tc Wireless производства компании WatchGuard (http://www.watchguard.com), известной своими аппаратными и программными решениями в области Интернет-безопасности. Устройство представляет собой Интернет-шлюз со встроенными брандмауэром, DHCP-сервером, NAT-маршрутизатором и беспроводным узлом доступа стандарта IEEE 802.11b. Все это заключено в небольшой (габариты 254х183х152 мм, масса без блока питания 285 г) корпус с двумя поворотными антеннами, который можно установить или повесить на стену в любом месте офиса.
Устройство основано на процессоре Brecis MSP 2000 с частотой 150 МГц, имеет 16 Мбайт ОЗУ и 4-Мбайт флэш-диск и способно обслуживать три Ethernet-сети: проводную локальную (4 порта 10/100Base-T), проводную внешнюю (1 порт 10/100Base-T, к которому можно подключить кабельный или DSL-модем) и беспроводную 802.11b. На входящем в комплект CD-ROM имеется программа Easy Setup Wizard, которая позволяет за считанные минуты запустить устройство в работу, причем сделать это может даже человек, имеющий весьма отдаленное представление о сетевых технологиях.
Администрирование брандмауэра, DHCP-сервера, NAT-маршрутизатора, беспроводной точки доступа и других элементов устройства выполняется через достаточно удобный Web-интерфейс путем "нацеливания" браузера с одного из подключенных к нему ПК на фиксированный IP-адрес 192.168.111.1 (при желании этот адрес можно впоследствии изменить). Можно также разрешить дистанционное управление устройством через Интернет, защитив его паролем.
Заблокировать/разблокировать трафик по определенным портам в интерфейсе управления брандмауэром очень легко, поскольку в таблице перечислены не просто номера портов, говорящие что-то лишь "прожженному" сетевому администратору, а названия наиболее распространенных служб и приложений, использующих эти порты (HTTP, FTP, ICQ и т. д.). Заблокировать можно не только порты, но и определенные IP-адреса ("черный список"). Максимальная пропускная способность пакетного фильтра составляет 75 Мбит/с, в нем предусмотрена защита от известных видов хакерских атак. Дополнительно можно приобрести также средства фильтрации Web-контента.
В устройстве предусмотрена возможность организации VPN с полным IPSec-шифрованием данных как для проводного, так и для беспроводного сегмента, но с ограниченным количеством VPN-туннелей (в стандартной поставке — шесть для проводного и один для беспроводного сегмента, за дополнительную плату количество туннелей для беспроводного сегмента можно довести до 11). Максимальная пропускная способность VPN — 20 Мбит/с. ПО VPN Manager позволяет легко организовывать VPN-туннели для удаленных офисов компании.
В стандартную поставку компании-изготовителя входит 10 пользовательских лицензий. За дополнительную плату их число может быть расширено до 25 или 50.
В цену устройства, которая на российском рынке составляет примерно 900 долл., входит также трехмесячная подписка на сервис LiveSecurity компании WatchGuard. Этот сервис позволяет поддерживать актуальность системы безопасности устройства Firebox, предоставляя данные о вновь возникающих угрозах, обновления ПО для устройства, техническую поддержку пользователей. В частности, через LiveSecurity обновляется входящее в комплект поставки антивирусное ПО McAfee VirusScan AsaP. Продление подписки на LiveSecurity по истечении трех месяцев возможно на платной основе.