ПУТИ ПОВЫШЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ
ФИЛЬТР-СЕРВЕРА
Володин С.А., группа ТКС-06мн
Руководитель проф. Хорхордин А.В.
Вопросы
информационной безопасности в последнее время наиболее актуальны для сетей
корпораций, банков и для отдельных пользователей Интернет, поскольку организации
и люди должны быть уверены в сохранности и защищенности своей информации и
безошибочной работы приложений. К сожалению, в данный момент нет четкого
комплекса программно-аппаратных средств, способных надежно защитить информацию
пользователя.
Каждый
день появляются новые вредоносные атаки и вирусы. Обеспечение информационной
безопасности телекоммуникационных сетей осуществляется в первую очередь набором
информации о существующих атаках (сигнатуры атак), загруженных в соответсвующее
программное обеспечение фильтр-серверов. Такие сигнатуры ежедневно
разрабатываются антивирусными лабораториями. Поскольку производительность
фильтр-сервера может быть ниже производительности web-страниц, ftp-серверов и т.д., то существует
возможность пропуска информационной атаки. Поэтому каждый фильтр-сервер
(межсетевой экран), находящийся в сети, должен иметь производительность,
достаточную для обработки трафика, который перехватывается этим
фильтр-сервером. Главной задачей этой работы является разработка методов и
средств повышения производительности межсетевых экранов.
На
данный момент вопрос производительности не является новым, и ему посвящались
рекомендации и разработки. В первую очередь, это расширение возможностей
оборудования сервера: внедрение двух-, четырехядерных процессоров, либо
процессоров с кэшем большего размера, увеличение объема физической памяти,
файлов подкачки и т.д. Также предлагается использовать модули-ускорители
производительности межсетевых экранов. Установка модуля позволяет повысить
пропускную способность межсетевого экрана и добиться повышения
производительности на стандартном оборудовании. В этих исследованиях и разработках
конфигурацию оборудования фильтр-сервера рекомендуют выбирать эмпирически,
исходя из тестирования конкретной сети. И, естественно, чем выше его
производительность, тем больше вероятность отклика фильтр-сервера на ту или
иную атаку.
Мощный фильтр-сервер
необходимо устанавливать в каждом сегменте сети, а сегментов может быть большое
количество, поэтому возникает проблема экономии средств на обеспечение
информационной безопасности и рациональности выбора оборудования серверов.
Поэтому в данной работе
предлагаются способы повышения производительности межсетевых экранов
программным методом, а именно за счет оптимального администрирования системы и
правильной организации защищенных соединений между сетями, организации прокси-серверов,
веб-кэширования и т.д., а также мероприятий по развертыванию сети, обеспечивающих
оперативный отклик на возможную атаку.
Ниже
приводится комплекс мероприятий конфигурирования и настройки сети, необходимых для
получения положительных результатов в вопросе повышения производительности
фильтр-серверов и сети в целом.
Изначально
необходимо установить объем ресурсов, необходимых для развертывания
фильтр-сервера. Существует ряд стандартных схем, применимых к широкому кругу
вариантов развертывания. Как правило, в этом контексте за основу берутся
следующие показатели:
ü доступная и фактическая пропускная
способность всех сетей, к которым подключен фильтр-сервер;
ü число пользователей в телекоммуникационной
сети;
ü различные критерии уровня приложения.
В справочных материалах
есть возможность определить требования к серверу исходя из этих данных.
Далее идет описание
наиболее важных сценариев и приводятся соответствующие характеристики повышения
производительности.
а) Развертывание. Он определяет
положение фильтр-сервера в корпоративной интрасети. Наиболее распространены 3
варианта:
ü Пограничный межсетевой экран
Интернета. Для поддержания пропускной способности между внутренними сетями и
Интернетом на уровне сотен Мбит/c можно настроить фильтр-сервер только на
фильтрацию на уровне пакетов и переменную фильтрацию транспортного уровня.
Более сложная фильтрация на уровне приложений в таком случае должна быть
реализована на втором уровне защиты, который формируется из фоновых межсетевых
экранов.
ü Фоновый межсетевой экран (на уровне
отдела). Обрабатывает лишь часть общего объема трафика, проходящего через
пограничный межсетевой экран; в результате появляется возможность реализации
дополнительных ресурсоемких функций защиты — в частности, фильтров
приложений.
ü Межсетевой экран на уровне филиала. Филиальные
сети в безопасном режиме подсоединяются к головному офису через VPN-подключения.
Такое подключение с фильтрацией транспортного уровня потребляет в расчете на
единицу трафика лишь 25% от вычислительных мощностей, необходимых для
организации доступа в Интернет с фильтрацией на уровне приложений.
б) Веб-прокси. Большая
часть трафика в современных сетях передается по протоколу HTTP. Анализ трафика,
передаваемого по различным протоколам, свидетельствует о высоких требованиях
HTTP к производительности сети. Моделирование рабочей нагрузки с помощью
Интернет-трафика, таким образом, вполне показательно для измерения возможностей
и характеристик производительности межсетевых экранов.
в) Веб-кэширование. Это функция,
позволяющая повысить производительность фильтр-сервера во всех сценариях с
участием веб-прокси. Прямое кэширование сокращает число попыток доступа к
веб-серверам Интернета, обслуживая соответствующие запросы за счет данных из
кэша; в результате уменьшается потребление пропускной способности Интернет-канала.
К примеру, если коэффициент совпадения байтов при поиске в кэше составляет 20%,
а максимальная пропускная способность внутренних каналов равна 10 Мбит/с,
то пиковая загрузка Интернет-канала не превысит 8 Мбит/с.
г) Сжатие HTTP. Настройка сжатия HTTP позволяет фильтр-серверу
сокращать объем данных, снижая тем самым уровень загрузки ограниченной полосы
пропускания. Это, в частности, полезно в тех случаях, когда прокси в головном
офисе направляет Интернет-запросы напрямую в Интернет, а филиалы передают
запросы в головной офис по сети с ограниченной пропускной способностью. Для
сжатия данных HTTP применяется алгоритм GZip, а коэффициент сжатия обуславливается
типом конечных данных.
В данной работе были
рассмотрены пути повышения производительности средств защиты информационной
безопасности, которые основываются на применении некоторых сценариев
конфигурирования системы без
модернизации оборудования. Комплексное применение данных сценариев
увеличивает производительность не только фильтр-серверов, но и сети в целом.
Для того, чтобы получить
максимальный эффект информационной защиты, рекомендуется не только оптимальное
администрирование, но и использование последних обновлений сигнатур атак, а
также наличие серверов и станций с достаточным быстродействием.
Перечень
ссылок
1. Сети и системы связи №2 (80) 1
марта 2002 – 83 с.
2. «Microsoft ISA Server 2006 —
развертывание»/Электронный ресурс. Способ доступа: URL: http://www.microsoft.com/rus/technet/prodtechnol/isa/2006/deployment/default.mspx