ALF

Az ALF tűzfalrendszer tulajdonságainak tervezése és kialakítása során a fő szempont az volt, hogy a hálózatok leggyakrabban használt szolgáltatásain a lehető legszélesebb körű védelmet nyújtsa a támadók ellen. Egyaránt használható kliensek és szerverek hatékony védelmére. Az ALF védelmi moduljai nagyon finoman szabályozhatók. Hogy érzékelhető legyen a rendszer nagyfokú hangolhatósága, álljon itt egy gyakorlatban előforduló példa.

A rendszer lehetőséget ad például arra, hogy a cég biztonsági vezetője a határvédelmi szabályzatban minden azonosítatlan és feljogosítatlan felhasználónak munkaidőben megtiltsa bizonyos honlapok nézegetését, vagy a cég vonalának csak egy részére engedélyezze azt. Így a kritikus időszakban a cég hasznos hálózati kommunikációja zökkenőmentesen fog működni, és a felesleges forgalmak áramlása háttérbe szorítható. Amennyiben valaki a cég vonalán keresztül illegális tartalmakat próbálna letölteni, akkor a felhasználó azonosítható, tevékenysége felfüggeszthető. Szükség esetén időhöz kötve előírható, hogy mely felhasználó milyen honlapokat nézhet meg. Ez a példa elegendő lehet a rendszer lehetőségeinek érzékeltetésére, azonban a lehetőségek távolról sem merülnek ki ennyiben.

Az ALF rendszer rugalmassága lehetővé teszi, hogy a rendszer adminisztrátorai szinte tetszőleges szűréseket legyenek képesek elvégezni a biztonság és a használhatóság érdekében. A rendszer jól szabályozható statisztikai lehetőségeivel az adminisztrátorok folyamatos képet kaphatnak a rendszer működéséről, paramétereiről.

Az ALF tűzfalrendszer legfontosabb jellemzői:

  • Moduláris alkalmazásszintű tűzfalrendszer
  • Vegyes és homogén hálózatok támogatása (Windows, Unix alapú rendszerek)
  • Nagy tudású azonosító alrendszer (CryptoCard, jelszó, SKey)
  • Forgalom naplózása, statisztikák készítése
  • Finomhangolható protokollszűrő modulok
  • Magas rendelkezésre állás támogatása (HA)
  • Futásidejű csomagszűrő hangolás
  • A leggyakrabban használt protokollok támogatása
    • proxy: http, ftp, pop3, telnet, ldap, time-stamp, ocsp, session manager
    • natív: smtp, ntp, domain, ssl
    • autentikációs: client auth, ck
  • Ismeretlen TCP protokollok támogatása
  • Jól áttekinthető, könnyen tanulható konfigurációs nyelv
  • Leállítás nélküli konfigurálás

A rendszer működésének alapelvei

Az ALF finomhangolható, moduláris, transzparens alkalmazásszintű tűzfal. Mit jelent ez pontosan? Az alkalmazásszintű tűzfalak képesek a kliens és a szerver közti forgalom teljes elemzésére, és nagyon megnehezítik olyan kommunikáció átvitelét, amely árthat a kliensnek vagy a szervernek. A rendszer beállításait attól függően hangoljuk, hogy éppen szervereket vagy klienseket védünk. A szerver védelme esetén a szabályok szigorúbbak, ezzel a támadás esélyét is csökkentik. Védelmük esetén alapelvünk az, hogy inkább utasítson el a tűzfal néhány szabálytalan, de nem támadó jellegű kérést, mint hogy egy támadó jellegűt beengedjen. Kliensek védelme esetén szem előtt tartottuk, hogy a felhasználók ne érezzék nyűgnek a túlzott védelem okozta működést. Általánosan ismert tény, hogy a biztonság és a kényelem általában fordítottan arányos, ezért a kliensek védelménél úgy hangolható a tűzfal, hogy a rendszer védelme ne sérüljön, de a felhasználók is hatékonyan használhassák a hálózatot.

fw_layers.hu

A rendszer teljes mélységében képes elemezni a hálózati forgalmat. Moduláris felépítéséből következően még az egymásba ágyazott forgalmak elemzésére is képes. Ez azt jelenti, hogy ha a védett webszerver titkosított (https) kapcsolaton keresztül érhető el, akkor a rendszer egyik modulja képes ennek a titkosító rétegnek az eltávolítására, és így visszafejtve a webprotokoll elemző modul már képes a hálózati forgalom átfogó elemzésére.

alf_inside.hu

Az ALF rendszer független, különálló modulokból áll, amelyek a saját részfeladataik tökéletes ellátására lettek kifejlesztve. Ezek a modulok nem csak logikailag, hanem fizikailag is különálló egységek. Ez két szempontból is továbblépés a piacon lévő többi tűzfalhoz képest. Egyrészt a több processzoron vagy számítógépen futó modulok képesek együttműködni, így ez a rendszer komoly terhelés mellett is képes ellátni a hálózat védelmét. A másik – és még fontosabb – előny, hogy a modulok tökéletesen el vannak választva egymástól, ezzel a legfontosabb biztonságtechnikai alapelvet viszi tökélyre a rendszer: a különálló funkciók és biztonsági szintek teljes mértékben külön vannak választva (ne felejtsük: akár különálló számítógépen is futhatnak!).

A transzparencia azt jelenti, hogy a rendszer a kliensek és a szerverek szempontjából is teljesen átlátszó, sőt, helyesebb ez a kifejezés: láthatatlan. Ezt úgy éri el a rendszer, hogy a kimenő és a bejövő kapcsolatokat is magára irányítja. Ha beépítünk a hálózatba egy ALF tűzfalat, akkor a belső és a külső hálózat gépeinek erről nem is kell tudnia, semmilyen konfigurációmódosításra nincs szükség.

Az ALF tűzfal üzemeltetéséhez szükséges ismeretekről oktatást is tartunk, amely végén ALF Expert vizsga tehető. Erről a lehetőségről kérjük érdeklődjön email-ben az info@andrews.hu címen.