CímlapTermékek › Zorp Gateway ›
Zorp Gateway

Rendszermodulok

Lépjen tovább

A Zorp különálló komponensekből épül fel, moduláris szerkezete nagyfokú rugalmasságot tesz lehetővé. Egy tipikus Zorp átjáró az alábbi komponensekből áll:

  • Zorp: A Zorp maga az alkalmazásszintű proxy átjáró, mely ellenőrzi és elemzi az összes átmenő kapcsolatot.
  • Zorp Management System (ZMS): A Zorp komponenseinek központi vezérlő szervere. A ZMS adatbázisban tárolja az összes komponens beállítását (a biztonsági politika implementációját), és ebből generálja le a komponensek számára szükséges konfigurációs állományokat. További információ
  • Zorp Management Console (ZMC): Grafikus kezelőfelület a ZMS-hez, az adminisztrátor ennek segítségével tartja karban a rendszer elemeit. További információ
  • Zorp Authentication System (ZAS): Hálózati kapcsolatok autentikálását megvalósító komponens. A kapcsolatok autentikálásakor közvetítő szerepet tölt be a Zorp és a felhasználói adatokat tároló adatbázis (pl.: Microsoft Active Directory) között. További információ
  • Zorp Content Vectoring System (ZCV): Tartalomszűrő keretrendszer számos különböző (pl.: vírus- és spamszűrő) modullal. A Zorp által ellenőrzött forgalom adatrészét lehet vele ellenőrizni, akár titkosított forgalom esetén is. További információ


Architektúra
Vissza a lap tetejére

A Zorp központi, könnyen kezelhető menedzsment rendszere, a Zorp Management System (ZMS) segítségével egységes felületről konfigurálhatók és monitorozhatók a hálózati határvédelem elemeit képező Zorp átjárók, tartalomszűrő szerverek, valamint az ezekből kialakított fürtök is.

A menedzsment rendszer működése

Az adminisztrátor a grafikus kezelőfelület (Zorp Management Console, ZMC) segítségével szerkeszti a ZMS szerveren tárolt konfigurációs állományokat. A rendszerhez tartozó összes gép (Zorp, ZAS, ZCV) konfigurációját a ZMS XML adatbázisa tárolja. Az adminisztrátor a konfiguráció módosítása után elmenti a változtatásokat a ZMS-be. Az elkészített konfigurációból a ZMS generálja le az egyes eszközök számára megfelelő formátumú konfigurációs állományokat, majd ezeket letölti a megfelelő eszközre (tűzfal, tartalomszűrő, stb.). Az eszközök csak a ZMS-sel kommunikálnak, közvetlenül nem érhetőek el a kezelőfelületről.

A grafikus kezelőfelület

A Zorp Management Console (ZMC) egy grafikus kezelőfelület a ZMS és az általa menedzselt eszközök adminisztrálásához. Segítségével könnyen elvégezhető minden beállítás – még Linux tűzfalak karbantartásában járatlanok által is.

Multisite menedzsment

A rendszer segítségével a Zorp eszközök több, akár egymástól teljesen különböző csoportja is adminisztrálható. Így a különböző telephelyeken, vagy akár különböző cégekhez tartozó eszközök egyetlen közös felületről menedzselhetők.

Monitorozás

A ZMS képes folyamatosan monitorozni a menedzselt eszközök működését, terhelését, valamint egyéb paramétereit. Az így kapott adatok rögtön megjelennek a grafikus kezelőfelületen is, súlyos esetben pedig a ZMS képes automatikusan riasztani az adminisztrátort. A monitorozással kapcsolatos összes adat adatbázisban tárolható, táblázatban és grafikusan is megjeleníthető.

Támogatott platformok – ZMS és ZMC

A ZMS telepíthető egy Zorpot futtató gépre is, de – különösen több eszköz használata esetén – ajánlott a szerepeket szétválasztani, és egy, a feladatra dedikált gépet használni. A ZMS ez utóbbi esetben is ZorpOS operációs rendszeren futtatható.

A ZMC grafikus kezelőfelület az alábbi operációs rendszereken érhető el:

  • Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7
  • GNU/Linux (Ubuntu Lucid Lynx)


Vissza a lap tetejére

A Zorp Authentication Server (ZAS) segítségével lehetővé válik a hálózati átjárón átmenő összes kapcsolat autentikálása. A hálózati autentikáció célja a felhasználók által kezdeményezett kapcsolatok autentikálása, annak érdekében, hogy csak a megfelelő személyek érhessenek el bizonyos szolgáltatásokat. Ellentétben azzal a széles körben elterjedt gyakorlattal, amely a számítógép IP címét azonosítja a felhasználóval, a Zorp nyújtotta megoldással a teljes hálózati forgalom a felhasználók szintjén azonosítható és auditálható. A protokollon belüli (inband) és a protokollon kívüli (outband) autentikáció egyaránt támogatott. Az outband autentikáció előnye, hogy tetszőleges protokollal és autentikációs metódussal kombinálható, és segítségével egyszerű, a felhasználók számára transzparens single sign on (SSO) megoldás alakítható ki.

A ZAS dióhéjban

A ZAS nem egy autentikációs adatbázis, hanem egy köztes elem, ami a Zorp és a már meglévő, a felhasználók adatait tároló adatbázis között kommunikál. Így a hálózati forgalom autentikálása egyszerűen megvalósítható és könnyen beilleszthető a már kialakított infrastruktúrába. Amikor egy kliens megpróbál használni egy szolgáltatást (vagyis új kapcsolatot kezdeményez), amihez autentikáció szükséges, a Zorp az autentikáció adatait (pl.: felhasználónév, jelszó, stb.) a ZAS szerver segítségével továbbítja a felhasználói adatbázisnak. A Zorp csak sikeres autentikáció esetén engedélyezi a kapcsolatot.

Támogatott adatbázisok

  • LDAP (Microsoft Active Directory, POSIX, Novell Directory Services / Novell eDirectory)
  • PAM
  • RADIUS
  • Apache htpasswd állomány
  • Beépített ZAS adatbázis
  • TACACS

Támogatott metódusok

  • felhasználónév/jelszó
  • S/Key
  • CryptoCard RB1
  • LDAP binding
  • GSSAPI/Kerberos5
  • X.509 tanúsítvány

Single sign on

A Zorp Authentication Agent kliensprogram és a Kerberos protokoll segítségével olyan hatékony outband autentikáció valósítható meg, amely során a felhasználónak elég egyszer azonosítania magát, és minden további autentikációt automatikusan elvégez számára a rendszer. Az outband autentikáció további előnye, hogy az erős autentikációs metódusokat (pl.: hardver token) elérhetővé teszi a csak gyenge metódusokat (pl.: felhasználónév/jelszó) támogató protokollok esetén is.

Szolgáltatás minőségének (QoS) befolyásolása

A Zorp dinamikus döntéshozási rendszere lehetővé teszi, hogy a különböző felhasználók, csoportok eltérő minőségű kapcsolatokat vegyenek igénybe. Például a használt kliensalkalmazás, célszerver címe, stb.) alapján lehet korlátozni a kapcsolat sávszélességét és más paramétereit.


Vissza a lap tetejére

A sok spam, a vírusok, trójaiak és egyéb káros tartalmak miatt manapság már elengedhetetlen a hálózati forgalom minél kiterjedtebb és mélyrehatóbb szűrése. Ez a feladat a hálózati határponton végezhető el a legkényelmesebben, mivel ezen a ponton az összes Internet felől jövő (és kifele menő) forgalomnak át kell haladnia. A Zorp Content Vectoring (ZCV) tartalomszűrő keretrendszer a Zorp alkalmazásszintű átjáró révén több mint tíz hagyományos és beágyazott protokollt képes elemezni, és natívan támogatja a magas rendelkezésre állást, valamint a terhelés megosztást is. Segítségével lehetővé válik a titkosított protokollok (HTTPS, POP3S, stb.) ellenőrzése is, melyeket egyre gyakrabban használnak kártékony kódok letöltésére.

A ZCV dióhéjban

A Zorp alkalmazásszintű átjáró csak a forgalom protokoll-specifikus részét vizsgálja, a tartalom ellenőrzését a ZCV-re bízza. A ZCV nem egy tartalomszűrő motor, hanem egy keretrendszer, amely egységes felületet nyújt számos tartalomszűrő modul (például vírus- és spamszűrő modulok) számára. A Zorp az átvizsgálandó adatokat (az adott forgalom típusának és besorolásának megfelelő paraméterekkel együtt) átküldi a ZCV-nek. A ZCV az adatokat továbbküldi a tartalomszűrést végző moduloknak, így a tartalomszűrést a Zorptól független modulok hajtják végre, amik akár külön gépen is futhatnak. Ez az architektúra lehetővé teszi tartalomszűrő fürtök kialakítását is.
A ZCV rugalmasan konfigurálható; akár a vizsgált kapcsolat, e-mail, vagy állomány tulajdonságai alapján is eldöntheti, hogy melyik modulokkal, és azok milyen beállításaival történjen az adatok ellenőrzése. Különböző szolgáltatásokhoz használható ugyanaz a modul eltérő paraméterezéssel, így például egy vírusszűrő modul ellenőrizhet minden fájlt a tűzfalon átmenő HTTP forgalomban, és – eltérő paraméterekkel – az e-mailek csatolmányait. Különböző típusú forgalomhoz, állományokhoz akár eltérő modulcsoportokat is lehet rendelni. A fenti példában a HTTP forgalmat szűrheti egy vírusszűrő és egy tartalomszűrő modul, és eltávolítható minden kliensoldali szkript, míg az e-maileket ellenőrizheti ugyanaz a vírusszűrő modul (akár eltérő paraméterezéssel is) és egy spamszűrő.

ZCV

Trickling

Az időtúllépés elkerülése és a felhasználók elégedettségének növelése érdekében a ZCV támogatja az ún. „csepegtetést” (trickling). Ez annyit jelent, hogy a proxy kis adatcsomagokat küld a kliensnek, ami így azt érzékeli, hogy lassan bár, de jön az adat. A csöpögtetés már a fájl letöltése alatt elkezdődhet, következésképpen ezt az adatot nem lehet vírusszűrővel ellenőrizni, így elméletileg lehetséges, hogy vírus is átjusson. Az ilyen szituációk elkerülése érdekében a ZCV a letöltött fájl mérete alapján határozza meg a kliensnek csepegtetendő adat mennyiségét, és mivel a fájl nem teljes, elhanyagolható annak az esélye, hogy a vírus működőképes lesz.

Karanténozás

A tartalomszűrő modulok által elutasított (fertőzöttnek vagy spamnek tartott) állományok általában törlésre kerülnek. Bizonyos esetekben ez nem elfogadható, ekkor az adatok karanténozására – átmeneti és biztonságos tárolására – van szükség, amíg ki nem derül, hogy tartalmaznak-e valamilyen fontos információt. Időnként egy állomány még akkor is fontos lehet, ha vírussal fertőzött, ugyanis a vírus eltávolítása nem mindig lehetséges, és a művelet esetenként magát az állományt is károsíthatja. Azt is figyelembe kell venni, hogy a víruskeresők és a spamszűrők sem tévedhetetlenek, így néha „ártatlan” állományokat és leveleket utasítanak el. Az összes ZCV modul egy közös karantént használ. Ennek mérete rugalmasan szabályozható az állományok mérete, száma, vagy a karanténozás időpontja alapján. Ehhez hasonló szabályok akár a karanténozott állományok különböző típusaihoz is rendelhetők az állományról tárolt metaadatok (pl.: a fertőzés típusa, a használt protokoll, küldő e-mail címe, stb.).

Támogatott modulok

A ZCV segítségével a Zorp több mint tíz protokollban végezhet vírusszűrést, beleértve titkosított protokollokat is, mint a HTTPS és a POP3S.

Jelenleg a ZCV az alábbi modulokat támogatja:

  1. Vírusszűrő modulok
    1. ClamAV (www.clamav.net)
    2. NOD32 (www.nod32.com)
    3. VirusBuster (www.virusbuster.hu)
  2. Spamszűrő modulok
    1. SpamAssassin (spamassassin.apache.org)
    2. Commtouch (www.commtouch.com)
  3. URL osztályozó és szűrő modul a HTTP és HTTPS tartalmak ellenőrzéséhez, melynek révén kontrollálható, hogy a felhasználók milyen típusú tartalmakat böngészhetnek. Minden URL egy adatbázis alapján kategorizálható. Egy adott URL-hez a hozzáférést az URL kategóriája alapján tiltható vagy engedélyezhető.
  4. Egy HTML szűrő modul, amely az általános tartalomszűrésen kívül JavaScript, ActiveX, Java, és Cascading stylesheet (CSS) szűrésére is képes.
  5. Egy általános adatfolyam szűrő modul (sed), amely az adatfolyamban előforduló sztringek manipulálására és szűrésére képes.
  6. Egy általános e-mail fejléc szűrő modul (mail-hdr), az e-mailekben előforduló fejlécek manipulálására és szűrésére.