Безопасность -> Софт -> Outpost Office Firewall для сисадминов

Outpost Office Firewall для сисадминов

Совсем недавно российская компания Agnitum, производитель одного из ведущих персональных брандмауэров Outpost Firewall, выпустила очередную версию своего продукта - Outpost Firewall Pro 2.5. Однако сегодня речь пойдет не об этом (заслуживающем отдельной статьи) релизе, а о следующем анонсированном продукте компании - пилотной офисной версии брандмауэра Outpost Office Firewall. Скоро состоится презентация корпоративной версии, о которой читатели нашего издания узнают "из первых рук", а пока поведаем, что же нового ждет пользователя, прежде всего - системного администратора.

В первую очередь, отметим, что речь идет не о серверном варианте Outpost Firewall, а именно об офисной версии, то есть специализированном продукте, предназначенном для массового развертывания в корпоративной сети, на компьютерах пользователей. Востребованность такого продукта очевидна. Системные администраторы малых и средних локальных сетей хотели бы защитить компьютеры пользователей сети от атак и краж личных и корпоративных данных. Но далеко не всегда они могут положиться на самих пользователей, зачастую неопытных в вопросах сетевой безопасности. Поэтому они хотели бы иметь возможность простой и быстрой массовой удаленной установки брандмауэра на компьютеры пользователей, удобные инструменты для оперативного управления конфигурациями брандмауэров в сети, журналирования процесса установки и работы программы на компьютерах пользователей в Event Log, возможность централизованного обновления брандмауэров с корпоративного сервера для уменьшения трафика сети. Именно в этом и заключается предназначение Outpost Office Firewall.

Само понятие офисной версии подразумевает наличие как минимум двух компонентов: клиентской части - собственно брандмауэра, - и серверной части, управляющей конфигурацией клиентских компьютеров, ведущей статистику и так далее. Также необходимо некое средство развертывания - установки клиентской части на компьютеры пользователей. Теперь - обо всем по порядку.

Клиентская часть

Безусловно, в качестве клиентской части Outpost Office Firewall будет содержать некоторое подобие упомянутого свежеиспеченного Outpost Firewall Pro 2.5, который сам по себе является серьезным шагом вперед в защите персональных компьютеров. Завернутый в MSI брандмауэр будет наделен возможностью взаимодействия с сервером и нацелен на работу в корпоративной сети. В частности, контроль компонентов приложений (Component Control) и контроль скрытых процессов (Hidden Process Control) будут выключены по умолчанию, а брандмауэр будет загружаться в фоновом режиме. Эти изменения обеспечивают минимальное вовлечение работника фирмы в процесс защиты компьютера - многочисленные запросы сетевого доступа приложениями могли бы ввести неопытного пользователя в замешательство.

Также будет реализована возможность централизованного получения обновлений из локальной сети, а не с сервера компании Agnitum, что позволит снизить сетевой трафик. Сообщения об ошибках будут фиксироваться в "Журнале событий" системы (Event Log).

Серверная часть - средства управления

Средством управления и мониторинга всех инсталляций брандмауэра в корпоративной сети будет служить так называемый "Командный центр" Outpost (Outpost Command Center). Выполненный в виде оснастки "Консоли управления" (MMC snap-in), он устанавливается на сервере локальной сети или специально отведенной под эти цели рабочей станции. Одновременно с оснасткой "Командного центра" на компьютер устанавливается также редактор настроек Outpost Firewall, предназначенный для конфигурирования брандмауэра на клиентских машинах, а также две службы - "Служба обновлений" (Agnitum Update Service, AUS) и "Служба публикации" (Agnitum Publisher Service, APS), речь о которых пойдет ниже. В данной версии разнесение служб и "Командного центра" по разным серверам не предусмотрено.

Через "Командный центр" осуществляется управление службами, запуск редактора настроек и публикация конфигураций брандмауэра для клиентских машин. Кроме того, этот инструмент предоставляет cведения обо всех клиентских машинах, на которые установлен брандмауэр, статистику публикации конфигураций, загруженных и установленных обновлений.

Развертывание

Дистрибутив клиентской части Outpost Office Firewall выполнен в виде пакета MSI, что позволяет для развертывания его в домене Active Directory использовать групповые политики (Group Policy). Если инфраструктура вашей корпоративной сети основана на технологии Active Directory, то сисадмин может воспользоваться политикой установки ПО (Software installation policy) для назначения компьютерам пользователей установочного пакета брандмауэра, поставляющегося с офисной версией Outpost Firewall. Последовательность действий аналогична установке других программ через групповые политики. После перезагрузки компьютеров, к которым применена такая политика, на них будет установлен брандмауэр.

К сожалению, в анонсируемой пилотной версии это единственный механизм установки брандмауэра. Другие возможности, такие как установка с помощью Systems Management Server или logon script'ов, поддерживаться пока не будут. Таким образом, массовое автоматическое развертывание Outpost Firewall возможно будет только в доменах Active Directory и только на компьютерах с ОС Windows 2000 и старше. В остальных случаях установку придется произвести вручную.

Более того, клиентская часть Outpost Office Firewall не совместима с предыдущими версиями Outpost Firewall. Если на некоторых компьютерах уже установлена одна из предыдущих версий, включая Outpost Firewall 2.5, ее необходимо полностью удалить перед установкой офисного варианта. Фактически, не поддерживается и конфигурация старых версий, но, скорее всего, ее можно будет реанимировать вручную, отредактировав файл конфигурации.

Редактор настроек

Outpost Office Firewall предоставляет единый инструмент для настройки клиентских брандмауэров - Outpost Configuration Editor. Этот редактор объединяет все настройки Outpost:

• политика брандмауэра;
• создание/редактирование системных правил и правил для приложений;
• контроль компонентов и контроль скрытых процессов;
• настройки корпоративной сети;
• настройки подключаемых модулей;
• журнала Outpost и другие.

Таким образом, массовая конфигурация клиентских машин обещает быть централизованной, удобной и привычной для тех, кто уже пользовался Outpost Firewall.

Созданная конфигурация может быть немедленно опубликована для всех клиентских брандмауэров. В любой момент администратор может изменить конфигурацию, отредактировав, например, какое-то правило, и опубликовать новые настройки, которые будут отправлены и применены к клиентам по их очередному запросу. Outpost Configuration Editor позволяет также сохранять созданные и загружать готовые конфигурации из файла.

Служба автоматического обновления

Одна из главных особенностей Outpost Office Firewall - воможность централизованной закачки обновлений с сайта компании Agnitum на сервер локальной сети для последующего перенаправления их клиентам. Такое решение существенно экономит внешний трафик, так как всем клиентам не приходится загружать одни и те же файлы - они получают их непосредственно из своей локальной сети. За загрузку обновлений и передачу их клиентским компьютерам отвечает "Служба обновлений", запущенная на сервере локальной сети, где установлен "Командный центр" Outpost, который и производит управление службой.

Если служба включена, проверка наличия доступных обновлений проверяется по заданному администратором расписанию или по его требованию. Проверка обновления клиентом производится при каждой перезагрузке компьютера. Служба передает клиентам файлы загруженных обновлений по внутреннему протоколу, что позволяет избежать проблем с разрешениями на доступ к папке обновлений и вести статистику установленных на клиентах обновлений.

Служба публикации конфигураций

За передачу клиентам конфигураций брандмауэра, созданных с помощью редактора настроек, отвечает другая служба, входящая в поставку Outpost Office Firewall - "Служба публикации". Она также запущена на сервере, где установлен "Командный центр" Outpost, и также управляется с его помощью.

При каждой загрузке компьютер пользователя запрашивает конфигурацию. Если для него была создана и опубликована новая конфигурация, то "Служба публикации" передает клиенту файл по внутреннему протоколу. После получения настроек брандмауэр на компьютере пользователя запускает автоконфигурацию и применяет полученную конфигурацию.

Минусом нынешней реализации механизма публикаций является то, что данный набор настроек един для всех установок брандмауэра в сети. В первой версии Outpost Office Firewall не предвидится возможности назначения разных конфигураций различным группам клиентов (пользователей или компьютеров), что дало бы возможность работы на одном компьютере различным пользователям и при этом каждый из них имел бы, например, свои собственные настройки фильтрации активного содержимого веб-сайтов и рекламы. Также не планируется разрешать редактирование отдельных записей в конфигурации без затрагивания остальных параметров.

Резюме

Пробная версия офисного брандмауэра от Agnitum обещает сохранить все основные преимущества продуктов этой компании: быть максимально полезной и при этом простой в использовании. Принимая во внимание то, что компания оставила достаточно места для шага вперед, а также востребованность продукта такого рода на рынке безопасности, следует ожидать от компании дальнейших действий по развитию этого направления, а именно создания мощного офисного брандмауэра, отвечающего всем сегодняшним нуждам системных администраторов.

Автор: Роберт Басыров
Источник: www.hostinfo.ru