Межсетевой экран нового поколения: особенности и преимущества
Узнать большеПользователи интернета неизбежно сталкиваются с рисками угроз со стороны хакеров. Особенно это касается организаций, поскольку они располагают конфиденциальными сведениями, которые становятся приманкой для киберпреступников. Злоумышленники постоянно совершенствуют технологии перехвата информации, поэтому компаниям не обойтись без комплексной защиты периметра ИТ-инфраструктуры. Один из важных инструментов первой линии обороны — межсетевой экран (МЭ). Его эффективность напрямую зависит от выбранного набора функций, грамотного внедрения и настроек под требования организации.
МЭ способен защитить от вирусов, DoS‑атак, шпионского ПО и доступа через через бэкдоры, предотвратить взлом с использованием удаленного рабочего стола. Обсудим эти и другие функции систем защиты, разберемся, как настроить межсетевой экран под конкретные задачи.
Что такое межсетевой экран
Межсетевой экран (брандмауэр или файервол) — программное обеспечение (ПО) или программно-аппаратный комплекс (ПАК), используемые для фильтрации трафика. Главная задача продукта — обеспечить безопасность локальной сети организации путем отделения от внешних сетей. На основании настроек и внутренней базы инструмент будет решать, какой трафик блокировать и какие пакеты данных пропускать.
В зависимости от настройки межсетевого экрана защита строится в двух направлениях:
- Межсетевой экран располагается на границе локальной сети и называется периметровым. Он анализирует входящий и исходящий трафик на предмет потенциальных угроз и соответствия политикам безопасности компании. Все сомнительные пакеты данных блокируются, следовательно, не попадают во внутреннюю сеть.
- Межсетевой экран сегментирует внутреннюю сеть, то есть отделяет ее логические компоненты (например, серверы приложений, к которым имеют доступ удаленные сотрудники). Задача решения в таком случае — защита критически важных для организации рабочих станций путем анализа локального трафика. Если злоумышленник все же попадет в информационный периметр организации, ему придется преодолеть внутренние межсетевые экраны.
Межсетевые экраны подразделяют по уровням модели OSI, типу и классу защиты. В рамках первой классификации выделяют пакетные фильтры, управляемые коммутаторы канального уровня, файерволы прикладного уровня, шлюзы сеансового уровня, инспекторы состояния сеансового уровня с более широким набором функций. Есть и комплексные инструменты — NGFW (Next-Generation Firewall). Они подойдут для решения задач по обеспечению безопасности в крупных фирмах с большим штатом сотрудников.
Еще одна классификация МЭ согласно ФСТЭК России — по типу защиты. Есть комплексы, которые размещают на физических (А) и логических (Б) границах сетей, локальных узлах (В). Также выделяют решения, работающие с веб-трафиком (Г), протоколами промышленной автоматизации (Д).
Также есть классификация по классу защиты. Например, экраны 1-3 класса нужны для защиты данных, отнесенных к государственной тайне. Решения 4 класса обеспечивают первый уровень безопасности, 5 класса — второй, которого вполне достаточно для бизнеса. К продуктам 6 класса предъявляются наименее строгие требования, поэтому они подойдут для систем с третьим и четвертым уровнем защищенности.
Настройки межсетевого экрана
Первый этап развертывания продукта в рабочей среде — настройка всех функций. Затем проводится интеграция с уже внедренными инструментами и подготовка к эксплуатации.
Следующий этап — создание и применение политик безопасности, настройка функций обнаружения угроз и реагирования на инциденты. Также в целях обеспечения эффективной работы решения важно составить схему информационной инфраструктуры компании и открыть все необходимые доступы.
Обязательно провести тестирование инструмента, чтобы выяснить, справляется ли он с нагрузками и выдает ли требуемую скорость обработки пакетов данных. Также следует проверить систему на уязвимость к проникновению.
Как настроить межсетевой экран под задачи организации
Можно пойти по одному из двух путей — работать с вендором (поставщиком решения) или развертывать инструмент самостоятельно.
Первый путь предполагает тесное сотрудничество с вендором. Обычно это происходит так:
- Заказчик прорабатывает все детали, описывает требования к решению.
- Специалисты внедрения разворачивают пилотный проект.
- Специалисты настраивают инструменты защиты и проводят инструктажи для персонала.
- Заказчик оплачивает техподдержку и полностью доверяет вендору решение всех технических вопросов.
Такой вариант настройки межсетевого экрана подойдет, если в команде нет специалиста, который будет отвечать за внедрение, эксплуатацию и обслуживание решения. Вендор возьмет эти задачи на себя и в рамках пакета услуг проведет обучение сотрудников, в ходе которого будут освещаться все нюансы функций системы.
Второй путь внедрения — покупка самого продукта, документации и обучающих материалов в формате текста или видео. Этот вариант дешевле сотрудничества с вендором, однако успешность реализации инструмента снова упирается в наличие специалистов. Продукт достаточно сложный технически, поэтому штатные сотрудники без опыта работы с подобными решениями могут не справиться. Получается, что в таком случае выгоднее и надежнее доверить внедрение команде специалистов.
Выбор способа внедрения и настройки межсетевого экрана также зависит от самого продукта и масштабности компании. Например, решение Solar NGFW имеет проработанный веб-интерфейс с интегрированной справкой по каждому разделу. Если организации не нужно настраивать сложные правила и политики на сотни человек штата, этот вариант вполне может подойти. Особенно если среди персонала есть ИТ/ИБ администраторы.
Заключение
Брандмауэр давно стал базовым и очень важным инструментом защиты корпоративных сетей от кибератак. Существуют варианты решений для предприятий любых масштабов и сфер деятельности. Крупные компании отдают предпочтение комплексным продуктам NGFW, адаптированным под задачи большого бизнеса. Однако при создании проекта защиты приходится столкнуться с выбором варианта настройки межсетевого экрана. Если в штате есть квалифицированные специалисты, можно развернуть решение самостоятельно. В случае отсутствия таких сотрудников и наличия большого количества задач лучше воспользоваться услугами вендора.