Межсетевой экран (МЭ) – одно из стандартных и распространенных средств сетевой безопасности. Главная функция межсетевого экрана – обеспечение безопасности корпоративных сетей от несанкционированного проникновения извне. Реализуется посредством стандартных и комплексных инструментов. Часто функционал межсетевого экрана дополнен защитой от фишинга, взлома учетной записи, бэдкор-доступа, DDoS-атак, возможностью управления доступом к веб-ресурсам.

что такое межсетевой экран

Что такое межсетевой экран (МЭ)?

Речь идет про программное обеспечение (ПО) или его аналог в виде программно-аппаратного комплекса (ПАК), отделяющих ИТ-инфраструктуру, локальную сеть организации от внешних сетей. Поступающий и исходящий трафик организации проходит через межсетевой экран, анализируется на предмет угроз. Пакеты данных, которые не соответствуют политикам безопасности, блокируются для прохождения во внутреннюю сеть. Этот файервол называется периметровым, т. к. он располагается на границе сети.

Второй сценарий применения брандмауэра – сегментация внутренней сети. Разделяет логические сегменты внутренней ИТ-инфраструктуры. Например, МЭ способен отделить серверы корпоративных приложений, к которым подключаются удаленные сотрудники организации. Также межсетевой экран может выполнять функции по защите рабочих станций критически важных отделов организации, например бухгалтерии. Защита реализуется путем использования ПО или ПАК, по аналогичной схеме, но они обрабатывают лишь внутренний трафик. Межсетевой экран усложняет злоумышленнику задачу по проникновению в защищаемую сеть. В случае если хакер всё же пробрался через защиту периметра, то для доступа к важным документам и сервисам ему необходимо преодолеть внутренние МЭ. Это занимает определенное время: чем больше действий киберпреступник выполняет в сети, тем быстрее его заметит и нейтрализует служба ИБ.

История развития межсетевых экранов

Межсетевые экраны прошли длительный путь развития от простейших защитных устройств до сложных комплексных решений. Их историю можно поделить на несколько этапов:

  • 1991 год. Первые простейшие межсетевые экраны, которые проводили анализ технических характеристик пакета данных или используемого соединения на основании готового набора правил.

  • 1997 год. Появление Stateful Inspection. Проверка пакетов данных стала осуществляться с отслеживанием, хранением в памяти межсетевого экрана атрибутов для каждого соединения.

  • 2004 год. Появление UTM. Принципиально новая концепция защиты по типу единого решения. Последовательная проверка и обработка трафика на разных механизмах защиты –FW, IPS, DPI.

  • 2008 год. Появление систем NGFW. Изучение содержания потоков данных, анализ поведения пользователей, создающих этот поток.

Виды файерволов

Сердце современных защитных комплексов сети – это файрвол, и он же самый старый механизм защиты. Именно идея проверять в трафике основные заголовки пакетов данных привела к созданию первых брандмауэров, которые просто пропускали или блокировали проверенные пакеты данных. Работа МЭ опирается на совокупность специальных правил, согласно которым происходит фильтрация трафика. Кроме того, он пресекает попытки подмены трафика и сканирования сети злоумышленниками. Принято выделять следующие виды брандмауэров:

  • Управляемые коммутаторы. Способны частично взять на себя функционал файервола. Ведут проверку трафика между разными сетями и узлами, но при этом работают только на уровне каналов. Тем самым они исключены для обеспечения безопасности от угроз из внешней сети. Подобный межсетевой экран выполняет функции ограниченно и локально. Ряд компаний, производящих управляемые коммутаторы предлагает дополнительный функционал с целью повышения защиты. Например, проведение проверки на основе MAC-адресов. Несмотря на дополнения и расширение функционала управляемые коммутаторы не способны обеспечить должный уровень защиты, поэтому редко используются на практике против сетевых угроз.

  • Пакетные фильтры. Отвечают за контроль трафика за счет анализа данных представленных в заголовках пакетов. Часть решений подобного класса поддерживает работу с TCP, UDP. Входят в число наиболее востребованных решений среди МЭ за счет широкого функционала. Пакетные фильтры подходят в роли пограничных маршрутизаторов, обеспечивают персональную защиту устройств пользователя. Считаются оптимальным решением для создания пограничной защиты там, где присутствует сеть с заведомо низким уровнем доверия.

  • Посредники прикладного уровня. Эта категория файерволов включает решения, работающие на уровне веб-приложений. Они не подразумевают взаимодействие нескольких узлов напрямую. Чаще всего в работе используется несколько приложений исполняющих функции посредников, ответственных за разные прикладные протоколы. Эффективны для блокировки DoS-атак, отдельных команд, разрешающих запись данных на FTP сервере, блокировки опасных сообщений, запускающих исполняемый код. Посредники прикладного уровня подходят для исполнения механизмов аутентификации. Удобны тем, что поддерживают большинство распространенных протоколов. При всех своих достоинствах посредники прикладного уровня требуют вовлечения большого количества ресурсов, времени, затраченных на анализ пакетов. Плюс они плохо поддаются автоматизации процессов ввиду обязательности использования отдельных агентов, работающих с конкретными веб-приложениями.

  • Шлюзы сеансового уровня. Работают по принципу исключения прямого контакта внешних хостов и узлов, находящихся в локальной сети. Играют роль промежуточного звена, отслеживают, подвергают проверке входящие пакеты на соответствие допуска. Обеспечивают защиту при условии, что пакеты связаны с запущенным в данный момент соединением. Плюсом использования шлюзов сеансового уровня является тот факт, что благодаря отсутствию в сети других компонентов между внешней сетью и данными представляется маловероятным узнать топологию сети. Их слабым местом считается невозможность выполнения проверки содержимого полей данных из-за чего сохраняются риски внедрения «троянских коней».

  • Инспекторы состояния. Комплексный инструмент зашиты реализовавший такие возможности межсетевого экрана как полная проверка трафика начиная с сетевого уровня и заканчивая прикладным. Фильтрации подвергаются каждый пакет, сессия, приложение согласно таблицам правил и состояний, а также посредников. Запущенный инспектор состояния никак не затрагивает установку соединений между разными узлами. Это положительно сказывается на поддержании производительности сети. Также использование отличается прозрачностью – отсутствие необходимости проведения настроек

Помимо описанной выше классификации межсетевых экранов возможно их разделение на классы продуктов, включающих в себя в той или иной степени функции фильтрации трафика. Такое разделение соответствует данным аналитического агентства Гартнер:

  • SWG – шлюз безопасности, обладающий возможностями для проведения глубокого анализа и фильтрации трафика, прокси-сервера, разграничения прав пользователей в системе.

  • SEG – шлюз безопасности, который берет на себя осуществление функций защиты электронной почты, мониторинга писем, предотвращения фишинга, спама.

  • UTM – шлюз безопасности, включающий антивирус, файервол, систему предотвращения сетевых атак, VPN.

  • NGFW – шлюз безопасности, наделенный функционалом файервола, антивируса. Использует модули VPN, DPI, IDS/IPS.

Осуществляет фильтрацию ссылок, трафика, контролирует веб-приложения, управляет доступом к информационным ресурсам.

межсетевой экран нового поколения

У компании «Ростелеком-Солар» присутствуют два решения по обеспечению защиты от сетевых угроз – Solar NGFW и Solar webProxy. NGFW выполняет важные функции в корпоративной сети. Он может применяться в роли инструмента сетевой защиты информации, средства управления доступом. Пригодится для автоматизации рутинной работы службы информационной безопасности.