Посредники сеансового уровня
Разработанный Novell шлюз сеансового уровня поддерживает клиентов IP и IPX с соответствующими стеками протоколов. Это ПО устанавливает контрольный канал между клиентом и шлюзом, по которому производится идентификация пользователя в сетевом каталоге через процедуру аутентификации NDS. Эта процедура позволяет идентифицировать пользователей сеансового шлюза и сервера-посредника и контролировать доступ на основе прав пользователей или групп пользователей.
Фильтрация, выполняемая шлюзом сеансового уровня, использует службу NDS, позволяя сетевому администратору задавать правила управления доступом один раз для всей сети, независимо от количества установленных в сети сеансовых шлюзов. После задания этих правил весь доступ осуществляется через шлюз IntranetWare. Все сеансы, установленные шлюзом, используют общий адрес этого шлюза, маскируя реальный IP-адрес пользователя, запрашивающего соединение.
Аутентификация
Функция аутентификации, обеспечиваемая сеансовым шлюзом пограничных служб Novell, дает возможность организациям управлять всем доступом на уровне отдельных пользователей и групп пользователей. Этот шлюз устанавливает контрольный канал между клиентом и шлюзом, который аутентифицирует пользователей через NDS и делает их идентифицируемыми для ПО пограничных служб.
Управление доступом
NDS обеспечивает общий механизм управления доступом ко всем ресурсам и службам интрасети и Internet, давая возможность сеансовым шлюзам и посредникам HTTP совместно использовать службы аутентификации и управления доступом. Общее управление доступом упрощает работу пользователей, позволяя им получать доступ ко всем сетевым службам после однократного подключения к сети.
Поскольку ПО пограничных служб компании Novell может определять с помощью NDS, кем является данный пользователь, это означает, что правила ограничения доступа могут задаваться на уровне отдельных пользователей и их групп. Неопознанным пользователям предоставляется доступ на основе глобальных правил ограничения доступа. Пользователям же, прошедшим аутентификацию, доступ предоставляется на основе их прав, унаследованных через NDS.
Кэш-посредник
Благодаря использованию передовой технологии кэширования, Novell BorderManager обеспечивает существенное повышение производительности и улучшенное использование пропускной способности каналов WAN для доступа к Web-серверам. Предварительные эталонные тесты показывают, что используемая Novell технология кэширования обеспечивает в 4-10 раз более высокую производительность, чем конкурирующие кэш-посредники, основанные на универсальных операционных системах. Novell BorderManager снижает нагрузку на Web-сервер в пределе на 90% и предлагает наиболее масштабируемое иерархическое кэширование с производительностью до 4,055 хитов в секунду и 85000 активных соединений при использовании серверов архитектуры Intel.
BorderManager осуществляет высокоэффективное кэширование для Web-браузеров, копируя часто используемую информацию на локальный сервер. Кэшируя данные на расположенном в локальной сети сервере-посреднике, он уменьшает количество запросов, передаваемых через каналы WAN (обычно более чем на 60%). Организации могут получить в 2,5 раза более высокую производительность на том же самом физическом WAN-соединении без приобретения дорогих каналов с более высокой пропускной способностью.
Службы виртуальных частных сетей
(VPN)
Разработанные Novell службы VPN дают возможность реализовывать защищенные частные сети через Internet и другие сети общего пользования, обеспечивая широкий диапазон возможностей WAN-соединений, включая протокол Point-to-Point Protocol (PPP) на арендованных каналах, линии Integrated Services Digital Network (ISDN), аналоговые коммутируемые телефонные линии, а также каналы Frame Relay и X.25. В сетях VPN для установления соединения между узлами обычно используется туннелирование. Устанавливаемый туннель выглядит для стеков IP и IPX как WAN-соединение "точка-точка" (point-to-point), что позволяет рассматривать всю инфраструктуру общедоступной сети как единый канал связи с VPN типа "точка-точка".
В технологии туннелирования Novell используются специальные способы уменьшения трафика, такие как сжатие заголовков и эффективное обновление WAN-маршрутов, что позволяет повышать пропускную способность канала для приложений, работающих через VPN. Туннелирование также дает возможность соединенным с помощью VPN узлам совместно использовать адресную и маршрутизационную информацию, не раскрывая ее для общедоступной сети. Кроме того, туннелирование позволяет использовать в однопротокольной сети, такой как Internet, многопротокольный трафик. Например, организация может передавать через Internet как IP-, так и IPX-трафик, несмотря на то, что Internet поддерживает только IP-трафик.
Службы VPN компании Novell используют алгоритм шифрования RC2, программная реализация которого обеспечивает приемлемую скорость для каналов WAN - вплоть до уровня T1. Данная реализация RC2 также поддерживает симметричные многопроцессорные системы (SMP), что позволяет использовать многопроцессорное оборудование для повышения скорости шифрования.
Удаленный доступ
Для аутентификации удаленных клиентов, обращающихся к интрасети из Internet, в ПО Novell используется протокол туннелирования Point-to-Point Tunneling Protocol (PPTP). Это обеспечивает удаленным пользователям многопротокольный доступ через IP-туннель одним из двух способов: пользователи, имеющие PPTP-совместимое клиентское ПО, могут устанавливать прямые туннели с серверами интрасети; а пользователи с установленными стандартными средствами PPP могут осуществлять доступ к интрасети через провайдера услуг Internet, который поддерживает протокол PPTP.
Управление ключами
В условиях отсутствия стандартов на управление ключами, определяющих способы распространения шифровальных ключей между узлами, в разработанной Novell технологии VPN для облегчения управления ключами используются взаимоотношения типа "главный-подчиненный" (master-slave). При настройке VPN сетевой администратор вручную передает открытый (public) ключ с каждого подчиненного узла на главный узел. В это же время главный узел автоматически рассылает свой ключ аутентификации всем подчиненным узлам. Затем главный узел автоматически рассылает все ключи аутентификации, которые он получил, всем подчиненным узлам, подписывая каждое сообщение своим ключом аутентификации. Это дает возможность подчиненным узлам проверять достоверность сообщений, полученных из главного узла.
Централизованное
администрирование
BorderManager прост в установке и настройке. Сетевой администратор может обновить ПО серверов IntranetWare для добавления к нему пограничных служб через функцию установки обновленного ПО (upgrade). А с помощью утилиты NWAdmin или любой SNMP-совместимой консоли администраторы могут легко управлять из центрального пункта пограничными службами Novell с помощью NDS - так же, как другими компонентами системы IntranetWare.
Все пограничные службы выглядят на консоли для администратора как единая интегрированная система, обеспечивая простое и безопасное управление. Стремясь еще больше упростить процесс управления, компания Novell обеспечила для всех пограничных служб возможность совместного использования через NDS единого набора правил управления доступом. В результате правила управления доступом остаются неизменными, независимо от того, какая из пограничных служб применяется пользователями.
Регистрация транзакций
Сетевые администраторы могут просматривать входящие и исходящие запросы и транзакции, а также составлять по ним отчеты как в простом, так и в развернутом форматах. Благодаря регистрации транзакций, администраторы могут легко выявлять нарушения системы безопасности, перегрузки и недогрузки сетевых ресурсов, их неправильное использование, а также происходящие тенденции, что позволяет планировать и оптимизировать ресурсы и средства безопасности в масштабах всей организации.
Заключение
BorderManager - первое на рынке интегрированное семейство основанных на службе каталога сетевых служб, которые централизованно управляются, защищают и ускоряют доступ пользователей к информации на каждой границе сети - в точке, где встречаются две сети. BorderManager позволяет отслеживать входящие и исходящие в Internet потоки информации и накладывать ограничения на ее тип, отправителей и адресатов. Благодаря единой точке управления, компании могут реализовать стратегию сетевой безопасности, защитить конфиденциальную информацию, разрешить доступ пользователей лишь к определенной информации в Internet и уменьшить стоимость подключения к Internet. BorderManager значительно повышает производительность при доступе к интрасети и Internet, создавая базирующуюся на открытых стандартах основу для эффективного функционирования корпоративной сети.
Благодаря тесной интеграции с Novell Directory Services(tm) (NDS(tm)), BorderManager сокращает затраты на управление интрасетями и безопасно выводит пользователей в Internet. И все, что делает BorderManager, достигается на существующем оборудовании с полным сохранением вложений в серверы, настольные системы и маршрутизаторы.
Александр АПАНАСИК,
Компания "БЕЛАНА",
т. 210-56-59,
e-mail: apanasik@belana.minsk.by