Реализация
Существует два варианта реализации межсетевых экранов — программный и программно-аппаратный. Второй вариант также может быть реализован двояко — в виде специализированного устройства и в виде модуля в маршрутизаторе или коммутаторе. Интерес к программно-аппаратным решениям за последние два года во всем мире возрос. Такие решения постепенно вытесняют «чисто» программные системы.
Первое решение — наиболее часто используемое в настоящее время и на первый взгляд более привлекательное. Это связано с тем, что, по мнению многих, для его применения достаточно только приобрести программное обеспечение межсетевого экрана и установить на любой компьютер, имеющийся в организации. Однако на практике далеко не всегда в организации находится свободный компьютер, да еще и удовлетворяющий достаточно высоким требованиям по системным ресурсам. Поэтому одновременно с приобретением программного обеспечения приобретается и компьютер для его установки. Потом следует процесс установки на компьютер операционной системы и ее настройка, что также требует времени и оплаты работы установщиков. И только после этого устанавливается и настраивается программное обеспечение системы обнаружения атак. Именно поэтому в последние годы стали получать распространения специализированные программно-аппаратные решения, называемые security appliance. Они поставляются как специальные программно-аппаратные комплексы, использующие специализированные или обычные операционные системы (как правило, на базе FreeBSD или Linux), «урезанные» для выполнения только заданных функций. К достоинству таких решений можно отнести:
• простота внедрения в технологию обработки информации. Поскольку такие устройства поставляются уже с предустановленной и настроенной операционной системой и защитными механизмами, необходимо только подключить его к сети, что выполняется в течение нескольких минут. И хотя некоторая настройка все же требуется, время, затрачиваемое на нее, существенно меньше, чем в случае установки и настройки межсетевого экрана «с нуля»;
• простота управления. Данные устройства могут управляться с любой рабочей станции Windows 9x, NT, 2000 или Unix. Взаимодействие консоли управления с устройством осуществляется либо по стандартным протоколам, например Telnet или SNM.P, либо при помощи специализированных или защищенных протоколов, например SSH или SSL;
• производительность. За счет того, что из операционной системы исключаются все «ненужные» сервисы и подсистемы, устройство работает более эффективно с точки зрения производительности и надежности;
• отказоустойчивость и высокая доступность. Реализация' межсетевого экрана в специальном устройстве позволяет реализовать механизмы обеспечения не только программной, но и аппаратной отказоустойчивости и высокой доступности. Такие устройства относительно легко объединяются в кластеры;
• сосредоточение на защите. Решение только, задач обеспечения сетевой безопасности не приводит к трате ресурсов на выполнение других функций, например маршрутизации и т. п. Обычно попытка создать универсальное устройство, решающее сразу много задач, ни к чему хорошему не приводит.
На первый взгляд, такие аппаратные реализации существенно дороже, но это только на первый взгляд. Стоимость программно-аппаратного решения составляет порядка $5000—12000. Стоимость решения, основанного на применении только программного обеспечения, выполняющего аналогичные функции, может быть существенно выше. И это несмотря на то, что само ПО стоит меньше. Такой эффект достигается за счет того, что стоимость программного решения включает в себя:
• стоимость компьютера;
• стоимость лицензионного дистрибутива операционной системы;
• стоимость сопутствующего программного обеспечения (например браузера Internet Explorer или СУБД Oracle);
• стоимость затрат на "установку и настройку всего комплекса в целом. Обычно эти затраты составляют 20—30 % от стоимости составляющих всего комплекса;
• стоимость поддержки всех составляющих комплекса (компьютера и его аппаратных составляющих, операционной системы, дополнительного ПО и т. д.).
Для программно-аппаратного комплекса этих «дополнительных» затрат не существует, так как они уже включены в стоимость «железа».
Универсальный компьютер | Специализированный компьютер | |
Достоинства | 1.Неограниченная функциональная расширяемость |
|
Недостатки | 1. Средняя производительность 2. Уязвимости ОС 3. Низкая отказоустойчивость | 1. Минимальная функциональная расширяемость |
Дата добавления: 2015-09-07; просмотров: 914;