Сетевая модель OSI: как устроена и где применяется
Узнать большеДля каждой компании очень важна безопасность ИТ-инфраструктуры, поэтому обязательно внедряется комплекс защитных средств, состав которого зависит от требований к отрасли, уникальных задач, уровня зрелости организации и других объективных факторов. Практически всегда среди инструментов присутствуют межсетевой экран и антивирус — проверенные временем и эффективные решения, позволяющие минимизировать риски угроз из внешней среды. Долгое время эти средства эксплуатировались отдельно друг от друга. Сейчас имеются решения, подразумевающие комплексное использование межсетевого экрана с антивирусом. Обсудим, как и когда появился такой симбиоз, каким образом реализуется защита.
Межсетевой экран: понятие, виды и функции
Межсетевой экран (файервол, брандмауэр, МЭ) — традиционное средство защиты внутренней инфраструктуры от внешних сетевых угроз. Это специализированное ПО или программно-аппаратный комплекс, анализирующие пакеты данных и блокирующие трафик, не соответствующий политикам безопасности компании.
Первый вариант файервола — периметровый, то есть ограждающий ИТ-инфраструктуру компании от внешних сетей. Второй тип — брандмауэр, который используется для разделения внутренних сетей. Такой МЭ защищает критически важные узлы информационной системы компании и позволяет разграничить ИТ-инфраструктуру на логические сегменты. Принцип действия этих типов межсетевых экранов одинаковый, разница только в том, что при сегментации файервол обрабатывает исключительно внутренний трафик.
Виды межсетевых экранов:
- Межсетевой экран с антивирусом — решение, в рамках которого два важных инструмента обеспечения безопасности параллельно обрабатывают трафик.
- Пакетные фильтры — решения для пограничной защиты сети и персональной защиты отдельных пользовательских устройств. Они контролируют данные путем анализа сведений, которые фигурируют в заголовках пакетов трафика.
- Управляемые коммутаторы — решения, которые осуществляют проверку данных исключительно на канальном уровне, между рабочими узлами и сетями. Они не подходят для комплексного обеспечения безопасности ИТ-инфраструктуры.
- Инструменты прикладного уровня — средства обеспечения защиты на уровне веб-ресурсов. Подходят для реализации механизмов аутентификации, блокировки отдельных команд и DoS-атак.
- Решения сеансового уровня — шлюзы, исключающие непосредственный контакт внешних хостов и локальных узлов. Они обрабатывают пакеты данных, фигурирующие в момент текущего соединения.
- Инспекторы состояния — многофункциональные инструменты, обеспечивающие детальную проверку пакетов данных на любом уровне (от сетевого до прикладного).
Защита с помощью межсетевого экрана считается стандартом обеспечения безопасности информационной инфраструктуры компании. Поэтому важно выбрать правильный тип МЭ, который будет справляться со всеми поставленными задачами.
Использование межсетевого экрана с антивирусом
Межсетевой экран — один из старейших инструментов защиты от внешних угроз, который начали использовать еще в 80-е годы. Примерно в это же время появилось и антивирусное обеспечение, предназначенное для борьбы с вредоносными компонентами. Антивирусы необходимы для распознавания компьютерных вирусов и других сомнительных программ. Также они эффективны в качестве профилактических инструментов, препятствующих заражению вредоносными кодами операционных систем или отдельных файлов.
Сначала эти два решения использовались только по отдельности. Межсетевые экраны стояли на границе сети и пропускали, либо отбрасывали входящий трафик. Если данные были допущены в локальную сеть, наступало время их проверки антивирусом. Процессы происходили не слишком быстро, а системы потребляли большое количество ресурсов. Именно поэтому чуть позже начались активные попытки объединить решения и заставить их работать параллельно.
В 2010-х процессоры и другие аппаратные компоненты стали мощнее и функциональнее, поэтому появилась возможность совместить межсетевой экран и антивирус. Подобная комбинация вместе с другими средствами защиты была представлена в решениях класса UTM. Трафик в них обрабатывался последовательно, поэтому задача по объединению решений не была на 100% выполнена.
Развитие технологий привело к появлению устройств класса NGFW (Next-Generation Firewall) — межсетевых экранов следующего поколения. Движки МЭ, антивируса и прочих систем в них были переписаны и оптимизированы таким образом, чтобы работа инструментов защиты на одном процессоре была параллельной.
В NGFW чаще всего предусмотрен потоковый антивирус, который сильно отличается от своих потомков функциональностью и принципом работы. Также существует реализация, подразумевающая антивирусный движок в качестве отдельного программного модуля без внедрения в систему NGFW. Есть и решения, в которых антивирус вынесен в отдельное устройство и подключается по протоколу ICAP (Internet Control Message Protocol).
Заключение
Использование межсетевого экрана с антивирусом позволяет оптимизировать процесс защиты от внешних сетевых угроз путем параллельной обработки трафика разными инструментами. В комплексном программном средстве Solar NGFW тоже есть встроенное потоковое антивирусное ПО от надежного российского разработчика. Модуль интегрирован в систему комплексной проверки, автоматически обновляется, не нуждается в дополнительных настройках. Встроенный антивирус выполняет анализ ссылок и файлов, в реальном времени оценивает риски, эффективно противодействует социальной инженерии, распознает вредоносное обеспечение всех распространенных типов.
Solar NGFW ориентирован на крупный бизнес, поэтому поддерживает высокую производительность МЭ, позволяет выстроить гибкое управление доступом в интернет, легко масштабируется и в виртуальном исполнении исключает зависимость от аппаратного обеспечения. Все механизмы защиты, включенные в продукт, работают параллельно. Такой подход гарантирует оперативную комплексную проверку трафика на соответствие политике безопасности компании и повышает общий уровень зрелости системы обеспечения безопасности.
