Безопасность и Internet - статьи




Глава 9. Надежность и отказоустойчивость средств защиты


Надежность системы безопасности, построенной на продуктах компании CheckPoint, обеспечивается комплексно. Во-первых, она определяется высокой надежностью программного обеспечения продуктов компании CheckPoint, проверенного большим количеством инсталляций по всему миру. Во-вторых, общая надежность системы безопасности зависит от надежности аппаратно-программной платформы (ОС + компьютер). Платформу для экранов и шлюзов корпоративной сети предприятие может выбрать либо самостоятельно (и нести в этом случае ответственность за ее надежность), либо положиться на выбрать платформу с гарантированно высокой надежностью, применив специализированные устройства VPN-1 Appliance.

Межсетевые экраны FireWall-1 и шлюзы VPN-1 поддерживают отказоустойчивые конфигурации, основанные на кластерах избыточных устройств и обеспечивающие прозрачный для трафика пользователей переход на резервное или избыточное устройство при отказе основного. Такие конфигурации необходимы для наиболее ответственных приложений, так как какой бы высокой ни была надежность отдельных продуктов, отказы их все же возможны, и в этих условиях единственно возможным решением является применение избыточных устройств.

Разработка отказоустойчивых систем является для компании CheckPoint одним из приоритетных стратегических направлений. Свойствами отказоустойчивости на сегодня обладают не только продукты FireWall-1/VPN-1, но и системы контроля доступа на основе содержания.

Отказоустойчивые конфигурации FireWall-1/VPN-1 используют такое свойство этих продуктов как возможность синхронизации данных о состоянии соединений, содержащихся во внутренних таблицах модулей. Синхронизируются данные состояния контролируемых по доступу сессий, а также сессий протоколов IPSec и FWZ шлюзов VPN-1. На основе этих данных можно построить различные схемы, обеспечивающие отказоустойчивость.

Сегодня существует возможность построения отказоустойчивой конфигурации исключительно на продуктах CheckPoint, а также с привлечением продуктов третьих фирм. Вариант CheckPoint основан на применении модуля High Availability в экранах-шлюзах FireWall-1/VPN-1, который контролирует работоспособность устройств и обеспечивает прозрачных переход на работоспособное устройство в случае отказа без разрыва соединений, проходящих через экран и защищенных соединений VPN-шлюза. Кроме поддержки отказоустойчивости модуль High Availability является программируемым монитором работоспособности FireWall-1/VPN-1, что упрощает его обслуживание. Возможно также создание кластерных конфигураций, включающих большое количество синхронизируемых систем FireWall-1/VPN-1.

Существует также ряд продуктов от партнеров по программе OPSEC, обеспечивающих прозрачный переход на резервную систему FireWall-1/VPN-1 при отказе основной, например, StoneBeat от Stonesoft или Legato FullTime HA+ for FireWall-1 от Legato Systems.

Отказоустойчивость VPN-соединений можно также обеспечить на клиентской стороне с помощью продукта VPN-1 SecuRemote. Этот вариант может применяться тогда, когда в центральной сети имеется несколько VPN-шлюзов, но он не требует их синхронизации и резервирования. Клиент VPN-1 SecuRemote может самостоятельно обнаружить отказ шлюза и перейти на другой доступный VPN-шлюз. Такой способ полезен при наличии у предприятия нескольких шлюзов, обеспчеивающих доступ в копроративную сеть, но расположенных в разных географических пунктах, так что их синхронизация может оказаться проблематичной.

Отказоустойчивость средств контроля доступа на основе содержания может быть достигнута за счет установки на предприятии пула серверов, на которых работает один и тот же набор сервисов контроля третьих фирм. Отказ одного из таких серверов не влечет отказ системы системы контроля доступа по содержанию, а только означает некоторое снижение ее производительности.




Содержание  Назад  Вперед