KATSAUS K A T S A U Spalomuurit TEKSTI: ARI HAAPALAINEN KUVITUS: ERIC LERAILLEZ Viisas huolehtii tietoturvasta ajoissa ja edullisemmin PALOMUURI SUOJAA TIETOSI Kun lähiverkosta avataan internet-yhteys, avautuu asiattomille tunkeilijoille samalla portti yrityksen tietovarastoon. Tietovuotoa voidaan tehokkaimmin paikata palomuurilaitteella tai -ohjelmalla. Palomuurin keskeinen tehtävä on suojata lähiverkkoa ulkoverkosta tulevia tunkeutujia vastaan. Ulkoisella verkolla tarkoitetaan yleensä internetiä, mutta se voi olla esimerkiksi yrityksen kumppaniverkko (extranet) tai tytäryrityksen lähiverkko. Myös suojaamaton datayhteys yrityksen johonkin verkon osaan voi tarjota helpon takaportin urkkijalle, vaikka yrityksen oma lähiverkko olisikin suojattu palomuurilla. Pienimmillään palomuuri on levykkeeltä ladattava ohjelmisto, joka toimii lähes millaisessa mikrossa tahansa. Toista ääripäätä edustavat yksinomaan suojaustarkoitukseen pyhitetyt laitteistot, joiden hintaskaala liikkuu jopa sadoissa tuhansissa markoissa. Ratkaisuhaitarin väliin mahtuu monenkirjavia vaihtoehtoja asiakkaan tarpeesta, tuotteen ominaisuuksista ja suorituskyvystä riippuen. Palomuureja käyttävät sekä liikeyritykset että internet-operaattorit. Toivottavasti myös enemmistö kotitoimistoista. Kotikäyttäjien ja pienyritysten kiinnostus palomuureihin on lisääntynyt kiinteiden dsl-yhteyksien (digital subscriber line) ja kaapelimodeemien yleistymisen myötä. Toisaalta usein käy niin, että työnantaja suosittelee tiettyä palomuuriratkaisua, jos työtä tehdään esimerkiksi ulkomailla tai kotona etänä. AITO OSOITE ON AVOIN Kaikilla internetissä näkyvillä resursseilla, kuten reitittimillä, palomuureilla ja palvelimilla, on kullakin oma yk- 62 MikroPC 6 / 2001
silöllinen 32-bittinen numerosarja eli iposoite. Koska esimerkiksi yrityksen www-palvelimen ip-osoite on julkinen, voi palvelimeen kuka tahansa yrittää tunkeutua. Luvaton käyttö vaikeutuu olennaisesti, jos palvelin suojataan palomuurilla. Modeemi- ja isdn-yhteyttä käytettäessä tietokoneen ip-osoite vaihtuu yleensä jokaisella yhteyskerralla. Vaikka dynaaminen ip-osoite hankaloittaakin tunkeutumista, tietokone on silti yhteysaikana tunkeutumisille altis. Toisaalta murtautujien ensisijainen mielenkiinto kohdistuu yritysten sisäisiin palvelimiin yksittäisten käyttäjien sijaan. Joskus tunkeutujan tavoitteena on pelkkä haitanteko, toisinaan tietojen väärinkäyttö. Ulkopuolisten uhkien rinnalla palomuurien merkittäväksi ominaisuudeksi on kohonnut yrityksestä ulospäin lähtevän liikenteen tarkkailu ja rajoitukset. Jotkin yritykset rajoittavat työntekijöiden surffausta uhkapelisivuilla, ja koulut taas oppilaiden pääsyä seksisivuille. Lähes kaikissa palomuuritoteutuksissa on tarjolla erilaisia www-sisällön suodatustapoja. RAUDAN PÄÄLLE SOFTAA Palomuuria ei tarvitse enää mieltää pelkästään suuryritysten apuvälineeksi, vaikka laajaverkoissa suojattavaa tietomassaa onkin enemmän. Palomuurimarkkinoilla yleistyvänä tuoteluokkana kohoaa pienten yritysten, kotitoimistojen ja etäkäyttäjien ratkaisut, joissa hinta- haitari alkaa muutamasta tuhannesta markasta. Järeissä palomuuriratkaisuissa yleistyvät valmiiksi konfiguroidut ratkaisut, missä jokin tunnettu palomuurisovellus on integroitu riittävän suorituskykyiseen laitealustaan. Toinen vaihtoehto on hankkia pelkkä ohjelmisto ja tehdä asennustyö omin voimin, mutta tällaista erikoisosaamista ei yritysten sisältä välttämättä löydy. Raskaan sarjan palomuuriohjelmistoissa valtikkaa on pitkään heilutellut CheckPointin FireWall-1, jonka pohjalle rakennettuja ratkaisuja tarjoaa useampikin valmistaja. Tunnetuin Suomessa myytävä palomuuritoteutus pohjautuu FireWall-1:n ja Nokian IP-sarjan räkkiasennettavaan rautaan. Näitä tarjoavat muun muassa IPChannel sekä palomuuripeliin mukaan heittäytynyt internet-operaattori Uunet. PALOMUURI MAHTUU UNIX-MIKROON Toisessa suositussa ratkaisussa Checkpointin ohjelmisto asennetaan johonkin Sunin työasemaan suorituskykytarpeesta riippuen. FireWall-1:een pohjautuvia ratkaisuja on myös Nortel Networksin palomuuriksi laajennettava vpn-kytkin (virtual private network). Suurten yritysten palomuuri- ja vpnratkaisuja löytyy edellisten lisäksi IBM:ltä, Sunilta, Ciscolta, NetScreeniltä sekä Network Associatesilta (NAI) ja 3Comin SuperStack-perheestä. Periaatteessa raskaan sarjan ohjelmistolla voi hyvin rakentaa myös pk-yrityksen tai yritysryppään suojauksen. Toimintojen riittävyys ei ole ongelma, mutta kustannukset saattavat äkkiä nousta korkeiksi. Muutaman kymmenen työntekijän yrityksen kannattaa hakea palomuuriratkaisujaan näitä edullisemmista vaihtoehdoista. PIKKUYRITYKSET KIINNOSTAVAT Pienyritysten maaginen kipuraja palomuuri-investoinnissa tulee vastaan kymppitonnin paikkeilla. Onneksi markkinoilla on tarjolla useampia ratkaisuja 5 000 10 000 markan hintaluokassa. Nämä hankinnat joustavat ylöspäin yrityksen työntekijämäärän kasvaessa. Halvimpiin kotikäyttäjän ulottuvilla oleviin palomuuriksi laskettaviin toteutuksiin kuuluu D-Linkin 701 Residental Gateway, joka turvaa xdsl- ja kaapelimodeemiyhteyksiä. Hintaa tällä nat-osoitemuunnokseen (network address translation) perustuvalla palomuurilla on 1 500 markkaa. Samantyyppinen ratkaisu löytyy myös SMC:ltä. Edullisia palomuuritoteutuksia löytyy edelleen NAI:n PGP:stä, 3Comin OfficeConnectperheestä sekä SonicWallin, WatchGuardin ja NetScreenin valikoimista. Myös Nokialta on tulossa pientoimistoille soveltuvaa turvalaitteistoa. Kymppitonnin toiselle puolelle kivutessa tarjolle tulee palomuurituotteita edellisten lisäksi ainakin Ciscolta ja IBM:ltä. Palomuuri suojaa lähiverkkoa (vas.) internetistä (oik.) tulevilta hyökkäyksiltä. Palomuuriin voidaan kytkeä esimerkiksi www-palvelin ns. harmaalle alueelle (dmz). MikroPC 6 / 2001 63
K A T S A U S palomuurit Palomuurit ovat yleensä kiinteitä pikkupurkkeja, mutta esimerkiksi GNAT Box tarjoaa erikoisempaa ratkaisua, jossa alustaksi kelpaa mikä tahansa 486-mikro. Kiintolevyä ei tarvita, sillä perusratkaisussa palomuuri käynnistetään yksinkertaisesti levykkeeltä. Tarvittaessa levykkeille voi tallentaa erilaisia asetusvaihtoehtoja. Levykeversiolla on rinnakkaismalli, jossa flashkortti liitetään mikron ide-väylään. YRITYSKOKO VAIKUTTAA HINTAAN Verkkoratkaisuiden hinta sidotaan yleensä käyttäjämäärään ja lisenssirajoihin eikä kiinteään ohjehintaan. Palomuurihankinnan lopullinen hinta määräytyy siten yrityskoon mukaan. Lisäksi kustannuksia laskettaessa kannattaa huomioida mahdollinen kon- HALVALLA ALKUUN Palomuurien valtaisaa hintahaitaria ei kannata kotikäyttäjän pelästyä, sillä tarjolla on myös edullisia ja jopa maksuttomia tuotteita. Lisäksi joistakin palomuuriohjelmistoista on saatavilla demoversio koekäyttöön. Silloin ohjelmiston voi aktivoida esimerkiksi vain lyhyeksi aikaa kerrallaan. Maksuttomissa tuotteista on luonnollisesti karsittu ominaisuuksia niin, etteivät ne kunnolla sovellu yrityskäyttöön. Käyttäjät ovatkin lähinnä yksityisiä harrastajia sekä opiskelijoita, joille rajoitetutkin ominaisuudet riittävät. Rajoituksena voi olla käyttäjämäärä ja mahdollisesti myös tekniset ominaisuudet. Maksuttomia palomuuriohjelmia on muun muassa GNAT Boxin kotisivuilta osoitteesta www.gnatbox.com imuroitava GNAT Box Light. Viidelle käyttäjälle rajoitettu tuote löytyy myös osoitteesta www.pcprotech.fi. Zone Alarm 2.1 -sovellus, joka löytyy osoitteesta www.zonelabs.com, on vapaa tuote yksityiskäyttöön, mutta yrityskäytöstä rokotetaan vain reilut sata markkaa vuodessa. Ilmainen tuote yksityiskäytössä on myös esafe Desktop osoitteessa www.ealaddin.com. Muutaman kymmenen dollarin vuosimaksua vastaan käyttöoikeudet saa ainakin seuraaviin tuotteisiin: Symantecin Norton Personal FireWall (www.symantec.com), Network Icen valmistama Blackice Defender (www.networkice.com) sekä Network Associatesin McAfee FireWall ja McAfee Internet Guard Dog osoitteessa www.mcafee-at-home.com. LAITTEISTOPOHJAISET PALOMUURIT PK-YRITYKSILLE Cisco D-Link GNAT NetScreen OfficeConnect Malli Secure PIX 506 DI-701 Box GB1000 V3.1 5 ja 10 FireWall 25 / DMZ Valmistaja Cisco Systems D-Link GTA NetScreen Technologies 3Com Maahantuoja Cisco Systems Finland Wintel Finland Intero Oy / PC Pro-Tech Täyttöpää Heltel - puhelin (09) 878 061 (09) 804 6151 (014) 445 1790 (09) 7250 4411 010-26 003 - www-osoite www.cisco.com www.wintel.fi www.pcprotech.fi www.tayttopaa.fi www.3com.com Toimintatapa statefull inspection nat-palomuuri statefull inspection pakettisuodatus ja pakettisuodatus ja sisältörajoitukset sisältörajoitukset Hallinta konsoli, java (PDM), selain, RS-232 Selain, konsoli, selain, CLI, keskitetysti selain hallintasovellus hallintasovellus NetScreen Global Manager Käyttöjärjestelmätuki PIX IOS kaikki - Win NT kaikki Verkkoliitäntätuki 2x10 Mbps ethernet 1x10BaseT, 10/100/1000Mbps ethernet, 10BaseT 10BaseT 1x10/100BaseT Token-Ring, FDDI Protokollatuki 1) tcp/ip ip ip ip Suodatustavat pääsylistat, java-applet, on Cyber NOT, aika websense, java, activex osoite, käyttäjä, java, activex websense activex, avainsanat, nimi, sisältöseuranta Lokit ja hälytykset oma loki, tuki ulkoiselle on loki, sposti, loki, sposti loki, sposti loki-palvelimille hakulaite, snmp Salausmenetelmä des, 3des, rsa, md-5, - nat, des, blowfish, cast128 nat, ipsec, 56-bit des, nat diffie-hellman, sha-1 triple des Virustorjunta - - - - - Etäkäyttö on on on on on Vpn-tuki on on on on alkaen 3 450 mk Hinta - 1 290 mk/työasema 24 400 mk (rajoittamaton) - 9 990 mk/100 työasemaa - alle 10 ip-osoitetta 25 450 mk - - 4 800 mk - - alle 25 ip-osoitetta - - - 9 700 mk 4 990 mk - alle 50 ip-osoitetta - - 38 900 mk (10-malli) - Muuta Tietoturvaan optimoitu Ilmaiset ICSA-sertifikaatti FCC, UL, CUL ja ICSA-sertifikaatti käyttöjärjestelmä ohjelmistopäivitykset ICSA-sertifikaatit Suositeltu Pk-yrityksiin ja Kaapelimodeemi- ja Suurille ja keskisuurille Kaapelimodeemi- ja Kaapelimodeemi- ja käyttökohde vpn-yhteyksiin. adsl-yhteyksiin. yrityksille. adsl-kotitoimistot. adsl-yhteyksiin. Maks. 32 käyttäjää. Nopeat vpn-tunnelit. Helppokäyttöinen. Taulukon tiedot on koottu maahantuojien ilmoituksista. Hinnat sisältävät alv 22 %. 1) tcp/ip, arp, archie, bootp, dns, ftp, gre, gopher, http, icmp, ip, netbios over ip, pptp, snmp, sql*net, rpc, telnet, tftp, udp 64 MikroPC 6 / 2001
[ ] Palomuuri voi olla laite- tai ohjelmapohjainen. NetScreen -5-laite edustaa yksinkertaista peruspalomuuria, joka kytketään internetin ja lähiverkon väliin. sultoinin tarve ennen palomuuriratkaisun hankintapäätöstä ja asennusta. Usein asiakasyritys kouluttaa yhden työntekijöistään palomuurin ylläpitoon. Laitteistopuolella lisähankinnan tarvetta voi tulla erillisestä reitittimestä, jollei se jo kuulukin palomuuriin. Lisäksi tarvitaan verkkosovittimia, joita parhaimmillaan voi olla parikymmentä. Tyypillisesti perusratkaisussa riittää kaksi verkkokorttia. Kolmas sovitin otetaan käyttöön, jos yritys tarjoaa ulkopuolelle tarjottavia web- ja extranet-palveluja puoliturvallisen dmz-verkon (demilitarized zone) välityksellä. AUKKOJA TURVASSA Palomuuri on tehokas, muttei suinkaan lopullinen ja aukoton turva ulkopuolisia hyökkäyksiä vastaan. Virhemahdollisuuksia luovat jo palomuurien moni- PGP firewall SMC SonicWALL SuperStack 3 WatchGuard Malli ja intrusion detection Barricade 7008BR SOHO2/10 ja SOHO2/50 Crypto 168 bit SOHO Valmistaja Network Associates SMC SonicWALL 3Com WatchGuard Maahantuoja Heltel Wintel Finland BetechData Heltel Netmedia Finland - puhelin 010-26 003 (09) 804 6151 (09) 825 4140 010-26 003 (06) 3181 300 - www-osoite www.nai.com www.wintel.fi www.betechdata.fi www.3com.com www.netmedia.fi Toimintatapa pakettisuodatus nat-palomuuri statefull inspection pakettisuodatus ja Dyn. Statefull sisältörajoitukset Packet Filtering Hallinta konsoli, PGP Admin selain, RS-232 selain selain selain Käyttöjärjestelmätuki Windows ja MacOS kaikki oma käyttöjärjestelmä kaikki - Verkkoliitäntätuki - 1x10BaseT, 2x10/100BaseT 3x10/100BaseT 1+4 (HUB) ethernet 8x10/100BaseT-kytkin Protokollatuki ip tcp/ip tcp/ip (tcp, udp, icmp, ipsec) ip ip Suodatustavat - on CyberPatrol, domainit, osoite, käyttäjä, nimi, tcp/ip, Real Audio/Video, url-sanat, aika, NAT avainsanat, activex, NetMeeting, Video Phojava, sisältöseuranta ne, icq, socks5, NAT Lokit ja hälytykset on on www-liittymään, sposti, loki, sposti on syslog trat, diagnostiikka, viikottain, hakkeroitaessa Salausmenetelmä - - ipsec 3des, des, nat ipsec, ike, md5, sha1, arc4 (ike, pki) des, 3des (sohotc) Virustorjunta - - optio - - Etäkäyttö - on on on on Vpn-tuki - on 5 940 mk on on Hinta 2 490 mk/työasema - 31 133 mk (rajoittamaton) - - alle 10 ip-osoitetta 1 273 mk / työasema - 5 940 mk - 3 800 5 000 mk - alle 25 ip-osoitetta 1 273 mk / työasema - - - 5 500 6 700 mk - alle 50 ip-osoitetta 1 038 mk / työasema - 11 940 mk - 7 600 8 800 mk Muuta Yksinkertainen 8-porttinen kytkin ja ICSA-sertifikaatti, ICSA-sertifikaatti, - asennus kirjoitinpalvelin ilmaiset päivitykset helppokäyttöinen Suositeltu Kaapelimodeemi-, Kaapelimodeemi- ja Pk-yritykset ja Lähiverkon palomuuri Pientoimistoon ja käyttökohde adsl- ja isdn-yhteydet adsl-yhteyksiin. vpn-tunnelit. ja vpn-yhteydet. kotiverkkoon. Maks. 253 käyttäjää. Helppo asentaa. Taulukon tiedot on koottu maahantuojien ilmoituksista. Hinnat sisältävät alv 22 %. MikroPC 6 / 2001 65
K A T S A U S palomuurit mutkaiset ja helposti ristikkäisiksi muotoutuvat säännöstöt. Silloin kaikkia mahdollisia yhdistelmiä ei välttämättä osata ottaa etukäteen huomioon. Palomuurin tueksi onkin tarjolla esimerkiksi virustutkia ja tietoliikenneanalysaattorin kaltaisia torjuntaeli IDS-järjestelmiä (Intrusion Detection System). Toisaalta hyökkäyksiin kehitettyjä porttiskannereita voi käyttää myös oman verkon mahdollisten suojausaukkojen selvittämiseen ennen kuin hämäräheput ehtivät asialle samoilla välineillä. Tunkeilijoiden havainnoimisohjelma analysoi liikennettä kaiken aikaa etsien merkkejä tunkeilijoista. Jos tutkain havaitsee hyökkäysyrityksiä, voi suojaus sulkea tietyt portit joksikin aikaa käytöstä. Tällainen hakkeriblokkeri-toiminto on mukana muu- Palomuurisäännöstön periaate on yksinkertainen: ensin kielletään kaikki liikenne, minkä jälkeen sallitaan yksitellen halutut tietovirrat protokol- ]lien, ip-osoitteiden ja liikennesuunnan perusteella. tamissa palomuureissa. Vpn- eli yksityisverkkotunnelointi voi kuulua palomuurisovellukseen jo vakiona tai sen saa hankittua erillisenä tuotteena. Vpn-ominaisuutta tarvitsevat yritykset, joilla on konttoreita eri puolilla maata tai etätyöntekijöitä, joille täytyy järjestää turvattu yhteys yrityksen verkkoon. Yksityisverkon idea on yksinkertaisuudessaan tehokas. Verkkoyhteyttä varten luodaan internetin läpi oma kanava tunneliperiaatetta käyttäen. Salakielelle koodatut datapaketit kulkevat tätä tunnelia pitkin määränpäähän, missä ne jälleen avataan selkokielelle. Kaikki keskeiset vpn-ratkaisut pohjautuvat standardiksi vakiintuneeseen IP- Seciin. Palomuureihin tarjotaan luotetta- PALOMUURIOHJELMISTOT KESKISUURIIN JA SUURIIN YRITYKSIIN Check Point Cisco IBM SunScreen Malli FireWall-1 Secure Integrated Software SecureWay Firewall Secure Net 3.1 Valmistaja CheckPoint Cisco Systems IBM Sun Microsystems Maahantuoja/edustaja Stonesoft Cisco Systems Finland IBM Finland Sun Microsystems Oy - puhelin (09) 4767 11 (09) 878 061 (09) 4591 (09) 525 561 - www-osoite www.stonesoft.com www.cisco.fi www.fi.ibm.com www.sun.fi Toimintatapa statefull inspection Palomuuri Proxy ja socks statefull inspection Cisco-reitittimeen käyttäjätunnistuksella Hallinta etäkonsoli konsoli, hallintasovellus Java-sovellus tai selain Tivoli-konsoli Käyttöjärjestelmätuki NT, Solaris, AIX, HP-UX Cisco IOS Windows NT, IBM AIX Solaris 2.6, 7, 8 ja Trusted 7 (Intel tai SPARC) Verkkoliitäntätuki riippuu laitteesta Cisco-verkkoliitännät NT, NDIS-adapterit, 10/100/1000 Mbps ethernet, ja järjestelmästä AIX- x.25, atm, FDDI, atm, Token Ring, FDDI TR, ethernet, S/390 Protokollatuki tcp/ip 1) tcp/ip (tcp, udp, icmp jne.) tcp/ip (tcp, udp, icmp jne.) Suodatustavat aika, sisältö, spam, pääsylistat, java pakettisuodatus, socks v5, aika, sisältö, java-, dyn.+ staat. nat sovellusproxy activex, cookie-, javascript, spam, dyn.+staat. nat Salausmenetelmä fwz-1, des, 3des des, 3des, rsa, sha-1 des, 3des rc2, rc4, des, diffie-hellman, md-5 triple des, safer cbc Virustorjunta erillisohjelmilla - - - Etäkäyttö SecuRemote optio on on Vpn on optio on on Laitesuositus Kaikki yleisimmät Cisco-reitittimet Win NT: P 266 MHz Ympäristön mukaan IBM AIX: RS/6000 Hinta - Reititinkohtainen 139 469 mk (rajoittamaton) 132 744 mk (rajoittamaton) - alle 10 ip-osoitetta 27 700 mk - - - - alle 25 ip-osoitetta 43 600 mk - 276 mk/käyttäjä - - alle 50 ip-osoitetta 67 300 mk - - - Suositeltu Vaativiin, Cisco-reittimiin Suurille ja keskisuurille Suurille ja keskisuurille käyttökohde kiinteisiin yhteyksiin yrityksille yrityksille Taulukon tiedot on koottu maahantuojien ilmoituksista. Hinnat sisältävät alv 22 %. 1) tcp, udp, cu-seeme, ftp, h.323, http, netshow, realaudio, rtsp, rpc, smtp, sql*net, streamworks, tftp, vdolive 66 MikroPC 6 / 2001
vuutta esimerkiksi vikasietoisina toteutuksina, joista ensimmäisiä ratkaisuja on jo markkinoilla. ULKOA SAA APUA Hinta ei yksin ratkaise tietoturvaratkaisun hankintaa. Yhtä paljon pitää kiinnittää huomiota järjestelmän hallinnan vaivattomuuteen ja vaadittavaan työmäärään. Mitä monimutkaisempi verkkoympäristö on, sitä houkuttelevampaa on yritykselle ulkoistaa suojaustoiminnot esimerkiksi internet-operaattorille. Näitä ratkaisuja kannattaa myös yritys, jolla ei ole mahdollisuuksia kouluttaa osaavia tietoturvahenkilöitä omasta henkilökunnastaan. Paras varmuus suojaustoimenpiteiden tehokkuudesta saadaan silloin, kun työ tehdään yrityksen sisällä. Tämä vaatii asianmukaisen koulutuksen henkilöstölle, joiden täytyy perehtyä turvajärjestelmän kokonaisuuteen. Kattavasta lokikirjanpidosta ei ole sanottavaa hyötyä, jollei kenelläkään ole aikaa tai taitoa tutkia tapahtumakirjanpitoa säännöllisesti. Silloin tarvitaan luonnollisesti myös oikeudet asianmukaisiin muutoksiin. Vaikka turvapolitiikan säännöt luodaankin jo etukäteen, voivat käytännön havainnot johtaa käyttöoikeusmuutoksiin. Yrityksen tietoturva täytyy ymmärtää kokonaisuutena, jossa palomuuri on vain yksi osanen. Turvaratkaisujen kokonaisvaltaisen selvittämisen kannalta tehokkain vaihtoehto on käyttää asiantuntevaa konsulttia, jollainen löytyy esimerkiksi palomuuritoteutusta tarjoavasta yrityksestä. Perusteellisesti läpikäyty turvapolitiikka ennen laitehankintoja säästää jonkin verran rahaakin ja varmasti turhaa työaikaa. Tällöin järjestelmän viilaaminen pystytään suunnittelemaan etukäteen. SANASTO Des (data encryption standard) on 56-bittiseen salausavaimeen perustuva koodaus. Uudempi versio on 3Des (triple-des 168 bit). Dhcp (dynamic host configuration protocol) jakaa ip-osoitteet dynaamisesti lähiverkon työasemiin. Helpottaa ylläpitoa. Ekstranet (kumppaniverkko) on yrityksen sisäverkosta eristetty osa, johon asiakkaat tai muut sidosryhmät pääsevät. Nat (network address transalation) tarkoittaa verkko-osoiteavaruuden muunnosta, jossa lähiverkon työasemien ja palvelimien ip-osoitteet eivät näy julkiseen verkkoon, kuten internetiin. PALOMUURIRATKAISUT (OHJELMISTO JA LAITE) Nokia IP-sarja UUsecure Firewall WatchGuard Malli IP51/110/330/440/650 Standard Edition Firebox II + FireWall-1 Valmistaja Nokia/Check Point Nokia/CheckPoint WatchGuard Maahantuoja/edustaja IP Channel UUNET Finland Netmedia Finland - puhelin (09) 435 981 90 (09) 7255 4700 (06) 3181 300 - www-osoite www.ipchannel.fi www.fi.uu.net www.netmedia.fi Toimintatapa stateful multilayer statefull inspection dynamic stateful inspection inspection Hallinta Voyager ja Horizon Voyager, WatchGuard Control Center manager, FW-1-konsoli CheckPoint, CLI Käyttöjärjestelmätuki Nokia IPSO Nokia IPSO Win 95, 98, NT, 2000 Verkkoliitäntätuki 10/100Mbps ethernet, 10/100 Mbps ethernet, 3 kpl 10/100 ethernet, RJ45 FDDI, atm, Token-Ring, Token Ring V35, X21, HSSI, isdn, E1, T1 Protokollatuki 150 protokollaa Tcp/ip natiivisti, ip muut kapseloimalla Suodatustavat Opsec-yhteensopivat ip-osoite, aika, Paketti- ja proxy, sisältö, suodatukset käyttäjätunnus portit, käyttäjät, ryhmittäin, aika, nat dyn.+staat., spam. Lokit ja hälytykset Loki ja raportointi on WatchGuard Control Center Salausmenetelmä des, 3des ipsec, des (56-bit), 3des vpn, ipsec, pptp, des, 3-des, md5, sha1, ike Virustorjunta on Nokia IP445-tuote Opsec-yhteensopiva Safe contents check Etäkäyttö on Securemote VPN on Vpn 6 000 mk 25 000 mk on on Laitesuositus Nokia IP51 IP650 Nokia IP 330, 440 ja 650 - -sarjan reititin Hinta 6 500 200 000 mk Ylläpito 11 400 mk/v 38 500 mk (rajoittamaton) - alle 10 ip-osoitetta n. 12 000 mk - - - alle 25 ip-osoitetta n. 16 500 mk 60 000 mk - - alle 50 ip-osoitetta n. 26 000 mk - - Muuta Palomuurin monistus Nokia-reititin ja Keskitetty hallinta, ilman CheckPoint Instant lisäohjelmistoja. VPN-1-ohjelmisto. VPN-optio. Suositeltu Yleiskäyttöinen Kiinteisiin yhteyksiin Kokonaisratkaisu. käyttökohde palomuuri/vpn. alkaen 64 kbit/s. Taulukon tiedot on koottu maahantuojien ilmoituksista. Hinnat sisältävät alv 22 %. Palomuuri (firewall) on verkkolaite tai sovellus, joka estää sääntöihin pohjautuen vihamielisten tunkeutujien pääsyn lähiverkkoon ja sen palveluihin. Soho (small office home office) tarkoittaa koti- ja pienyrityksiä. Tcp/ip (transmission control protocol / internet protocol) on internetissä ja laajaverkoissa käytetty tiedonsiirtotapa. MikroPC 6 / 2001 67