⚔️ 📦 👩‍👦 ISPDセキュリティ用のソフトウェアファイアウォールの概要 🙆 🧓🏻 🖐🏻

この記事の目的は、ISDNの保護に使用できる認定されたファイアウォールを比較することです。このレビューでは、ロシアのFSTECの登録簿から作成された認定ソフトウェア製品のみを考慮しています。

特定のレベルの個人データセキュリティのためにファイアウォールを選択する

このレビューでは、表1に示されているファイアウォールについて検討します。この表は、ファイアウォールの名前とそのクラスを示しています。この表は、個人データを保護するソフトウェアを選択する場合に特に役立ちます。

表1. FSTEC認定ファイアウォールのリスト

ソフトウェア製品	MEクラス
ME「Block Post-Screen 2000 / XP」	4
特別なソフトウェア「Z-2」ファイアウォール、バージョン2	2
TrustAccess情報セキュリティツール	2
TrustAccess-S情報セキュリティツール	2
StoneGate Firewall	2
Security Studio Endpoint Protectionパーソナルファイアウォール	4
ソフトウェアパッケージ「Security Server CSP VPN Server。バージョン3.1」	3
ソフトウェアパッケージ「Security Gateway CSP VPN Gate.Version 3.1」	3
ソフトウェアパッケージ「セキュリティクライアントCSP VPNクライアント。バージョン3.1 "	3
ファイアウォールソフトウェアパッケージIdeco ICS 3	4
ソフトウェアパッケージ「Traffic Inspector 3.0」	3
暗号情報保護の手段「Continent-AP」。バージョン3.7	3
ファイアウォール「サイバーセーフ：ファイアウォール」	3
ソフトウェアパッケージ「インターネットゲートウェイIdeco ICS 6」	3
VipNet Officeファイアウォール	4

FSTECレジストリによると、これらのソフトウェア製品はすべてファイアウォールとして認定されています。

2013年2月18日付けのロシアFSTECの第21号の命令によれば、個人データ（以下PDと呼びます）の第1レベルと第2レベルの保護を確保するため、第1または第2タイプの脅威の緊急性または情報システムの相互作用（IS ）国際情報交換のネットワークと、第3種の脅威の関連性があり、IPとインターネット間の相互作用がない場合に、少なくともクラス4のファイアウォールを使用します。

PDに3レベルのセキュリティを提供するには、少なくともクラス3（またはタイプ3の脅威とIPとインターネット間の相互作用の欠如の場合はクラス4）のファイアウォールが適しています。また、4つのレベルのセキュリティを提供するには、最も単純なファイアウォール（少なくともグレード5）が適しています。ただし、これらは現在FSTECレジストリに登録されていません。実際、3番目のタイプの脅威やインターネットとの相互作用がなければ、表1に示す各ファイアウォールを使用して、1〜3のセキュリティレベルを提供できます。インターネットに接続している場合は、少なくとも3つのクラスのファイアウォールが必要です。

ファイアウォールの比較

ファイアウォールには特定の機能セットがあります。それでは、これまたはファイアウォールが提供する（または提供しない）機能を見てみましょう。ファイアウォールの主な機能は、特定のルールセットに基づいてパケットをフィルタリングすることです。当然のことながら、すべてのファイアウォールがこの機能をサポートしています。

また、問題のファイアウォールはすべてNATをサポートしています。ただし、ポートマスク、負荷制御、マルチユーザーモードの操作、整合性制御、ActiveDirectoryでのプログラムの展開、外部からのリモート管理など、非常に具体的な（しかしそれほど有用ではない）機能があります。非常に便利なことに、プログラムがActiveDirectoryへの展開をサポートしていることを認める必要があります。ネットワーク上の各コンピューターに手動でインストールする必要はありません。ファイアウォールが外部からのリモート管理をサポートしている場合も便利です。自宅を離れることなくネットワークを管理できます。これは、機能をリモートで実行することに慣れている管理者に関連します。

読者はおそらく驚くでしょうが、ActiveDirectoryでの展開は表1に示されているファイアウォールの多くをサポートしていません。これは、ロードバランシングやポートのマスキングなど、他の機能についても同様です。どのファイアウォールがこの機能またはその機能をサポートしているかを説明しないために、表2でそれらの特性を体系化しました。

表2.ファイアウォール機能

ファイアウォールをどのように比較しますか？

個人の保護におけるファイアウォールの主なタスクは、ISPDnの保護です。したがって、管理者は多くの場合、ファイアウォールにどのような追加機能があるかを気にしません。彼にとって次の要素が重要です。

保護時間 。ここで明らかなように、速いほど良い。
使いやすさ 。レビューに示されているように、すべてのファイアウォールが同じように便利なわけではありません。
コスト 。多くの場合、金融面が重要です。
配達時間 。多くの場合、配信時間が短いため、今すぐデータを保護する必要があります。

すべてのファイアウォールのセキュリティはほぼ同じです。それ以外の場合、証明書はありません。

レビュー中のファイアウォール

次に、VipNet Office Firewall、Cybersafe Firewall、TrustAccessの3つのファイアウォールを比較します。

TrustAccessファイアウォールは、サーバーとワークステーションを不正アクセスから保護し、エンタープライズIPへのネットワークアクセスを制限するように設計された集中管理を備えた分散ファイアウォールです。

サイバーセーフファイアウォールは、外部の悪意のある影響からコンピューターシステムとローカルネットワークを保護するために設計された強力なファイアウォールです。

ViPNet Office Firewall 4.1は、ローカルネットワークのセグメント間のトラフィックおよびトラフィック変換（NAT）を、相互作用中、およびローカルネットワークノードとパブリックネットワークのリソース間の相互作用中に制御および管理するように設計されたソフトウェアファイアウォールです。

ISPD保護時間

ISPD保護時間とは何ですか？実際、これはプログラムをネットワーク上のすべてのコンピューターに展開するのにかかる時間であり、ルールを構成するのにかかる時間です。後者は、ファイアウォールの使いやすさに依存しますが、最初は、インストールパッケージの集中インストールへの適応性に依存します。

3つのファイアウォールはすべてMSIパッケージとして配布されます。つまり、ActiveDirectory展開ツールを使用してそれらを一元的にインストールできます。それは簡単に思えます。しかし、実際にはそうではありません。

企業は通常、集中型ファイアウォール管理を使用します。これは、ファイアウォール管理サーバーが一部のコンピューターにインストールされ、クライアントプログラムが残りのコンピューターにインストールされること、またはエージェントとも呼ばれることを意味します。全体の問題は、エージェントをインストールするときに、少なくとも管理サーバーのIPアドレス、およびおそらくパスワードなどの特定のパラメーターを設定する必要があることです。

したがって、.msiファイルをネットワーク上のすべてのコンピューターに展開する場合でも、それらを手動で構成する必要があります。また、ネットワークが大きいため、これはあまり望ましくありません。コンピューターが50台しかない場合でも、考えてみてください。各PCに移動して構成します。

問題を解決する方法は？また、MSIファイルの応答ファイルでもある変換ファイル（MSTファイル）を作成することで問題を解決できます。しかし、VipNet Office FirewallもTrustAccessもこれを行うことができません。ところで、表2は、Active Directoryの展開がサポートされていないことを示している理由です。これらのプログラムをドメインに展開できますが、管理者の手作業が必要です。

もちろん、管理者はOrcaなどのエディターを使用してMSTファイルを作成できます。

図 1. Orcaエディター。 TrustAccess.Agent.1.3.msiの.msstファイルを作成しようとしました

しかし、あなたは本当に簡単だと思いますか？ Orcaで.msiファイルを開き、いくつかのパラメーターを修正して、準備ができた応答ファイルを取得しましたか？あった！まず、Orca自体はインストールされていません。 7-Zip extract orca.msiを使用してWindows Installer SDKをダウンロードし、インストールする必要があります。これについてご存知ですか？そうでない場合は、必要な情報の検索、ソフトウェアのダウンロード、およびエディターのインストールに15分かかったと考えてください。しかし、これですべての苦しみが終わるわけではありません。 MSIファイルには多くのオプションがあります。写真を見てください。 1-これらは、プロパティグループのパラメータのみです。サーバーのIPアドレスを示すために変更するものはどれですか？知ってる？そうでない場合は、2つのオプションがあります。各コンピューターを手動で構成するか、開発者に連絡するか、回答を待つなどです。開発者がときどき反応することを考えると、プログラムの実際の展開時間は、コンピューター間の移動速度のみに依存します。事前にリモートコントロールツールをインストールしておけば、展開が高速になります。

Cybersafeファイアウォールは独自にMSTファイルを作成します。1台のコンピューターにインストールして、大切なMSTファイルを取得し、グループポリシーで指定するだけです。これを行う方法については、記事「個人データの保護における情報システムの差別化」を参照してください。一部のクリープ（またはそれ以下）については、ネットワーク上のすべてのコンピューターにファイアウォールを展開できます。

そのため、Cybersafe Firewallの評価は5、競合他社は3です（少なくともインストーラーは.exeではなくMSI形式であるため）。

製品	格付け
VipNet Officeファイアウォール
サイバーセーフファイアウォール
TrustAccess

使いやすさ

ファイアウォールはワードプロセッサではありません。これはかなり具体的なソフトウェア製品であり、その使用は「インストール、構成、忘れ」の原則に限定されます。一方で、ユーザビリティは二次的な要因です。たとえば、Linuxのiptablesは便利とは言えませんが、それを使用しますか？一方、ファイアウォールが便利であればあるほど、ISPDnを保護し、その管理のためのいくつかの機能を実行できるようになります。

さて、ISDNの作成と保護の過程で、考慮されているファイアウォールがどれほど便利かを見てみましょう。

まず、VipNet Office Firewallから始めます。これは、私たちの意見ではあまり便利ではありません。 IPアドレスのみでグループ内のコンピューターを選択できます（図2）。つまり、IPアドレスへのバインドがあり、異なるサブネットで異なるISDNを選択するか、1つのサブネットをIPアドレスの範囲に分割する必要があります。たとえば、管理、会計、ITの3つのISPDnがあります。管理グループのコンピューターが192.168.1.10-192.168.1.20、アカウンティング192.168.1.21-192.168.1.31などの範囲からIPアドレスを「取得」するようにDHCPサーバーを構成する必要があります。これはあまり便利ではありません。 VipNet Office Firewallが1ポイントを獲得するのはまさにそのためです。

図 2.コンピューターグループを作成する場合、IPアドレスへの明示的なバインドがあります

それどころか、サイバーセーフファイアウォールでは、IPアドレスにバインドされていません。グループの一部であるコンピューターは、異なるサブネット、同じサブネットの異なる範囲、さらにはネットワークの外側に配置できます。写真を見てください。 3.会社の支店は異なる都市（ロストフ、ノヴォロシースクなど）にあります。グループの作成は非常に簡単です。コンピューター名を目的のグループにドラッグし、[ 適用 ]ボタンをクリックするだけです。その後、[ ルールの設定 ]ボタンをクリックして、各グループに特定のルールを作成できます。

図 3. Cybersafe Firewallのグループ管理

TrustAccessに関しては、システム自体との密接な統合に注意する必要があります。すでに作成されたユーザーとコンピューターのシステムグループは、ファイアウォール構成にインポートされます。これにより、ActiveDirectory環境でのファイアウォールの管理が容易になります。ファイアウォール自体にISDNを作成することはできませんが、Active Directoryドメイン内の既存のコンピューターグループを使用します。

図 4.ユーザーおよびコンピューターグループ（TrustAccess）

3つのファイアウォールはすべて、いわゆるスケジュールを作成することができます。これにより、管理者は、時間後にインターネットへのアクセスを制限するなど、スケジュールに従ってパケットの通過を設定できます。 VipNet Office Firewallでは、スケジュールは[ スケジュール]セクションで作成され（図5）、Cybersafe Firewallでは、ルールのランタイムはルール自体が定義されたときに設定されます（図6）。

図 5. VipNet Office Firewallのスケジュール

図 6. Cybersafe Firewallのランタイムルール

図 7. TrustAccessでのスケジュール

3つのファイアウォールはすべて、ルール自体を作成するための非常に便利な手段を提供します。また、TrustAccessは便利なルール作成ウィザードも提供します。

図 8. TrustAccessでのルールの作成

レポート（雑誌、ログ）を受信するためのツールである別の機能を見てみましょう。 TrustAccessで、イベントに関するレポートと情報を収集するには、イベントサーバー（EventServer）とレポートサーバー（ReportServer）をインストールする必要があります。これが欠陥ではなく、むしろこのファイアウォールの機能（ビルゲイツが言ったように「機能」）。 CybersafeおよびVipNet Officeファイアウォールに関しては、両方のファイアウォールがIPパケットログを表示する便利な手段を提供します。唯一の違いは、Cybersafe Firewallが最初にすべてのパケットを表示し、テーブルヘッダーに組み込まれたフィルターの機能を使用して必要なパケットをフィルター処理できることです（図9）。また、VipNet Office Firewallでは、最初にフィルターをインストールしてから結果を表示する必要があります。

図 9. Cybersafe FirewallでのIPパケットログの管理

図 10. VipNet Office FirewallでIPパケットログを管理する

ログをExcelまたはHTMLにエクスポートする機能がないため、Cybersafeのファイアウォールから0.5ポイントを削除する必要がありました。この機能はそれほど重要ではありませんが、たとえば、「デブリーフィング」のために、ログからいくつかの行を簡単かつ迅速にエクスポートすると便利な場合があります。

したがって、このセクションの結果：

製品	格付け
VipNet Officeファイアウォール
サイバーセーフファイアウォール
TrustAccess

費用

多くの場合、製品を選択するときに決定的になるため、問題の財務面を回避することは不可能です。したがって、1つのViPNet Office Firewall 4.1ライセンス（1台のコンピューターで1年間のライセンス）のコストは15 710ルーブルです。また、1台のサーバーと5台のTrustAccessワークステーションのライセンスの費用は23 925ルーブルです。これらのソフトウェア製品のコストについては、記事の最後にあるリンクをご覧ください。

これらの2つの数値は15710 pです。 1台のPC（1年あたり）および23 925 p。 1台のサーバーと5台のPC（年間）。そして今、注意：このお金で、25ノードのCybersafe Firewall（15178 p。）のライセンスを購入するか、少し追加すれば50ノード（24025 p。）のライセンスで十分です。しかし、この製品で最も重要なことはコストではありません。最も重要なことは、ライセンスの期間と技術サポートです。サイバーセーフファイアウォールのライセンス-有効期限なし、技術サポート。つまり、1回支払うだけで、生涯ライセンスとテクニカルサポート付きのソフトウェア製品を入手できます。

製品	格付け
VipNet Officeファイアウォール
サイバーセーフファイアウォール
TrustAccess

納期

私たちの経験では、VipNet Office Firewallの配信時間は、Infotexに連絡してから約2〜3週間です。正直なところ、PAKではなくソフトウェア製品を購入することを考えると、これはかなり長い時間です。

TrustAccessの配達時間は、Softlineで注文した場合、1日からです。より現実的な期間は、ソフトラインの遅延を考えると3日間です。それらは1日で配信できますが、すべてSoftlineのワークロードに依存します。繰り返しますが、これは個人的な経験であり、特定の顧客の実際の用語は異なる場合があります。しかし、いずれにせよ、配達時間は非常に短いため、注意することはできません。

CyberSafe Firewallソフトウェア製品については、メーカーは支払い後15分以内に電子バージョンの配信を保証します。

製品	格付け
VipNet Officeファイアウォール
サイバーセーフファイアウォール
TrustAccess

何を選択しますか？

製品と技術サポートのコストのみに焦点を当てる場合、選択は明らかです-Cybersafe Firewall。サイバーセーフファイアウォールには、機能と価格の最適な比率があります。一方、Secret Netサポートが必要な場合は、TrustAccessに目を向ける必要があります。しかし、VipNet Office Firewallは優れたパーソナルファイアウォールとしてのみ推奨できますが、これらの目的のために、他の多くの無料ソリューションもあります。

製品	保護時間	便利さ	費用	納期	総得点
VipNet Officeファイアウォール	3	4	3	3	13
サイバーセーフファイアウォール	5	4,5	5	5	19.5
TrustAccess	3	5	4	5	17

レビューは専門家によって行われました。

インテグレーター会社DORF LLC

参照資料

VipNet Office Firewallのコスト

TrustAccessコスト

サイバーセーフファイアウォール

ISPDセキュリティ用のソフトウェアファイアウォールの概要