Новинки 3Сом - Port Switch Hub и IP Firewall.

Новинки 3Сом - Port Switch Hub и IP Firewall.
В последний год корпорация 3Com активно выпускает новые продукты во всех сегментах сетевого рынка. В данной статье будут рассмотрены один продукт для массового покупателя и один из класса High-Tech.

Анонсированный летом прошлого года SuperStack II Port Switch Hub (далее PSН) напоминает LinkBuilder FMS II (теперь называющийся SuperStack II Hub 10). Кроме известных достоинств, унаследованных от FMS II, можно отметить следующие:

- каждый порт может переключаться между 4 внутренними сегментами хаба, что при 10 допуcтимых хабов в стеке может дать до 40 сегментов на стек;
- PSН комплектуется CD-ROM c Transcend Quick Configuration Manager;
- появился дополнительный слот для трансиверного модуля;
- опция Hot-Swappable Cascade Unit позволяет заменить хаб, не прерывая работы оставшейся части стека.

По цене PSН был сопоставим с FMS II, в который установлен Management Module.

Осенью 1996 г. появился PSН 10, который, в отличие от PSН без десятки, является относительно дешевым неуправляемым хабом, но, будучи инсталлирован в стек с PSН, данный PSН 10 приобретает все свойства более дорогого PSН: управляемость, сегментируемость и т.д. Возможно, скоро покупатели, выбирая между FMS II и PSН, PSН10, будут примерно по той же цене оказывать предпочтение последнему.

Второй рассматриваемый продукт предназначен для, становящейся актуальной, защиты корпоративных сетей (например, банковских) от несанкционированного доступа через Internet. IP Firewall устанавливается на маршрутизаторы NETBuilder корпорации 3Сом.

Новая 9.1 версия пограммного обеспечения NETBuilder обладает целым рядом новых возможностей. Одной из самых важных и давно ожидаемых, является возможность организации firewall на портах NETBuilder. 21 октября 1996 г. 3Com сообщилa, что реализация IP Firewall версии 9.1 успешно прошла испытания тестами NCSA ( National Computer Security Assoсiation), которая является независимой и самой авторитетной тестовой организацией в области безопасности сетей. IP Firewall на базе NETBuilder II является первым в индустрии firewall на базе маршрутизатора, успешно прошедшим все тесты NCSA. Firewall позволяет отделить корпоративную сеть фирмы от внешних сетей, таких как Internet. Осуществляется такое разделение путем фильтрации исходящих и входящих IP пакетов на границе корпоративной сети. Команды NETBuilder позволяют создавать три основные категории фильтров.

1. Независимые от типа обслуживаемого сервиса.
2. Ориентированные на определенный тип сервиса.
3. Определяемые при помощи встроенного языка.

Пакеты, являющиеся входящими для порта, и пакеты, являющиеся исходящими для порта, обрабатываются соответствующими фильтрами одновременно, при этом, правила фильтрации входного и выходного потока для порта могут быть различными.

Независимые от типа обслуживаемого сервиса фильтры позволяют защитить корпоративную сеть от атак следующих типов:

1. Использование одного из IP адрессов, имеющихся внутри корпоративной сети.
2. Испльзование такой фрагментации пакетов, где не каждый содержит всю необходимую для заголовка TCP информацию.
3. Использование опций маршрутизации (Src Route, Record Route, Time Stamp) для получения информации о структуре корпоративной сети.
4. Использование инкапсуляции IP пакетов в IP пакеты для организации "легального" сеанса связи между внутренним, по отношению к корпоративной сети, и внешним хостами.
5. Использование ICMP пакетов для снижения производительности и выяснения типов блокируемых и пропускаемых firewall пакетов.

Фильтры, ориентированные на определенный тип сервиса, позволяют обрабатывать потоки таких протоколов как Telnet, HTTP, FTP, POP, SMTP и некоторые другие.

Третий тип фильтров может быть создан пользователем для решения вопросов в нестандартных ситуациях и значительно расширяет рамки возможного использования firewall, одновременно предоставляя гибкий инструмент для разработки .

В настоящее время, наиболее защищенными считаются firewall, построенные на основе двух фильтров - тылового и фронтального, с организацией так называемой "демилитаризованной зоны" между ними. Вариант реализации такого firewall на основе маршрутизаторов NETBuilder представлен на рисунке. Здесь NETBuilder 227 является фронтальным фильтром и осуществляет фильтрацию входящих / исходящих пакетов для сети Internet. Фильтры могут быть настроены таким образом, чтобы из Internet были доступны только сервисы по протоколам HTTP и FTP на WEB сервере в "демилитаризованной зоне". NETBuilder II, являющийся тыловым фильтром, может быть настроен таким образом, что не будет пропускать никакие пакеты из Internet в корпоративную сеть, одновременно допуская обращения пользователей корпоративной сети к WEB серверу "демилитаризованной зоны". В результате, можно обеспечить полную развязку сетей. Такая реализация firewall интересна и тем, что, в отличие от программной, не требует выделенной машины и соответствующего системного сопровождения, а может осуществляться в рамках уже организованного сопровождения для NETBuilder.

Статья подготовлена в фирме Линкомп В.И. Савватеевым и Б.М. Бакановым, тел/факс 234-1536, 234-1687, 234-2643

КОМПЬЮТЕР-ИНФОРМ