Сетевая модель OSI: как устроена и где применяется
Узнать большеДля защиты корпоративных сетей от сомнительного трафика уже более 20 лет используются такие решения, как межсетевые экраны. Общий принцип их работы прост — на базе установленного набора правил безопасности они решают, пропустить пакет трафика или заблокировать его. Подобная защита может реализовываться как на периметре локальных сетей, так и внутри них. Второй вариант применяется, если нужно обеспечить безопасность конкретных узлов, где обрабатывается наиболее критичная для компании информация.
Сейчас все чаще используются не стандартные межсетевые экраны, а Next-Generation Firewall (NGFW) — комплексные решения для контроля трафика, объединяющие функции нескольких инструментов для обеспечения безопасности. Например, МЭ и антивируса. В основе работы таких решений тоже лежат правила межсетевого экрана, о которых поговорим в этой статье.
Краткая сводка о межсетевых экранах
Межсетевые экраны (брандмауэры) могут быть представлены в виде программно-аппаратных комплексов или в виртуальном формате. Мы уже упоминали, что решения используются для защиты периметра сети или ее локальных сегментов. В первом случае МЭ будут называться периметровыми, во втором — внутренними.
МЭ также различаются по разным уровням модели OSI, на которых они могут работать. Базово анализ трафика происходит на L3-L4. Но более продвинутые устройства могут обеспечивать защиту на L2 и L7.
Согласно ФСТЭК России, МЭ подразделяют на типы и классы, на основании которых формируются профили защиты. Тип брандмауэра определяет вид решения (аппаратное или программное), способ установки (на границы сети, локальные узлы и т.д), специфику анализируемого трафика (промышленные протоколы, веб-трафик и т.д). Класс экрана демонстрирует степень защиты. Например, МЭ 1-3 классов работают с государственной тайной, 6 класса — со сведениями, которые не подлежат особой секретности. Организации в основном используют инструменты 4-5 классов, которых достаточно для защиты корпоративных сведений.
Независимо от типа МЭ у решений одна задача — фильтрация трафика и отбраковка потенциально опасных пакетов, предотвращение атак. Лучше всего с ней справляются брандмауэры нового поколения — NGFW. Такие решения объединяют несколько систем, параллельно работающих на безопасность. В результате NGFW обеспечивают гораздо более надежную защиту внутренних сетей, чем традиционные экраны.
Что такое правила межсетевого экрана
Правила NGFW — наборы указаний, предписывающих действия машины с трафиком при различных условиях. По сути их базу составляют типовые логические операторы: «если», «то», «и», «или» и т.д. То есть идет сравнительный анализ каких-либо операций, в результате чего на основе существующих алгоритмов формируются новые вводные, которые затем складываются в правила.
По факту правила МЭ формируются из условий (порты и IP-адреса) и действий, которые подходят под заданные условия. К действиям относятся следующие команды:
- Accept – разрешить, то есть дать трафику ход во внутренние сети.
- Reject — отклонить, то есть отбраковать трафик и выдать пользователю сообщение об ошибке.
- Drop — отбросить, то есть заблокировать передачу трафика без выдачи ответных сообщений.
В МЭ нового поколения параллельно работает несколько механизмов защиты. Это значит, что правила можно одновременно строить по результатам проверки разных подсистем.
Примеры использования правил межсетевого экрана
Простой пример — межсетевой экран по заголовку пакета определяет, что тот идет с запрещенного сайта. И блокирует такой трафик, то есть не дает ему попасть во внутренние сети.
Бывают и более узкие примеры использования правил межсетевого экрана. Допустим, МЭ пропускает трафик во внутренние сети, но антивирус находит в пакете признаки вредоносного ПО. Согласно правилу, трафик передается на дополнительную проверку в IPS. Если его сигнатуры выявляют высокий риск вторжения во внутренние сети, пакеты блокируются на периметре. После чего администратору отправляется оповещение, а трафик уходит для изучения в подключенную по ICAP песочницу.
Преимущества NGFW
Благодаря NGFW значительно повышается уровень защищенности корпоративной инфраструктуры. Такой результат достигается за счет возможности строить очень сложные правила межсетевого экрана с использованием антивируса, МЭ, IPS, DPI, песочниц, подключенных по ICAP и других разнообразных систем. Остальные преимущества зависят от выбранного решения. Например, наш продукт Solar NGFW поставляется в виде виртуального образа, управляется из удобного единого интерфейса, легко и быстро внедряется, позволяет оперативно реагировать на кибератаки.
Реализованные возможности Solar NGFW:
- Фильтрация трафика по портам, IP-адресам.
- Защита от вредоносного ПО за счет встроенного антивируса.
- Предотвращение вторжений и т.д.
- Мониторинг поведения пользователей и состояния системы.
- Формирование детальной отчетности.
Все механизмы защиты NGFW параллельно работают по своим базам сигнатур и правилам, благодаря чему обеспечивается комплексная и оперативная проверка трафика на соответствие политикам безопасности, принятым в компании.
Заключение
В основе работы МЭ всегда лежат правила межсетевого экрана, определяющие то или иное действие с пакетом трафика. Инструменты могут давать трафику ход (если он не вызывает сомнений), отклонять или блокировать его. Однако традиционные межсетевые экраны все же могут пропустить пакет с вирусом, поскольку не обладают необходимым модулем проверки. Решения NGFW более продвинутые в этом плане — анализ на вредоносное ПО происходит параллельно анализу трафика.
Решения класса NGFW ориентированы на потребности крупного бизнеса, который работает с большими объемами данных и имеет сложную информационную инфраструктуру. Инструменты должны обеспечивать высокую производительность, легко внедряться и интегрироваться с другими системами, быстро масштабироваться и своевременно обновляться. Продукт от Solar соответствует всем перечисленным требованиям и является хорошим вариантом импортозамещения.
