Az ALF tűzfalrendszer

Az ALF tűzfalrendszer az erős és mégis kényelmesen használható hálózati határvédelem eszköze. Tulajdonságai úgy lettek megtervezve és kialakítva, hogy a hálózatok leggyakrabban használt szolgáltatásain a lehető legszélesebb körű védelmet nyújtsa a támadók ellen. Egyaránt használható kliensek és szerverek hatékony védelmére. Az ALF védelmi moduljai nagyon finoman szabályozhatók. Hogy érzékelhető legyen a rendszer nagyfokú hangolhatósága, álljon itt egy gyakorlatban előforduló példa.

A rendszer lehetőséget ad például arra, hogy a cég biztonsági vezetője a határvédelmi szabályzatban minden azonosítatlan és feljogosítatlan felhasználónak munkaidőben megtiltsa bizonyos honlapok nézegetését, vagy a cég vonalának csak egy részére engedélyezze azt. Így a kritikus időszakban a cég hasznos hálózati kommunikációja zökkenőmentesen fog működni, és a felesleges forgalmak áramlása háttérbe szorítható. Amennyiben valaki a cég vonalán keresztül illegális tartalmakat próbálna letölteni, akkor a felhasználó azonosítható, tevékenysége felfüggeszthető. Szükség esetén időhöz kötve előírható, hogy mely felhasználó milyen honlapokat nézhet meg. Ez a példa elegendő lehet a rendszer lehetőségeinek érzékeltetésére, azonban a lehetőségek távolról sem merülnek ki ennyiben.

Az ALF rendszer rugalmassága lehetővé teszi, hogy a rendszer adminisztrátorai szinte tetszőleges szűréseket legyenek képesek elvégezni a biztonság és a használhatóság érdekében. A rendszer jól szabályozható statisztikai lehetőségeivel az adminisztrátorok folyamatos képet kaphatnak a rendszer működéséről, paramétereiről.

Az ALF tűzfalrendszer legfontosabb jellemzői

• Moduláris alkalmazásszintű tűzfalrendszer
• Vegyes és homogén hálózatok támogatása (Windows, Unix alapú rendszerek)
• Nagytudású azonosító alrendszer (CryptoCard, jelszó, SKey)
• Forgalom naplózása, statisztikák készítése
• Finomhangolható protokollszűrő modulok
• Magas rendelkezésre állás támogatása (HA)
• Futásidejű csomagszűrő hangolás
• A leggyakrabban használt protokollok támogatása
  • proxy: http, ftp, pop3, telnet, ldap, time-stamp, ocsp, session manager
  • natív: smtp, ntp, domain, ssl
  • autentikációs: client auth, ck
• Ismeretlen TCP protokollok támogatása
• Jól áttekinthető, könnyen tanulható konfigurációs nyelv
• Leállítás nélküli konfigurálás

A rendszer működésének alapelvei

Az ALF finomhangolható, moduláris, transzparens alkalmazásszintű tűzfal. Mit jelent ez pontosan? Az alkalmazásszintű tűzfalak képesek a kliens és a szerver közti forgalom teljes elemzésére, és nagyon megnehezítik olyan kommunikáció átvitelét, amely árthat a kliensnek vagy a szervernek. A rendszer beállításait attól függően hangoljuk, hogy éppen szervereket vagy klienseket védünk. A szerver védelme esetén a szabályok szigorúbbak, ezzel a támadás esélyét is csökkentik. Védelmük esetén alapelvünk az, hogy inkább utasítson el a tűzfal néhány szabálytalan, de nem támadó jellegű kérést, mint hogy egy támadó jellegűt beengedjen. Kliensek védelme esetén szem előtt tartottuk, hogy a felhasználók ne érezzék nyűgnek a túlzott védelem okozta működést. Általánosan ismert tény, hogy a biztonság és a kényelem általában fordítottan arányos, ezért a kliensek védelménél úgy hangolható a tűzfal, hogy a rendszer védelme ne sérüljön, de a felhasználók is hatékonyan használhassák a hálózatot.

1. ábra: Tűzfal rendszerek szűrési lehetőségei

Ahogy az 1. ábrán is látszik, a rendszer teljes mélységében képes elemezni a hálózati forgalmat. Moduláris felépítéséből következően még az egymásba ágyazott forgalmak elemzésére is képes. Ez azt jelenti, hogy ha a védett webszerver titkosított (https) kapcsolaton keresztül érhető el, akkor a rendszer egyik modulja képes ennek a titkosító rétegnek az eltávolítására, és így visszafejtve a webprotokoll elemző modul már képes a hálózati forgalom átfogó elemzésére. A pontosabb kép érdekében nézzük a következő ábrát.

2. ábra: A rendszer működési sémája moduláris szinten

Ahogy az ábrából látható, az ALF rendszer független, különálló modulokból áll, amelyek a saját részfeladataik tökéletes ellátására lettek kifejlesztve. Ezek a modulok nem csak logikailag, hanem fizikailag is különálló egységek. Ez két szempontból is továbblépés a piacon lévő többi tűzfalhoz képest. Egyrészt a több processzoron vagy számítógépen futó modulok képesek együttműködni, így ez a rendszer komoly terhelés mellett is képes ellátni a hálózat védelmét. A másik - és még fontosabb - előny, hogy a modulok tökéletesen el vannak választva egymástól, ezzel a legfontosabb biztonságtechnikai alapelvet viszi tökélyre a rendszer: a különálló funkciók és biztonsági szintek teljes mértékben külön vannak választva (ne felejtsük: akár különálló számítógépen is futhatnak!).

A transzparencia azt jelenti, hogy a rendszer a kliensek és a szerverek szempontjából is teljesen átlátszó, sőt helyesebb ez a kifejezés: láthatatlan. Ezt úgy éri el a rendszer, hogy a kimenő és a bejövő kapcsolatokat is magára irányítja. Ha beépítünk a hálózatba egy ALF tűzfalat, akkor a belső és a külső hálózat gépeinek erről nem is kell tudnia, semmilyen konfigurációmódosításra nincs szükség.

Az ALF tűzfal üzemeltetéséhez szükséges ismeretekről oktatást is tartunk, amely végén ALF Expert vizsga tehető. Erről a lehetőségről kérjük érdeklődjön e-mailben az info@andrews.hu címen.