Moduły
Składniki i opcje
Podstawowe zestawy:
- Secure Virtual Network Solutions (VPN-1 & FloodGate) Kompletny zestaw zawierający: konsolę zarządzającą, moduł VPN i moduł FloodGate
- VPN-1 Zestaw zawierający: konsolę zarządzająca i moduł VPN. Brak FloodGate-1 (sterowania przepustowością pasma)
- FireWall-1 Zestaw zawierający: konsolę zarządzającą i moduł FireWall-1. Brak FloodGate-1 (sterowania przepustowością pasma) i VPN-1 (szyfrowanie, wirtualne sieci prywatne).
- Internet Gateway: kompletny pakiet przeznaczony do instalacji na jednym pomoście. Zawiera moduł i konsolę.
- Enterprise Center: kompletny pakiet z licencją na chronioną sieć o nieograniczonej ilości adresów IP i konsolą typu Enterprise. Zawiera jeden moduł.
Moduły, komponenty, opcje
- Enterprise Management Console jest konsolą administrowania systemem zaporowym pracującą w architekturze dystrybucyjnej. Technologicznie jest to niezależny proces systemu operacyjnego komunikujący się z jednej strony z interfejsem graficznym administratora GUI, z drugiej zaś z modułami VPN-1/FireWall-1 odpowiadającymi za bezpośrednią ochronę węzłów sieci (węzeł sieci jest definiowany jako urządzenie przetwarzania danych, zlokalizowane w sieci chronionej, posiadające własny adres IP). Zabezpieczenia realizowane na routerach sieci, obejmujące np. kontrolę dostępu ACL (Access Control List), mogą być także administrowane przez Management Console po dokonaniu jej rozszerzenia o moduł Open Security Extension. Konsola może także zarządzać modułami VPN-1/FireWall-1 pracującymi na specjalizowanych urządzeniach takich jak routery NOKIA czy Xylan. Konsola jest potrzebna do zarządzania modułami: VPN-1, FireWall-1 lub FloodGate oraz pakietami SecureServer. Nie należy mylić konsoli z interfejsem GUI, który stanowi pomost pomiędzy administratorem, a procesem konsoli. Interfejs GUI łączy się z odległej lub lokalnej stacji roboczej z konsolą. Konsola nie jest potrzebna do zarządzania produktami typu Internet Gateway, które zawierają konsolę z wymogiem instalacji na tej samej maszynie, co zarządzany moduł. Taka konsola nie może jednak zarządzać innymi modułami na innych maszynach.
- Motif GUI stanowi graficzny interfejs administratora pracującego w środowisku X-Windows (UNIX). Aktualnie jest to płatna opcja. Obsługuje platformy AIX, HP-UX i Solaris/SPARC. Każdy pakiet FireWall-1 zawiera GUI dla Windows (95/98/NT) oraz GUI dla OpenLook (Solaris). Oczywiście można zarządzać modułem FireWall-1 pracującym na systemie UNIX z poziomu stacji Windows 95/98/NT.
- SecureServer oferuje następujące mechanizmy ochrony pojedynczego serwera: kontrola dostępu, autentykacja klienta i sesji, transtlację adresów i audyt. W wersji 4.0 pakiet był znany pod nazwą Host Module.
- Firewall Module posiada te same własności i funkcjonalność, co SecureServer z rozszerzeniem o możliwości prowadzenia mocnego uwierzytelniania tożsamości użytkowników (np. SecurID), wykonywania kontekstowej kontroli komunikacji sieciowej (np. kontroli antywirusowej plików FTP i załączników e-mail, blokowania Java i ActiveX) oraz działania w systemie pracy synchronicznej z innym modułami (w razie upadku jednego modułu FireWall-1 drugi może przejąć kontrolowane przez niego sesje). Cena modułu jest uzależniona od liczby chronionych węzłów (adresów IP) sieci prywatnej.
- Add-on VPN Module jest modułem szyfrującym umożliwiającym tworzenie bezpiecznych wirtualnych sieci prywatnych VPN zarówno w połączeniach firewall-z-firewall jak i firewall-z-klient. Każdy z modułów szyfrujących może współdziałać z innym modułem tego samego typu (tzn. innym FireWall-1) lub klientem PC, funkcjonującym na platformie Windows 95/98/NT (wyposażonym w bezpłatne oprogramowania FireWall-1 SecuRemote). Moduły szyfrujące FireWall-1 dostępne są wersjach: FWZ1 (opartej o algorytm szyfrowania FWZ1, który nie podlega restrykcjom eksportowym), DES (opartej o algorytm szyfrowania DES, wymagający specjalnego zezwolenia importowego wydawanego indywidualnie dla określonego użytkownika) oraz 3DES (168-bitów, także wymaga zezwolenia).
- VPN-1 SecureServer jest kombinacją modułu SecureServer i modułu szyfrującego. Oferowane są te same algorytmy szyfrowania, co w przypadku modułów VPN.
- VPN-1 Module jest kombinacją Firewall Module i modułu szyfrującego. Oferowane są te same algorytmy szyfrowania, co w przypadku modułów VPN. Funkcjonalnie moduł VPN-1 jest dokładnie tym samym, co Firewall Module + VPN (Encription) Module.
- SecuRemote jest klientem pracującym na stacjach Windows 95/98/NT komunikującym się z Encryption Module (VPM-1 Module) i ustanawiającym z nim bezpieczny, szyfrowany tunel VPN. Jest to idealne rozwiązanie dla pracowników w ruchu korzystających z ogólnodostępnych zasobów Internet w celu połaczenia się z serwerami własnej firmy.
- SecureClient jest modyfikacją SecuRemote wzbogaconą o mechanizmy lokalnej" zapory ogniowej. Polityka bezpieczeństwa dostarczana jest do stacji desktop z centralnego serwera FireWall-1. Opcja nadaje się idealnie do tworzenia wewnętrznych VPNów.
- Reporting Module jest pakietem przeznaczonym do analizy dzienników modułów FireWall-1/VPN-1. Zawiera szereg mechanizmów tworzenia raportów, wykresów i analiz. Pracuje na platformie Windows NT i obsługuje VPN-1/FireWall-1 4.0 SP2 (lub nowszy).
- High Availability Module przeznaczony jest do budowania instalacji VPN-1/FireWall-1 o wysokim stopniu niezawodności.
- Connect Control Moduleumożliwia podniesienie efektywności funkcjonowania systemu informatycznego poprzez wdrożenie mechanizmu równoważenia obciążenia serwerów sieciowych (np. grupy serwerów WWW).
- Open Security Extension (OSE) umożliwia prowadzenie zcentralizowanego zarządzania list kontroli dostępu ACL oraz innych zabezpieczeń zrealizowanych na router-ach Bay Networks, 3Com i Cisco oraz stacjach gateway zbudowanych na platformie Microsoft Windows NT (Steelhead). OSM zarządza także systemami Cisco PIX firewall. Cena produktu zależy od liczby administrowanych urządzeń (3Com, Bay, Cisco i gateway Windows NT lub PIX).
- Certificate Manager jest rozwiązaniem "pod klucz", umożliwiającym sprawne wdrożenie infrastruktury klucza publicznego PKI w środowisku wirtualnych sieci prywatnych VPN. Certyfikaty mogą być używane przez inne meduły VPN-1/FireWall-1 i SecuRemote.
- Account Management Module umożliwia pracę systemu autoryzującego FireWall-1 w środowisku LDAP. Zawiera Netscape Directory Server.
- FloodGate-1 Module jest modułem umożliwiającym prowadzenie nadzoru i sterowania przepływu danych w sieci korporacyjnej. Produkt pozwala na wdrożenie elastycznej polityki zarządzania ruchu sieciowego z uwzględnieniem szerokości pasma dedykowanego dla poszczególnych protokołów oraz ich priorytetu. Moduły mogą pracować niezależnie lub wspólnie z modułami VPN-1/FireWall-1. DO ich zarządzania konieczna jest konsola (ta sama, co dla modułów FireWall-1/VPN-1).
- Meta IP to zintegrowany zestaw serwisów sieciowych udostępniających łatwe w użyciu i niezawodne usługi dla użytkowników i urządzeń podłączonych do sieci IP. Umożliwia prowadzenie kontroli oraz wspomaganie procesu adresowania sieci IP, a także nadzorowanie pracy urządzeń i usług sieciowych. Meta IP zawiera następujące serwisy: Dynamic DNS, DHCP, User to Address Mapping (UAM), narzędzia rejestrowania i raportowania zdarzeń, konsolę zarządzającą, repozytorium LDAP do zapisywania polityki zarządzania sieci IP. Pozwala na budowanie polityki bezpieczeństwa opartej o użytkowników, a nie adresy IP.