Comptek

Siemens



 
Совместный проект При поддержке
CNews.ru RBC Мир связи. Connect! МТУ-Информ

Кто есть кто на рынке средств обеспечения безопасности в современных сетях?

Михаил Кадер *

 
Разные компании по-разному отвечают на этот вопрос. И прежде чем мы попробуем ответить на него в рамках данной статьи, остановимся на том, что представляют собой современные сети передачи данных. Сейчас уже очевидным и общепринятым является тот факт что данные, передаваемые по этим сетям, представлены в виде пакетов (иногда их еще называют дейтаграммами). Такими данными могут быть средства видеовещания, системы видеоконференцсвязи, передача голоса, включая как замену соединительных линий, так и полный переход на пакетную телефонию. Основным же пакетным протоколом, который переносит эти данные, является протокол IP.

Другие существующие технологии передачи данных, такие как, например, ATM, в силу ряда факторов, таких как стоимость, эффективность, понимание, возможность добавления новых функций, адаптации к новому и т.п., занимают определенные ниши, но не являются доминирующими технологиями. Те же причины, а также стремительный рост популярности сети Интернет, привели к тому, что все современные сетевые операционные системы поддерживают сетевой протокол IP. В равной степени это относится и ко всем современным приложениям, начиная совместным использованием файлов и заканчивая системами управления предприятиями и АСУ ТП, которые используют протокол IP в качестве единого сетевого уровня. Итак, произошло «непоправимое» — всемирная сеть Интернет и корпоративные сети используют один и тот же сетевой протокол, стирая границы между собой. Более того, все основные приложения, включая передачу данных, видео и голоса, также работают по протоколу IP, утратив различия с точки зрения построения современных сетей.

Сетевые технологии настолько тесно проникли в нашу жизнь, что срез сетевых пользователей повторил срез общества. Тут и сетевые лентяи, и сетевые наркоманы, и любопытствующие, и, конечно же, хулиганы, грабители, — все те, с кем мы сталкиваемся в реальности или узнаем из газет, радио и телевидения. И, как и в повседневной жизни, перед нами стоит сложная задача — защитить свои интересы от несанкционированного постороннего вмешательства, максимально эффективно использовать сетевые ресурсы и приложения на работе и дома, не подвергая при этом риску свои права, функционирование предприятий и компаний. Поэтому неудивительно, что одним из самых быстро растущих рынков сетевых продуктов и услуг является сегмент средств обеспечения безопасности.

Ниже будут рассмотрены продукты, которые используются практически повсеместно и являются базовыми при построении систем защиты современных сетей — межсетевые экраны.

Итак, что же представляет собой межсетевой экран? Определение, данное в Руководящих Документах (РД) Государственной технической комиссии, гласит: «Межсетевой Экран (МСЭ) — это локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в распределенную автоматизированную систему (АС) и/или выходящей из АС. МСЭ обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола». Основная задача МСЭ — экранирование: «Экранирование — функция МСЭ, позволяющая поддерживать безопасность объектов внутренней области, игнорируя несанкционированные запросы из внешней области. В результате экранирования уменьшается уязвимость внутренних объектов, поскольку первоначально сторонний нарушитель должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может и должна быть устроена более простым и, следовательно, более безопасным образом, на ней должны присутствовать только те компоненты, которые необходимы для выполнения функций экранирования. Экранирование также дает возможность контролировать информационные потоки, направленные во внешнюю область, что способствует поддержанию во внутренней области режима конфиденциальности. Помимо функций разграничения доступа, экраны осуществляют регистрацию информационных обменов». По сути дела МСЭ — это средство для контроля информационных потоков между сегментами с разным уровнем безопасности, такими как корпоративная сеть и сеть Интернет, различные рабочие группы и приложения в рамках одной корпоративной сети, взаимодействие с партнерскими сетями и т.п.

В этом разделе мы обсудим аппаратные межсетевые экраны (МСЭ), их достоинства и недостатки, и посмотрим, какие компании являются основными игроками на этом рынке. Такое внимание именно к аппаратным устройствам объясняется тем, что их рынок развивается гораздо быстрее, чем рынок программных межсетевых экранов (рис.1).

Рис.1 Прогноз развития мирового рынка МСЭ

Прогноз развития мирового рынка МСЭ

Итак, аппаратный межсетевой экран представляет собой устройство, в котором сочетаются аппаратные и программные средства, а также сетевые функции, необходимые для построения виртуальных частных сетей (VPN). Фактически аппаратный МСЭ — это специализированный компьютер с операционной системой, оптимизированной для выполнения функций межсетевого экрана. В такой операционной системе «выключены» все «ненужные» сервисы и приложения, что делает сам межсетевой экран неуязвимым к действиям злоумышленников. Примерами таких операционных систем могут быть как оптимизированные соответствующим образом клоны UNIX, так и специально разработанные защищенные операционные системы.

Почему же при покупке отдают предпочтение именно аппаратным, а не программным межсетевым экранам? Во многом это объясняется простотой установки, настройки и эксплуатации аппаратных МСЭ. Действительно, большинство аппаратных МСЭ весьма просты в установке и могут затем легко администрироваться непосредственно через сеть, что чрезвычайно удобно для заказчика. Не секрет, что многие небольшие и средние компании стремятся избавить себя от всех сложностей, связанных с установкой, настройкой и сопровождением. Именно такие устройства дают возможность операторам услуг связи предлагать своим клиентам сервис по обеспечению безопасности. В этом случае оператор устанавливает МСЭ как часть услуги для заказчика, обеспечивая настройку, мониторинг и управление своими силами. Такой подход позволяет клиенту сократить расходы на ИТ-сопровождение, особенно с учетом высокой стоимости квалифицированных специалистов в области безопасности и необходимости обеспечить круглосуточное функционирование.

Попробуем сформулировать достоинства аппаратных МСЭ более формально:

  • Упрощение выбора устройства, его интеграции и поддержки;
  • Нет необходимости в установке и настройке программного обеспечения и выбора соответствующей аппаратной платформы;
  • Большая часть устройств ориентирована на рынок небольших компаний и обеспечивает режим "plug and play" в сочетании с простотой установки;
  • Наличие дополнительной функциональности, в том числе возможностей для построения виртуальных частных сетей.
  • Простота распространения по партнерским каналам, что привело к быстрому росту именно этого сегмента рынка.

К недостаткам аппаратных МСЭ можно отнести более высокую стоимость по сравнению с программными МСЭ. Тем не менее, необходимо отметить, что общая стоимость программных МСЭ, включая стоимость соответствующего сервера, операционной системы, установки и настройки, обычно оказывается выше стоимости аппаратного МСЭ. Другое преимущество программных МСЭ — большая гибкость с точки зрения добавления новой функциональности, поскольку внесение изменений в аппаратные МСЭ связано с значительными временными затратами. И конечно, одним из важных аспектов является повышение производительности: в случае аппаратных МСЭ это влечет замену устройства, тогда как для программных МСЭ повышение производительности достигается за счет более мощного сервера. При этом аппаратные МСЭ обычно обеспечивают большую производительность при меньшей стоимости.

Попробуем теперь разделить рынок аппаратных МСЭ по группам на основании их стоимости и области применения, а также обратим внимание на основных игроков в каждой из этих групп. На рис. 2 представлены эти группы и прогноз их роста до 2005 года.

Рис.2 Прогноз роста рынка МСЭ по ценовым группам

Прогноз роста рынка МСЭ по ценовым группам

МСЭ стоимостью выше 30.000 долларов. Обычно используются в сетях крупных компаний и операторов услуг. Несмотря на то, что сейчас эта группа относительно невелика, именно в ней наблюдается наибольший рост. Основные игроки на этом рынке и результаты их деятельности в первом квартале 2002 года представлены на рисунке 3.

Рис. 3. Рынок межсетевых экранов стоимостью выше 30000 долларов

Рынок межсетевых экранов стоимостью выше 30000 долларов

МСЭ стоимостью от 10.000 до 30.000 долларов США используются крупными и средними компаниями. Это наиболее крупный сегмент современного рынка МСЭ.

Рис. 4. Рынок межсетевых экранов стоимостью от 10.000 до 30.000 долларов

Рынок межсетевых экранов стоимостью от 10.000 до 30.000 долларов

При рассмотрении следующей ценовой группы можно увидеть, что доминирующую роль здесь играют те же производители МСЭ, что и в предыдущей группе.

Рис. 5. Рынок межсетевых экранов стоимостью от 1500 до 9999 долларов

Рынок межсетевых экранов стоимостью от 1500 до 9999 долларов

На рынке дешевых межсетевых экранов наблюдается стремительный рост числа игроков и уменьшение относительной доли рынка тех компаний, которые доминировали в предыдущих группах.

Рис. 6. Рынок межсетевых экранов стоимостью от 500 до 1499 долларов

Рынок межсетевых экранов стоимостью от 500 до 1499 долларов

С ростом сетей широкополостного доступа растет спрос на дешевые межсетевые экраны, которые могут использоваться надомными рабочими, домашними офисами и небольшими компаниями для защиты своих сетевых ресурсов. Несмотря на то, что эта группа МСЭ невелика по суммарной стоимости, она стремительно растет по количеству продаваемых устройств.

Рис. 7. Рынок межсетевых экранов стоимостью до 500 долларов

Рынок межсетевых экранов стоимостью до 500 долларов

Таким образом, посмотрев на текущее состояние рынка, легко заметить, какие компании и продукты являются лидерами на общем рынке МСЭ, включая программные и аппаратные решения, каналы распространения и сервисные службы.

Рис. 8. Рыночная доля ведущих производителей МСЭ в 1 квартале 2002 финансового года

Рыночная доля ведущих производителей МСЭ в 1 квартале 2002 финансового года

В заключение хотелось бы еще раз отметить, что рост и объем рынка аппаратных МСЭ значительно превышает рынок программных МСЭ. Производители программных МСЭ, такие как компания CheckPoint, вынуждены объединять свои усилия с производителями аппаратных устройств, в числе которых Nortel и Nokia, чтобы сохранить свою долю на общем рынке МСЭ и иметь возможность конкурировать с такими компаниями, как Cisco Systems и Netscreen.

Источники, использованные при подготовке материала:

  1. IDC Bulletin: "Return of black box: Firewall/VPN Security Appliances Unleashed", 2001
  2. Infonetics Research, May, 2002
  3. IDC, June, 2001 Reports
  4. Государственная техническая комиссия при Президенте Российской Федерации, Руководящий документ: «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.»


* Михаил Кадер, системный инженер Cisco Systems

Вернуться на главную страницу обзора