Защита периметра с Juniper Networks

Корпоративный ИТ-сектор требует качественного подхода к организации сетевой инфраструктуры. Уже прошли те времена, когда приобретенные в первой попавшейся фирме концентраторы и собранные на коленках файрволы удовлетворяли всех своей функциональностью и производительностью. Теперь ИТ-инфраструктура строится на базе продуктов известных производителей, тщательно выбираются как поставщики, так и закупаемые модели – в наши неспокойные времена топ-менеджмент компании должен быть уверен, что надежность и отказоустойчивость сети должны быть на очень хорошем уровне. Ведь все простои – это убытки, недополученная прибыль и снижение финансовых показателей. Также многие компании стали задумываться о защите своих сетей, ведь именно через внешние шлюзы, как правило, происходят все попытки взлома и кражи информации. А это зачастую может принести не меньшие убытки, чем возможные простои в результате отказа того или иного узла внутренней ИТ-инфраструктуры. Помочь в заказчикам в правильном выборе сетевого оборудования решила компания «Кредиткард», которая совместно с московским дистрибьютором Netwell провела 15 апреля в бизнес-центре «КМ» семинар, посвященный продукции Juniper Networks. Продукция Juniper Networks не слишком известна ростовчанам, но на мировом рынке компания занимает второе место в производстве маршрутизаторов (на вершине в настоящее время находится Cisco Systems). С апреля 2004 года стала производителем систем и средств сетевой безопасности (линейка NetScreen). Вроде немного времени прошло, но в аналитическом отчете Gartner «Магический квадрат рынка межсетевых экранов 2004 года» Juniper Networks была занесена в сектор «Лидеры». Это подтверждается и имеющейся информацией о положении компании на рынке — как рассказал представитель компании NetWell Павел Ковалев, — во втором квартале 2004 года доля Juniper Networks составила 36,9%. В своих продуктах Juniper Networks не остановилась на обработке каких-то узконаправленных задач. Даже самая недорогая модель NetScreen стоит чуть дешевле $1000, но зато устройство несет в себе функции файрвола, концентратора виртуальных частных сетей VPN, маршрутизатора и средства управления трафиком. Данное совмещение не влечет за собой никаких ограничений по производительности. Такое решение становится возможным благодаря тому, что основные функции по применению правил (то есть собственно функции межсетевого экрана), шифрации, дешифрации и компрессии (наиболее ресурсоемкие процедуры при реализации технологии IpSec) во всех продуктах NetScreen реализуются аппаратно на базе высокоскоростных заказных микросхем (ASIC). На всех устройствах используется единая операционная система реального времени ScreenOS разработки компании Juniper Networks, и на ее основе реализуются основные функции межсетевого экрана/VPN-концентратора NetScreen. Некоторые модели имеют встроенную антивирусную проверку. Таким образом, если к вам приходит зараженное письмо электронной почты, то система его не пропускает, а отбрасывает, одновременно посылая уведомление отправителю о наличии в теле послания вируса. Использование данного продукта будет очень эффективным решением для небольших сетей. Одновременно сканируется до 16 пользовательских сессий (всего в буфере их 256). Обновление баз производится в режиме онлайн. Более интересна линейка продуктов NetScreeen-IDP. Она включает четыре одинаковые по функциональности модели, различающиеся величиной пропускной способности и ассортиментом интерфейсов. NetScreen-IDP включается непосредственно в линию связи и может работать в режиме моста (без IP-адресов на интерфейсах) и маршрутизатора. Устройство может быть использовано и в качестве пассивного детектора атак (сниффера). Для организации отказоустойчивых структур и распределения нагрузки до 16 устройств могут быть объединены в кластер. Особенностью решения NetScreen является использование комплексного метода обнаружения вторжений на 2-7 уровнях модели OSI (включающего анализ поведения протоколов, характера трафика, обнаружение предопределенных последовательностей, распознавание атак типа backdoor, IP spoof, Syn-flood и др.), точность реализации которого позволяет осуществляеть немедленное прекращение атак в реальном времени. Комплексный метод включает в себя ряд технологий обнаружения атак, основными из которых являются обнаружение предопределенных последовательностей, анализ поведения протоколов, backdoor detection (получение несанкционированного доступа к определенным ресурсам в сети) и network honeypot (при попытке сканирования портов межсетевой экран откликается от имени несуществующего в действительности сервиса). Все продукты NetScreen имеют хорошо продуманный и удобный интерфейс командной строки (CLI), а также развитый графический веб-интерфейс (WebUI). С помощью этих встроенных средств управления на отдельном устройстве могут быть решены основные задачи по поддержке узла защиты. Но если в сети аппаратов NetScreen много, и они завязаны в иерархическую структуру, имеет смысл организовать централизованное управление путем использования программных продуктов NetScreen Security Manager и IDP Management Software. Обе системы предоставляют исчерпывающий ассортимент возможностей по формированию политики безопасности и последующего ее приложения к сети в целом, а также других задач автоматизированного конфигурирования, управления, инвентаризации оборудования и ПО, анализа событий и отчетности. Помимо информации по линейкам NetScreen и NetScreen IDP, участники семинара узнали про маршрутизаторы Juniper. В настоящее время выпускаются две линейки: устройства доступа для сетей небольших и средних предприятий (J-серия) и магистральные устройства (M-серия). Главным компонентом является единая для всех моделей линеек операционная система Junos на основе ядра UNIX FreeBSD, обеспечивающая поддержку всех необходимых в современных сетях технологий коммутации и маршрутизации, задания и приложения правил обслуживания и учета трафика, а также задание и реализацию политики безопасности. Истинная модульность, означающая организацию операционной системы в виде ряда независимых задач (модулей), функционирующих в защищенных областях памяти, позволяет осуществлять запуск и остановку программного модуля без риска для остальных компонентов системы. Благодаря этому обновление операционной системы, добавление новой функциональности в текущую версию ОС может быть осуществлено в режиме непрерывной эксплуатации. Решения Juniper Networks заинтересовали ростовских корпоративщиков. Ведь уже давно известно: лучше один раз позаботиться о защите и функциональности своей сети, чем потом ломать голову – как же избавиться от возникших проблем. И в этом аспекте применение железных устройств куда лучше, чем всевозможные программные средства на базе PC. Виктор Сергеев
Весь номер

Новости партнеров: