Для защиты корпоративных сетей от сомнительного трафика уже более 20 лет используются такие решения, как межсетевые экраны. Общий принцип их работы прост — на базе установленного набора правил безопасности они решают, пропустить пакет трафика или заблокировать его. Подобная защита может реализовываться как на периметре локальных сетей, так и внутри них. Второй вариант применяется, если нужно обеспечить безопасность конкретных узлов, где обрабатывается наиболее критичная для компании информация. 

Сейчас все чаще используются не стандартные межсетевые экраны, а Next-Generation Firewall (NGFW) — комплексные решения для контроля трафика, объединяющие функции нескольких инструментов для обеспечения безопасности. Например, МЭ и антивируса. В основе работы таких решений тоже лежат правила межсетевого экрана, о которых поговорим в этой статье.

Краткая сводка о межсетевых экранах

Межсетевые экраны (брандмауэры) могут быть представлены в виде программно-аппаратных комплексов или в виртуальном формате. Мы уже упоминали, что решения используются для защиты периметра сети или ее локальных сегментов. В первом случае МЭ будут называться периметровыми, во втором — внутренними. 

МЭ также различаются по разным уровням модели OSI, на которых они могут работать. Базово анализ трафика происходит на L3-L4. Но более продвинутые устройства могут обеспечивать защиту на L2 и L7. 

Согласно ФСТЭК России, МЭ подразделяют на типы и классы, на основании которых формируются профили защиты. Тип брандмауэра определяет вид решения (аппаратное или программное), способ установки (на границы сети, локальные узлы и т.д), специфику анализируемого трафика (промышленные протоколы, веб-трафик и т.д). Класс экрана демонстрирует степень защиты. Например, МЭ 1-3 классов работают с государственной тайной, 6 класса — со сведениями, которые не подлежат особой секретности. Организации в основном используют инструменты 4-5 классов, которых достаточно для защиты корпоративных сведений.

Независимо от типа МЭ у решений одна задача — фильтрация трафика и отбраковка потенциально опасных пакетов, предотвращение атак. Лучше всего с ней справляются брандмауэры нового поколения — NGFW. Такие решения объединяют несколько систем, параллельно работающих на безопасность. В результате NGFW обеспечивают гораздо более надежную защиту внутренних сетей, чем традиционные экраны.  

Что такое правила межсетевого экрана

Правила NGFW — наборы указаний, предписывающих действия машины с трафиком при различных условиях. По сути их базу составляют типовые логические операторы: «если», «то», «и», «или» и т.д. То есть идет сравнительный анализ каких-либо операций, в результате чего на основе существующих алгоритмов формируются новые вводные, которые затем складываются в правила.

По факту правила МЭ формируются из условий (порты и IP-адреса) и действий, которые подходят под заданные условия. К действиям относятся следующие команды:

  • Accept – разрешить, то есть дать трафику ход во внутренние сети.
  • Reject — отклонить, то есть отбраковать трафик и выдать пользователю сообщение об ошибке.
  • Drop — отбросить, то есть заблокировать передачу трафика без выдачи ответных сообщений. 

В МЭ нового поколения параллельно работает несколько механизмов защиты. Это значит, что правила можно одновременно строить по результатам проверки разных подсистем. 

примеры использования правил межсетевого экрана

Примеры использования правил межсетевого экрана

Простой пример — межсетевой экран по заголовку пакета определяет, что тот идет с запрещенного сайта. И блокирует такой трафик, то есть не дает ему попасть во внутренние сети. 

Бывают и более узкие примеры использования правил межсетевого экрана. Допустим, МЭ пропускает трафик во внутренние сети, но антивирус находит в пакете признаки вредоносного ПО. Согласно правилу, трафик передается на дополнительную проверку в IPS. Если его сигнатуры выявляют высокий риск вторжения во внутренние сети, пакеты блокируются на периметре. После чего администратору отправляется оповещение, а трафик уходит для изучения в подключенную по ICAP песочницу. 

Преимущества NGFW

Благодаря NGFW значительно повышается уровень защищенности корпоративной инфраструктуры. Такой результат достигается за счет возможности строить очень сложные правила межсетевого экрана с использованием антивируса, МЭ, IPS, DPI, песочниц, подключенных по ICAP и других разнообразных систем. Остальные преимущества зависят от выбранного решения. Например, наш продукт Solar NGFW поставляется в виде виртуального образа, управляется из удобного единого интерфейса, легко и быстро внедряется, позволяет оперативно реагировать на кибератаки.

Реализованные возможности Solar NGFW:

  • Фильтрация трафика по портам, IP-адресам.
  • Защита от вредоносного ПО за счет встроенного антивируса.
  • Предотвращение вторжений и т.д.
  • Мониторинг поведения пользователей и состояния системы.
  • Формирование детальной отчетности.

Все механизмы защиты NGFW параллельно работают по своим базам сигнатур и правилам, благодаря чему обеспечивается комплексная и оперативная проверка трафика на соответствие политикам безопасности, принятым в компании. 

Заключение 

В основе работы МЭ всегда лежат правила межсетевого экрана, определяющие то или иное действие с пакетом трафика. Инструменты могут давать трафику ход (если он не вызывает сомнений), отклонять или блокировать его. Однако традиционные межсетевые экраны все же могут пропустить пакет с вирусом, поскольку не обладают необходимым модулем проверки. Решения NGFW более продвинутые в этом плане — анализ на вредоносное ПО происходит параллельно анализу трафика. 

Решения класса NGFW ориентированы на потребности крупного бизнеса, который работает с большими объемами данных и имеет сложную информационную инфраструктуру. Инструменты должны обеспечивать высокую производительность, легко внедряться и интегрироваться с другими системами, быстро масштабироваться и своевременно обновляться. Продукт от Solar соответствует всем перечисленным требованиям и является хорошим вариантом импортозамещения.