Lan2net NAT Firewall 1.99
Разработчик: ООО "Ростбиохим"
Web:
Дистрибутив (демо)
Системные требования: Pentium II от 300 МГц, 256 Мб ОЗУ
ОС: Windows 2000/2003/XP
Функциональность: 7/10
Удобство управления: 8/10
Работа с пользователями: 9/10
Мониторинг и статистические отчеты: 8/10
Этот продукт разработан специально для применения в небольших офисах, где необходимо обеспечить безопасный доступ в интернет без привлечения специалистов. Для этого есть все необходимое: NAT, перенаправление соединений для доступа к внутренним сервисам "извне", DNS Forwarder. Защита обеспечивается файрволом сетевого уровня. Имеется возможность ручного создания белого и черного списка веб-адресов, куда можно прописывать URL, домен и поддомен, а также расширения файлов (к счастью, при составлении таких правил разрешается использование символов подстановки ? и *). Реализована система учета трафика с установлением индивидуальных квот. При перерасходе возможна блокировка доступа пользователя в интернет с предоставлением только необходимых для работы ресурсов (почта, корпоративный веб-сайт). Предусмотрено несколько вариантов аутентификации: NTLM, Windows, логин/пароль, IP, MAC, IP+MAC, диапазон IP, с помощью клиента Lan2net Login Client и без аутентификации.
Для удобства управления и создания правил доступа пользователи объединяются в группы. При этом учетную запись очень просто перенести в другую группу. Достаточно захватить имя и перетащить мышкой на новое место. Средствами Lan2net легко создать группы, которым разрешен, например, доступ только к почте или веб-сервисам.
Инсталляция продукта тривиальна. Сразу после ее окончания будет предложено войти в консоль; здесь же предлагается сменить пароль администратора (по умолчанию он пустой). После установки Lan2net находится в режиме настройки, при котором firewall отключен, и все пакеты проходят без фильтрации. Мастер быстрой настройки, появляющийся при первом запуске консоли, поможет быстро сформировать нужные правила. Здесь всего несколько шагов - выбор конфигурации (сервер, клиентский комп); далее указываем WAN- и LAN-интерфейсы, NAT уже включен. После завершения работы мастера разрешены любые соединения из LAN, и блокируются все подключения из внешней сети. Если присутствует несколько LAN-интерфейсов, их затем следует добавлять в консоли, во вкладке "Интерфейсы".
Следует помнить, что правила firewall разбиты на две группы. Правила, настраиваемые в разделе "Правила Firewall", имеют более высокий приоритет перед настройками в правилах пользователей. Поэтому общие блокировки и контроль определенного типа трафика (веб, почта и т.п.) прописываем в "Правила Firewall", а персональные – в "Группы и правила пользователей", которые обрабатываются в том случае, если не сработали первые. Все настройки в Lan2net производятся при помощи мастеров, поэтому разобраться будет нетрудно.
Вкладка "Мониторинг" позволяет просматривать текущие соединения. Здесь же, используя контекстное меню, можно на основе определенного события создать правило firewall. В отдельной вкладке доступен журнал логов, где можно сформировать отчет по любому событию. Для просмотра статистики (админом и пользователями) Lan2net имеет встроенный веб-сервер.
ViPNet OFFICE FIREWALL 3.1
Разработчик: ОАО "ИнфоТеКС"
Web:
Форма на демо версию
Системные требования: Pentium III от 500 МГц, 512 Мб ОЗУ
ОС: Windows 2000/XP/2003/Vista/2008, есть Linux-версия
Функциональность: 6/10
Удобство управления: 8/10
Работа с пользователями: 5/10
Мониторинг и статистические отчеты: 6/10
Продукт от ИнфоТеКС позиционируется как файрвол, предназначенный для защиты сетей небольших и средних компаний. Подключение клиентов к интернету реализуется путем динамического NAT. Статическая трансляция сетевых адресов позволяет публиковать во внешней сети внутренние сервера. Продукт работает с любым количеством сетевых адаптеров и поддерживает различные методы подключения к Сети. Предусмотрена возможность назначить для каждого сетевого интерфейса диапазон допустимых IP-адресов. Это позволяет блокировать системы с адресами из другой зоны (анти-спуфинг). Учитывая, что никаких других возможностей по аутентификации отдельного пользователя нет, эта функция лишней не будет.
Кроме того, каждый адаптер может устанавливаться в один из пяти режимов безопасности. Так, первый режим блокирует, а пятый разрешает весь IP-трафик. Режим 4 действует на локальные соединения, разрешая весь трафик. Эти режимы не являются рабочими и рекомендуются только на период тестирования. При обычной эксплуатации обычно задействуются второй и третий режим. Режим 2 установлен по умолчанию и блокирует все соединения, кроме явно разрешенных в правилах. В режиме 3 файрвол пропускает исходящие соединения, кроме явно запрещенных, и блокирует входящие соединения. Наиболее оптимальным является установка внешнего адаптера в режим 2 (или 3), внутреннего – в режим 3 (2, иногда 4), а затем донастройка под конкретную задачу, если текущих установок будет недостаточно. Настройки сетевых фильтров можно активировать по расписанию, что, несомненно, упростит жизнь админу (например, можно отключить на ночь все ненужные соединения). Система обнаружения атак (IDS) распознает и блокирует наиболее распространенные сетевые атаки (WinNuke, Land, Teardrop, Ssping, Tear2, NewTear, Bonk, Boink, Dest_Unreach, UDP flood, Ping flood, OOBnuke и т.д.) во входящем и исходящем потоке (активируется дополнительно).
ViPNet OFFICE FIREWALL осуществляет обработку прикладных протоколов FTP, HTTP и SIP. При необходимости администратор может уточнить этот список. При работе на локальной системе контролируются и приложения, требующие доступа в Сеть. При попытке соединиться с удаленным узлом администратор получает уведомление, в котором можно разрешить или запретить работу с сетью указанному приложению. Функция веб-фильтрации позволяет блокировать баннеры, интерактивные элементы веб-страниц, а также Referrer и Cookie, позволяющие отследить действия пользователя в интернете.
Еще одна особенность - возможность создания нескольких конфигураций и быстрого переключения между ними. Реализована простая статистика по пропущенным и блокированным IP-пакетам и журнал IP-пакетов. Последний позволяет отобрать, основываясь на различных критериях, и просмотреть подробности событий. Результат затем можно экспортировать в HTML или Excel. К сожалению, возможностей по учету трафика нет.
Интерфейс консоли управления интуитивно понятен. Доступны следующие пункты: Сетевые фильтры, Сетевые интерфейсы, Трансляция адресов, Блокированные IP-пакеты, Статистика, Обнаружение атак, Журнал IP-пакетов, Конфигурация.
Заблокированные пакеты отображаются в одноименном окне. Используя эту информацию из контекстного меню, можно создать новое правило доступа или фильтр протоколов. При ручном создании правила в окне "Сетевые фильтры" следует указать IP-адреса и интерфейсы. После создания правила можно добавить к нему фильтр протоколов, указав протокол, направление действия и расписание.
WinProxy 1.5.3
Разработчик: LAN-Projekt
Web:
Дистрибутив
Системные требования: 80486, 8 Мб ОЗУ
ОС: Windows 95/98/ME/NT/2000 (официально), работает и в Windows XP/2003
Функциональность: 6/10
Удобство управления: 7/10
Работа с пользователями: 5/10
Мониторинг и статистические отчеты: 5/10
В отличие от остальных продуктов, поддерживающих NAT, WinProxy – классический прокси-сервер. При его использовании пользователи должны настроить приложения для выхода через промежуточный узел, в качестве сервера указав адрес системы с WinProxy и порт (по умолчанию 3128). Можно сказать, это единственная настройка, которую предстоит выполнить. Поддерживается работа с HTTP, HTTPS, FTP, Telnet, NNTP, SMTP/POP3 (по умолчанию отключен), Real Audio, GOPHER и SOCKS. При этом WinProxy может быть не только шлюзом SMTP/POP3, но и почтовым сервером, умеющим отправлять, собирать и рассортировывать почту с нескольких POP3-ящиков. Необходимое переключение и настройки производятся в меню Mail.
Функция Port Mapping позволяет перенаправлять соединения к удаленным портам, поэтому можно без проблем настроить подключение к ICQ, IRC и другим сервисам. Возможность кэширования HTTP, FTP и GOPHER трафика дает возможность снизить нагрузку на канал. Предусмотрен вызов по требованию для dial-up (PPPoE, модем и т.п.) подключений. Возможно каскадирование прокси-серверов.
WinProxy поддерживает до 900 пользователей, которые могут входить в 100 групп. Доступ реализован посредством ввода логина и пароля.
Управление настройками производится при помощи браузера, для чего следует подключиться к 3129 порту. В целях безопасности можно указать сетевые адреса, с которых разрешено управление.
Заключение
Доступные решения очень сильно отличаются функционально (и, конечно, ценой), поэтому следует присмотреться к ним и выбрать наиболее подходящий продукт под конкретные условия и задачи. Среди лидеров можно выделить UserGate - единственный из обзора, умеющий проверять трафик антивирусом, причем сразу двумя. Он будет полезен также в том случае, если понадобится SIP-сервер для внутренних переговоров.
INFO
У UserGate есть встроенный SIP-сервер.
Особенность WinProxy – наличие почтового сервера.
Автор: Сергей «grinder» Яремчук