Для защиты внутренних сетей от нежелательного доступа извне организации применяют разные типы межсетевых экранов — решения в программном или программно-аппаратном форматах, анализирующие циркулирующий между сетями трафик. Также широко используются системы NGFW (Next Generation Firewall) — файрволы следующего поколения, которые значительно превосходят традиционные по функциям и уровню обеспечения безопасности. 

Чтобы все перечисленные решения обеспечивали требуемый уровень защиты, необходимо определиться со схемой их подключения. Рассказываем, какие варианты есть, как выбрать оптимальный с учетом потребностей организации и особенностей корпоративных сетей.

Схемы работы межсетевых экранов

Основная цель защиты с помощью межсетевых экранов — исключить несанкционированное вмешательство во внутреннюю сеть со стороны глобальной сети. Также МЭ решают вопросы разграничения доступа сотрудников как в корпоративной сети, так и в интернете. При этом предприятиям важно сохранить конфиденциальность структуры локальной сети. Чтобы успешно реализовать эти цели, необходимо выбрать оптимальные схемы функционирования межсетевых экранов. Обычно используется один из трех вариантов:

  • Единая защита периметра локальной сети — типовое решение, в рамках которого МЭ «ограждает» локальную сеть от представляющей потенциальную угрозу внешней. При использовании этой схемы трафик неизменно проходит через один межсетевой экран. Чаще всего подключение по такому принципу применяется, если в организации отсутствуют высоконагруженные корпоративные серверы, либо доступ к ним разрешен определенному кругу пользователей. Преимущество этого варианта работы — высокая степень защиты и аутентификация для каждого соединения. Минус — недостаточная гибкость и сложно организуемое удаленное подключение.
  • Защищаемая основная сеть и более доступная подсеть (DMZ) — возможный вариант подключения МЭ, если в корпоративной сети предусмотрены общедоступные сервисы, которые могут быть расположены в так называемой демилитаризованной зоне. Однако в этом случае подсеть DMZ остается более уязвимой, чем основная, поэтому для такой схемы необходимо усиливать DMZ дополнительными средствами защиты, не сильно влияющими на доступ извне.
  • Защита отдельных сегментов, связь между которыми возможна только через межсетевые экраны. Такая схема подойдет для сегментации одной большой корпоративной сети или защиты и связи воедино основной сети головного офиса и подчиненной филиальной сети. Плюс такого подключения – высокая степень защиты. Минус – сложная топология сети.

Перед каждой организацией стоят свои задачи, дополняемые уникальными особенностями. Поэтому описанные выше схемы являются наиболее популярными шаблонами, но на практике могут применяться как их комбинации, так и более сложные и кастомизированные решения.

как определить подходящую схему установки межсетевого экрана

Как определить подходящую схему установки межсетевого экрана

Выбор следует делать, исходя из задач и характеристик уже используемого в корпоративной инфраструктуре оборудования. Также значение имеют функциональные особенности выбранных средств защиты, количество и вариации сетевых интерфейсов, условия функционирования сетей, которые должны оказаться под защитой.

Еще один фактор выбора — необходимый уровень защиты. Небольшим компаниям с простой инфраструктурой нет необходимости гнаться за средствами защиты самого высокого класса, так как они не будут использовать и больше половины имеющихся возможностей. При этом администрировать придется enterprise-продукт, в который заложены функции работы со сложными топологиями и большими каталогами учетных записей.

Третий фактор выбора схемы — работа с удаленными сотрудниками. Если в компании они есть, целесообразно предусмотреть специальный сервер (терминальный), который будет являться промежуточной точкой для обмена данными с локальной сетью. Такой сетевой компонент обычно располагают в DMZ, поэтому оптимально выбирать вариант подключения МЭ с отдельной защитой открытой подсети, тогда работа терминального сервера будет полностью контролироваться и защищаться файрволом. 

NGFW для защиты корпоративных сетей

Файрволы следующего поколения служат для защиты от атак на периметре локальных сетей и применяются для сегментации этих сетей. В таких решениях реализованы и другие инструменты для комплексного обеспечения безопасности. Например, в нашем продукте Solar NGFW есть следующие модули:

  • МЭ SPI (Stateful Packet Inspection) с механизмом смены IP-адресов для сокрытия топологии внутренних сетей (NAT).
  • Система IPS (Intrusion Prevention System), обнаруживающая вторжения и идентифицирующая сложные атаки.
  • DPI (Deep Packet Inspection) — технология контроля трафика приложений.
  • Встроенный антивирус, который анализирует трафик параллельно с файрволом.
  • Веб-прокси для контроля интернет-сеансов, инициированных пользователями корпоративной сети.
  • Реверс-прокси для контроля доступа удаленных сотрудников к локальным ресурсам компаний. 
  • Категоризатор для анализа посещаемых ресурсов, блокировки сомнительного и запрещенного контента. 

Типичная для Solar NGFW схема подключения межсетевого экрана — установка на границе локальной сети. В таком варианте работы решение обеспечивает комплексную защиту от различных сетевых угроз и помогает эффективно контролировать доступ сотрудников в интернет. 

Заключение

Нет универсальной схемы установки межсетевых экранов, поэтому организации должны ориентироваться на особенности своей инфраструктуры и выбранного инструмента защиты. Самый распространенный вариант — установка МЭ на границах локальных сетей для отражения любых атак «на подходе» к ним. Такую схему можно реализовать и с Solar NGFW — многофункциональным решением для предотвращения сетевых угроз и контроля пользовательских действий. Этот продукт полностью адаптирован под крупный отечественный бизнес и обеспечивает стабильную работу с интернетом даже при условии большого оборота трафика.