Межсетевой экран нового поколения: особенности и преимущества
Узнать большеДля защиты внутренних сетей от нежелательного доступа извне организации применяют разные типы межсетевых экранов — решения в программном или программно-аппаратном форматах, анализирующие циркулирующий между сетями трафик. Также широко используются системы NGFW (Next Generation Firewall) — файрволы следующего поколения, которые значительно превосходят традиционные по функциям и уровню обеспечения безопасности.
Чтобы все перечисленные решения обеспечивали требуемый уровень защиты, необходимо определиться со схемой их подключения. Рассказываем, какие варианты есть, как выбрать оптимальный с учетом потребностей организации и особенностей корпоративных сетей.
Схемы работы межсетевых экранов
Основная цель защиты с помощью межсетевых экранов — исключить несанкционированное вмешательство во внутреннюю сеть со стороны глобальной сети. Также МЭ решают вопросы разграничения доступа сотрудников как в корпоративной сети, так и в интернете. При этом предприятиям важно сохранить конфиденциальность структуры локальной сети. Чтобы успешно реализовать эти цели, необходимо выбрать оптимальные схемы функционирования межсетевых экранов. Обычно используется один из трех вариантов:
- Единая защита периметра локальной сети — типовое решение, в рамках которого МЭ «ограждает» локальную сеть от представляющей потенциальную угрозу внешней. При использовании этой схемы трафик неизменно проходит через один межсетевой экран. Чаще всего подключение по такому принципу применяется, если в организации отсутствуют высоконагруженные корпоративные серверы, либо доступ к ним разрешен определенному кругу пользователей. Преимущество этого варианта работы — высокая степень защиты и аутентификация для каждого соединения. Минус — недостаточная гибкость и сложно организуемое удаленное подключение.
- Защищаемая основная сеть и более доступная подсеть (DMZ) — возможный вариант подключения МЭ, если в корпоративной сети предусмотрены общедоступные сервисы, которые могут быть расположены в так называемой демилитаризованной зоне. Однако в этом случае подсеть DMZ остается более уязвимой, чем основная, поэтому для такой схемы необходимо усиливать DMZ дополнительными средствами защиты, не сильно влияющими на доступ извне.
- Защита отдельных сегментов, связь между которыми возможна только через межсетевые экраны. Такая схема подойдет для сегментации одной большой корпоративной сети или защиты и связи воедино основной сети головного офиса и подчиненной филиальной сети. Плюс такого подключения – высокая степень защиты. Минус – сложная топология сети.
Перед каждой организацией стоят свои задачи, дополняемые уникальными особенностями. Поэтому описанные выше схемы являются наиболее популярными шаблонами, но на практике могут применяться как их комбинации, так и более сложные и кастомизированные решения.
Как определить подходящую схему установки межсетевого экрана
Выбор следует делать, исходя из задач и характеристик уже используемого в корпоративной инфраструктуре оборудования. Также значение имеют функциональные особенности выбранных средств защиты, количество и вариации сетевых интерфейсов, условия функционирования сетей, которые должны оказаться под защитой.
Еще один фактор выбора — необходимый уровень защиты. Небольшим компаниям с простой инфраструктурой нет необходимости гнаться за средствами защиты самого высокого класса, так как они не будут использовать и больше половины имеющихся возможностей. При этом администрировать придется enterprise-продукт, в который заложены функции работы со сложными топологиями и большими каталогами учетных записей.
Третий фактор выбора схемы — работа с удаленными сотрудниками. Если в компании они есть, целесообразно предусмотреть специальный сервер (терминальный), который будет являться промежуточной точкой для обмена данными с локальной сетью. Такой сетевой компонент обычно располагают в DMZ, поэтому оптимально выбирать вариант подключения МЭ с отдельной защитой открытой подсети, тогда работа терминального сервера будет полностью контролироваться и защищаться файрволом.
NGFW для защиты корпоративных сетей
Файрволы следующего поколения служат для защиты от атак на периметре локальных сетей и применяются для сегментации этих сетей. В таких решениях реализованы и другие инструменты для комплексного обеспечения безопасности. Например, в нашем продукте Solar NGFW есть следующие модули:
- МЭ SPI (Stateful Packet Inspection) с механизмом смены IP-адресов для сокрытия топологии внутренних сетей (NAT).
- Система IPS (Intrusion Prevention System), обнаруживающая вторжения и идентифицирующая сложные атаки.
- DPI (Deep Packet Inspection) — технология контроля трафика приложений.
- Встроенный антивирус, который анализирует трафик параллельно с файрволом.
- Веб-прокси для контроля интернет-сеансов, инициированных пользователями корпоративной сети.
- Реверс-прокси для контроля доступа удаленных сотрудников к локальным ресурсам компаний.
- Категоризатор для анализа посещаемых ресурсов, блокировки сомнительного и запрещенного контента.
Типичная для Solar NGFW схема подключения межсетевого экрана — установка на границе локальной сети. В таком варианте работы решение обеспечивает комплексную защиту от различных сетевых угроз и помогает эффективно контролировать доступ сотрудников в интернет.
Заключение
Нет универсальной схемы установки межсетевых экранов, поэтому организации должны ориентироваться на особенности своей инфраструктуры и выбранного инструмента защиты. Самый распространенный вариант — установка МЭ на границах локальных сетей для отражения любых атак «на подходе» к ним. Такую схему можно реализовать и с Solar NGFW — многофункциональным решением для предотвращения сетевых угроз и контроля пользовательских действий. Этот продукт полностью адаптирован под крупный отечественный бизнес и обеспечивает стабильную работу с интернетом даже при условии большого оборота трафика.