Selle artikli eesmärk on võrrelda sertifitseeritud tulemüüre, mida saab kasutada ISDN-i kaitsmiseks. Ülevaates käsitletakse ainult sertifitseeritud tarkvaratooteid, mille nimekiri moodustati Venemaa FSTECi registrist.
Tulemüüri valimine teatud isikuandmete kaitse taseme jaoks
Selles ülevaates käsitleme tabelis 1 toodud tulemüüre. See tabel näitab tulemüüri nime ja selle klassi. See tabel on eriti kasulik isikuandmete kaitsmise tarkvara valimisel.Tabel 1. FSTEC-sertifikaadiga tulemüüride loend
| Tarkvara | ME klass |
| ME "Blockpost-Ekran 2000/ХР" | 4 |
| Spetsiaalne tarkvara tulemüür "Z-2", versioon 2 | 2 |
| TrustAccessi teabeturbe tööriist | 2 |
| TrustAccess-S teabeturbe tööriist | 2 |
| StoneGate'i tulemüür | 2 |
| Turvastuudio lõpp-punkti kaitse isiklik tulemüür | 4 |
| Tarkvarakompleks "Turvaserveri CSP VPN Server. Versioon 3.1" | 3 |
| Tarkvarakompleks "Security Gateway CSP VPN Gate. Version 3.1" | 3 |
| CSP VPN Client turvakliendi tarkvarapakett. Versioon 3.1" | 3 |
| Tulemüüri tarkvarapakett "Ideco ICS 3" | 4 |
| Tarkvarapakett "Liiklusinspektor 3.0" | 3 |
| Teabe krüptograafilise kaitse vahendid "Continent-AP". Versioon 3.7 | 3 |
| Tulemüür "Cybersafe: tulemüür" | 3 |
| Tarkvarakompleks "Interneti lüüs Ideco ICS 6" | 3 |
| VipNet Office'i tulemüür | 4 |
Kõik need tarkvaratooted on FSTECi registri andmetel tulemüüridena sertifitseeritud.
Vastavalt Venemaa FSTECi 18. veebruari 2013. a korraldusele nr 21 kasutatakse isikuandmete kaitse tasemete 1 ja 2 (edaspidi PD) tagamiseks vähemalt 3. klassi tulemüüre, kui see on asjakohane. 1. või 2. tüüpi ohud või infosüsteemi (IS ) koostoime rahvusvahelise teabevahetuse võrkude ja vähemalt 4. klassi tulemüüridega, kui 3. tüüpi ohud on asjakohased ning infosüsteemi ja Interneti vaheline interaktsioon puudub.
PD turvalisuse 3. taseme tagamiseks sobivad vähemalt klassi 3 (või klassi 4, kui 3. tüüpi ohud on asjakohased ja IS ei suhtle Internetiga) tulemüürid. Ja 4. turvataseme tagamiseks sobivad kõige lihtsamad tulemüürid - mitte madalamad kui klass 5. Need ei ole aga praegu FSTECi registris registreeritud. Tegelikult saab iga tabelis 1 esitatud tulemüüri kasutada 1–3 turbetaseme tagamiseks eeldusel, et puuduvad 3. tüüpi ohud ja Internetiga suhtlemine. Interneti-ühenduse olemasolul vajate vähemalt 3 klassi tulemüüri.
Tulemüüri võrdlus
Tulemüüridel on teatud funktsioonide komplekt. Nii et vaatame, milliseid funktsioone see või teine tulemüür pakub (või ei paku). Iga tulemüüri põhifunktsioon on teatud reeglite alusel pakettide filtreerimine. Pole üllatav, et kõik tulemüürid toetavad seda funktsiooni.Samuti toetavad kõik tulemüürid NAT-i. Kuid on üsna spetsiifilisi (kuid mitte vähem kasulikke) funktsioone, nagu pordi maskeerimine, koormuse tasakaalustamine, mitme kasutaja töörežiim, terviklikkuse kontroll, programmi juurutamine ActiveDirectory's ja kaughaldus väljastpoolt. Üsna mugav, näete, kui programm toetab ActiveDirectory juurutamist – te ei pea seda igasse võrgus olevasse arvutisse käsitsi installima. Samuti on mugav, kui tulemüür toetab kaughaldust väljastpoolt - saate võrku hallata kodust lahkumata, mis on asjakohane administraatoritele, kes on harjunud oma funktsioone täitma eemalt.
Lugejat võib üllatada, et paljud tabelis 1 näidatud tulemüürid ei toeta ActiveDirectory juurutusi ja sama võib öelda ka muude funktsioonide kohta, nagu koormuse piiramine ja pordi maskeerimine. Et mitte kirjeldada, milline tulemüüridest teatud funktsiooni toetab, süstematiseerisime nende omadused tabelis 2.
Tabel 2. Tulemüüri võimalused 
Kuidas tulemüüre võrrelda?
Tulemüüride põhiülesanne isikuandmete kaitsel on ISPD kaitse. Seetõttu pole administraatoril sageli vahet, millised lisafunktsioonid tulemüüril on. Tema jaoks on olulised järgmised tegurid:- Kaitse aeg. On selge, et mida varem, seda parem.
- Kasutusmugavus. Kõik tulemüürid pole võrdselt mugavad, seda näidatakse ülevaates.
- Hind. Tihti on määravaks rahaline pool.
- Tarne aeg. Sageli jätab tarneaeg soovida ja oma andmeid tuleb nüüd kaitsta.
Kõigi tulemüüride turvalisus on umbes sama, muidu poleks neil sertifikaati.
Tulemüürid ülevaates
Järgmisena võrdleme kolme tulemüüri – VipNet Office Firewall, Cybersafe Firewall ja TrustAccess.Tulemüür TrustAccess- on tsentraliseeritud haldusega hajutatud tulemüür, mis on loodud serverite ja tööjaamade kaitsmiseks volitamata juurdepääsu eest, võrgujuurdepääsu piiritlemiseks ettevõtte IS-ile.
Küberturvaline tulemüür- võimas tulemüür, mis on loodud arvutisüsteemide ja kohalike võrkude kaitsmiseks väliste pahatahtlike mõjude eest.
ViPNet Office'i tulemüür 4.1- tarkvara tulemüür, mis on loodud liikluse ja liikluse muundamise (NAT) juhtimiseks ja haldamiseks kohalike võrkude segmentide vahel nende interaktsiooni ajal, samuti kohaliku võrgu sõlmede koostoime ajal avaliku võrgu ressurssidega.
ISPD kaitse aeg
Mis on ISPD kaitse aeg? Tegelikult on see aeg, mil rakendus juurutatakse kõigis võrgus olevates arvutites ja aeg reeglite seadmiseks. Viimane oleneb tulemüüri kasutusmugavusest, esimene aga selle paigalduspaketi sobivusest tsentraliseeritud paigalduseks.Kõik kolm tulemüüri levitatakse MSI-pakettidena, mis tähendab, et saate nende tsentraalseks installimiseks kasutada ActiveDirectory juurutustööriistu. Näib, et kõik on lihtne. Kuid praktikas selgub, et mitte.
Ettevõte kasutab reeglina tulemüüride tsentraliseeritud haldust. Ja see tähendab, et mõnele arvutile on installitud tulemüüri haldusserver ja ülejäänutele kliendiprogrammid või, nagu neid nimetatakse ka agentideks. Kogu probleem seisneb selles, et agendi installimisel tuleb määrata teatud parameetrid - vähemalt haldusserveri IP aadress ja võib-olla ka parool jne.
Seega, isegi kui juurutate MSI-failid kõikidesse võrgu arvutitesse, peate need ikkagi käsitsi konfigureerima. Ja see poleks väga soovitav, arvestades, et võrk on suur. Isegi kui teil on ainult 50 arvutit, mõelge lihtsalt sellele – minge iga arvuti juurde ja seadistage see.
Kuidas probleemi lahendada? Ja probleemi saab lahendada, luues MSI-faili jaoks teisendusfaili (MST-faili), mida nimetatakse ka vastusefailiks. Kuid VipNet Office'i tulemüür ega TrustAccess ei saa seda teha. Sellepärast, muide, näitab tabel 2, et Active Directory juurutamiseks puudub tugi. Neid programme on domeenis võimalik juurutada, kuid selleks on vaja administraatori käsitsitööd.
Loomulikult saab administraator MST-faili loomiseks kasutada redaktoreid nagu Orca.
Riis. 1. Toimetaja Orca. MST-faili loomine TrustAccess.Agent.1.3.msi jaoks
Aga kas sa tõesti arvad, et kõik on nii lihtne? Avasid Orcas MSI faili, sättisid paari parameetrit ja sai valmis vastusefaili? Seda polnud seal! Esiteks pole Orcat lihtsalt installitud. Peate alla laadima Windows Installeri SDK, eraldama sellest 7-Zipi abil orca.msi ja installima. Kas teadsite sellest? Kui ei, siis arvestage, et kulutasite 15 minutit vajaliku teabe otsimisele, tarkvara allalaadimisele ja redaktori installimisele. Kuid kõik kannatused ei lõpe sellega. MSI-failil on palju valikuid. Vaata joonist fig. 1 – need on ainult Atribuutide rühma parameetrid. Millist muuta, et näidata serveri IP-aadressi? Sa tead? Kui ei, siis on kaks võimalust: kas konfigureerida iga arvuti käsitsi või võtta ühendust arendajaga, oodata vastust jne. Arvestades, et arendajatel võtab vastamine mõnikord üsna kaua aega, sõltub programmi tegelik juurutamise aeg ainult teie arvutitevahelise liikumise kiirusest. Noh, kui olete kaughaldustööriista eelnevalt installinud - siis on juurutamine kiirem.
Cybersafe Firewall loob MST-faili iseseisvalt, peate selle lihtsalt ühte arvutisse installima, hankima ihaldatud MST-faili ja määrama selle rühmapoliitikas. Kuidas seda teha, saate lugeda artiklist "Infosüsteemide piiritlemine isikuandmete kaitsel". Mõneks pooleks tunniks (või isegi vähemaks) saate tulemüüri juurutada kõigis võrgus olevates arvutites.
Seetõttu saab Cybersafe Firewall hinnanguks 5 ja tema konkurendid - 3 (tänud, vähemalt installijad on MSI-vormingus, mitte .exe-vormingus).
| Toode | Hinne |
| VipNet Office'i tulemüür | |
| Küberturvaline tulemüür | |
| Usalda juurdepääsu |
Kasutusmugavus
Tulemüür ei ole tekstitöötlusprogramm. See on üsna spetsiifiline tarkvaratoode, mille kasutamine on taandatud põhimõttele "installige, konfigureerige, unustage". Ühest küljest on kasutatavus teisejärguline tegur. Näiteks iptables Linuxis pole mugav, aga kas seda kasutatakse? Teisest küljest, mida mugavam on tulemüür, seda kiiremini on võimalik ISPD-d kaitsta ja täita mõningaid selle haldamise funktsioone.Noh, vaatame, kui mugavad on kaalutud tulemüürid ISPD loomise ja kaitsmise protsessis.
Alustame VipNet Office'i tulemüüriga, mis meie arvates pole eriti mugav. Arvuteid saab rühmadesse valida ainult IP-aadresside järgi (joonis 2). Teisisõnu on IP-aadressidega sidumine ja peate kas eraldama erinevatele alamvõrkudele erinevad ISPD-d või jagama ühe alamvõrgu IP-aadresside vahemikeks. Näiteks on kolm ISPD-d: juhtimine, raamatupidamine, IT. Peate konfigureerima DHCP-serveri nii, et haldusrühma arvutitele antakse IP-aadressid vahemikus 192.168.1.10 - 192.168.1.20, Raamatupidamine 192.168.1.21 - 192.168.1.31 jne. See pole eriti mugav. Just selle eest võetakse VipNet Office Firewallist maha üks punkt.
Riis. 2. Arvutirühmade loomisel on IP-aadressile selge seos
Vastupidi, Cybersafe'i tulemüüris puudub seos IP-aadressiga. Rühma kuuluvad arvutid võivad asuda erinevates alamvõrkudes, sama alamvõrgu erinevates vahemikes ja isegi väljaspool võrku. Vaata joonist fig. 3. Ettevõtte filiaalid asuvad erinevates linnades (Rostov, Novorossiysk jne). Rühmade loomine on väga lihtne – lihtsalt lohistage arvutinimed soovitud rühma ja klõpsake nuppu Rakenda. Pärast seda saate nuppu klõpsata Sea reeglid paika kujundada igale rühmale omased reeglid.
Riis. 3. Hallake gruppe Cybersafe'i tulemüüris
Mis puutub TrustAccessi, siis tuleb märkida tihedat integratsiooni süsteemi endaga. Juba loodud süsteemi kasutaja- ja arvutirühmad imporditakse tulemüüri konfiguratsiooni, mis muudab tulemüüri haldamise ActiveDirectory keskkonnas lihtsamaks. ISDN-i ei saa luua tulemüüris endas, vaid kasutada Active Directory domeenis olemasolevaid arvutirühmi.
Riis. 4. Kasutajate ja arvutite rühmad (TrustAccess)
Kõik kolm tulemüüri võimaldavad luua nn ajakavasid, tänu millele saab administraator seadistada pakettide läbimise ajakava järgi, näiteks keelata juurdepääsu Internetile pärast tööaega. VipNet Office'i tulemüüris luuakse ajakavasid jaotises Kavad(Joonis 5) ja CyberSafe Firewallis määratakse reegli tööaeg reegli enda määratlemisel (joonis 6).
Riis. 5. Ajakavad VipNet Office'i tulemüüris
Riis. 6. Cybersafe'i tulemüüri tööaja reeglid
Riis. 7. Ajastage TrustAccessis
Kõik kolm tulemüüri pakuvad väga käepäraseid tööriistu reeglite enda loomiseks. Ja TrustAccess pakub ka mugavat reeglite loomise viisardit.
Riis. 8. Looge TrustAccessis reegel
Vaatame veel ühte funktsiooni – aruannete hankimise tööriistu (logid, logid). TrustAccessis peate sündmuste kohta aruannete ja teabe kogumiseks installima sündmuseserveri (EventServer) ja aruandeserveri (ReportServer). Mitte, et see oleks viga, vaid pigem selle tulemüüri funktsioon ("funktsioon", nagu Bill Gates ütles). Mis puutub Cybersafe'i ja VipNet Office'i tulemüüridesse, siis mõlemad tulemüürid pakuvad mugavaid tööriistu IP-pakettide logi vaatamiseks. Ainus erinevus seisneb selles, et Cybersafe Firewall kuvab esmalt kõik paketid ja vajalikke saab filtreerida, kasutades tabeli päisesse ehitatud filtrit (joonis 9). Ja VipNet Office'i tulemüüris peate esmalt installima filtrid ja seejärel vaatama tulemust.
Riis. 9. IP-pakettide logi haldamine Cybersafe'i tulemüüris
Riis. 10. IP-pakettide logi haldamine VipNet Office'i tulemüüris
Pidin Cybersafe'i tulemüürist maha võtma 0,5 punkti logi Exceli või HTML-i eksportimise funktsiooni puudumise tõttu. Funktsioon pole kaugeltki kriitiline, kuid mõnikord on kasulik logist mitu rida lihtsalt ja kiiresti eksportida, näiteks ülevaate saamiseks.
Niisiis, selle jaotise tulemused:
| Toode | Hinne |
| VipNet Office'i tulemüür | |
| Küberturvaline tulemüür | |
| Usalda juurdepääsu |
Hind
Küsimuse rahalisest küljest on lihtsalt võimatu mööda hiilida, sest sageli saab see konkreetse toote valikul määravaks. Seega on ühe ViPNet Office Firewall 4.1 litsentsi (1-aastane litsents 1 arvuti kohta) maksumus 15 710 rubla. Ja 1 serveri ja 5 TrustAccessi tööjaama litsentsi maksumus maksab 23 925 rubla. Nende tarkvaratoodete maksumuse kohta leiate lingid artikli lõpust.Pidage meeles neid kahte numbrit 15710 r. ühe arvuti eest (aastas) ja 23 925 rubla. 1 serverile ja 5 arvutile (aastas). Ja nüüd tähelepanu: selle raha eest saate osta Cybersafe Firewalli 25 sõlme litsentsi (15178 rubla) või lisada veidi ja sellest piisab 50 sõlme litsentsiks (24025 rubla). Kuid selle toote puhul pole kõige olulisem hind. Kõige olulisem on litsentsi kehtivus ja tehniline tugi. Cybersafe'i tulemüüri litsents – ilma aegumiskuupäeva, samuti tehniline tugi. See tähendab, et maksate ühe korra ja saate tarkvaratoote koos eluaegse litsentsi ja tehnilise toega.
| Toode | Hinne |
| VipNet Office'i tulemüür | |
| Küberturvaline tulemüür | |
| Usalda juurdepääsu |
Tarne aeg
Meie kogemuse kohaselt on VipNet Office Firewalli tarneaeg umbes 2-3 nädalat pärast Infotex OJSC-le kandideerimist. Ausalt öeldes on see päris pikk aeg, arvestades, et ostetakse tarkvaratoodet, mitte PAKTI.TrustAccessi tarneaeg, kui tellite Softline'i kaudu, on alates 1 päevast. Arvestades Softline'i mõningast viivitust, on realistlikum ajakava 3 päeva. Kuigi nad suudavad tarnida 1 päevaga, sõltub kõik Softline'i töökoormusest. Jällegi, see on isiklik kogemus, konkreetse kliendi tegelik aeg võib erineda. Kuid igal juhul on tarneaeg üsna lühike, mida tuleb märkida.
Mis puutub tarkvaratootesse CyberSafe Firewall, siis tootja garanteerib elektroonilise versiooni kohaletoimetamise 15 minuti jooksul pärast tasumist.
| Toode | Hinne |
| VipNet Office'i tulemüür | |
| Küberturvaline tulemüür | |
| Usalda juurdepääsu |
Mida valida?
Kui keskenduda ainult toote maksumusele ja tehnilisele toele, siis on valik ilmselge – Cybersafe Firewall. Cybersafe Tulemüüril on optimaalne funktsionaalsuse/hinna suhe. Teisest küljest, kui vajate salavõrgu tuge, peate vaatama TrustAccessi poole. Hea isikliku tulemüürina saame aga soovitada vaid VipNet Office Firewalli, kuid selleks on palju muid ja pealegi tasuta lahendusi.Ekspertide poolt üle vaadatud
integraatorfirma DORF LLC
