Novell зміцнює мережі NT

ОГЛЯД

Брандмауер для NT управляє пропускною здатністю, підтримує NDS і LDAP, але не ВЧС

(для PC Week Labs)

Функціональність Novell Firewall for NT повинна сподобатися будь-якої організації, що відчуває потребу в брандмауерное захисту. Цей брандмауер, випуск якого почався в грудні, має дві дуже цікаві особливості. По-перше, в нього вбудовані засоби управління смугою пропускання, а по-друге, він здатний працювати з базами даних NDS. Як показали випробування, проведені в Тестовому центрі PC Week Labs, завдяки таким достоїнств нова розробка Novell цілком може розраховувати на солідну частку ринку Windows NT, потіснивши колишні моделі брандмауерів.

Novell Firewall for NT швидко підключився до бази даних NDS для прискореного конфігурації

Правда, тим, кому потрібні віртуальні приватні мережі (ВПМ), краще звернути увагу на інші подібні продукти. Такі мережі, на відміну від багатьох своїх конкурентів, брандмауер Novell поки не підтримує. Справедливості заради відзначимо, що Firewall for NT розрахований на невеликі і середні компанії, яким в більшості випадків ВЧС не потрібні, однак конкуруючі продукти даного класу все ж дозволяють їх створювати.

Ціна на Novell Firewall for NT встановлена ​​на середньому рівні - версія на 250 користувачів, що забезпечує управління смугою пропускання на швидкостях цифрових абонентських ліній і каналів Т-1, коштує $ 14 495. Більш висока швидкість передачі даних або необмежену кількість призначених для користувача підключень обійдеться покупцеві на кілька тисяч доларів дорожче. Базова ж версія брандмауера з пропускною спроможністю 128 кбіт / с, розрахована на 25 користувачів, коштує $ 2245.

Новий продукт складається в близькій спорідненості з NetWare, тому немає нічого дивного в тому, що Firewall for NT повністю сумісний з NDS. Ця служба каталогу - справжнє джерело інформації про користувачів і групи, що робить новий продукт Novell незамінним помічником адміністратора мережі. Брандмауер самостійно видобуває інформацію, на яку ви можете знайти раніше доводилося витрачати воістину титанічні зусилля. Крім того, він підтримує протокол LDAP і бази даних доменів NT.

Особливий інтерес у малих і середніх компаній повинна викликати можливість керування смугою пропускання, адже їм постійно доводиться вирішувати проблему обслуговування критичних для бізнесу додатків в години пік. Щоб гарантувати виділення необхідної смуги пропускання, Firewall for NT враховує як правила обслуговування трафіку, так і правила безпеки.

У конкуруючих брандмауерах можна знайти і інші функції. Скажімо, Gauntlet Firewall фірми Network Associates і FireWall-1 фірми Check Point Software Technologies пропонують сервери ВЧС, засоби для боротьби з поштовим сміттям, аутентифікацію по інтелектуальним картками, тісну інтеграцію з антивірусними механізмами і різними фільтрами. Однак жоден із суперників не здатний підтримувати бази даних NDS, а брандмауера Gauntlet до того ж не дістає і можливостей управління смугою пропускання.

З Windows 2000 поки несумісний

Firewall for NT поки ще не готовий до роботи з операційною системою Windows 2000, але в середовищі Windows NT його установка ніяких труднощів не викликає. Для тестування продукту ми інсталювали його на сервері Deskpro EN6400 корпорації Compaq Computers з ОС Windows NT 4.0 Server. Правда, нас трохи здивувало, що в конфігурації мережевої прив'язки драйвер брандмауера відключений. Такий незрозумілий каприз інженерів Novell спантеличив не тільки нас, а й систему: та внесла в журнальний файл повідомлення про серйозні помилки.

Розчарувало нас і те, що графічний інтерфейс управління може запускатися локально лише при наявності каталогу NDS або LDAP. Правда, мережеві вузли, де є тільки домени NT, можуть скористатися віддаленим ГІП, однак браузерні функції в ньому відсутні.

Процес створення правил доступу інтуїтивно зрозумілий. Та й інтелектуальний графічний інтерфейс завжди готовий дати ясний і чіткий рада, якщо користувач зробить грубу помилку. Більш того, в ході тестування брандмауер виправляв багато прорахунки автоматично, позбавляючи нас від ручної роботи. Сортування правил впливає тільки на послідовність відображення - на безпеки системи порядок їх розташування ніяк не позначається. Чи не склало нам праці також передбачити в правилах тимчасові обмеження для окремих користувачів і груп.

Розподіл пропускної здатності проводиться за допомогою іншого ГІП і набору правил, що мають дуже багато спільного з описаними вище. Кожен пакет проходить всього одну перевірку, при якій контролюється як відповідність правилам безпеки, так і пріоритетність обслуговування. Обмеження по пропускній здатності вступають в силу лише після того, як в каналі відзначається перевантаження. Поки її немає, користувачеві повністю виділяється вся смуга пропускання, необхідна для відповідної програми. Але як тільки в каналі виникають затори, брандмауер відмовляється передавати непріоритетна пакети і починає обмежувати доступ нових користувачів.

Така схема сильно відрізняється від балансування навантаження, при якій, наприклад, система здатна розподіляти обробку трафіку між різними серверами.

Аутентифікація здійснюється службою каталогу NDS раз, при вході в систему. У деяких випадках може застосовуватися і одноразовий обмін запитом і відкликанням (функція обробки повідомлень Message Digest Function 4 або 5). На даний момент Firewall for NT не підтримує ні сервери RADIUS (Remote Authentication Dial-In User Service - служба дистанційній аутентифікації користувачів по комутованих лініях), ні інтелектуальні картки.

Новий брандмауер Novell здатний виробляти фільтрацію URL, проте вона виконується на настільки примітивному рівні, що і говорити про неї не варто. На щастя, продукт, як і FireWall-1 фірми Checkpoint, підтримує програми, сумісні з протоколом CVP (Content Vectoring Protocol - протокол класифікації інформаційного наповнення), що дозволяє розширювати можливості брандмауера за допомогою продуктів незалежних виробників. До того ж Firewall for NT інтегрований зі службою URL-фільтрації фірми Websense. На закінчення відзначимо ще одну сильну сторону нового брандмауера: він забезпечений розвиненою системою попереджень, які можуть передаватися за допомогою SNMP-переривань, по пейджингового зв'язку і включатися в повідомлення електронної пошти.

З позаштатним редактором Кеном Филлипсом можна зв'язатися за адресою: [email protected].

Резюме для керівників

Novell Firewall for NT

Новий брандмауер Novell добре підійде тим організаціям, де вже використовуються каталоги NDS або LDAP. В першу чергу він розрахований на обслуговування малих і середніх вузлів, які потребують інтелектуальному управлінні пропускною здатністю. На жаль, Firewall for NT не дозволяє створювати ВЧС, бракує цього продукту і ряду інших функцій.

КОРОТКОСТРОКОВИЙ ПРОГНОЗ. Використовуючи Firewall for NT, компанії можуть зробити роботу в Інтернеті і зв'язок між підрозділами більш безпечними. Правда, як і інші брандмауери, внутрішнім зловмисникам продукт Novell протистояти не здатний. Інтеграція з базами даних про користувачів допомагає значно скоротити час, що витрачається на конфігурацію і супровід продукту.

Довгостроковий ПРОГНОЗ. Управління смугою пропускання попереджає поява заторів в каналах зв'язку і тим самим забезпечує нормальну роботу найважливіших додатків.

"+" Можливість конфігурації правил для користувачів і груп за допомогою каталогів NDS, LDAP і доменів NT; розподіл смуги пропускання з урахуванням пріоритетів користувачів і додатків; підтримка додаткових додатків, сумісних з протоколом CVP; здатність розсилати повідомлення і робити елементарну фільтрацію по URL; одноразова аутентифікація по паролю.

"-" Відсутність сервера ВЧС або хоча б підтримки віртуальних приватних мереж; відсутність дистанційного керування для каталогів NDS і LDAP; відсутність безпосередньої інтеграції з антивірусними механізмами.

Методика оцінки: www.pcweek.com/reviews/meth.html.

Фірма Novell, Прово, шт. Юта, (888) 321-4272, www.novell.com/products/ntfirewall.

Версія для друку

Тільки зареєстровані користувачі можуть залишати коментарі.