Одно из базовых средств защиты внутренних сетей от сетевых угроз — межсетевые экраны (МЭ). Они могут устанавливаться как на границах сетей, так и на их отдельных участках. Основная функция решений этого класса — анализ пакетов данных, циркулирующих внутри корпоративной сети, передаваемых из корпоративной сети в глобальную и наоборот. 

Гораздо шире функциональные возможности у файрволов следующего поколения — NGFW. Это комплексные решения, в которых реализовано несколько инструментов защиты, работающих параллельно. Например, встроенный антивирус будет анализировать трафик одновременно с проверкой межсетевым экраном. Также продукты этого класса способны проводить категоризацию посещаемых сайтов, контролировать работу удаленных пользователей с внутренними ресурсами организации, предотвращать вторжения благодаря модулю IPS и многое другое. 

Кажется, что сложнее всего сделать выбор инструмента, который будет использоваться для защиты. Однако придется решать еще один важный вопрос — как внедрить межсетевой экран без приостановки рабочих процессов. Особенно если приходится переходить на новый продукт после эксплуатации зарубежного софта. Рассказываем, какие способы внедрения МЭ существуют и как выбрать подходящий. 

Внедрение межсетевого экрана: какой формат инструмента выбрать

Существует два вида исполнения МЭ — аппаратное и программное. В первом случае речь об отдельных физических устройствах для фильтрации трафика, во втором — о специализированном софте. Выбор межсетевого экрана следует делать, исходя из сферы деятельности компании и конкретных задач. Например, есть организации, которые обязаны использовать только аппаратные решения в связи с требованиями регуляторов. Также физические МЭ эксплуатируются в государственных учреждениях и на предприятиях с госучастием.  

Все остальные организации могут выбирать виртуальные решения, которые легче внедряются и масштабируются. При этом они по большей части не уступают аппаратным в функциях. 

Способы внедрения межсетевого экрана

Вариант реализации защиты зависит от многих факторов: сферы деятельности организации, особенностей сетей, арсенала используемых инструментов для обеспечения безопасности. Возможные способы:

  • Межсетевой экран на периметре сети — традиционный вариант внедрения. Именно так работает большинство решений класса NGFW. Если эксплуатировать именно их, можно обойтись без выделенного прокси, отдельной системы IPS и других инструментов, которые реализованы в файрволах следующего поколения. 
  • Использование МЭ в качестве прокси — один из вариантов внедрения NGFW. Такую схему выбирают из-за отсутствия необходимости менять сразу всю существующую систему защиты и возможности плавно переехать на новое оборудование. Но у нее есть существенный минус — до полноценного внедрения невозможность полностью задействовать функции нового МЭ. 
  • МЭ как ядро — распространенный вариант для небольших сетей. В этом случае NGFW используется для маршрутизации трафика вместо коммутатора. Преимущества схемы — быстрота внедрения и легкость администрирования. Минусы — единая точка отказа и отсутствие гибкости управления трафиком. 
  • Межсетевой экран в режиме Bridge (мост) — вариант для сетей, топологию которых крайне нежелательно менять. В таком случае трафик проходит через МЭ только на втором (канальном) уровне. Если используется NGFW, можно избежать установки отдельной IPS-системы, поскольку файрвол справится с его функцией. 
  • МЭ для сегментации сети — схема, в которой межсетевой экран выступает барьером для защиты критически важных сегментов сети. В этой схеме на локальных участках он выполняет те же функции, что и на периметре. 

Теперь о том, каких форматов решений требуют перечисленные варианты внедрения межсетевого экрана. На периметре и для сегментации сети можно использовать как аппаратные, так и программные МЭ. В качестве прокси обычно выступают виртуальные продукты. Для режима Bridge и эксплуатации в качестве ядра крайне желательно аппаратное обеспечение. 

Если схема защиты выстраивается с нуля, целесообразно сделать выбор в пользу решения класса NGFW, поскольку в этом случае можно обойтись без использования отдельных антивирусов, прокси, IPS. А с другими инструментами защиты файрвол следующего поколения интегрируется с помощью специальных протоколов. Таким образом выстраивается целостная система защиты, каждый компонент которой легко контролируется и администрируется. 

способы внедрения межсетевого экрана

Внедрение межсетевого экрана Solar NGFW

Наше решение представлено в виде программного обеспечения, поэтому внедрение пройдет безболезненно для деятельности организации. Некоторым кажется, что программный формат продуктов уступает в надежности аппаратному, однако это не так. К тому же, виртуальный инструмент проще масштабировать, что очень важно для крупных предприятий. 

Функции нашего решения:

  • Фильтрация трафика по заданным параметрам и сигнатурам атак.
  • Контентный анализ.
  • Контроль доступа к интернет-ресурсам.
  • Глубокий анализ пакетов данных.
  • Проверка антивирусным ПО.
  • Преобразование IP-адресов (NAT).

Solar NGFW подключается в разрыв трафика и предполагает параллельную работу всех реализованных в продукте механизмов. Решение может эксплуатироваться как на границах сетей, так и для сегментации сети. 

Вне зависимости от выбранного способа внедрения межсетевого экрана Solar NGFW позволяет формировать отчеты для контроля использования интернета и создавать досье на отдельных сотрудников. 

Заключение 

Нельзя однозначно ответить на вопрос, как именно внедрить межсетевой экран. Каждая организация выбирает способ в зависимости от типа используемого решения и особенностей локальных сетей. Чаще всего применяется схема подключения МЭ на первой линий защиты, то есть на периметре. Там они могут ограничивать транзит трафика и установку подозрительных соединений. Вторая по популярности схема — сегментация внутренней сети. Именно эти варианты внедрения подходят для Solar NGFWМЭ российского производства, обеспечивающего высокий уровень защищенности локальных сетей крупных организаций.