Clavister Security Gateway ja käytännön toteutus transparenttina palomuurina
Virtanen, Hannu (2009)
Virtanen, Hannu
Metropolia Ammattikorkeakoulu
2009
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-200902261521
https://urn.fi/URN:NBN:fi:amk-200902261521
Tiivistelmä
Tämän insinöörityön tarkoitus oli tutkia Clavister Security Gatewayn toiminnallisuutta. Työ perustuu kirjallisuustutkimukseen ja käytännön toteutusten suorittamiseen. Tarkoituksena oli kuvailla, mitä työssä tehtiin ja selittää miksi.
Palomuureja on kolmenlaisia: tilattomia ja tilallisia sekä sovellustason yhdyskäytävää käyttäviä. Lisäksi palomuurit voivat yhdistellä näitä ominaisuuksia, kuten Clavister Security Gateway kykenee tekemään.
Security Gatewayn ytimessä on CorePlus, joka toimii Gatewayn ydinkäyttöjärjestelmänä. Security Gateway sisältää paljon muitakin ominaisuuksia kuin vain palomuurina toimimisen. Näitä ominaisuuksia ovat esimerkiksi reititys, NAT, VPN, virustentorjunta, liikenteen hallinta, tunkeutumisen havainnointi ja estäminen, web-sisällönsuodatus, käyttäjän autentikointi ja korkea saatavuus. Clavister Security Gateway onkin ns. xUTM-palomuuri. Security Gatewayn käyttöä voidaan tehostaa erillisillä ohjelmilla, kuten FineTunella, InSightilla ja PinPointilla. Näillä ohjelmilla voi mm. tehokkaasti hallita ja monitoroida CorePlussaa. Clavister Security Gateway -tuoteperhe koostuu monen erilaisen Security Gateway laitetoteutuksen lisäksi ohjelmatoteutuksista tietokoneille ja virtuaalitoteutuksista VMWare ESXi -palvelimelle.
Tässä työssä transparentti palomuuri toteutettiin kahdella tavalla, joista ensimmäinen toteutettiin oikeassa transparentissa tilassa ja toinen Proxy ARP:in avulla. Transparenteilla palomuureilla verkkoliikennettä voidaan tutkia ja suodattaa tarpeen mukaan ilman, että siitä on käyttäjälle haittaa tai verkkoa jouduttaisiin muuttamaan. Työ osoittaa, että molemmilla toteutuksilla on omat etunsa. Esimerkiksi oikea transparentti tila on helppo toteuttaa ja sille on olemassa erityisiä tilalle tarkoitettuja konfiguroitavia parametreja, kun taas Proxy ARP puolestaan mahdollistaa HA-klusteroinnin. Verkon asettamat vaatimukset määrittävät, mikä transparentti palomuuri on verkolle sopivin.
Palomuureja on kolmenlaisia: tilattomia ja tilallisia sekä sovellustason yhdyskäytävää käyttäviä. Lisäksi palomuurit voivat yhdistellä näitä ominaisuuksia, kuten Clavister Security Gateway kykenee tekemään.
Security Gatewayn ytimessä on CorePlus, joka toimii Gatewayn ydinkäyttöjärjestelmänä. Security Gateway sisältää paljon muitakin ominaisuuksia kuin vain palomuurina toimimisen. Näitä ominaisuuksia ovat esimerkiksi reititys, NAT, VPN, virustentorjunta, liikenteen hallinta, tunkeutumisen havainnointi ja estäminen, web-sisällönsuodatus, käyttäjän autentikointi ja korkea saatavuus. Clavister Security Gateway onkin ns. xUTM-palomuuri. Security Gatewayn käyttöä voidaan tehostaa erillisillä ohjelmilla, kuten FineTunella, InSightilla ja PinPointilla. Näillä ohjelmilla voi mm. tehokkaasti hallita ja monitoroida CorePlussaa. Clavister Security Gateway -tuoteperhe koostuu monen erilaisen Security Gateway laitetoteutuksen lisäksi ohjelmatoteutuksista tietokoneille ja virtuaalitoteutuksista VMWare ESXi -palvelimelle.
Tässä työssä transparentti palomuuri toteutettiin kahdella tavalla, joista ensimmäinen toteutettiin oikeassa transparentissa tilassa ja toinen Proxy ARP:in avulla. Transparenteilla palomuureilla verkkoliikennettä voidaan tutkia ja suodattaa tarpeen mukaan ilman, että siitä on käyttäjälle haittaa tai verkkoa jouduttaisiin muuttamaan. Työ osoittaa, että molemmilla toteutuksilla on omat etunsa. Esimerkiksi oikea transparentti tila on helppo toteuttaa ja sille on olemassa erityisiä tilalle tarkoitettuja konfiguroitavia parametreja, kun taas Proxy ARP puolestaan mahdollistaa HA-klusteroinnin. Verkon asettamat vaatimukset määrittävät, mikä transparentti palomuuri on verkolle sopivin.