Сетевые технологии активно развиваются на протяжении нескольких десятков лет. За это время сети и их топология приобрели сложную и многоуровневую структуру. Сегодня для противодействия злоумышленникам в интернете недостаточно использовать единичное средство защиты – требуется комплексная система безопасности. Одним из базовых, но в то же время эффективных инструментов защиты сети, являются межсетевые экраны. В этой категории собрана широкая группа решений, которые прошли длинный путь эволюции и превратились из отдельных защитных средств в комплексные защитные инструменты. Рассмотрим типы межсетевых экранов, отличия в их работе, классы защиты, принципы подбора для разных задач.

тип межсетевых экранов

Зачем делить межсетевые экраны на типы?

Межсетевые экраны существенно отличаются друг от друга по функциям, классу защиты, специфике использования. Все чаще для защиты средних и крупных рабочих сетей используются межсетевые экраны нового поколения (NGFW). Когда в компании присутствует сотня и более рабочих мест, то гораздо проще и эффективнее использовать один межсетевой экран на периметре сети, чем пытаться защитить каждое рабочее место отдельным средством защиты.

В средних и крупных организациях появляется необходимость сегментировать сеть и логически отделять DMZ или подразделения, защищать веб-приложения и службы. На крупных индустриальных объектах присутствует огромное количество систем, управляющих промышленными процессами, которые также подключены к корпоративной сети и нуждаются в защите. При этом они работают по собственным, сложным протоколам.

Для каждого из описанных выше сценариев требуется свой набор функций, часто пересекающийся, но с разными акцентами. Вендоры предлагают необходимые потребителю программные и аппаратные решения, объединяя их под общим названием «межсетевой экран». Однако здесь есть множество нюансов. Для понимания различий между разными межсетевыми экранами и их классификации, Федеральная служба по техническому и экспортному контролю (ФСТЭК) России создала свою систему разделения на типы и классы.

Сколько типов межсетевых экранов регламентировано?

ФСТЭК России регламентирует следующие типы межсетевых экранов:

  • Тип А – в большинстве своем это аппаратные решения, подходящие для использования на периметре сетей или между их сегментами. Это также могут быть ПАК, расположенные там, где имеется физическое подключение организации к сети через кабельное соединение.

  • Тип Б – это программные и аппаратные решения, которые находятся на логических границах сети. Могут быть как отдельными устройствами, так и решениями, например, уже встроенными в маршрутизаторы.

  • Тип В – это программные решения, обеспечивающие защиту конкретного устройства, например, рабочего компьютера одного сотрудника компании. Располагаются они в одном узле информационной системы.

  • Тип Г – включают в себя программные и аппаратные решения, предназначенные для анализа и проверки на физической границе сети трафика, направленного к веб-службам и веб-приложениям. Известны как класс продуктов Web Application Firewall (WAF).

  • Тип Д – это программные и аппаратные решения, настроенные на работу с протоколами, используемыми для управления техпроцессами на промышленных предприятиях и объектах (АСУ ТП). Не имеют массового распространения, контролируют и фильтруют такие протоколы данных как CAN, HART и другие.

Как показывает практика, наиболее востребованными среди организаций, работающих с информацией и осуществляющих ее защиту являются типы межсетевых экранов А-В. Помимо типов при выборе межсетевого экрана необходимо учитывать его класс защиты, так как он напрямую связан с параметрами обеспечения безопасности информационной системы.

Классы защиты межсетевых экранов

ФСТЭК России классифицирует межсетевые экраны не только по типам, но и по классам защиты. Стоит отметить, что разделение на классы происходит неравномерно: для типов А-В предусмотрено шесть классов защиты, тогда как для типов Г и Д – лишь четыре.

Подробная классификация межсетевых экранов выглядит следующим образом:

  • Класс 6 – это наименее строгий класс. Межсетевые экраны этого класса разрешены к использованию в государственных информационных системах (ГИС) с третьим и четвертым классами защищенности, а также в автоматизированных системах управления (АСУ), работающих на производственных объектах или в процессе выполнения технических операций, соответствующих третьему классу защищенности. Класс 6 также используется в информационных системах персональных данных (ИСПДн) при необходимости обеспечения третьего или четвертого уровня защищенности информации.

  • Класс 5 – применяется в ГИС со вторым классом защищенности и в АСУ, соответствующих второму классу защищенности. Этот класс также используется в ИСПДн, когда требуется обеспечить второй уровень защищенности информации.

  • Класс 4 – используется в ГИС с первым классом защищенности и в АСУ, соответствующих первому классу защищенности. В ИСПДн этот класс применяется, когда требуется обеспечить первый уровень защищенности информации.

  • Классы 3, 2, 1 – могут применяться для защиты информационных систем, в которых производится обработка данных, относящихся к государственной тайне.

классы защиты межсетевых экранов

Вопросы классов защиты информационных систем регулируются такими нормативными актами как: Приказ ФСТЭК России № 17 от 11.02.2013, Приказ ФСТЭК России № 21 от 18.02.2013, Приказ ФСТЭК России № 31 от 14.03.2014.

Важно понимать, что классы и типы межсетевых экранов не связаны между собой напрямую. Возможно наличие межсетевого экрана типа А с шестым классом защиты, так же, как и межсетевого экрана типа В с первым классом защиты.

Для более полного понимания классификации межсетевых экранов согласно стандартам ФСТЭК России и исключения возможной двусмысленности обычно рассматривают профиль защиты межсетевого экрана. Профиль представляет собой определенное сочетание класса и типа межсетевых экранов, на основании которого определяются технические требования к нему.

Ниже в таблице приведены все существующие профили:

класс защиты межсетевых экранов

Согласно классификации ФСТЭК России, существует 24 различных профиля защиты. Детальная информация и требования к профилям указаны на официальном сайте регулятора. Однако, информация предоставлена только по 15 профилям, поскольку профили, обеспечивающие 1–3 уровни защиты, носят конфиденциальный характер, так как они связаны с государственной тайной.

Solar NGFW - это новый продукт, который претендует на соответствие профилю ИТ.МЭ.Б4.ПЗ, и в будущем, с появлением ПАК, планируется получение сертификата соответствия профилю ИТ.МЭ.А4.ПЗ, а затем и ИТ.МЭ.А3.ПЗ, ИТ.МЭ.Б3.ПЗ.