Šikovný firewall

Na první pohled vypadá NetScreen 5-GT jako další z řady firewallů, určených pro
SOHO, ale může nabídnout řadu nadstandardních funkcí. Primárně se jedná o

stavový firewall s podporou řízení síťového provozu (traffic shapping) a

kvality služeb (QoS), doplněný o podporu VPN (IPsec, L2TP), ochranu proti

útokům typu DoS a volitelnou možnost AV ochrany a filtrování obsahu.

Balení obsahuje mimo firewallu napájecí zdroj, sériový kabel pro připojení

konzole, dva přímé kabely RJ-45, instalační příručku a CD s manuálem. Samotný

NetScreen 5-GT je modrá krabička o rozměrech 20 × 13 × 3 cm. Na přední straně

nalezneme diody indikující stav zařízení i jednotlivých portů. Vzadu je kromě

konektoru napájení ještě resetovací tlačítko, dvě sériová rozhraní RS-232 a pět

rozhraní RJ-45. Jedno sériové rozhraní slouží pro připojení konzole a druhé pro

modem. Čtyři rozhraní RJ-45 slouží k připojení lokální sítě (ať už přímo

počítačů nebo rozbočovačů či přepínačů ). Rozhraní „Untrusted“ je určeno k

připojení k xDSL modemu/kabelovému modemu či jinému širokopásmovému typu

připojení. Existuje i provedení NS-5GT přímo s integrovaným ADSL modemem.

Hardwarovým srdcem NetSreenu 5-GT jsou integrované obvody ASIC, které spolu s

128 MB RAM dodávají firewallu dostatečný výkon. Udávaná propustnost činí 75

Mb/s, propustnost VPN spojení šifrovaného algoritmem 3DES je 20 Mb/s. Firewall

by měl zvládnout (ač k tomu není určen) obsloužit i síť s více než padesáti

koncovými stanicemi. NetScreen 5-GT je možné konfigurovat jednak pomocí

příkazové řádky CLI, dále přes webové grafické rozhraní, případně přes

centrální management NSM. Webové rozhraní lze provozovat jak v nezabezpečené

formě, tak přes šifrované HTTPS, přístup ke správě lze omezit na předem zvolené

adresy. Po přihlášení do grafického menu spatříme souhrnný přehled

nejdůležitějších informací, data o aktuálním vytížení procesoru, paměti, počet

aktuálních sessions, logy a stav síťových rozhraní.

NetScreen 5-GT může pracovat ve dvou základních režimech, označovaných jako

transparentní a routovací. V transparentním režimu se chová jako L2 bridge,

tzn. na úrovni síťové vrstvy není vůbec „vidět“. Všechny jeho filtrovací a

bezpečnostní schopnosti jsou samozřejmě zachovány. V routovacím režimu se chová

jako standardní L3 router. Jednotlivá rozhraní mají IP adresy, je možné

používat NAT, PAT a mapování portů. Aby bylo možné mít za firewallem více sítí,

podporuje NetScreen 5-GT jednak statické směrování a dále i dynamické směrovací

protokoly RIPv2, OSPF i BGP.

Ve výchozí konfiguraci je zakázán veškerý provoz ve všech směrech. Pomocí

průvodce (nebo ručně) je nutné generovat sadu pravidel. NetScreen 5-GT

podporuje jednoduché řízení kvality služeb QoS. U každého pravidla lze

specifikovat minimální garantovanou rychlost, maximální přenosovou rychlost a

stupeň priority daného provozu. U pravidel lze zapnout podrobné statistiky

využití, včetně reakcí na překročení stanovených limitů. Poplachové zprávy lze

doručit pomocí e-mailu nebo SMNP. V případě doručování zpráv pomocí e-mailu

však nelze nastavit autentizaci vůči poštovnímu serveru a ani se nepředpokládá,

že by SMTP server běžel na jiném portu než 25. Naproti tomu u nastavení syslog

serveru možnost nastavit konkrétní port nechybí. Co se týče podpory SMNP, jsou

podporovány pouze starší a z bezpečnostního hlediska nevhodné verze 1 a 2c.

Poslední verze 3, která podporuje zprávy, jež mohou být současně šifrované i

autentizované, bohužel není podporována.

Podporovány jsou VPN na bázi IPSec a L2TP a L2TP-over-IPSec. Lze vytvářet jak

VPN typu klient/LAN, tak i LAN/LAN. Správu klíčů je možné realizovat ručně i

automaticky pomocí protokolu IKE. Při použití IKE máme na výběr tzv.

předsdílené klíče a variantu s certifikáty (X.509). Pakety přenášené ve VPN

mohou být šifrovány algoritmy DES (klíč délky 56 bitů), 3-DES (klíč délky 168

bitů) nebo AES (klíč délky 128,192 nebo 256 bitů). Zabezpečení proti modifikaci

nebo poškození dat se děje pomocí hashovacích funkcí MD-5 či SHA-1. Vzhledem k

posledním poznatkům kryptologů o (ne)bezpečnosti MD-5 je rozhodně lepší

používat pouze algoritmus SHA-1.

Instalace firewallu NetScreen 5-GT je jednoduchá a intuitivní. Za pomoci

průvodců lze konfigurovat celé zařízení do provozuschopného stavu během

několika minut. Ačkoliv by se našlo několik drobností, které výsledný dojem

trochu kazí (např. v prohlížečích založených na jádře Gecko jsou některé

grafické prvky vykresleny chybně), jedná se o věci, které by mohly být v příští

verzi firmwaru odstraněny.



Juniper NetScreen 5-GT

K testu zapůjčila firma: VUMS DataCom

Cena vč. DPH: cca 14 000 Kč