Aktualne wersje:

Informator dla:

phion netfence Security Gateway

phion netfence Security Gateway - ochrona brzegu sieci

phion netfence jest centralnie zarządzanym korporacyjnym systemem firewallowym wyposażonym w szereg dodatkowych funkcjonalności i modułów pozwalających na pełne zabezpieczenie komunikacji wewnątrz i na zewnątrz organizacji, bez względu na jej rozmiary. Umożliwia proste budowanie rozległej struktury kanałów VPN, kształtowanie pasma (QoS),zapewnia ochronę przed włamaniami (Intrusion Prevention) i innymi zagrożeniami (wirusy, spam). Pozwala również na łatwą segmentację sieci oraz kontrolę dostępu (NAC).

phion netfence został stworzony od podstaw z myślą o centralnej administracji ochroną sieci rozległej. Z jednej centralnej konsoli administracyjnej możliwe jest zarządzanie setkami firewalli rozproszonych po różnych lokalizacjach, centralne tworzenie i zarządzenie politykami bezpieczeństwa oraz w pełni centralne zarządzanie ochroną również na poziomie pojedynczych stacji klienckich, także mobilnych.

phion netfence to także ogromne możliwości raportowania i analizy w czasie rzeczywistym tego co dzieje się w sieci. Raporty mogą być prezentowane w różnych formach dostosowanych do potrzeb odbiorców, dla których są przeznaczone (administratorzy sieci, zarząd firmy).

phion netfence jest dostępny jako rozwiązanie programowe lub sprzętowe. Spełnia wymagania normy ISO 15048 / Common Criteria – posiada certyfikat na najwyższym dostępnym poziomie tj. EAL 4+.
Charakterystyka ogólna
Bezpieczeństwo
phion netfence Security Gateway jest rozwiązaniem programowym, które oferuje usługi takie jak firewall, VPN, Mail Gateway, HTTP Proxy, DNS, DHCP i inne, jak również sam system operacyjny, na którym pracują. Dzięki takiemu połączeniu administrator nie musi troszczyć się o prawidłową konfigurację systemu operacyjnego, co jest z reguły zadaniem trudnym i czasochłonnym. Uniezależnienie bezpieczeństwa firewalla i innych usług od prawidłowego skonfigurowania systemu operacyjnego pozwala uzyskać bezpieczeństwo całego systemu porównywalne z bezpieczeństwem rozwiązań sprzętowych.
Firewall korporacyjny phion netfence uzyskał certyfikację ISO 15408/Common Criteria EAL 4+ przyznaną przez Federalne Biuro ds. Bezpieczeństwa Informacji (BSI) w Niemczech, zapewniając tym samym zgodność bezpieczeństwa z najwyższymi międzynarodowymi standardami.


Elastyczność
phion netfence Security Gateway charakteryzuje się bardzo dużą elastycznością właściwą rozwiązaniom programowym. System może zostać zainstalowany praktycznie na dowolnym komputerze klasy PC z procesorem Intel x86 (Pentium, Celeron, Xeon). Jeżeli komputer, na którym został zainstalowany, ulegnie uszkodzeniu lub z czasem okaże się zbyt wolny, można zastąpić go wydajniejszym. Proces przeniesienia istniejącego w pełni skonfigurowanego systemu phion netfence Security Gateway z dotychczasowego komputera na inny nie zajmuje więcej niż 5 minut (dzięki specjalnej procedurze archiwizacji i odtwarzania konfiguracji). phion netfence Security Gateway daje także nieograniczone możliwości rozbudowy lub zwiększenia wydajności komputera, na którym pracuje. Są one zależne jedynie od fizycznych możliwości rozbudowy danej maszyny - sam phion netfence nie narzuca w tej kwestii żadnych ograniczeń.
Istotną cechą jest możliwość rozdzielenia poszczególnych usług systemu phion netfence Security Gateway na oddzielne maszyny. W zależności od potrzeb wszystkie usługi tj. firewall, VPN, Mail Gateway, HTTP Proxy, DNS i DHCP mogą zostać zainstalowane na jednym komputerze lub też zostać rozdzielone na dwa lub więcej, co pozwala uzyskać znacznie lepszą wydajność całego klastra.
Obecnie producent oferuje również gotowe rozwiązania sprzętowe z zainstalowanym oprogramowaniem phion netfence Security Gateway oraz oficjalne wsparcie dla platformy wirtualnej VMWare ESX Server 3.

Skalowalność
phion netfence Security Gateway jest systemem bardzo łatwo skalowalnym. Pierwotnie został stworzony do ochrony rozległych sieci korporacyjnych z wieloma oddziałami rozrzuconymi po całym świecie. Obecnie dostępne są jednak także wersje z mniejszą ilościć licencji znakomicie nadające się do ochrony sieci średnich i małych. System phion netfence Security Gateway może "rosnąć" wraz ze wzrostem i rozbudową sieci. Rozbudowa systemu ochrony polega w tym przypadku głównie na rozszerzeniu istniejących już licencji na większą liczbę adresów IP lub na dokupieniu nowych licencji - produkt zawsze pozostaje ten sam. Dzięki temu inwestycje poczynione wcześniej, gdy sieć była niewielka, nigdy nie są tracone.
Przy rozbudowie sieci ważny jest również fakt, że system phion netfence dostarczany jest standardowo z szerokim zestawem usług. Poza modułami firewall i VPN dostępna jest również bramka pocztowa z filtrem antyspamowym, HTTP Proxy, DNS, DHCP, rozbudowany moduł administracyjny dostarczający raporty z dzialania poszczególnych usług i statystyki w czasie rzeczywistym - rozszerzenie funkcjonalności sieci o te serwisy nie wiąże się z żadnymi dodatkowymi kosztami.

Zarządzanie
Jedną z najistotniejszych cech systemu phion netfence wyróżniających go na tle innych rozwiązań firewallowych jest centralny system zarządzania. Standardowo phion netfence wyposażony jest w lokalny moduł administracyjny - phion.a, pozwalający na jego pełną konfigurację oraz administrację. Opcjonalnie dostępna jest również centralna konsola administracyjna phion netfence Management Centre umożliwiająca centralną, zdalną administrację dowolną liczbą firewalli rozrzuconych po całym świecie.

Wizualizacja
phion netfence Security Gateway posiada bogaty system dzienników zdarzeń, raportów, powiadomień oraz statystyk generowanych w czasie rzeczywistym umożliwiających śledzenie pracy wszystkich jego usług (firewalla, VPN i innych), ich wydajności oraz sygnalizujących ewentualne nieprawidłowości. Dzięki bardzo szczegółowym i rozbudowanym statystykom możliwe jest między innymi jednoznaczne określenie poziomu wykorzystania wybranych zasobów sieci przez poszczególnych użytkowników - określenie kto w jakim czasie wygenerował w sieci ruch na określonym poziomie. Istotne jest, że w przypadku systemu phion netfence możliwe jest śledzenie pracy firewalla i serwera VPN w czasie rzeczywistym, co znacznie ułatwia wychwytywanie ewentualnych nieprawidłowości i pozwala na szybkie usuwanie problemów związanych z działaniem sieci.

Koncepcja systemu

Budowa rozwiązania
Struktura logiczna rozwiązań phion netfence zbudowana jest z trzech warstw, z których każda ma swoje ściśle zdefiniowane zadania. Podział na logiczne warstwy ma bezpośrednie przełożenie na jego wydajność, funkcjonalność, możliwości administracyjne oraz bezpieczeństwo.
Pierwszą, podstawową warstwę stanowi tzw. BOX, na który składają się:
  • platforma sprzętowa (komputer PC, serwer, urządzenie sieciowe), na którym phion netfence jest zainstalowany,
  • dedykowany system operacyjny (opisany w sekcji phionOS)
  • jeden adres IP wykorzystywany do administracji
Kolejną warstwą jest SERVER zapewniający infrastrukturę sieciową dla pracujących na nim usług. Ostatnią, trzecią warstwę stanowią usługi (SERVICES), czyli firewall, serwer VPN, Mail Gateway, HTTP Proxy, DNS i inne.

phionOS
Firma phion AG dokonała modyfikacji jądra systemu linuksowego i zoptymalizowała go pod kątem jego pełnej zarządzalności oraz wymogów pod dodatkowe usługi, takie jak autorski silnik firewalla netfence, serwer VPN dla protokołów IPSec oraz autorskiego oprogramowania klienckiego phion entegra, HTTP Proxy, itd.
System operacyjny phionOS jest podstawą dla całej rodziny produktów netfence. W ten sposób każda brama na brzegu sieci firmowej staje się tzw. software appliance. Użytkownicy określają liczbę lub rodzaj dostępnych interfejsów sieciowych oraz wydajność i koszt platformy sprzętowej bazującej na architekturze Intel x86, na której zainstalowany zostanie phionOS ze swymi usługami. Instalacja rozwiązania netfence trwa poniżej 5 minut. Równie krótki jest czas przywrócenia pracy zapory sieciowej netfence po awarii samego urządzenia. Posiadając zachowany wcześniej plik konfiguracji, można przywrócić zaporę sieciową netfence do stanu sprzed awarii.

Firewall
Podstawową usługą phion netfence Security Gateway jest zapora sieciowa (tzw. firewall), której zadaniem jest blokowanie niepożądanego ruchu w sieci oraz zarządzanie ruchem. W zależności od reguł zdefiniowanych przez administratora na firewallu ruch sieciowy z określonych adresów lub podsieci może być w całości przepuszczany, w całości blokowany, blokowany tylko w określonych przedziałach czasowych lub też przekierowywany na inne adresy lub podsieci.
Firma phion zastosowała w swoim firewallu innowacyjną technologię Transparent Application Awareness, będącą kombinacją metody filtrowania pakietów (stateful packet filtering) oraz filtrowania aplikacji (application gateway). Pozwala to z jednej strony uzyskać znakomitą szybkość i stabilność pracy firewalla (zaleta rozwiązań sprzętowych), a z drugiej strony zapewnia znaczną jego elastyczność i skalowalność (zaleta rozwiązań programowych). W zależności od potrzeb phion netfence może pracować w trybie Application Controlled Packet Forwarding (ACPF) lub Transparent Application Proxy (tylko dla protokołu TCP).

VPN
Technologia prywatnych sieci wirtualnych (VPN) opracowana przez firmę phion AG pozwala przedsiębiorstwom zbudować efektywną infrastrukturę sieciową, zapewnić bezpieczeństwo sieciom bezprzewodowym (WLAN) przy wykorzystaniu technologii IPsec oraz zapewnić niezawodną komunikację z mobilnymi pracownikami.
Mechanizmy zintegrowane w systemie operacyjnym phionOS gwarantują, że ruch danych poprzez VPN jest także filtrowany po rozszyfrowaniu lub przed zaszyfrowaniem dla wszystkich połączeń przechodzących przez firewall. Pozwala to zaporom sieciowym phion netfence na wysoki poziom kontroli dostępu na końcach tunelu VPN oraz na wdrożenie jednolitej polityki bezpieczeństwa w całej sieci rozległej.
Elastyczne, godne zaufania i efektywne kosztowo globalne architektury VPN są dziś możliwe do stworzenia poprzez technologię tunelowania w systemach phion netfence w połączeniu z mechanizmami inteligentnego sterowania ruchem.

Traffic Inteligence (TI)
Traffic Inteligence pozwala na obsługę nadmiarowych łączy dostępowych do Internetu i mechanizmu zrównoważonego obciążenia (load balancing) na bazie protokołu IP poprzez więcej niż jednego dostawcę dostępu do Internetu. W połączeniu z funkcjonalnością serwera VPN i możliwościami zarządzania szerokością pasma, także wewnątrz tuneli VPN przez rozwiązanie phion netfence, przedsiębiorstwa mogą osiągnąć wysoki poziom bezpieczeństwa i oszczędności dla kosztów utrzymania infrastruktury sieciowej.

Branch Office Box (BOB)
Branch Office Box jest połączeniem funkcji ochrony zasobów i komunikacji (firewall/VPN), inteligentnego sterowania ruchem (Traffic Inteligence), technik przyśpieszenia działania aplikacji i optymalizacji ruchu w sieciach rozległych (WAN optimization). Dzięki temu technologie takie jak kompresja danych, sprzętowe wsparcie szyfrowania i optymalizacja działania aplikacji są teraz zintegrowane w jednym urządzeniu. Od wersji 4.2.6 moduł BOB jest integralną częścią zapory sieciowej phion netfence.

Funkcje

  • rozwiązanie typu "software appliance", tzn. system firewallowy zintegrowany z systemem operacyjnym (odpowiednio zmodyfikowany i zoptymalizowany system linuksowy do w pełni zarządzanego systemu operacyjnego),
  • nowatorski mechanizm Application Controlled Packet Forwarding pozwalający na przepustowość firewalla do ponad 4 Gbps i obsługę 800 000 sesji równoległych (wartości zależne od wydajności platformy sprzętowej),
  • rozwiązanie łączy w sobie zaporę sieciową z inspekcją stanu pakietów (stateful inspection firewall), serwer VPN, system zapobiegania włamaniom (Intrusion Prevention System) oraz usługi dodatkowe, takie jak: serwer HTTP Proxy, serwer DNS, serwer DHCP, Mail Gateway, FTP Gateway, SSH Proxy, serwer polityk bezpieczeństwa,
  • kompleksowa ochrona przed atakami typu DoS, DDoS, IP spoofing, SYN flooding, flood ping i innymi oraz przed skanowaniem portów i adresów,
  • zapobieganie włamaniom poprzez bazującą na wzorcach analizę pakietów możliwą do zastosowania dla każdej reguły firewalla,
  • możliwość pracy w pełni monitorowanym trybie bridge (transparentnym) lub routingu,
  • obsługa NAT, PAT, proxy arp i sieci wirtualnych (VLAN) dla bezpiecznej integracji w ramach istniejącej infrastruktury sieciowej,
  • obsługa protokołów VoIP – H.323, SIP, SCCP (skinny),
  • możliwość pełnego zdalnego zarządzania firewallem, serwerem VPN oraz pozostałymi usługami z jednej graficznej konsoli administracyjnej (phion.a) pracującej pod systemem MS Windows,
  • możliwość podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe połączenia,
  • możliwość definiowania tzw. reguł dynamicznych na firewallu, automatycznie wyłączających się po ustalonym czasie,
  • wbudowany analizator pakietów (sniffer), dający szczegółową możliwość śledzenia ruchu przechodzącego przez firewall,
  • wbudowany tester reguł pozwalający na sprawdzenie poprawności i wyników działania tworzonych reguł przed ich aktywacją na firewalla,
  • wbudowany w bramkę pocztową skaner antyspamowy,
  • możliwość integracji z systemem antywirusowym AVIRA AntiVir (lub innym poprzez ICAP) pozwalającym na skanowanie poczty przechodzącej przez bramkę pocztową (SMTP/POP3) oraz ruchu po protokołach HTTP i FTP,
  • możliwość integracji z klasyfikatorem stron internetowych ISS Proventia korzystającym z katalogu ponad 100 mln adresów URL pogrupowanych w ponad 60 kategoriach tematycznych,
  • możliwość integracji z filtrem aplikacji P2P i komunikatorów internetowych firmy ipoque,
  • możliwość integracji z opcjonalnym modułem Secure Web Proxy, który pozwala na ochronę antywirusową ruchu wychodzącego protokołem HTTPS i danych przesyłanych w strumieniu XML oraz na wizualizację połączeń HTTP/HTTPS,
  • generowanie statystyk w czasie rzeczywistym netfence (z odświeżaniem co 10 sekund) dla usług systemu netfence,
  • możliwość budowy tuneli VPN w strukturze gwiaździstej z jednoczesnym zapewnieniem komunikacji pomiędzy wszystkimi lokalizacjami,
  • obsługa mechanizmu multitransport VPN pozwalającego na tworzenie do 24 tuneli VPN pomiędzy tymi samymi lokalizacjami korzystających z różnych łączy, z opcją Master-Slave,
  • możliwość nawiązywania połączeń VPN przechodzących przez serwer proxy HTTPS,
  • możliwość zarządzania pasmem w ramach tunelu VPN i na każdym tunelu VPN z osobna,
  • możliwość kompresji danych przesyłanych w tunelach VPN site-2-site między firewallami netfence i w tunelach VPN client-2-site (tylko dla klienta phion netfence entegra Global) – Branch Office Box,
  • automatyczna zmiana trasowania ruchu VPN w przypadku awarii tunelu VPN,
  • dostępne centrum autoryzacji na lokalnym serwerze VPN,
  • możliwość uwierzytelniania użytkowników za pomocą certyfikatów cyfrowych i/lub logowania,
  • możliwość podłączenia zdalnych klientów poprzez tunele VPN client-server za pośrednictwem klienta VPN wyposażonego w personal firewall, którego ustawienia są kontrolowane centralnie przez administratora firewalla korporacyjnego (phion netfence entegra Global),
  • możliwość kontroli dostępu do sieci firmowej (implementacja NAP/NAC), która pozwala na zabezpieczenie końcówek klienckich zarówno w granicach sieci firmowej, jak i poza nią (phion netfence entegra),
  • możliwość scentralizowanego zarządzania politykami bezpieczeństwa i ich dystrybucją do końcówek klienckich,
  • nowatorska technologia Traffic Inteligence (TI):
    • obsługa kilku łączy internetowych równocześnie, w tym policy i multipath routing,
    • automatyczne przekierowanie ruchu na łącze zapasowe w przypadku awarii łącza głównego,
    • możliwość zaprogramowania zapory sieciowej netfence tak, aby mechanizm TI wybierał konkretnego dostawcę dla konkretnych usług systemu netfence, grup użytkowników lub wybierał połączenie najkorzystniejsze ze względu na koszty,
  • możliwość podziału łącza w oparciu o wirtualne drzewa decyzyjne dla każdego z użytkowników z osobna lub dla grup użytkowników oraz możliwość ustawiania priorytetów (Traffic Shapping),
  • możliwość integracji z opcjonalnym modułem systemu centralnego zarządzania (phion netfence Management Centre),
  • możliwość zarządzania systemem przez większa liczbę administratorów o określonych uprawnieniach,
  • możliwość ustawienia żądania potwierdzenia przez administratora odczytania powiadomienia o krytycznym zdarzeniu (w systemie pozostaje informacja, który administrator odczytał i skasował ostrzeżenie o zdarzeniu krytycznym),
  • generowanie powiadomień o zdarzeniach (przez SMTP i SNMP),
  • możliwość integracji z opcjonalnym modułem routera SAP – PPsapRIS,
  • możliwość obsługi klastra High Availability z możliwością pracy w trybach Active-Pasive i Active-Active (A-A przy zastosowaniu urządzeń load balancer),
  • czas pełnej instalacji lub odtworzenia systemu netfence po awarii sprzętu wynosi do 5 minut,
  • możliwość obsługi do 32 interfejsów fizycznych,
  • obsługa łączy gigabitowych oraz możliwość łączenia dwóch kart sieciowych w jedną logiczną kartę sieciową w celu zwiększenia przepustowości (trunking),
  • certyfikacja ISO 15408/Common Criteria na poziomie EAL 4+ dla firewalla phion netfence przeprowadzona przez Federalne Biuro ds. Bezpieczeństwa Informacji (BSI) w Niemczech,
  • certyfikacja zgodności ze standardem IPSec (VPNC Basic & AES AES Interop certified) przeprowadzona przez konsorcjum dostawców rozwiązań VPN,
  • obsługa platform sprzętowych opartych na architekturze Intel x86 i Sun Fire 4200,
  • pomoc techniczna oraz opcjonalne szkolenia z produktu, prowadzone przez certyfikowanego przez producenta trenera. Usługi te są świadczone w języku polskim.

Modele

netfence Security Gateway jest licencjonowany według liczby chronionych adresów IP przechodzących przez silnik firewalla w przeciągu jednej godziny. Moduły opcjonalne (skaner AV, filtr stron internetowych, filtr aplikacji peer-to-peer oraz moduł Web Secure Proxy) są licencjonowane według ilości chronionych użytkowników.

Oprogramowanie netfence Security Gateway dostępne jest w przedziałach licencyjnych: 50, 100, 250, 500 i na nieograniczoną liczbę adresów IP. Dla mniejszej ilości adresów IP (10 lub 25) należy skorzystać z gotowych rozwiązań sprzętowych phion: netfence edge, netfence sintegra lub phion MR.


  Moduł netfence Security Gateway
50 - unlimited IP
Ochrona sieci firmowej Firewall 50 / 100 / 250 / 500 /
nieograniczona liczba adresów IP
System IPS tak
DHCP relay tak
VPN server tak
Ochrona treści HTTP proxy tak
Filtr adresów URL opcjonalnie
Bramka pocztowa tak
Filtr antyspamowy tak
Bramka FTP tak
SSH proxy tak
Skaner antywirusowy opcjonalnie
Filtr P2P, Skype, IM opcjonalnie
Secure Web Proxy opcjonalnie
Ochrona końcówek klienckich Serwer polityk bezpieczeństwa tak
Liczba obsługiwanych klientów VPN (max) *
 nieograniczona liczba
Liczba obsługiwanych klientów entegra
office/global (max) *

nieograniczona liczba
Ochrona
infrastruktury		 DNS server tak
DHCP server
tak
Ochrona
systemu
operacyjnego		 phionOS
tak
Monitorowanie w
czasie rzeczywistym
tak
SNMP
tak
OSPF / RIP
tak
Centralne zarządzanie
 opcjonalnie

 opcjonalnie – istnieje możliwość dokupienia danej funkcjonalności/modułu
* klienty VPN/entegra są opcjonalne do dokupienia

Wymagania systemowe

Minimalne wymagania systemowe dla phion netfence Security Gateway:
  • System operacyjny: wbudowany (phionOS)
  • Przestrzeń dyskowa: 4 GB dla instalacji netfence na dysku twardym
                                      2 GB dla instalacji netfence na karcie Compact Flash
  • Procesor: 400 MHz
  • Pamięć RAM: 256 MB
  • Karta sieciowa Ethernet
  • Napędy dyskietek i CD-ROM lub pamięć USB (tylko do instalacji)