Svrha ovog članka je usporediti certificirane vatrozide koji se mogu koristiti za zaštitu ISDN-a. Pregled razmatra samo certificirane softverske proizvode, čiji je popis formiran iz registra FSTEC-a Rusije.
Odabir vatrozida za određenu razinu zaštite osobnih podataka
U ovom pregledu razmotrit ćemo vatrozide predstavljene u tablici 1. Ova tablica prikazuje naziv vatrozida i njegovu klasu. Ova će tablica biti posebno korisna pri odabiru softvera za zaštitu osobnih podataka.Tablica 1. Popis FSTEC certificiranih vatrozida
| Softver | ME razred |
| ME "Blockpost-Ekran 2000/HR" | 4 |
| Specijalni softverski vatrozid "Z-2", verzija 2 | 2 |
| Alat za sigurnost informacija TrustAccess | 2 |
| TrustAccess-S alat za informacijsku sigurnost | 2 |
| Vatrozid StoneGate | 2 |
| Security Studio Endpoint Protection Personal Firewall | 4 |
| Softverski kompleks "Security Server CSP VPN Server. Verzija 3.1" | 3 |
| Softverski kompleks "Security Gateway CSP VPN Gate. Verzija 3.1" | 3 |
| CSP VPN Client sigurnosni klijentski softverski paket. Verzija 3.1" | 3 |
| Programski paket vatrozida "Ideco ICS 3" | 4 |
| Programski paket "Traffic Inspector 3.0" | 3 |
| Sredstva kriptografske zaštite informacija "Kontinent-AP". Verzija 3.7 | 3 |
| Vatrozid "Cybersafe: Vatrozid" | 3 |
| Softverski kompleks "Internet gateway Ideco ICS 6" | 3 |
| VipNet Office Vatrozid | 4 |
Svi ovi programski proizvodi, prema FSTEC registru, certificirani su kao vatrozidi.
Prema nalogu FSTEC-a Rusije br. 21 od 18. veljače 2013., kako bi se osigurale razine 1 i 2 zaštite osobnih podataka (u daljnjem tekstu PD), koriste se vatrozidi najmanje klase 3 u slučaju važnosti prijetnje 1. ili 2. tipa ili interakcija informacijskog sustava (IS) s međunarodnim mrežama za razmjenu informacija i vatrozidima najmanje klase 4 u slučaju relevantnosti prijetnji tipa 3 i nepostojanja interakcije između IS-a i Interneta.
Kako bi se osigurala 3. razina PD sigurnosti, prikladni su vatrozidi najmanje klase 3 (ili klase 4, ako su prijetnje tipa 3 relevantne i IS ne komunicira s internetom). A kako bi se osigurala četvrta razina sigurnosti, prikladni su najjednostavniji vatrozidi - ne niži od klase 5. Oni, međutim, trenutno nisu registrirani u registru FSTEC-a. Zapravo, svaki od vatrozida prikazanih u tablici 1 može se koristiti za pružanje 1-3 razine sigurnosti, pod uvjetom da nema prijetnji tipa 3 i interakcije s internetom. Ako postoji internetska veza, potreban vam je vatrozid od najmanje 3 klase.
Usporedba vatrozida
Vatrozidi imaju određeni skup funkcija. Pa da vidimo koje funkcije ovaj ili onaj vatrozid pruža (ili ne pruža). Glavna funkcija svakog vatrozida je filtriranje paketa na temelju određenog skupa pravila. Nije iznenađujuće da svi vatrozidi podržavaju ovu značajku.Također, svi razmatrani vatrozidi podržavaju NAT. Ali postoje sasvim specifične (ali ništa manje korisne) značajke, kao što su maskiranje porta, balansiranje opterećenja, višekorisnički način rada, kontrola integriteta, implementacija programa u ActiveDirectory i udaljena administracija izvana. Prilično zgodno, vidite, kada program podržava implementaciju u ActiveDirectory - ne morate ga ručno instalirati na svako računalo na mreži. Također je zgodno ako vatrozid podržava udaljenu administraciju izvana - možete upravljati mrežom bez napuštanja svog doma, što će biti relevantno za administratore koji su navikli obavljati svoje funkcije na daljinu.
Čitatelja bi moglo iznenaditi da implementacije ActiveDirectoryja nisu podržane od strane mnogih vatrozida prikazanih u tablici 1, a isto se može reći i za druge značajke kao što su prigušivanje opterećenja i maskiranje portova. Kako ne bismo opisivali koji od vatrozida podržavaju pojedinu funkciju, njihove smo karakteristike sistematizirali u tablici 2.
Tablica 2. Mogućnosti vatrozida 
Kako ćemo usporediti vatrozide?
Glavna zadaća vatrozida u zaštiti osobnih podataka je zaštita ISPD-a. Stoga administratora često nije briga koje će dodatne funkcije vatrozid imati. Za njega su važni sljedeći čimbenici:- Vrijeme zaštite. Jasno, što prije to bolje.
- Jednostavnost korištenja. Nisu svi vatrozidi jednako praktični, što ćemo pokazati u recenziji.
- Cijena. Često je financijska strana presudna.
- Vrijeme isporuke. Često je vrijeme isporuke daleko od željenog, a svoje podatke morate zaštititi sada.
Sigurnost svih vatrozida je otprilike ista, inače ne bi imali certifikat.
Vatrozidi u pregledu
Zatim ćemo usporediti tri vatrozida - VipNet Office Firewall, Cybersafe Firewall i TrustAccess.Vatrozid TrustAccess- je distribuirani vatrozid s centraliziranim upravljanjem, dizajniran za zaštitu poslužitelja i radnih stanica od neovlaštenog pristupa, razgraničenje mrežnog pristupa IS-u poduzeća.
Cybersafe vatrozid- snažan vatrozid dizajniran za zaštitu računalnih sustava i lokalnih mreža od vanjskih zlonamjernih utjecaja.
Vatrozid ViPNet Office 4.1- softverski vatrozid dizajniran za kontrolu i upravljanje prometom i pretvorbom prometa (NAT) između segmenata lokalnih mreža tijekom njihove interakcije, kao i tijekom interakcije čvorova lokalne mreže s resursima javne mreže.
ISPD vrijeme zaštite
Koje je vrijeme ISPD zaštite? Zapravo, ovo je vrijeme za implementaciju aplikacije na sva računala na mreži i vrijeme za postavljanje pravila. Potonji ovisi o jednostavnosti korištenja vatrozida, ali prvi ovisi o prikladnosti njegovog instalacijskog paketa za centraliziranu instalaciju.Sva tri vatrozida distribuiraju se kao MSI paketi, što znači da možete koristiti ActiveDirectory Deployment Tools da ih instalirate centralno. Čini se da je sve jednostavno. Ali u praksi se pokazalo da nije tako.
Poduzeće, u pravilu, koristi centralizirano upravljanje vatrozidima. A to znači da je na nekom računalu instaliran poslužitelj za upravljanje vatrozidom, a na ostalim su instalirani klijentski programi ili, kako ih još nazivaju agenti. Cijeli problem je u tome što prilikom instaliranja agenta morate postaviti određene parametre - barem IP adresu poslužitelja za upravljanje, a možda i lozinku itd.
Stoga, čak i ako postavite MSI datoteke na sva računala na mreži, i dalje ih morate ručno konfigurirati. A to ne bi bilo baš poželjno, s obzirom na to da je mreža velika. Čak i ako imate samo 50 računala, samo razmislite o tome - idite do svakog računala i postavite ga.
Kako riješiti problem? A problem se može riješiti stvaranjem datoteke transformacije (MST datoteka), također poznate kao datoteka odgovora, za MSI datoteku. Ali ni VipNet Office Firewall ni TrustAccess to ne mogu. Zato, usput, Tablica 2 pokazuje da nema podrške za implementaciju Active Directory-a. Moguće je implementirati ove programe u domenu, ali je potreban ručni rad administratora.
Naravno, administrator može koristiti uređivače kao što je Orca za izradu MST datoteke.
Riža. 1. Urednik Orca. Pokušavam stvoriti MST datoteku za TrustAccess.Agent.1.3.msi
Ali zar stvarno mislite da je sve tako jednostavno? Otvorili ste MSI datoteku u Orci, podesili nekoliko parametara i dobili gotovu datoteku odgovora? Nije bilo ovdje! Prvo, sama Orca nije jednostavno instalirana. Morate preuzeti Windows Installer SDK, izdvojiti orca.msi iz njega koristeći 7-Zip i instalirati ga. Jeste li znali za to? Ako niste, smatrajte da ste potrošili 15 minuta tražeći potrebne informacije, preuzimajući softver i instalirajući editor. Ali tu nije kraj svim patnjama. MSI datoteka ima mnogo opcija. Pogledajte sl. 1 - ovo su samo parametri grupe svojstava. Koju promijeniti za označavanje IP adrese poslužitelja? Znaš? Ako ne, onda imate dvije mogućnosti: ili ručno konfigurirati svako računalo ili kontaktirati programera, pričekati odgovor itd. S obzirom da programerima ponekad treba dosta vremena da odgovore, stvarno vrijeme implementacije programa ovisi samo o brzini vašeg kretanja između računala. Pa, ako ste unaprijed instalirali alat za daljinsko upravljanje - tada će implementacija biti brža.
Cybersafe Firewall sam stvara MST datoteku, samo je trebate instalirati na jedno računalo, dobiti željenu MST datoteku i navesti je u politici grupe. Kako to učiniti možete pročitati u članku „Razgraničenje informacijskih sustava u zaštiti osobnih podataka“. Za nekih pola sata (ili čak manje) možete postaviti vatrozid na sva računala na mreži.
Zbog toga Cybersafe Firewall dobiva ocjenu 5, a njegovi konkurenti - 3 (hvala, barem su instalateri u MSI formatu, a ne .exe).
| Proizvod | Razred |
| VipNet Office Vatrozid | |
| Cybersafe vatrozid | |
| Pristup povjerenju |
Jednostavnost korištenja
Vatrozid nije program za obradu teksta. Ovo je prilično specifičan softverski proizvod čija se uporaba svodi na načelo "instaliraj, konfiguriraj, zaboravi". S jedne strane, upotrebljivost je sekundarni faktor. Na primjer, iptables na Linuxu nije zgodan, ali koristi li se? S druge strane, što je vatrozid praktičniji, to će brže biti moguće zaštititi ISPD i izvršiti neke funkcije za njegovu administraciju.Pa, da vidimo koliko su prikladni razmatrani vatrozidi u procesu stvaranja i zaštite ISPD-a.
Počet ćemo s VipNet Office Firewallom, koji po našem mišljenju nije baš zgodan. Možete odabrati računala u grupe samo prema IP adresama (slika 2). Drugim riječima, postoji veza s IP adresama i trebate ili dodijeliti različite ISPD-ove različitim podmrežama ili podijeliti jednu podmrežu u raspone IP adresa. Na primjer, postoje tri ISPD-a: Management, Accounting, IT. Morate konfigurirati DHCP poslužitelj tako da računala iz grupe za upravljanje dobivaju IP adrese iz raspona 192.168.1.10 - 192.168.1.20, računovodstvo 192.168.1.21 - 192.168.1.31, itd. Ovo nije baš zgodno. Za to će se VipNet Office Firewallu oduzeti jedan bod.
Riža. 2. Prilikom kreiranja grupa računala, postoji eksplicitno vezanje na IP adresu
U vatrozidu Cybersafe, naprotiv, nema vezanja za IP adresu. Računala koja su dio grupe mogu biti na različitim podmrežama, u različitim rasponima iste podmreže, pa čak i izvan mreže. Pogledajte sl. 3. Podružnice tvrtke nalaze se u različitim gradovima (Rostov, Novorossiysk, itd.). Vrlo je jednostavno stvoriti grupe - samo povucite imena računala u željenu grupu i kliknite gumb primijeniti. Nakon toga možete kliknuti gumb Postavite pravila formirati pravila specifična za svaku skupinu.
Riža. 3. Upravljajte grupama u Cybersafe Firewallu
Što se tiče TrustAccess-a, treba istaknuti blisku integraciju sa samim sustavom. Već stvorene grupe korisnika sustava i računala se uvoze u konfiguraciju vatrozida, što olakšava upravljanje vatrozidom u okruženju ActiveDirectory. Ne možete kreirati ISDN u samom vatrozidu, već koristiti postojeće grupe računala u domeni Active Directory.
Riža. 4. Grupe korisnika i računala (TrustAccess)
Sva tri vatrozida omogućuju vam stvaranje takozvanih rasporeda, zahvaljujući kojima administrator može konfigurirati prolaz paketa prema rasporedu, na primjer, zabraniti pristup Internetu nakon radnog vremena. U VipNet Office Firewallu rasporedi se kreiraju u odjeljku Rasporedi(Slika 5), au CyberSafe Firewall-u vrijeme rada pravila postavlja se prilikom definiranja samog pravila (Slika 6).
Riža. 5. Rasporedi u VipNet Office Firewallu
Riža. 6. Pravilo o radnom vremenu u Cybersafe Firewallu
Riža. 7. Zakažite u TrustAccess
Sva tri vatrozida pružaju vrlo praktične alate za kreiranje samih pravila. A TrustAccess također nudi praktičan čarobnjak za stvaranje pravila.
Riža. 8. Napravite pravilo u TrustAccess
Pogledajmo još jednu značajku - alate za dobivanje izvješća (logovi, dnevnici). U TrustAccessu, za prikupljanje izvješća i informacija o događajima, trebate instalirati poslužitelj događaja (EventServer) i poslužitelj izvješća (ReportServer). Ne da je to nedostatak, već značajka ("značajka", kako je rekao Bill Gates) ovog vatrozida. Što se tiče vatrozida Cybersafe i VipNet Office, oba vatrozida pružaju praktične alate za pregled dnevnika IP paketa. Jedina je razlika u tome što Cybersafe Firewall prvo prikazuje sve pakete, a one koji su vam potrebni možete filtrirati pomoću filtra ugrađenog u zaglavlje tablice (slika 9). A u VipNet Office Firewallu prvo morate instalirati filtere, a zatim vidjeti rezultat.
Riža. 9. Upravljanje evidencijom IP paketa u Cybersafe vatrozidu
Riža. 10. IP Packet Log Management u VipNet Office Firewallu
Vatrozidu Cybersafe morao sam oduzeti 0,5 bodova zbog nedostatka funkcije za izvoz dnevnika u Excel ili HTML. Funkcija je daleko od kritične, ali ponekad je korisno jednostavno i brzo izvesti nekoliko redaka iz dnevnika, na primjer, za debrifing.
Dakle, rezultati ovog dijela:
| Proizvod | Razred |
| VipNet Office Vatrozid | |
| Cybersafe vatrozid | |
| Pristup povjerenju |
Cijena
Jednostavno je nemoguće zaobići financijsku stranu problema, jer često ona postaje odlučujuća pri odabiru određenog proizvoda. Dakle, cijena jedne licence ViPNet Office Firewall 4.1 (1 godina licence za 1 računalo) iznosi 15 710 rubalja. A trošak licence za 1 poslužitelj i 5 radnih stanica TrustAccess koštat će 23 925 rubalja. Uz cijenu ovih softverskih proizvoda možete pronaći veze na kraju članka.Zapamtite ova dva broja 15710 r. za jedno računalo (godišnje) i 23.925 rubalja. za 1 poslužitelj i 5 računala (godišnje). A sada pažnja: za ovaj novac možete kupiti licencu za 25 čvorova Cybersafe Firewall (15178 rubalja) ili dodati malo i bit će dovoljno za licencu za 50 čvorova (24025 rubalja). Ali najvažnija stvar kod ovog proizvoda nije cijena. Najvažnija stvar je valjanost licence i tehnička podrška. Licenca za Cybersafe Firewall - bez roka valjanosti, kao i tehnička podrška. Odnosno, plaćate jednom i dobivate softverski proizvod s doživotnom licencom i tehničkom podrškom.
| Proizvod | Razred |
| VipNet Office Vatrozid | |
| Cybersafe vatrozid | |
| Pristup povjerenju |
Vrijeme isporuke
Prema našem iskustvu, vrijeme isporuke VipNet Office Firewall-a je oko 2-3 tjedna nakon prijave Infotex OJSC. Iskreno govoreći, to je prilično dugo vrijeme, s obzirom da se kupuje softverski proizvod, a ne PACK.Vrijeme isporuke TrustAccess-a, ako se naručuje preko Softline-a, je od 1 dana. Realniji vremenski okvir je 3 dana, s obzirom na određeno kašnjenje Softlinea. Iako mogu isporučiti za 1 dan, sve ovisi o opterećenosti Softlinea. Opet, ovo je osobno iskustvo, stvarno vrijeme za pojedinog kupca može se razlikovati. Ali u svakom slučaju, vrijeme isporuke je prilično kratko, što treba napomenuti.
Što se tiče softverskog proizvoda CyberSafe Firewall, proizvođač jamči isporuku elektroničke verzije unutar 15 minuta nakon plaćanja.
| Proizvod | Razred |
| VipNet Office Vatrozid | |
| Cybersafe vatrozid | |
| Pristup povjerenju |
Što izabrati?
Ako se fokusirate samo na cijenu proizvoda i tehničku podršku, onda je izbor očit - Cybersafe Firewall. Cybersafe Firewall ima optimalan omjer funkcionalnosti i cijene. S druge strane, ako vam je potrebna podrška za Secret Net, tada se trebate okrenuti prema TrustAccess. Ali možemo samo preporučiti VipNet Office Firewall kao dobar osobni vatrozid, ali za te svrhe postoje mnoga druga i, štoviše, besplatna rješenja.Pregledali stručnjaci
integrator tvrtka DORF LLC
