Классификация сетевых адаптеров 

         В качестве примера классификации  адаптеров используем подход  фирмы 3Com, имеющей репутацию лидера  в области адаптеров Ethernet. Фирма 3Com считает, что сетевые адаптеры Ethernet прошли в своем развитии три поколения. 

        Адаптеры первого поколения были  выполнены на дискретных логических  микросхемах, в результате чего  обладали низкой надежностью.  Они имели буферную память только на один кадр, что приводило к низкой производительности адаптера, так как все кадры передавались из компьютера в сеть или из сети в компьютер последовательно. Кроме этого, задание конфигурации адаптера первого поколения происходило вручную, с помощью перемычек. Для каждого типа адаптеров использовался свой драйвер, причем интерфейс между драйвером и сетевой операционной Системой не был стандартизирован. 

         В сетевых адаптерах второго  поколения для повышения производительности  стали применять метод многокадровой буферизации. При этом следующий кадр загружается из памяти компьютера в буфер адаптера одновременно с передачей предыдущего кадра в сеть. В режиме приема, после того как адаптер полностью принял один кадр, он может начать передавать этот кадр из буфера в память компьютера одновременно с приемом другого кадра из сети.

В сетевых адаптерах  второго поколения широко используются микросхемы с высокой степенью интеграции, что повышает надежность адаптеров. Кроме того, драйверы этих адаптеров основаны на стандартных спецификациях. Адаптеры второго поколения обычно поставляются с драйверами, работающими как в стандарте NDIS (спецификация интерфейса сетевого драйвера), разработанном фирмами 3Com и Microsoft и одобренном IBM, так и в стандарте ODI (интерфейс открытого драйвера), разработанном фирмой Novell. 

         В сетевых адаптерах третьего  поколения (к ним фирма 3Com относит  свои адаптеры семейства EtherLink III) осуществляется конвейерная схема  обработки кадров. Она заключается  в том, что процессы приема кадра из оперативной памяти компьютера и передачи его в сеть совмещаются во времени. Таким образом, после приема нескольких первых байт кадра начинается их передача. Это существенно (на 25-55 %) повышает производительность цепочки оперативная память — адаптер — физический канал — адаптер — оперативная память. Такая схема очень чувствительна к порогу начала передачи, то есть к количеству байт кадра, которое загружается в буфер адаптера перед началом передачи в сеть. Сетевой адаптер третьего поколения осуществляет самонастройку этого параметра путем анализа рабочей среды, а также методом расчета, без участия администратора сети. Самонастройка обеспечивает максимально возможную производительность для конкретного сочетания производительности внутренней шины компьютера, его системы прерываний и системы прямого доступа к памяти.

Адаптеры третьего поколения базируются на специализированных интегральных схемах (ASIC), что повышает производительность и надежность адаптера при одновременном снижении его стоимости. Компания 3Com назвала свою технологию конвейерной обработки кадров Parallel Tasking, другие компании также реализовали похожие схемы в своих адаптерах. Повышение производительности канала «адаптер-память» очень важно для повышения производительности сети в целом, так как производительность сложного маршрута обработки кадров, включающего, например, концентраторы, коммутаторы, маршрутизаторы, глобальные каналы связи и т. п., всегда определяется производительностью самого медленного элемента этого маршрута. Следовательно, если сетевой адаптер сервера или клиентского компьютера работает медленно, никакие быстрые коммутаторы не смогут повысить скорость работы сети. 

         Выпускаемые сегодня сетевые  адаптеры можно отнести к четвертому  поколению. В эти адаптеры обязательно входит ASIC, выполняющая функции МАС-уровня, а также большое количество высокоуровневых функций. В набор таких функций может входить поддержка агента удаленного мониторинга RMON, схема приоритезации кадров, функции дистанционного управления компьютером и т. п. В серверных вариантах адаптеров почти обязательно наличие мощного процессора, разгружающего центральный процессор. Примером сетевого адаптера четвертого поколения может служить адаптер компании 3Com Fast EtherLink XL 10/100.

Серверные сетевые адаптеры D-Link

4. Межсетевые экраны

Неотъемлемым  элементом защиты сети крупной организации  от вторжения злоумышленников является корпоративный межсетевой экран. Предлагаем вашему вниманию вопросы, которые следует рассмотреть, прежде чем решать вопрос о его приобретении.

Многие десятки  компаний занимаются продажей межсетевых экранов (МЭ) для любых сред: от МЭ класса desktop (для настольных систем) и МЭ класса SOHO (для малого/домашнего офиса) до межсетевых экранов, предназначенных для поставщиков телекоммуникационных услуг (carrier class), -- выбор подчас просто огромный. Поэтому принятие правильного решения о покупке МЭ немыслимо без глубокого понимания потребностей в обеспечении сетевой безопасности.

Прежде чем  делать такую покупку, следует сначала  позаботиться о выработке эффективной  политики безопасности в вашей организации. Эта-то политика и поможет вам  в выборе подходящего для вашей  корпоративной среды типа МЭ. Затем необходимо выявить все элементы уязвимости, присущие конкретным вариантам доступа к вашей сети. Если, например, вы поддерживаете общедоступный Web-сайт, чей динамический контент извлекается из корпоративной БД то вы, таким образом, создаете "лазейку" из общедоступной сети через ваш МЭ прямо к корпоративной БД. Большинство МЭ не смогут вас защитить от атак, осуществляемых на прикладном уровне, следовательно, нужно обезопасить каждое звено в цепи "Web-сервер -- корпоративная БД", а МЭ следует рассматривать как единую точку доступа. И, наконец, внушите всем сотрудникам вашей организации элементарные правила обеспечения безопасности: никаких несанкционированных модемов на столах, никаких приложений удаленного управления и т.п.

Безопасность или производительность

На рынке корпоративных  МЭ представлены два базовых механизма  межсетевого экранирования: фильтрации пакетов с проверкой состояния  протокола (Stateful Packet-Filter -- SPF) и использование  для фильтрации трафика приложений модулей-посредников (application proxy). SPF-устройства, такие как FireWall-1 NG компании Check Point Software Technologies, PIX компании Cisco и продукты компании NetScreen, проверяют пакеты вплоть до 4-го уровня (Layer 4), а в некоторых случаях идут даже несколько дальше, например, некоторые из них могут обрабатывать трафик FTP. Межсетевые экраны типа SPF имеют, как правило, более высокую производительность, так как выполняют минимальную обработку потока данных.

Межсетевые экраны типа application proxy, такие как Gauntlet компании Network Associates Technology, Sidewinder компании Secure Computing и Enterprise Firewall компании Symantec (известный прежде под именем Raptor -- продукт компании Axent), проверяют каждый пакет данных целиком вплоть до прикладного уровня, что обеспечивает более полный контроль трафика, пропускаемого на внутренние серверы. Например, модуль-посредник HTTP может быть сконфигурирован таким образом, чтобы разрешать команды get, но запрещать команды post, а также ограничивать длину URL-ссылок, преграждая таким образом путь атакам типа "переполнение буфера", или вводить ограничения на типы MIME, например, удалять исполняемые вложения и прочий опасный контент. МЭ на базе модулей-посредников обычно работают медленнее, чем МЭ на базе SPF, так как выполняют больший объем обработки данных.

Каждый раз, когда  в наших обзорах SPF-экраны получали более высокие оценки, чем МЭ на базе модулей-посредников, мы получали горы писем от возмущенных читателей. Суть их обычно сводится к одному и  тому же: если вам действительно  нужно обеспечить безопасность, то единственный ваш выбор -- это application proxy. По нашему, это и так, и не так. Модули-посредники, разумеется, обеспечивают более высокую степень безопасности, но делают это за счет производительности. Во время нашего тестирования МЭ на базе application proxy работали в среднем на 50% медленнее, чем SPF-устройства. Если ваш МЭ подсоединен к территориально-распределенной сети, например, линией T3 или более медленной, и вам не нужно поддерживать десятки тысяч одновременных сеансов, то МЭ application proxy действительно лучший для вас выбор. Вам следует знать нынешний уровень вашего трафика и его прогнозируемое значение, чтобы сообщить эту информацию вашему поставщику, тогда он сможет вам помочь в выборе подходящего оборудования. Вы, разумеется, всегда сможете сбалансировать нагрузку на МЭ при помощи внешних распределителей нагрузки (load-balancers).

Если же вы поддерживаете  популярный Web-сайт и возникновение "пробок" для вас недопустимо, то выбирайте SPF-устройство. Такие МЭ лучше масштабируются и поддерживают большее число соединений, но они пропускают любой трафик, отвечающий установленным для протоколов правилам, так что атакам типа "переполнение буфера" и уровня приложений путь будет открыт. Если вам нужна производительность, обеспечиваемая решениями SPF, то позаботьтесь о том, чтобы ваши Web-серверы и серверы БД были хорошо защищены и снабжены самыми последними "заплатами".

Проблема производительности встанет еще острее, если вам потребуется  выполнять процессы, сильно загружающие  ЦПУ, например, при развертывании виртуальных частных сетей (VPN). Шифрование может "поставить на колени" самый мощный процессор, тем самым сведя на нет производительность МЭ. Практически все МЭ, имеющиеся на рынке, поддерживает VPN, и подчас их использование для организации виртуальных частных сетей оправдано. Однако если вы будете поддерживать большое число сетей или обширный список пользователей, то для обслуживания VPN-процессов следует применять оборудование, специально спроектированное для максимизации производительности операций шифрования (криптоакселераторы).

МЭ, использующие ЦПУ общего назначения, -- такие как FireWall-1 компании Check Point и PIX компании Cisco, не отвечают требованиям поддержки  приложений среднего уровня пропускной способности (midlevel-bandwidth applications) даже при использовании криптоакселераторов. Некоторые МЭ, например, продукты компании NetScreen, выполняют большую часть обработки на аппаратном уровне и VPN-процессы им, таким образом, не мешают, но за это приходится платить некоторым снижением гибкости системы.

Высокая готовность

МЭ с высоким  коэффициентом готовности обеспечивают прохождение трафика прочти без  задержек даже при отказе оборудования. Существует два механизма преодоления  отказов. В механизме stateless failover при  отказе основного МЭ все сеансы связи сбрасываются. И когда за дело берется резервный МЭ, соединения для всех сеансов приходится устанавливать заново. В механизме stateful failover оба МЭ обмениваются информацией о состоянии сеансов по выделенной линии, и если какой-то МЭ выйдет из строя, то другой, что называется, "подхватит эстафету" и продолжит работу, не разрывая сеансов. При этом резервный МЭ принимает на себя все идентификационные характеристики основного МЭ, включая адреса IP и MAC (Media Access Control), и продолжает обработку трафика. После того, как резервный МЭ взял на себя функции основного, он, как правило, продолжает работать в этом качестве до следующего отказа.

Использование механизма stateful failover, как правило, предпочтительнее, и такие МЭ не дороже устройств с механизмом stateless failover. Недостаток stateful failover в том, что за решение межсетевого экранирования вам приходится платить вдвое, т.к. реально вы используете только 50% всей его процессорной мощности. Однако преодоление отказов занимает у таких МЭ всего несколько миллисекунд, и течение трафика при этом практически не прерывается.

Отказоустойчивость  может достигаться разными способами, в зависимости от типа сетевого устройства. Маршрутизаторы используют протоколы  маршрутизации, такие как RIP и OSPF, для перенаправления трафика, по возможности, в обход места сбоя, но вы вряд ли найдете МЭ, который бы позволял внешнему устройству "диктовать" ему маршрутную информацию.

Вы также можете использовать внешние распределители нагрузки для создания конфигураций МЭ с приемлемой отказоустойчивостью. Такая конфигурация обычно включает два распределителя нагрузки и два МЭ. При отказе одного из МЭ, распределитель нагрузки переадресует трафик на оставшийся МЭ. В этом варианте МЭ обычно не обмениваются сеансовой информацией, но при этом оба они до момента сбоя находятся в рабочем состоянии.

Разумеется, отказ  устройства МЭ -- это только одна из возможных причин сбоя. Отказ сервера  управления будет иметь не менее  катастрофические последствия для  работы сети. Если у вашего управляющего сервера откажет жесткий диск или сгорит вентилятор ЦПУ, то вы не сможете управлять МЭ или получить журнальные файлы, пока не устраните сбой. Если у вас небольшая сеть с минимальным трафиком, то вы, вероятно, с таким крушением совладаете. Но если вы работаете в крупной организации и управляете множеством МЭ, то потеря управляющей станции может стать серьезной проблемой.