Takový neobyčejný firewall - NetScreen 5XP hardwarový firewall pro domácí kanceláře a malé pobočky

1. 9. 2003

Sdílet

Produkty společnosti NetScreen patří na českém trhu v podstatě mezi novinky,neboť začaly být dodávány tuzemským distributorem v průběhu loňského roku. Ačkoliv se tedy jedná o u ná...
Produkty společnosti NetScreen patří na českém trhu v podstatě mezi novinky,
neboť začaly být dodávány tuzemským distributorem v průběhu loňského roku.
Ačkoliv se tedy jedná o u nás téměř neznámé řešení, ve světovém měřítku jde o
špičkovou technologii pro zabezpečení síťového provozu, jež se vyznačuje
především schopností zvládnout kontrolu silných datových toků. V návaznosti na
obsah brožurky, kterou jste mohli najít v PC WORLDu č. 6/2003, bychom vám zde
rádi představili řešení sloužící k bezpečnému připojení menší či střední firmy
v nabídce NetScreenu představuje tento model jakousi základní variantu, což
ovšem rozhodně neznamená slabší funkcionalitu. Vzhledem k tomu, že základem je
stejný OS a výkonný hardware jako u vyšších modelů, může uživatel za rozumnou
cenu získat poměrně dobrou výkonnost. Jenom pro srovnání, v souvislostech již
zmiňované brožurky je možno toto řešení zařadit do nejvyšší "výkonnostní"
kategorie.

NetScreen 5XP je firewall typu appliance, tedy "černá skříňka" (v tomto případě
tmavomodrá) se dvěma síťovými konektory typu RJ-45 pro běžnou ethernetovou
kabeláž UTP kategorie 5, jež jsou označeny jako Trusted (důvěryhodný) pro
vnitřní síť a Untrusted pro síť vnější. Pak už jsou k dispozici jen LED
kontrolky indikující funkcionalitu, a všeho ostatního, čeho je zapotřebí,
dosáhnete samozřejmě pomocí vzdálené správy. Metodou nejdostupnější pro většinu
správců je zřejmě práce prostřednictvím webového prohlížeče a počáteční kroky
jsou standardní firewall očekává na vnitřní síti přihlášení na defaultní síťové
adrese. Správa je rovněž dostupná pomocí textové konzole, a to buďto přes
sériový port a konzolový kabel, nebo telnetem, a třetí možností je pokročilý
administrativní nástroj NetScreen Global-Pro. My jsme prakticky vše zkoušeli
pomocí prohlížeče. Pro úplnost dodejme, že v krabici obdržíte dva síťové UTP
kabely (konzolový kupodivu chybí) a CD s dokumentací.

I v případě, že spravujete zařízení pomocí webového rozhraní, nemusí být vše
ihned zřejmé. Je to dáno tím, že prakticky stejný OS slouží i pro nejvyšší
modely, a proto zde je potřeba pochopit určité základní koncepty. Veškerá
aktivita firewallu při ochraně síťového provozu je v podstatě řízena pomocí
tzv. politik, jež pracují na principu spouště nastanou-li definované podmínky,
určitá politika se aplikuje, a výsledkem její činnosti může být stejně dobře
zahození paketu jako sestavení šifrovaného VPN tunelu do žádoucí sítě. Dalším
důležitým stupněm abstrakce jsou tzv. zóny, za nimiž se skrývají určité
definované fyzické sítě, splňující stejné nároky na zabezpečení. Řízení provozu
se poté provádí právě mezi zónami, což zajišťuje přehlednou a logickou správu.
V neposlední řadě je též potřeba pochopit tzv. mody síťových rozhraní, jež
mohou pracovat v režimu transparentním (jako bridge), směrovacím (tedy jako
router) a v modu překladu (se službou NAT). Klíčem k detailnímu využití
možností NetScreenu jsou elementy jednotlivých politik, a proto nečekejte při
správě instantní, prostá řešení. Počáteční investice do detailní konfigurace se
vám však bohatě vyplatí.

Pojďme ke konkrétním možnostem. Při konfiguraci síťových rozhraní u tohoto
základního modelu s úspěchem využijete na veřejném rozhraní možnost získat
dynamickou adresu pomocí DHCP, zatímco do vnitřní sítě pomocí téže plně
konfigurovatelné služby obsloužíte své klientské počítače. Síťová rozhraní
mohou pracovat ve všech zmíněných modech a k dispozici máte až 100 různých
politik, což dle našeho odhadu využijete jen výjimečně. Velmi zajímavé možnosti
jsou k dispozici při ověřování klientů lze sestavit interní databázi (zvládne
100 položek) či lépe využít populární externí služby typu RADIUS, RSA SecurID,
LDAP (třeba MS Active Directory) či běžné ověření pomocí prohlížeče. Zajímavé
je, že tyto možnosti jsou k dispozici v plné síle stejně, jako byste si
pořídili nejdražší model, což platí i v oblasti šifrování tunelů VPN. Pro
"hromadné" zpracování můžete zvolit algoritmy DES, 3DES či moderní AES, a
omezení oproti vyšším kategoriím představuje počet současně sestavených tunelů,
jenž je zde stanoven na 10, a to bez ohledu na typ (tunel mezi sítěmi či
klient-brána). Pokud srovnáte posledně zmíněný fakt s vlastnostmi některých
konkurenčních řešení, oceníte tento produkt. S uvedeným těsně souvisí též
nekompromisní možnosti využití technologie IPSec, jež představuje integrální
součást VPN protokolu L2TP, kde při ověřování můžete plně využít stávající
infrastrukturu certifikátů či zajistit jejich automatické generování. Z mnoha
drobností neopomeňme podporu přechodu IPSec komunikace skrze službu NAT.
Zajímavě "rovnostářsky" přistupovali tvůrci k celé produktové řadě i u dalších
funkcí, a proto zde u modelu 5XP najdete dosti bohatý IDS, výborné možnosti
logování a monitorování činnosti či řízení datového provozu.

Jak jsme již zmínili, model 5XP je dimenzován pro použití v malých sítích či
např. k připojení domácí kanceláře, čemuž odpovídají výkonnostní parametry.
Rychlost obou hardwarových síťových rozhraní je 10 Mb/s a firewall dokáže v
podstatě beze ztrát na rychlosti toto pásmo "ošetřit", a to i při provozu VPN
tunelů (tedy např. šifrování algoritmem 3DES). Asi se shodneme, že při
současných možnostech širokopásmového internetového přístupu je to pro
připojení domácí kanceláře či malé pobočky více než dostačující kapacita.

Na závěr poznámka k licencování a ceně. NetScreen vás ani tady nechce stresovat
či mást, takže máte dvě možnosti licenci pro 10 uživatelů nebo neomezenou.


NetScreen 5XP Firewall/VPN/IDS appliance

podpora VPN
koncepce správy
IDS
vzdálená distribuce politik
dokumentace
na vnějším rozhraní neumí PPTP (nutné pro ADSL v Evropě)
chybí konzolový kabel

K recenzi zapůjčila a distribuuje firma: VUMS DataCom, s. r. o., Praha 8,
http://www.datacom.cz
Cena: pro 10 uživatelů 645 USD neomezená 1 300 USD