СТАТЬЯ
02.04.01

eTrust Интернет Defense

Примеры конфигурации и оценка стоимости

Цель этого документа – показать на примере типовых сценариев, как различные компоненты eTrust Интернет Defense дополняют друг друга, где их можно использовать и какова их стоимость.

Оглавление

  1. Введение в eTrust Интернет Defense
  2. Принятые термины
    1. Firewall - брандмауэр (аппаратно-программные средства межсетевой защиты)
    2. Proxy Server - прокси-сервер, промежуточный сервер, средство межсетевой защиты
    3. De-militarized Zone (DMZ) - демилитаризованная зона
    4. Virtual Private Network (VPN) - виртуальная частная сеть
  3. Примеры
    1. Малый сценарий
    2. Большой сценарий
    3. Сценарий VPN с удаленными узлами
    4. Сценарий VPN с подвижными/удаленными пользователями
  • Условные обозначения:

    Введение

    Электронный бизнес (е-бизнес) открывает двери для миллионов конечных пользователей, предоставляя web-сайты, системы передачи сообщений, неоценимую информацию общего характера, специальные бизнес-приложения и частную информацию пользователей, поэтому и риск теперь больше, чем когда-либо прежде. Чтобы преуспевать в таких условиях, организации должны открывать доступ к ресурсам, одновременно защищая ценные активы и обеспечивая секретность конфиденциальной информации пользователей.

    Очевидно, что стратегия защиты, основанная на одиночных, автономных программах, не подходит для противодействия существующим угрозам. Поэтому важно сочетать функциональные возможности различных интегрированных средств защиты, работающих как единое взаимодополняющее целое, обеспечивая безопасное подключение локальных вычислительных сетей (ЛВС) компаний к интернету.

    Комплект средств интернет-защиты компании Computer Associates (eTrust Интернет Defense suite) предлагает решение этих проблем и обеспечивает широкие функциональные возможности и высокий потенциал, необходимые для достижения успеха в е-бизнесе.

    InoculateIT обеспечивает защиту корпоративных сетей в реальном масштабе времени от вирусов, наиболее серьезной угрозы на текущий момент. InoculateIT сертифицирован Международной Ассоциацией Компьютерной Безопасности (ICSA - International Computer Security Association) как 100% средство обнаружения реально существующих и доселе неописанных вирусов.

    eTrust Content Inspection (контроль контента) защищает ваш е-бизнес, предохраняя системы, связанные с интернет, от злонамеренных вторжений программ, которые могут уничтожить или незаметно украсть важную деловую информацию.

    eTrust Firewall (средство межсетевой защиты) предлагает исчерпывающую стратегию обеспечения безопасности е-бизнеса, основанную на применении политик доступа. Он позволяет вам обеспечивать доступ к важным бизнес-приложениям для авторизованных пользователей интернет/интранет/экстранет, защищая их в то же время от попыток несанкционированного доступа.

    eTrust Intrusion Detection (обнаружение вторжений) обеспечивает защиту сетей от проникновения и выполнения атак типа Distributed Denial of Service (распределенный отказ от сервиса). В него входит интегрированный антивирусный механизм с автоматическим обновлением базы данных сигнатур вирусов.

    eTrust Virtual Private Network (VPN) (виртуальная частная сеть) - законченное решение обеспечения безопасности всех функций VPN, включая доступ удаленных пользователей, "зоны безопасности" в пределах интранет и межсайтовое взаимодействие через интернет.

    Для получения дополнительной информации посетите сайт: http://vip.ca.com/channel_emea

    Используемые термины

    Firewall (межсетевой экран)
    Firewall, метод межсетевой защиты, широко используется для обеспечения пользователей безопасным способом доступа в интернет и для обособления корпоративных серверов от внутренней сети компании в демилитаризованной зоне (DMZ). Кроме того, firewall используется для поддержания безопасности внутренних сетевых сегментов. Например, подсеть бухгалтерии должна быть защищена и от внутренних чрезмерно любопытных пользователей.

    Proxy Server (прокси-сервер, промежуточный сервер)

    Методика, используемая для кэширования информации на web-сервере, действующем в качестве посредника между web-клиентом и этим сервером. Обычно он сохраняет для пользователей наиболее общую и недавно полученную из интернет информацию, чтобы обеспечить более быстрый доступ к ней и повысить безопасность сервера. Прокси-серверы устроены так, что они дают возможность прямого доступа в интернет из-за межсетевого экрана. Например, если ваш компьютер находится внутри защищенной сети, и вы хотите просматривать web-страницы, вы могли бы установить прокси-сервер. Его можно сконфигурировать таким образом, что все запросы с вашего компьютера будут поступать на него, а затем прокси-сервер будет пересылать эти запросы по нужным адресам.

    De-militarized Zone (демилитаризованная зона) DMZ
    Барьер между интернет и внутренней сетью компании (интранет), защищенный от интернет межсетевым экраном и отделенный от остальной части внутренней сети другим межсетевым экраном. В DMZ размещаются все общественные ресурсы, которые должны быть доступны извне. Двойной межсетевой экран служит дополнительной степенью защиты для интранет.

    Virutal Private Network (виртуальная частная сеть) VPN
    Частная сеть, которая организована в рамках сети общего пользования. Благодаря контролю доступа и криптозащите информации VPN обладает защищенностью частной сети, и в то же время использует все преимущества большой сети общего пользования. Термин VPN обычно относится к сети, некоторые участки которой связаны между собой через интернет, при этом данные, передаваемые через интернет, зашифровываются, так что фактически вся сеть является частной.

    Примеры

    Типичный пример - сеть компаний, имеющих несколько офисов в разных городах. С помощью интернет эти офисы объединяют свои сети в единую сеть, но зашифровывают информацию, которая проходит через интернет.

    Пример 1: Малый сценарий

    Первый пример иллюстрирует малый сценарий со следующими характеристиками:

    В этом примере защита достигается за счет сочетания межсетевого экрана, антивирусного контроля и контроля контента с очень строгими правилами трафика межсетевого экрана, разрешающими только трафик между сетью компании и машинами на сайте ISP.

    У этой компании есть собственный почтовый сервер, но он соединяется с интернет не напрямую, а через почтовый сервер-ретранслятор ISP, который принимает и посылает сообщения от имени почтового сервера компании.

    Для HTTP- и FTP-трафика используется прокси-сервер, пересылающий все запросы прокси-серверу ISP. Таким образом, все запросы и подключения к интернет исходят только от прокси-сервера ISP, который обеспечивает возвращение ответов на запросы на прокси-сервер компании и затем на машину пользователя.

    Если компания использует также сетевой адрес, предоставленный ISP, или она расположила свой web-сервер на сайте ISP, ей для управления сетью может понадобиться также обмен информацией между клиентом администрации сети и web-сервером.

    Одиночный firewall на сайте компании должен быть настроен следующим образом:

    1. Отсекать любой трафик в обход межсетевого экрана.
    2. Разрешить web-серфинг между прокси-сервером компании и прокси-сервером ISP.
    3. Разрешить трафик электронной почты между почтовым сервером компании и почтовым сервером-ретранслятором ISP.
    4. Разрешить трафик между машиной клиента администрации сети и web-сервером ISP.
    Такие, весьма строгие правила для трафика через межсетевой экран гарантируют, что это единственно возможный путь передачи информации между сайтом компании и машинами ISP, и ни одна машина не имеет прямого выхода в интернет.

    Поскольку межсетевой экран не защищает от злоумышленных воздействий программ в случае типа атаки вирусов или хакеров, нужно использовать также на уровне шлюза или прокси-серверов антивирусный механизм для защиты от известных вирусов, и механизм контроля контента для защиты от известных и даже неизвестных злонамеренных программ.

    Рассмотрим принципиальный образец сценария:

    В этом примере заказчик использует Microsoft Exchange Server - как сервер передачи сообщений и электронной почты, - и Microsoft Proxy Server.

    Кроме того, используются два сервера приложений – файловый и сервер печати, и 25 клиентских машин. Одна из клиентских машин предназначена для поддержания собственного web-сайта компании, который хостируется web-сервером ISP.

    На одной машине установлен межсетевой экран, через него осуществляется подключение сети компании к ISP.

    Поскольку мы комбинируем несколько компонентов eTrust, оценка их стоимости будет основана на модели лицензирования OLP.

    Оценка стоимости для примера 1: Малый сценарий

    Компоненты, подлежащие лицензированию (оценка OLP):
     
       
    Пример 1
    OLP-A
    Продукт Коэффициенты Количество Коэффициенты
    Цена
    OLP Solutions Kit
    10
    1
    10
    $100,00
    eTrust Firewall
    40
    1
    40
    $2.815,30
    InoculateIT Nodal Server
    2
    5
    10
    $199,00
    InoculateIT Nodal Client
    2
    25
    50
    $795,00
    InoculateIT Microsoft Exchange Option
    10
    1
    10
    $653,30
    eTrust Intrusion Detection 125 Сеансов
    80
    0
    0
    $0,00
    eTrust Content Inspection 
    25 пользователей
    80
    1
    80
    $2.110,30
    Итого    
    200
    $6.672,90

    Пример 2: Большой сценарий

    Второй пример иллюстрирует больший сценарий со следующими характеристиками:

    Во втором примере защита достигается путем организации демилитаризованной зоны (DMZ) с использованием двух машин с межсетевыми экранами, антивирусной защитой и контролем контента, а также компонента, обнаруживающего вторжения (Intrusion Detection).

    Все ресурсы, которые должны быть доступны извне, располагаются в DMZ – прокси- и web-серверы, почтовый сервер-ретранслятор, а также машина, обнаруживающая вторжения.

    Размещение почтового сервера во внутренней сети и только сервера-ретранслятора почты в DMZ - наиболее безопасная конфигурация, так как она гарантирует, что все внешние сообщения обязательно проходят через DMZ и только внутренняя, конфиденциальная электронная почта может миновать ее. Для более глубокого уровня защиты почтовый сервер также можно поместить в DMZ, тогда можно обойтись без почтового сервера-ретранслятора.

    В этом примере машина, обнаруживающая вторжения, имеет две сетевых карты, чтобы контролировать сетевой трафик до и после внешнего межсетевого экрана. Таким путем внешняя линия подключения может отследить возможные попытки вторжения еще перед firewall и пресечь их: например, динамически переконфигурируя firewall на блокирование всего трафика, исходящего от машины вторгшегося, в то время как внутренняя линия подключения используется для контроля за любой внутренней и исходящей связью, чтобы обнаруживать неправильное употребление ресурса и внутренние атаки. Внешняя линия подключения является просто физическим подключением для контроля за сетевым трафиком, и никакой протокол не будет привязан к внешней сетевой плате, чтобы обеспечить невидимость этой машины извне и ее неуязвимость для внешних попыток вторжения.

    Некоторые узлы, конечно, можно устанавливать на одной и той же машине (например, прокси- и web-серверы), но наиболее безопасный способ – размещать межсетевой экран и, безусловно, машину, обнаруживающую вторжения, на специально выделенных компьютерах.

    Конфигурация двух машин межсетевых экранов зависит от конкретных потребностей, но в общем случае любой трафик должен обязательно проходить через одну из машин в DMZ, и не должно быть прямого трафика между двумя машинами межсетевых экранов.

    Произведем оценку стоимости этого сценария:

    В этом примере заказчик использует решение Lotus Notes в качестве сервера передачи сообщений и электронной почты, стандартный сервер SMTP как сервер-ретранслятор почты, Microsoft Web Server и Microsoft Proxy Server. Web- и прокси-серверы здесь установлены на одной и той же машине. Кроме того, здесь используются три сервера приложений (файловых и печати) и 500 клиентских машин. Одна из этих клиентских машин предназначена для защиты от вторжений. Для создания DMZ используются две специализированные машины межсетевых экранов.

    Если заказчик желает получать самые последние обновления сигнатур вирусов, новости о защите от вторжений и об eTrust Intrusion Detection, он может также оплатить годовую подписку на обновления URL и новые версии защиты.

    Оценка стоимости для примера 2: Большой сценарий


     
       
    Пример 2
    OLP-C
    Продукт Коэффициенты Количество Коэффициенты
    Цена
    OLP Solutions Kit
    10
    1
    10
    $100,00
    eTrust Firewall
    40
    2
    80
    $5.271,00
    InoculateIT Nodal Server
    2
    9
    18
    $235,80
    InoculateIT Nodal Client
    2
    500
    1000
    $8.900,00
    InoculateIT Lotus Notes Option
    10
    1
    10
    $611,60
    eTrust Intrusion Detection 1000 сеансов
    80
    1
    80
    $12.135,15
    eTrust Intrusion Detection 1 Годовая подписка на URL, 1000 сеансов
    10
    1
    10
    $4.851,15
    eTrust Intrusion Detection 1 Годовая подписка на обновление версий защиты, 1000 сеансов
    40
    1
    20
    $2.757,99
    eTrust Content Inspection MS Proxy Edition 
    1000 пользователей
    80
    1
    80
    $14.558,30
    Итого    
    1308
    $49.420,99

    Пример 3: Сценарий VPN с удаленными участками

    В этом примере рассматриваются только функциональные возможности VPN (виртуальной частной сети).

    Кроме перечисленных для примера 2, добавлены следующие характеристики:

    1. Незашифрованная связь между клиентами и сервером VPN
    2. Зашифрованная, безопасная связь между серверами VPN через интернет
    3. Незашифрованная связь между сервером VPN и ресурсами

    Пример 3 иллюстрирует подключение удаленных офисов компании к центральному узлу связи.

    Для защиты конфиденциальной информации VPN eTrust использует в основном две функции. Туннельная технология VPN дополнена мощными возможностями криптозащиты и может применяться для защиты информации, как при внутреннем доступе, так и при удаленном доступе извне. Данный пример иллюстрирует, главным образом, внешние возможности туннелирования.

    Без организации VPN связь между удаленными офисами и центральным узлом была бы небезопасной и не шифруемой. Для установления безопасной передачи конфиденциальных данных через общедоступный интернет в обеих частях сети используются серверы VPN. Как и все системы, предназначенные для доступа извне, серверы VPN располагаются в DMZ.

    Для повышения степени защищенности и эффективности рекомендуется выделить для сервера VPN отдельную машину.

    При конфигурации, показанной в этом примере, трафик между клиентскими машинами и сервером VPN не шифруется, что позволяет контролировать внутренний обмен данными, в то же время оба сервера VPN связаны через интернет безопасным, кодируемым подключением.

    Рассмотрим оценку стоимости для этого сценария:

    Поскольку данный пример иллюстрирует только VPN (в калькуляцию не включены другие компоненты), для получения полной картины вы можете комбинировать, скажем, примеры 2 и 3.

    Каждый сервер VPN служит шлюзом / маршрутизатором VPN; термины шлюз VPN, маршрутизатор VPN или элемент VPN относятся к одному и тому же продукту (SKU) - это просто различные виды установки - так что нужно покупать только две лицензии сервера VPN.

    Пример 4 (см. ниже) несколько отличается от предыдущего: он показывает, как установить безопасный обмен конфиденциальными данными между клиентской машиной и центральным офисом через интернет. Сервер VPN располагается в DMZ центрального узла, а клиентский узел VPN организуется на компьютере подвижного / удаленного пользователя. Оценка стоимости этого сценария аналогична примеру 3, нужно добавить только лицензию на сервер VPN, клиентский компонент VPN предоставляется бесплатно.

    Последний пример на странице 16 охватывает в одном сценарии все компоненты eTrust Интернет Defense.

    Компоненты, подлежащие лицензированию:
     
       
    Пример 3
    OLP-A
    Продукт Коэффициенты Количество Коэффициенты
    Цена
    Сервер VPN 
    80
    2
    160
    $20.738,00
    Итого       $20.738,00

     

    Пример 4: Сценарий VPN с подвижными/удаленными пользователями

    В этом сценарии удаленные офисы заменены подвижными/удаленными пользователями, связывающимися с сетью компании через интернет.

    Дополнительную информацию Вы можете получить в компании Interface Ltd.

    Обсудить на форуме Computer Associates
    Отправить ссылку на страницу по e-mail


    Interface Ltd.

    Ваши замечания и предложения отправляйте автору
    По техническим вопросам обращайтесь к вебмастеру
    Документ опубликован: 02.04.01