Rambler's Top100
Статьи ИКС № 11 2005
В. ТОМСКИЙ  01 ноября 2005

СЗИ для экономных

Проблемы количества и качества

Тем более что возможностей межсетевого экрана (МЭ), который анализирует лишь заголовки пакетов, но не их содержимое (а в нем-то, как правило, и таится вредоносный код: вирусы, трояны, черви и прочая мерзость), сегодня уже недостаточно для обеспечения нормальной работы предприятия. В связи с этим появляются новые системы защиты от вирусов и вторжений (Intrusion Detection and Prevention, IDP), новые методики. Но рост общего количества систем и устройств снижает суммарную надежность системы и, безусловно, увеличивает ее стоимость – как на этапе приобретения, так и в процессе эксплуатации. Поэтому многие менеджеры информационных технологий готовы отдать предпочтение комбинированным решениям, сочетающим функции межсетевого экрана с защитой от вирусов и средствами обнаружения и предотвращения вторжений.

Впрочем, реализация такой широкой функциональности требует весьма значительных вычислительных ресурсов и не лучшим образом сказывается на общей производительности системы. Ситуацию усугубляет то, что «дополнительный функционал» требует гораздо больших вычислительных затрат, чем реализация базовых задач. Так, если для решения задачи маршрутизации на 3-м уровне достаточно 50 инструкций на пакет длиной 1500 байт, то антивирусное сканирование (7-й уровень) для обработки того же пакета требует уже 45 тыс. инструкций – в 900 раз больше (рисунок). Именно поэтому программная реализация IDPфункций так негативно сказывается на общей производительности системы и не применима в вычислительных средах, работающих в режиме реального времени. В таких случаях не обойтись без аппаратного ускорения этих функций, что позволит обеспечить требуемый уровень безопасности и приемлемую для нормальной работы производительность сети.

Большинство представленных на рынке аппаратных решений используют технологии «сравнения строк» и «сборки пакетов», которые требуют значительных аппаратных и вычислительных ресурсов, поэтому не всегда гарантируют высокий уровень производительности. Другая «сигнатурная» проблема – рост количества вирусов и разнообразия алгоритмов сетевых атак, а значит, базы данных сигнатур. Ситуация усугубляется и постоянным увеличением размеров передаваемых пользователями файлов – проверять-то надо все, а перед проверкой, как правило, еще и загрузить в память. Так, требования к объему памяти и производительности процессора начинают расти почти экспоненциально, а количество необходимых ресурсов и временны’е задержки предугадать становится невозможно.

Задаем защищенность – определяем производительность, и наоборот

Детерминированность системы – одно из необходимых IT-требований, выполнить которое позволяет технология, используемая ZyXEL: она базируется на аппаратной реализации алгоритмов детерминированных конечных автоматов (Deterministic Finite Automata, DFA).В новом семействе межсетевых экранов ZyWALL UTM используются PC-карта аппаратного ускорения и специализированный набор микросхем собственной разработки SecuASIC, позволяющий выполнять антивирусную фильтрацию и обнаруживать атаку, обрабатывая пакеты «на лету», без загрузки в память исследуемых файлов, а значит, без их сборки/разборки.

ZyWALL UTM обеспечивает высокую скорость обработки данных: как сообщает производитель, она практически не зависит от количества и степени сложности используемых сигнатур вирусов и атак при минимальных и стабильных задержках в передаче данных. Важно то, что уровень загрузки канала и наборов передаваемых данных не влияет на величину задержки, – это особенно существенно при передаче голосового и других видов мультимедийного трафика.

Другая особенность DFA – ограниченность и определенность числа его возможных состояний и переходов, что позволяет заранее рассчитать вычислительные затраты (ресурсы), т.е. оценить уровень производительности системы.

Крупным планом

Семейство ZyWALL UTM включает в себя уже знакомые российским пользователям межсетевыеэкраны ZyWALL 5/35/70W с предустановленной ОС ZyNOS4 (предоставляющей удобный web-интерфейс управления) и платами ZyWALL Turbo Card. Это и есть тот самый аппаратный ускоритель для ресурсоемких задач защиты. Перечень реализуемых этими устройствами возможностей иллюстрирует концепцию целостного подхода компании-разработчика к обеспечению сетевой безопасности (Unified Threat Management, UTM). В этот перечень входят функции межсетевого экрана и маршрутизации, управления полосой пропускания на уровне приложений и учета трафика пользователей, поддержка VPN (IPSec), разные виды фильтрации (Content Filtering и Mailshell Gateway Anti-Spam), а также «Антивирус Касперского» и IDP-система. Старшие модели (35 и 70W) имеют функции балансировки трафика.

***


А теперь для экономных. Сегодняшний пользователь межсетевых экранов ZyWALL 5/35/70W может расширить их функциональность с помощью дополнительных модулей расширения PC Card. Так, по мере роста сети и, соответственно, требований к защите данных первоначально установленную беспроводную карту G-110 можно заменить на ZyWALL Turbo Card, обеспечивающую необходимый уровень безопасности и скорости передачи данных.



Согласно опросу Infonetics Research, посвященному средствам защиты информации, первое место по популярности у лиц, имеющих право принимать решения в области IT, занимают встроенные функции обнаружения вторжений (72%), а второе – встроенные функции обнаружения вирусов (68%). Недавние фавориты – SPI, контентная фильтрация, VPN и способность отражать DOS- и DDOS-атаки – не преодолели даже 60%ную планку по шкале интересов.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: