Сегодня хотелось бы рассказать о модуле
Collax Multi-Level Firewall.
Общую информацию о модуле можно почерпнуть на сайте производителя или посмотреть
русский datasheet. Я же хотел акцентировать внимание на функциональности Matrix Firewall и немного рассмотреть архитектуру реализации Multi-Level Firewall.
Производитель предоставляет
demo-server где по логину admin и паролю server2010 можно потыкать мышкой и познакомиться в живую с интерфейсом системы. Мне же для демонстрации интерфейса пришлось развернуть на нотбуке виртуальную машину, где три сетевых интерфейса, один из которых обеспечивает выход в интернет и администрирование, а два других сетевых интерфейса для демонстрации функционала.
Собственно визуально получил следующее распределение:
Далее создал четыре хоста по два на каждый сегмент и объединил их в группы
Все это нужно чтобы продемонстрировать функционал, мною любимого, интерфейса Matrix, как сети так и группы хостов автоматически попадают в интерфейс управления фаерволом. Преднастроенный список сервисов, как у всех известных мне систем, расширяется по желанию, но для обычных задач и его вполне достаточно.
Теперь самое интересное:) Вот так выглядит интерфейс управления Matrix
Представлено направление Сеть-Сеть. При наведении на ячейку правило раскрывается показывая вектор правила защиты. А так выглядит представление Сеть-Группа_Хостов
Вариант направления Група_Хостов-Группа_Хостов демонстрировать не буду, итак уже наверное устали от картинок. Правда без картинок то тут не обойтись ибо речь идет о визуализации управления сложными настройкам фаерола. Сами правила задаются правой кнопкой мыши
или простым редактированием
ну и можно посмотреть итоговый свод правил в табличном виде
Так вот к чему я все так долго и нудно расписывал: Наглядность и простота настройки правил фаирволинга снижает требования к квалификации администратора системы и кроме того значительно снижает риск простой человеческой ошибки(те кто руками настраивал фаервол меня поймут).
Теперь о самом Milti-Level Firewall... Функционал реализован на основе открытого решения NuFW, сейчас переименованного в
UFWI. Архитектура NuFW хорошо расписана в
Wikipedia и тут мне добавить особо нечего, пожалуй, кроме как картинок интерфейсов управления. Если коротко то NuFW расширяет правила фаервола фильтрацией по операционной системе, приложению и пользователю. Чтобы включить данный функционал нужно создавая правило фаервола в Matrix кликнуть крыж "Apply Multi Level Firewall rules" и настроить правило в меню MLF
На компьютере которому предоставляется доступ нужно установить специального клиента который мониторит соединение с MLF, проверяет креденшиналы и, что приятно, содержит сервисный функционал обеспечивающий сканирование приложений и портов
Для чего это нужно если и так есть фаервол? Как правило в документации на такие системы говорят о защите от подмены IP-адресов. Но в практике все немного сложнее... настраивая доступ к какой либо системе с конкретного компьютера мы не можем гарантировать, что именно владелец этого компьютера, а не вирус или злоумышленник(инсайдер) реализуют этот доступ. Аутентифицировав пользователя и приложение, закрыв доступ всему остальному, мы снижаем риски несанкционированного доступа. Например можно реализовать закрытый сегмент сети где будет стоять учетная(бухгалтерская) система, а доступ к этой системе разрешен только конкретным пользователям, с конкретных компьютеров с определенной операционной системой и только специальной клиентской программой. Для всех остальных этого сегмента сети просто не существует.
Комментариев нет:
Отправить комментарий