18 ISSN 1813-1166. Вісник НАУ. 2006. №2

УДК 004.056.5 (076.5) Б.Я. Корнієнко, канд. техн. наук О.К. Юдін, канд. техн. наук Л.П. Галата АНАЛІЗ ТЕХНОЛОГІЙ МІЖМЕРЕЖНИХ ЕКРАНІВ НАУ, кафедра комп’ютеризованих систем захисту інформації Е-mail: [email protected] Для дослідження властивостей і забезпечення захисту інформації в телекомунікаційних мережах та інформаційних системах проведено порівняльний аналіз технологій міжмережних екранів. Розглянуто три технології міжмережних екранів: на основі загальнодоступних безкоштовних джерел програмного забезпечення, комерційне програмне вирішення, апаратно-програмне вирішення. Результати досліджень подано в таблицях. With the purpose of research of properties and maintenance of protection of the information in telecommunication systems and information systems is lead the comparative analysis of technologies of firewalls. Three basictechnologies of firewalls are considered: on the basis of popular free-of-charge sources of program maintenance, commercial program decisions and hardware-software decisions. Results of researches are presented in tables and conclusions. Постановка проблеми – протокол SOCKS; – сервер ; Високу актуальність у разі підключення будь- – пакет Drawbridge. якої закритої комп’ютерної мережі до відкритих Пакет TCP Wrappers застосовується для керуван- мереж, наприклад, до мережі Internet набувають ня доступом до стандартних служб TCP і UDP, загрози несанкціонованого вторгнення в закриту що запускаються на вузлі мережі або мережу з відкритої, а також загрози несанкціоно- міжмережному екрані. Хоча домен пакета TCP ваного доступу з закритої мережі до ресурсів Wrappers нездатний цілком задовольнити потре- відкритої. Тому проблема захисту від несанкціо- би в захисті мережі, він виявляється корисним, нованих дій при взаємодії з зовнішніми мережа- особливо завдяки наданим їм можливостям ау- ми успішно може бути вирішена за допомогою дита. спеціалізованих програмно-апаратних комплек- Пакет FWTK – це набір компонентів, що сів, що забезпечують цілісний захист комп’ю- застосовується для створення міжмережного ек- терної мережі від ворожого довкілля. Такі ком- рана на комп’ютері з укріпленою системою плекси називають міжмережними екранами. UNIX, який розташований на межі мережі. Мета дослідження – порівняльний аналіз Пакет FWTK дозволяє сформувати міжмережний технологій міжмережних екранів для забезпе- екран, що забезпечує роботу всіх стандартних чення захисту інформації в телекомунікаційних мережних служб. мережах та інформаційних системах. Крім того, proxy-сервер plug-gw полегшує Існує три варіанти створення брандмауерів: взаємодію через міжмережний екран клієнтських – на основі загальнодоступних ("ореn source") і серверних додатків, для яких не існує стандарт- безкоштовних джерел програмного забезпечення; ного proxy-сервера. – комерційне програмне вирішення; Протокол SOCKS призначений для встановлення – апаратно-програмне вирішення. з’єднань через міжмережний екран. Загальнодоступне програмне забезпечення Протокол SOCKS дозволяє вузлам, розташова- для створення брандмауерів ним по різні бокі сервера SOCKS, взаємодіяти Серед існуючих загальнодоступних брандмауе- один з одним, забезпечує аутентифікацію і рів завжди можна знайти такі рішення, які задо- блокує передачу IP-пакетів між ними. вольняли б вимоги щодо рівня безпеки, були від- Сервер SQUID – proxy-сервер, що функціонує на криті для постійних доробок і розвитку та мали б платформі UNIX застосовується або як окремий надійну підтримку [1]. сервер, або в складі ієрархії інших серверів Серед загальнодоступного програмного забезпе- SQUID. чення можна назвати такі продукти: Пакет Drawbridge – продуктивний пакетний – пакет ТСР Wrappers; фільтр, спочатку написаний для платформи DOS, – пакет Trusted Information Systems Internet Fire- а потім працюючий під FreeBSD. wall Toolkit (FWTK); ISSN 1813-1166. Вісник НАУ. 2006. №2 19

Пакет Drawbridge містить три основні компо- захищеності й одночасно відрізняється ненти [2]: підвищеною швидкодією. – механізм фільтрації; Symantec Enterprise (раніше Raptor – компілятор фільтрів; Firewall) може бути використаний для подов- – менеджер фільтрів. ження периметра корпоративної мережі за раху- У разі програмного вирішення пропонований нок економічного й безпечного підключення виробником продукт цілком складається з про- віддалених філій і дистанційних користувачів, грамного забезпечення. Щоб проаналізувати що досягається в результаті повної інтеграції з ситуацію в сфері програмного забезпечення окремим стандартним продуктом Symantec брандмауерів, наведемо порівняльний огляд дея- Enterprise VPN (раніше відомим як POWERVPN) ких продуктів. і персональним міжмережним екраном. McAFEE Desktop Firewall 7.5 + EPO Продукт підтримує широкий спектр способів перевірки достовірності (в т.ч. Radius, цифрові Компанія Network Associates запропонувала по- сертифікати, LDAP, перевірку достовірності тужне рішення, що складається з персонального користувачів домена Windows NT). Symantec En- брандмауера McAfee Desktop Firewall і єдиного terprise Firewall призначений для платформ Win- центру керування ePolicy Orchestrator, яке dows NT, Windows 2000 і Solaris. дозволяє адміністраторам безпеки автоматично Адміністратор має можливість із центральної роз-гортати і централізовано керувати цілими консолі задавати правила безпеки для локальних мережами з персональних брандмауерів, уста- і віддалених мережних екранів, а також одержу- новлених на робочих станціях на основі груп вати різні звіти про керування системою і журнали, політик безпеки. Перший запуск персонального які реєструють події, пов’язані з її безпекою. брандмауера відбувається в режимі «навчання», коли будь-який запит на з’єднання з Інтернет FireWall-1 будь-якого додатка на робочій станції блокується Комплекс модулів, що складають ядро будь-якої до моменту дозволу такого з’єднання користува- системи безпеки на продуктах CheckPoint, крім чем. Існує механізм оповіщення про напад функцій міжмережного екрана на основі (Мсаfее's Alert Manager), що дозволяє передавати запатентованої технології Stateful Inspection, таку інформацію з використанням широкомов- підтримує аутентифікацію користувачів, них пакетів, протоколу SNMP, пейджерів або трансляцію адрес, контроль доступу за змістом електронних листів. Програмне забезпечення та аудит, містить систему централізованого ке- Orchestrator керує всією системою. рування на основі правил політики, що може ке- Агенти передають на Orchestrator значний обсяг рувати роботою модулів FireWall-1 і продуктів інформації про свою діяльність, що дозволяє одер- VPN-1, FloodGate-1. жувати вичерпну інформацію про VPN-1 – набір продуктів для організації вір- функціонування всієї системи безпеки цілком туальних приватних мереж як з боку центральної або кожного персонального брандмауера окремо. мережі, так і з боку віддалених користувачів. Zone Labs Integrity 1.5 RealSecure – засоби виявлення вторгнень у реальному часі. Експертна база атак становить У системі безпеки Integrity використовується більш 160 зразків. технологія «stateful» інспекції пакетів. Агент Засоби керування якістю обслуговування Integrity, установлений на кожній робочій FloodGate забезпечують гнучкий розподіл смуги станції, одержує політики безпеки від централь- пропущення для різних класів трафіка, а також ного сервера системи. Система Integrity для окремих з’єднань. ідентифікації користувачів використовує Система керування інфраструктурою IP-адреса ідентифікацію домена Windows і дозволяє підприємства MetaIP інтегрує служби DHCP, імпортувати користувачів і групи користувачів. DNS і аутентифікації, доповнюючи їхнім влас- Утиліта Policy Studio використовується для того, ним сервісом UAM відображення імен користу- щоб визначити правила (політики) безпеки та вачів на IP-адреси. ґрунтується на рівнях і зонах захисту при доступі до різних мереж. Основна особливість системи – BorderManager Enterprise Edition безперервність захисту. BorderManager створює міжмережний екран (продукт фірми ), що захищає важливу Symantec Enterprise Firewall 6.5 інформацію як від атак із середини, так і ззовні Завдяки унікальній гібридній архітектурі міжме- мережі організації. режний екран забезпечує високий ступінь 20 ISSN 1813-1166. Вісник НАУ. 2006. №2

За допомогою BorderManager можна організу- Продукт Black Hole підтримує VPN, включаючи вати віртуальні приватні мережі та захищений автоматичне розповсюдження цифрових віддалений доступ до мережі. сертифікатів. Важливою перевагою BorderManager є можли- CyberGuard Firewall 3.0 вість керування більшістю його підсистем через Брандмауер CyberGuard Firewall відрізняється службу каталогів NDS у мережах: потужним набором засобів і надійним захистом. – NetWare; Цей пакет пропонує розширені можливості на- – Windows NT; строювання конфігурації і фільтрації додатків і – UNIX. працює в «посиленій» версії SCO UnixWare. Міжмережний екран BorderManager підтримує Унікальним засобом цього продукту є MVSE різні режими фільтрації пакетів на мережному (Multiple Virtual Secure Environment), яке рівні. дозволяє реалізувати в одній фізичній мережі За допомогою шлюзів сеансового рівня (IPX/IP і декілька захищених каналів. IP/IP) контролюється міжмережний доступ на CyberGuard реалізує комбінацію методів фільт- рівні користувачів, груп користувачів, NDS, рації. Для моніторингу ви-хідного трафіку IP/IPX-адрес комп’ютерів, підтримується широ- CyberGuard застосовують фільтр пакетів, який кий спектр посередників додатків, що забезпе- перевіряє коректність протоколів, фільтри чують контроль доступу на рівні прикладних додатків, які містять функції шлюзу каналів, за- сервісів: безпечуючи пропускання через брандмауер – HTTP разом з HTTPS і SSL; тільки потрібних запитів. – FTP; Наявність файлів повідомлень і журналів – одна – SMTP/POP3; з переваг CyberGuard. CyberGuard підтримує – DNS; VPN, включаючи автоматичне розповсюдження – SOCKS 4; цифрових сертифікатів. – SOCKS 5. Захищений канал шифрується за допомогою ал- BorderManager Enterprise Edition складається зі горитму DES з 56-розрядним ключем або патен- служб: тованого алго-ритму під назвою Atlas. – брандмауера (BorderManager Firewall Services); – аутентифікації (BorderManager Authentication Tiny Services); Програмний продукт Tiny Personal Firewall – віртуальних приватних мереж (BorderManager (TPF), призначений для захисту від атак типу VPN Services). “троян” за допомогою функції аутентифікації Black Hole 3.0 додатків відповідно до протоколу MD5, реалізує Black Hole – повномасштабний шлюз-посеред- три рівні безпеки: ник, що взаємодіє зі всіма популярними додат- – Don’t bother me; ками Internet, включаючи такі засоби обробки – Ask me first; захищених транзакцій, як SNews і HTTPS. – Cut me off. Black Hole здійснює підтримку мереж VPN, по- Вікно Advanced Firewall Configuration надає дос- силеного ядра Unix BSD (Berkeley Software Dis- туп до всіх правил, а також можливість створю- tribution) та екранування адрес URL. Крім того, вати власні. цей брандмауер підтримує такі потокові У Tiny Personal Firewall існують функції фільт- мультимедіа-додатки, як RealAudio і VDOLive, рації веб-трафіку та електронної пошти, ведення містить узагальнені уповноважені посередники звітів, а також реалізована підтримка віртуаль- TCP і UDP, що дозволяють визначати доступ для них приватних мереж VPN. нових додатків і он-лайнових служб, а також за- Вхідний трафік контролює наявність вірусів. соби протоколювання й аудиту. Black Hole – повністю двонапрямлений бранд- мауер, який виконує аутентифікацію як вхідного, До складу одного з лідерів програмних міжме- так і вихідного трафіку. режних екранів Norton Internet Security (NIS) на- Для захисту адресації в мережі цей продукт лежать , Norton AntiVirus, працює з роздільними системами DNS і NAT. модуль Parental Control для блокування доступу Black Hole використовує для локального до заборонених веб-вузлів і модуль захисту кон- адміністрування брандмауера систему X фіденційності Privacy Control. Window. Цей досить «інтелектуальний» брандмауер здатний розпізнати найбільш поширені програми ISSN 1813-1166. Вісник НАУ. 2006. №2 21

й автоматично конфігурувати правила доступу Вирішення «під ключ» пропонує брандмауер – до них. систему, що складається з програмного забезпе- чення та апаратного обладнання. Розвинені функції захисту від шкідливих Java- і Апаратні брандмауери мають одну істотну пере- ActiveX-додатків NIS дозволяють забезпечити вагу перед програмними – вони утворюють анонімний веб-серфінг шляхом блокування повний комплекс (програмне забезпечення й cookies і http-ref. Для кожного модуля (антивіру- апаратну платформу, оптимізовану для са, брандмауера, модуля захисту конфіденційно- вирішення задачі міжмережного екранування), сті та батьківського контролю) можна вибрати що дозволяє здійснювати захист на високому один з чотирьох режимів: рівні. –Automatic; Cisco PIX 520 – Permit all; Перше підключення до спеціалізованого при- – Block all; строю відбувається за допомогою утиліти – май- – Custom. стра конфігурації, за допомогою якого призна- Black Ice Defender чаються IP-адреси інтерфейсів, трансляція ме- Black Ice Defender забезпечує додатковий рівень режних адрес (NAT), Web і mail сервера. Від ви- захисту, надаючи користувачам докладні відо- робника брандмауер у базовій конфігурації мості про спроби несанкціонованого доступу до поставляється з двома мережними інтерфейсами персонального комп’ютера (ПК) або мережі. типу Fast Ethernet, однак ця конфігурація може Black Ice Defender виявляє підозрілі дії після то- бути змінена шляхом інсталяції додаткових dual- го, як дані пройшли через брандмауер. Для цього port NICs або VPN акселератора, які можна програма відстежує характер операцій обміну придбати окремо. інформацією. Black Ice Defender має в своєму Адміністратор задає імена двом інтерфейсам. За розпорядженні базу даних, що містить сигнатури замовчуванням це «inside» і «outside». Отже, і шаблони відомих хакерських прийомів. У разі реалізується класична схема міжмережного за- виникнення підозр зв’язок між ПК і небезпечною хисту. Правила фільтрації ґрунтуються на аналізі IP-адресою блокується. трафіка між цими двома інтерфейсами. Додатко- Black Ice Defender дозволяє ідентифікувати ко- во до функцій міжмережного екрана PIX 520 та- ристувачів, що намагаються встановити зв’язок кож може здійснювати URL-фільтрацію і вияв- із ПК і визначити їх наміри. Якщо хакер спробує лення атак (Intrusion Detection). Висока «обстежити» ПК, то Black Ice Defender виявить продуктивність фільтрації дозволяє використо- пошукові операції, блокує доступ до ПК з вувати брандмауер на рівні підприємства [3]. IP-адреси хакера і сповістить користувача. WatchGuard FireBox 4500 Agnitum Outpost Firewall Pro Потужний брандмауер WatchGuard FireBox 4500 Програмний продукт Agnitum Outpost Firewall Pro3 компанії WatchGuard на базі комп’ютера AMD призначений для захисту від шкідливих програм та працює під керуванням ПЗ WatchGuard. Бранд- атак з Інтернет, фільтрує увесь вхідний та вихідний мауер має три мережних інтерфейси Fast Ethernet трафік, захищає від несанкціонованих дій зловмис- – внутрішню, зовнішню і демілітаризовану зони. ників. Переваги Outpost Firewall Pro такі: Перший запуск після інсталяції програмного за- – модуль «Anti-» захищає від програм- безпечення починається з виконання майстра шпигунів та крадіжки персональних даних; конфігурації брандмауера, що повідомляє – монітор «Мережна активність» забезпечує міжмережному екранові первинну конфігурацію. постійний контроль за активністю системи; Після виконання майстра конфігурації – модуль «Інтерактивні елементи» забезпечує адміністратор одержує доступ до консолі керу- конфіденційність при роботі в мережі; вання – контролюється взаємодія додатків; брандмауером. – аналізуються можливі загрози. Консоль керування має два різні компонента: Отже, сучасний програмний міжмережний екран – – моніторинг стану; це складна модульна система, що здебільшого не – конфігурацію. може бути надійно налаштована тільки за допо- Компонент конфігурації – це програмне забезпе- могою типових програм – «майстрів». Тому чення, на якому безпосередньо здійснюється на- сумарні витрати на її розгортання будуть склада- строювання правил фільтрації. Ряд сервісів має тися з вартості комплекту модулів і робіт зі вста- додаткові критерії фільтрації. Наприклад, сервіс новлення і настроювання. HTTP дозволяє використовувати URL-фільт- 22 ISSN 1813-1166. Вісник НАУ. 2006. №2

рацію, а також блокувати потенційно небезпеч- Крім функцій брандмауера є додаткові засоби ний вміст. фільтрації, антивірусний сканер. На додаток до Firebox 4500 забезпечує трансляцію мережних stateful-фільтрації брандмауер має сервер адрес (NAT) для приховання топології аутентифікації користувачів і функцію внутрішньої мережі. трансляції мережних адрес (NAT). Додатковий захист забезпечується за рахунок Для цієї моделі брандмауера максимально мож- використання VPN, що у цій моделі має апарат- ливо 30720 одночасних сесій. ний криптоприскорювач. Продуктивність бранд- SonicWall може обробити до 1000 сесій за 1 с, мауера значна. Збільшення навантаження ніяк не але це викликає уповільнення швидкодії. позначається на швидкості обробки трафіка. Отже, апаратні брандмауери – це готовий Тільки, починаючи з 10 000 сесій за 1 с, заванта- апаратно-програмний комплекс, в якому всі ком- ження процесора стає помітним. Максимальне поненти вже встановлені і по можливості завантаження приладу досягається на рівні налаштовані. Такі брандмауери поставляються з 65 000 сесій за 1 с. вбудованим програмним забезпеченням і Symantec VelociRaptor 1100 прив’язані до апаратної платформи, що спрощує їхнє встановлення і настроювання порівняно з Після придбання компанії Axent Тесhnоlоgіеs суто програмними вирішеннями. Symantec змінив зовнішній вигляд брандмауера. Це вирішення найкраще підходить для тих Програмне забезпечення брандмауера має дві організацій, яким потрібно кілька брандмауерів, версії: з алгоритмом DES і 3DES. керованих з одного центрального пункту. Після інсталяції адміністраторові стає доступною Для досліджень міжмережні екрани були досить зручна консоль керування. Майстер розділені на дві групи: первісного настроювання дозволяє призначити – міжмережні екрани для робочих станцій та не- правила фільтрації для Web і e-mail, а також всі великих локальних мереж; основні параметри мережі. – міжмережні екрани для корпоративних мереж. Адреси внутрішньої мережі автоматично транс- За результатами досліджень була дана люються на публічну адресу брандмауера. інтегральна оцінка за наявності функціональних Кожен мережний інтерфейс має засоби визна- властивостей кожного міжмережного екрану. чення атак типу Syn flooding, IP spoofing і скану- Хоча безпека доступу до Internet вважається вання портів. однією з головних проблем, через які багато SonicWall Pro 300 компаній побоюються розширювати свою Модель Pro 300 компанії SonicWall – це бранд- наявність у мережі, вже доступні досить недорогі мауер масштабу підприємства. Усі міжмережні та дієві інструменти забезпечення захисту, нако- екрани SonicWall будуються на базі спеціального пичений великий досвід їхнього ефективного процесора CyberSentry Security Processor, що використання. Під час вибору міжмережного екра- забезпечує апаратне прискорення для на для організації важливо пам’ятати, що будь-яка віртуальних приватних мереж. Прилад має три версія такої системи вимагає постійної професійної порти Fast Ethernet, що «жорстко» вбудовані в уваги. конфігурацію Lan, Wan, DMZ. Pro 300 через Порівняльні характеристики міжмережних свою конфігурацію має єдине місце застосування екранів наведено у табл. 1, 2, 3. – шлюз на межі локальної і глобальної мереж. Пакет програм Global Management System (GMS) використовується для дистанційного керування будь-яким брандмауером SonicWall. Таблиця 1 Інтегральна оцінка функціональних властивостей міжмережних екранів (за п’ятибальною шкалою) McAfee Tiny Personal Agnitum Zone Alarm Black Ice Norton Internet Критерій оцінок Desktop Fire- Firewall Outpost Pro 4.0 Defender 3.6 Security 2005 wall 7.5 6.5.110 Firewall 2.1 Інсталяція 4 5 5 5 4 4 Простота застосування 3 4 4 4 3 5 Адаптованість 5 4 3 4 4 5 ISSN 1813-1166. Вісник НАУ. 2006. №2 23

Функції брандмауера 3 5 4 5 3 4 Додаткові функції захисту 0 5 0 4 2 5 Загальна оцінка 4 5 4 5 3 5

Таблиця 2 Характеристика міжмережних екранів для робочих станцій і локальних мереж McAfee Norton Tiny Agnitum Zone Desktop Black Ice Internet Personal Outpost Критерій Alarm Firewall Defender 3.6 Security Firewall Firewall Pro Pro 4.0 7.5 2005 6.5.110 2.1 "Майстер" настройки – + – – – + конфігурації Вибір рівнів безпеки + + + + + +

Створення правил безпеки + + - + + + Переустановлені правила: + + + + - + для системного трафіку для додатків + + – + - + Інформація про активні порти і прикладні + + – + + + програми Демілітаризована зона або + – + + + + довірені IP Журнал реєстрації нападів, + + + + + + що експортується Вистежування / визначення + / + + / + + / + + / + + / + + / + IP-адрес джерела атаки Фільтрація вхідних / + / + + / + + / - + / + + / + + / + вихідних даних Сумісність з TCP / UDP + / + + / + + / + + / + + / + + / + Сумісність з ICMP / ARP + / + + / + + / + + / - + / - + / + Блокування: ICMP (PING) за + + – + + + замовчуванням активних елементів в Web – + – + – + реклами в Web – – – + – + активних елементів в еmail – + – + – + Виявлення прикладних + + + + + + програм на ходу Аналіз змісту Web – – – + – + Кешування DNS – – – – – + Фільтрація ключових – / – – / – + / + – / + – / – + / + слів / блокування вузлів Список заборонених вузлів, – – – + – – що завантажується з мережі Секретність конфіденційних – – – + – – даних Вбудована функція – + – + – + пошуку вірусів Оновлення файлів сигнатур – + – + – – вірусів через Web Блокування IP-адреси – + – + – – джерела заражених файлів 24 ISSN 1813-1166. Вісник НАУ. 2006. №2

McAfee Norton Tiny Agnitum Zone Desktop Black Ice Internet Personal Outpost Критерій Alarm Firewall Defender 3.6 Security Firewall Firewall Pro Pro 4.0 7.5 2005 6.5.110 2.1 Автоматична відправка файлів в карантин / видален- – / – + / + – / – + / + – / – + / + ня заражених файлів Планувальник операцій по- – – – + – – шуку вірусів

Таблиця 3 Характеристика міжмережних екранів для корпоративних мереж

Характерис- Secure PIX Border Manager Black Hole Cyber Guard Raptor Firewall 6.5 Firewall-1 тика Firewall 520 EE 3.5 3.0 Firewall 3.0

Компанія AXENT Technologies Check Point Cisco Novell, Inc. Milkyway СyberGuard Systems Networks Corporation

Compaq Tru64, HP HP- Solaris ОС власної NetWare 5 BSDI (X86), UnixWare Підтримувані UX 11.x, , SPARC), розробки (X86), Solaris (X86), ОС Microsoft IntraNetWare (SPARC) Windows NT 2000, NT 4.x, Windows NT (X86) (X86) Sun Solaris 2.6 і 2.7(32- (X86), розрядна) HP-UX (HP)

Рівень Прикладний, Прикладний, Сеансовий, Прикладний, Приклад- Сеансовий сеансовий, мережевий сеансовий, ний, мере- фільтрації мережевий мережевий мережевий жевий Фільтрація + + + – + - URL Прозорість для + + + + – + додатків Блокування мобільного + + + + + + коду Трансляція мережевих + + + + + + адрес Виявлення сканування + + + + + + портів Типи фільтрів Exec, FTP, login, shell, FTP, rlogin, DNS, H.323, http, ftp, http, ftp, http, smtp, прикладного SMTP, SQL, telnet SMTP, telnet SMTP, інші generic telnet, smtp, telnet, rlogin, рівня TCP/UDP nntp, gopher, rsh, nntp, (telnet), smtp, X11 X11, gopher, POP3, gopher, SSL, lp https (SSL), nntp, RealAudio, RTSP, SOCKS 4 and 5 Аутентифікаці я користувачів + + + + + + ISSN 1813-1166. Вісник НАУ. 2006. №2 25

Характерис- Secure PIX Border Manager Black Hole Cyber Guard Raptor Firewall 6.5 Firewall-1 тика Firewall 520 EE 3.5 3.0 Firewall 3.0 Підтримувані Axent Defender, Axent De- CryptoCards, BMAS S/Key, SE- SECURID, типи CryptoCards, Gateway fender, RADIUS, (RADIUS+ CURID, SecureNet аутентифікації Password, Window NT внутрішній SECUREID, NDS) Enigma Domain, RADIUS, SDI, пароль Fire- TACACS+ Logic Safe- S/Key, TACACS+ Wall-1, па- word роль ОС, RADIUS, SECURID, S/Key, TA- CACS/TACA CS+, цифро- вий сертифікат X.509

Закінчення табл. 3

Secure PIX Border Manager Black Hole Cyber Guard Характеристика Raptor Firewall 6.5 Firewall-1 Firewall 520 EE 3.5 3.0 Firewall 3.0 Інтерфейс +, з шифруванням +, без шиф- +, без шиф- +, з шифруван- +, у додатко- віддаленого рування, з рування, ням + вому модулі керування шифруван- з шифру- ням або через ванням або клієнта VPN через клієн- та VPN Підтримувані Простій ASCII-файл Файли Віддалений, Файли Файли Файли методи прото- реєстрацій- системний реєстраційного реєстрацій- повідомлень колювання ного журналу журнал журналу ного і журнал журналу подій Спосіб Звуковий, електрон- Звуковий, Електрон- Електронною Звуковий, Звуковий, оповіщення ною поштою, через електронною ною поштою, через електрон- електронною пейджер, пастка поштою, че- поштою, пейджер ною поштою, че- SNMP рез пейджер, через поштою, рез пейджер пастка SNMP пейджер через пейджер Підтримувані IPsec, SwlPe IPsec, FWZ, IKE, IPsec, IPsec IPsec IPsec протоколи SSL PPTP, SKIP, захисту фірмові Підтримка – Продукт, що MIME AVP, – ViruSafe антивірусних реалізує sweeper, INOCULAN продуктів підтримку Trend сторонніх фірм протоколу CVP

Висновки мережі можуть бути різні версії міжмережного 1. Загроза нападу ззовні на корпоративну та ло- екрана. кальну мережі чи на робочу станцію наразі є на- Під час вибору необхідно враховувати: стільки великою, що компаніям та користувачам – вимоги до функціональності; необхідно враховувати її і вживати заходи щодо – вимоги до масштабованості; захисту інформації. Користувачам пропонується – топологію інформаційної системи; великий вибір міжмережних екранів. – доступність кваліфікованих спеціалістів; 2. Залежно від масштабів підприємства і особли- – бюджетні обмеження. востей політики безпеки оптимальними для 26 ISSN 1813-1166. Вісник НАУ. 2006. №2

3. Після проведення досліджень серед міжме- Література режних екранів для робочих станцій та локаль- 1. Польман Н., Кразерс Т. Архитектура брандмауэров них мереж найвищу оцінку отримали Mcafee для сетей предприятия. – М.: Изд. дом «Вильямс», Desktop Firewall 7.5, Norton Internet Security 2005 2003. – 432 с. та Agnitum Outpost Firewall 2.1. 2. Оглтри Т. Firewalls. Практическое применение 4. Серед міжмережних екранів для корпоратив- межсетевых экранов. – М.: ДМК Пресс, 2001. – 400 с. них мереж найвищу оцінку отримали Firewall-1 3. Кейт Е., Страссберг Р., Гондек Г. Полный спра- та Secure PIX Firewall 520. вочник по брандмауэрам. – М.: Диалектика, 2004. – 848 с. Стаття надійшла до редакції 26.05.06.