Программно-аппаратный комплекс WatchGuard FireBox X

Введение

Для защиты разветвленной сети от атак часто используют аппаратные и программные брандмауэры. Иногда отдельно, иногда - в связке друг с другом. Априори считается, что каждый из упомянутых классов имеет свои преимущества и недостатки, а именно: аппаратные средства обладают высокой производительностью, быстрой установкой и легким управлением; минусами являются высокая стоимость решений и сложность их модернизации (любую закрытую архитектуру обновлять сложно). Программные средства обладают привлекательными ценами, легко обновляются и расширяются (например, через Интернет), часто имеют очень широкой функционал и возможности гибкой настройки, взамен приходится платить снижением производительности, отдельным сервером, иногда еще и трудностью в управлении и настройке.

ПО WatchGuard FireBox X создавалось по принципу "взять лучшее, а минусы оставить за бортом". Разработчикам действительно удалось решить многие проблемы аппаратных и программных решений, так что предлагаемый на рассмотрение программно-аппаратный комплекс достоин пристального внимания.

О WatchGuard FireBox X нам рассказывает Ирина Зеренкова, менеджер по маркетингу компании Rainbow Technologies.

Интервью

Алексей Доля: Расскажите, пожалуйста, что называется аппаратным брандмауэром? Какие компоненты в него входят?

Ирина Зеренкова: Брандмауэр/межсетевой экран обеспечивает разделение сегментов сетей, например Internet/DMZ/Intranet, их защиту и авторизованный доступ извне к ресурсам охраняемой сети. Аппаратный брандмауэр обычно представляет собой программно-аппаратный комплекс, включающий необходимое оборудование и ПО для управления им.


Алексей Доля: Что отличает аппаратные брандмауэры от программных?

Ирина Зеренкова: Основное отличие аппаратного брандмауэра от программного - его независимость от программной платформы защищаемой ИТ-инфраструктуры и единство производителя программных и аппаратных средств, что позволяет:

гарантировать полную совместимость всех частей и компонентов и, следовательно, устойчивость функционирования аппаратного брандмауэра;
упростить обновление ПО (в случае программного брандмауэра обновление операционной системы (ОС) может повлечь за собой и переустановку брандмауэра);
предложить высоконадёжную аппаратную реализацию, уменьшающую до минимума (только вентилятор) использование движущихся частей и механизмов и исключающую проблемы аппаратной несовместимости;
обеспечить заявленную производительность в любых условиях (ресурсы аппаратного брандмауэра не могут быть "переброшены" на другие задачи и процессы);
уменьшить эксплутационные расходы, так как не требуется ресурсов для конфигурирования и управления ОС;
предоставить гарантию производителя.

Алексей Доля: В каких случаях целесообразно применять аппаратные брандмауэры, а в каких - чисто программные?

Ирина Зеренкова: Однозначного ответа на этот вопрос не существует, так как выбор зависит от целого ряда факторов - от требуемой степени защищённости информационной системы до ценовых характеристик. И каждая организация осуществляет выбор в соответствии с собственной концепцией обеспечения безопасности, стратегией развития и функциональными задачами, возлагаемыми на брандмауэр. Поясню на примере. Брандмауэры младшего класса, например Firebox SOHO 6, могут использоваться и для защиты домашних сетей из двух-трёх компьютеров, и обеспечивать безопасность предприятий малого бизнеса, обладающих 10-50 компьютерами и VPN для мобильных пользователей и удалённых офисов. Более крупные компании могут использовать сложные комплексные решения, включающие и аппаратные, и программные брандмауэры. А для более простых сценариев эффективным решением является интегрированное устройство защиты, такое как WatchGuard FireBox X.



Алексей Доля: Многие опытные системные администраторы предпочитают использовать аппаратные брандмауэры только внутри собственной сети между ее отдельными сегментами, а вход в сеть защищать программным решением типа Microsoft ISA Server. Как Вы оцениваете целесообразность такого подхода?

Ирина Зеренкова: Давайте разберёмся. Первое. Наилучшая защита обычно требуется от внешних врагов, что выдвигает требование двойной линии обороны - использование двух брандмауэров различных производителей, устанавливаемых друг за другом. Одна из распространённых комбинаций - сочетание программного и аппаратного. Это обусловлено возможными погрешностями при разработке - вероятность обнаружения идентичных брешей в брандмауэрах различных производителей близка к нулю. Учитывая распространённость ОС Windows Server, видим объективные предпосылки для использования ISA Server в качестве одной из линий обороны.
Второе. MS ISA Server устанавливается на ОС Windows Server, которая функционирует на стандартном серверном оборудовании. А это означает наличие множества потенциальных точек отказа, прежде всего, в самом оборудовании, а также необходимость регулярного обновления ОС и ISA Server. Конечно же, можно использовать и отказоустойчивые кластеры, и массивы, и балансировку нагрузки, но сколько потребуется сил и средств на создание и эксплуатацию подобных конфигураций?
В то же время есть надёжное, производительное, экономически эффективное и простое решение - программно-аппаратные комплексы Firebox X, которые просты в настройке и эксплуатации и избавлены от проблем, присущим конфигурации "MS ISA Server + MS Windows Server + стандартное серверное оборудование".


Алексей Доля: Самый неприятный момент при использовании любого закрытого аппаратного решения - его обновление. Если, например, в вашем продукте обнаружится какая-нибудь уязвимость (не дай Бог, конечно, но от ошибок никто не застрахован) или злоумышленники изобретут новый способ атаки, как тогда обновлять FireBox X? Ведь разослать заплатку не удастся, так как вся программная часть зашита внутри устройства.

Ирина Зеренкова: Это, пожалуй, одно из самых распространенных заблуждений. Устройства FireBox X сочетают в себе положительные черты и оборудования, и программного обеспечения. Как аппаратное устройство его можно очень быстро установить и настроить - не требуется ни установка ОС, ни установка программы брандмауэра. А наличие программной компоненты позволяет обновлять FireBox X проще и быстрее, чем ОС компьютера. Более того, в комплект поставки этого комплекса входит подписка на самую лучшую в мире на сегодняшний день службу технической поддержки - LiveSecurity, которая позволит Вам постоянно быть в курсе всех угроз, своевременно получать предупреждающие рекомендации по их блокированию и последние обновления ПО. И это ещё не всё - FireBox X обладает интеллектуальной системой распознавания и предотвращения новых ещё неизвестных атак, которая опирается на многоуровневую архитектуру Intelligent Layered Security, обеспечивающую максимальную защиту при минимальном использовании собственных ресурсов устройства, а, следовательно, и высокую производительность.


Алексей Доля: Что собой представляет ваш продукт FireBox X? Какие функции он выполняет?

Ирина Зеренкова: WatchGuard Firebox X - первое в своём роде полностью обновляемое интегрированное устройство защиты, функционал которого формируется и расширяется в соответствии с поставленными задачами. Ориентированы Firebox X на предприятия малого и среднего бизнеса.
Firebox X выполняет функции межсетевого экрана, создания VPN для удалённых офисов и мобильных пользователей, распознавания и блокирования атак, фильтрации трафика на уровне приложений, блокирования спама и фильтрации по содержимому web-сайтов, объединенные на основе адаптируемой к угрозам многоуровневой архитектуры Intelligent Layered Security (ILS).
Семейство продуктов Firebox X представлено четырьмя моделями: X500, X700, X1000 и X2500, и модернизация любой младшей модели до любой старшей осуществляется лишь приобретением соответствующей лицензии, что обеспечивает высокую отдачу вложенных средств.



Алексей Доля: Какие технологии реализованы в FireBox X?

Ирина Зеренкова: В FireBox X реализованы технологии фильтрации трафика для множества протоколов, среди которых FTP, HTTP, H323, SMTP, др., а также технологии построения VPN-каналов. Возможно подключение дополнительных служб:

Web-Blocker - Служба фильтрации по содержимому Web-сайтов, обеспечивающая блокирование доступа к определённым доменам, сайтам и видам информации, например - блокирование загрузки графических изображений;

SpamScreen - Служба фильтрации спама, обеспечивающая его блокирование на границе Вашей сети.

Также в Firebox X реализована очень удобная система ведения статистики, просмотра событий в режиме реального времени, создания отчетов и оповещения об аномальной активности в сети. Возможность создания отказоустойчивых решений обеспечивается поддержкой двухузловых кластеров.


Алексей Доля: Контентная фильтрация (фильтрация web-потока и спама) является отдельным сегментом рынка продуктов информационной безопасности. Такие компании, как, например, Cobion (ныне подразделение ISS) и SurfControl специализируются именно на контентной фильтрации, для этого разработан целый ряд алгоритмов анализа содержимого web-страниц, а также созданы огромные базы данных URL-адресов, которые постоянно обновляются. При этом стоимость программных комплексов Cobion и SurfControl сопоставима со стоимостью всего аппаратного брандмауэра. Вы не могли бы подробнее рассказать о службах Web-Blocker и SpamScreen? Эти службы разработаны силами компании WatchGuard или лицензированы у компаний, специализирующихся только на контентной фильтрации? Нужно ли платить дополнительные деньги за подключение этих служб?

Ирина Зеренкова: Скорее следует говорить не об отдельном сегменте, а об определённом функционале, так как, выпустив из вида, казалось бы, малозначительную вещь, уже нельзя быть уверенным в безопасности информационной системы. Интегрированные устройства защиты Firebox X помогают держать всё под контролем, включая и фильтрацию контента, и блокирование спама. Службы, обеспечивающие такой функционал, обычно состоят из двух составляющих: базы данных с URL-ссылками на соответствующий контент или списком спамерских хостов и ПО, отслеживающего соответствие трафика этой базе данных.
Компания WatchGuard создала собственное аналитическое ПО и подписала соглашения с компаниями VeriSign и SurfControl об использовании их баз данных. Таким образом, Вы получаете возможность использования самых известных в мире баз данных по очень скромным ценам.


Алексей Доля: Вы не могли бы рассказать подробнее о технологиях фильтрации http- и ftp- потоков? Например, разработчики CheckPoint Firewall гордятся тем, что в свое время (1994 г.) изобрели технологию динамической фильтрации (Stateful Inspection), ставшую стандартом в отрасли, а примерно год назад разработали новую технологию Application Intelligence, позволяющую защитить самые верхние уровни модели ISO/OSI. Есть ли какие-нибудь эксклюзивные технологии для анализа трафика у WatchGuard? Ведь именно эффективная фильтрация трафика является главной задачей любого брандмауэра!

Ирина Зеренкова: Компания WatchGuard занимается исключительно разработкой программно-аппаратных комплексов для обеспечения защиты сетей. Хочу заметить, что в 1997 году WatchGuard первая в мире осознала необходимость выпуска именно аппаратных брандмауэров и выпустила специализированное оборудование для защиты сети WG FireBox System. Вы абсолютно правы - любой межсетевой экран обязан обеспечивать эффективную фильтрацию трафика. Для успешного выполнения этой задачи WatchGuard ещё пять лет назад (1999 год) разработала технологию Proxy-фильтрации, которую сегодня многие производители представляют как "deep packet inspection" или "Application Intelligence". Кроме этой технологии, WatchGuard изобрела и многоуровневую архитектуру Intelligent Layered Security, благодаря которой для каждого конкретного вида атак используется определённый вид защиты, требующий привлечения не всех, а только необходимых для этого ресурсов. Даже при больших нагрузках, производительность Firebox X остаётся на требуемом уровне.
Наше оборудование для фильтрации трафика использует как технологию Proxy-фильтрации, так и пакетную фильтрацию, или как её ещё называют, фильтрацию трафика с запоминанием состояния. Возможности FireBox X позволяют администраторам определять, какие технологии фильтрации использовать для каждого конкретного пакета. Proxy-фильтрация, применяемая FireBox X, кроме контроля данных, передаваемых в IP-пакетах, осуществляет контроль и самой сессии, тем самым обеспечивая защиту от flood-атак. Так что нам и нашим пользователям, по праву есть, чем гордиться!


Алексей Доля: Чем Ваше решение отличается от конкурентных аналогов?

Ирина Зеренкова: Принципиальных отличий три. Во-первых, FireBox X - первое на рынке устройство интегрированной защиты, включающее множество функций обеспечения безопасности. Это решение позволяет предприятиям малого и среднего бизнеса обеспечить комплексную защиту своих ИТ-инфраструктур, использовав только одно устройство, и, соответственно, избежать немалых расходов на интеграцию и эксплуатацию нескольких различных средств защиты.


Во-вторых, FireBox X созданы на многоуровневой архитектуре Intelligent Layered Security (ILS), каждый уровень которой обеспечивает защиту от угрозы конкретного вида. Эта уникальная разработка компании WatchGuard обеспечивает высокую производительность при использовании всех или нескольких уровней защиты. Firebox X, используя архитектуру ILS, способен в режиме реального времени противостоять известным угрозам, и наращивать уровни защиты в соответствии с появляющимися новыми угрозами.


В-третьих, пользователи получили возможность наращивания функционала Firebox X в соответствии с ростом их информационных систем и требований к средствам защиты. Младшие модели Firebox X могут быть модернизированы до любой старшей модели лишь за счёт приобретения лицензии на программное обеспечение. Таким образом, отпадает необходимость покупки нового оборудования.


Алексей Доля: Вы не могли бы подробнее рассказать о модернизации FireBox X? Получается, что FireBox X500 и FireBox X2500 функционально ничем не отличаются, а единственное различие состоит в том, что в версии Х500 зашито ограничение на количество обслуживаемых машин, которое можно снять (заплатив деньги) и тем самым превратить Х500, например, в Х2500?

Ирина Зеренкова: Рассмотрим общую ситуацию: заказчик выбирает устройство защиты. Основные требования, которые будут стоять - это достаточность возможностей при разумных затратах, включающих покупку, установку, настройку, эксплуатацию и, если возможно, модернизацию. Другими словами, заказчик приобретает отвечающее его текущим требованиям решение за определённые деньги, возможно с учётом перспективы. Семейство продуктов Firebox X позволяет подобрать нужную ему модель. При позитивном сценарии, то есть в случае развития бизнеса, заказчику понадобится со временем устройство защиты с более высокими характеристиками. И за него он будет готов заплатить больше. Это разумно. Но зачем же всё переделывать, то есть опять выбирать, внедрять и так далее? Можно лишь модернизировать имеющееся и знакомое оборудование. Для изменения рабочих характеристик достаточно купить лицензию. И это сэкономит Вам не только деньги, но и время.
Кстати, ограничения, внесённые в Firebox X, относятся не к количеству защищаемых компьютеров, а к пропускной способности устройства. Например, пропускная способность Firebox X500 составляет 100 Мбит/сек, а X2500 - 275 Мбит/сек. Есть и другие отличия. Так, лицензии на создание VPN типа "шлюз-шлюз" и централизованное управление несколькими устройствами включены в модели X700 и старше. Приведённая ниже схема отображает возможности модернизации всех моделей Firebox X, обладающей наименьшей среди конкурентов Совокупной Стоимостью Владения (ССВ).



Алексей Доля: В каких случаях целесообразно применять FireBox X?

Ирина Зеренкова: Во всех случаях, когда есть необходимость в высокоэффективных средствах защиты сетей. Как уже говорилось, семейство продуктов FireBox X ориентировано на решение задач обеспечения защиты сетей предприятий малого и среднего бизнеса. Каждая модель FireBox X решает задачи, стоящие сегодня перед организациями, а также позволяет наращивать функционал и мощность в соответствии с требованиями завтрашнего дня.

Самая младшая модель - Firebox X500 - предназначена для предприятий малого бизнеса с территориально-распределённой или локальной сетью примерно из 20-100 компьютеров, которым необходимо решение по обеспечению безопасности, не требующее существенных затрат на его установку и эксплуатацию.
Задачи предприятий малого бизнеса с сетью примерно из 50-150 компьютеров, которым требуются возможности построения VPN для удаленных пользователей/филиалов и управления несколькими устройствами для удаленных сотрудников, успешно решает Firebox X700.
Защиту сетей на предприятиях среднего бизнеса обеспечивают модели Firebox X1000 и Firebox X2500. Firebox X1000 ориентирован на компании с территориально-распределённой сетью примерно из 100-500 компьютеров, которым требуются возможности построения VPN для удаленных пользователей и централизованного управления несколькими устройствами в удалённых офисах. Модель Firebox X2500 обеспечивает надёжную защиту предприятий с территориально-распределённой сетью из 250-1000 компьютеров, которым требуется централизованное управление безопасностью с одного устройства, интегрирующего множество функций защиты.


Алексей Доля: Самый главный довод продавца программных брандмауэров, когда его просят сравнить свой продукт с аппаратным межсетевым экраном, это цена. Действительно, сложно спорить, ведь цена программных решений часто значительно ниже их аппаратных собратьев (для сравнения: Mandrake Multiple Network Firewall со всеми доступными опциями стоит $550, что примерно в 6 раз меньше самой младшей модели FireBox X500). При этом зачастую программные брандмауэры обладают большей гибкостью (помимо контентной фильтрации, защиты от вирусов и спама, системы обнаружения вторжений они позволяют развернуть proxy-сервер) и легкостью обновлений (быстро создаются, распространяются и внедряются заплатки). Однако главный козырь аппаратных решений - скорость. За это часто стоит заплатить лишние деньги. Насколько производителен FireBox X? Надолго ли он задерживает трафик? На ваш взгляд эта производительность стоит тех денег, которые за нее просят?

Ирина Зеренкова: Было бы забавно ответить Вам "нет" на последний вопрос, но это не будет соответствовать действительности. Судите сами:

пропускная способность находится в диапазоне от 100 Мбит/сек (Firebox X 500, младшая модель), до 275 Мбит/сек (Firebox X2500, старшая);
количество пользователей неограниченно;
многоуровневая архитектура ILS обеспечивает практически прозрачное прохождение разрешённого трафика.

Впечатляет? А ведь это далеко не всё:

имеющийся функционал очень широк (и расширяем);
подключение, настройка и эксплуатация предельно просты;
обеспечивается управление сразу несколькими устройствами при помощи ПО с удобным интуитивно понятным интерфейсом;
уровень защиты, обеспечиваемый устройствами Firebox X, сравним с тем, что могут предложить конкурирующие изделия стоимостью на несколько порядков выше.

А если вернуться к упомянутому Вами ценовому диапазону, мы можем предложить продукты других линеек, например, SOHO стоимостью $650. И это тоже надёжные и устойчивые (в отличие от программных) аппаратные средства защиты.


Алексей Доля: Легко ли настраивать FireBox X?

Ирина Зеренкова: Да, потому что системный диспетчер WatchGuard System Manager предоставляет мощные и удобные инструменты управления, которые скорее помогают, а не сбивают с толку. Он объединяет все аспекты управления и отчётности Firebox X в едином интуитивно понятном интерфейсе, что позволяет постоянно быть в курсе того, что происходит.
WatchGuard System Manager позволяет получать графическое представление Вашей сети, что помогает без труда настраивать основные политики безопасности с помощью интуитивно понятного интерфейса и централизованного управления. Вы сохраните время, управляя удалёнными пользователями и филиалами, так как с помощью операций "drag-and-drop" на создание VPN будут потрачены не часы, а секунды. Минимальными усилиями можно создать отчёты, которые помогут определить уровень предоставляемой защиты.


Алексей Доля: Сколько стоит данное решение и где его можно купить в России?

Ирина Зеренкова: Компания WatchGuard, обеспечивая высокое качество и надёжность работы своей продукции, предоставляет на рынке конкурентоспособные цены. На территории России и стран СНГ поставками Firebox X занимается компания Rainbow Technologies, являющаяся официальным дистрибьютором WatchGuard. Цена модели, безусловно, зависит от её характеристик. Например, рекомендованная розничная цена Firebox X 500 - младшей модели линейки - составляет 3250 у.е. (1 у.е= $1 США по курсу ЦБ на день оплаты).
WatchGuard выпускает решения и более низкого ценового уровня, предназначенные для защиты сетей, состоящих из 10-20 компьютеров.
Нашей компанией совместно с WatchGuard проводятся различные маркетинговые программы, акции и мероприятия, во время которых можно воспользоваться скидкой, бесплатной поставкой дополнительных служб. Участвуя в специальных "trade-up" и "trade-in" программах, клиенты могут обменять со скидкой устаревшие модели оборудования на новые - "trade-up" или же заменить, также со скидкой, имеющееся оборудование конкурирующих торговых марок на устройства компании WatchGuard.
Продажи осуществляют более 30 партнёров, среди которых Компьюлинк, Discom NT, ICS Новые системы, Комита (Санкт-Петербург), Инфотекс Интернет Траст, Интермаст (Екатеринбург), Рускард, Эримэкс (Новосибирск), ICP (Украина), НУРОН (Узбекистан) и многие другие.


Алексей Доля: Какую техническую поддержку вы оказываете клиентам, купившим FireBox X?

Ирина Зеренкова: Клиенты получают техническую поддержку производителя через службу LiveSecurity, которая включает:

техническую поддержку в режиме реального времени,
поддержку ПО и его обновление,
замену старого оборудования на новое,
обучение и консультирование,
уведомления LiveSecurity Broadcasts - оперативное оповещение об угрозах и методах борьбы с ними.

Все продукты линейки Firebox X обеспечены 90-дневной подпиской на службу LiveSecurity. Гарантийный срок на оборудование - 1 год с возможностью продления до 4 лет. Техническая поддержка специалистами Rainbow Technologies включает также:

Бесплатное обучение работе с устройством
Бесплатные телефонные консультации и по электронной почте по возникающим вопросам
В экстренных случаях - выезд специалистов Rainbow Technologies к клиенту
Установка и настройка оборудования, а также выезды к клиенту на договорных условиях

Алексей Доля: Спасибо, что уделили нам время и ответили на все наши вопросы. Успехов Вам и Вашим продуктам!