Межсетевые экраны широко используются для защиты внутренних сетей от угроз из внешних. Их ключевая функция — анализ циркулирующего между сетями трафика на предмет выявления сомнительных пакетов данных. Системы следующего поколения NGFW способны на большее, поскольку в них реализованы разноплановые защитные модули, например, антивирус, решение IPS для противодействия вторжениям, технология контроля приложений DPI, веб- и реверс-прокси. Все эти механизмы работают параллельно, поэтому проверка трафика проходит быстро и эффективно. 

Чтобы убедиться, что выбранное решение справляется со своими задачами, необходимо оценить его в действии. Рассказываем, как проводится тестирование межсетевого экрана и какие цели оно преследует. 

Для чего нужно тестирование межсетевого экрана

Уже упоминалось, что базовая задача МЭ — фильтрация трафика. Из нее вытекает другая функция — контроль за сетевыми подключениями и активностью отдельных компонентов локальной системы. 

Если эти задачи не будут решаться должным образом, сильно возрастут риски несанкционированного проникновения во внутренние сети и утечек конфиденциальных сведений. Однако нельзя «на глаз» определить, как и насколько эффективно выбранный инструмент работает с трафиком, поэтому приходится прибегать к методикам оценки межсетевого экрана. 

Что можно выявить в ходе тестирования:

  • Реальную производительность МЭ.
  • Способность инструмента защиты оперативно реагировать на подозрительные действия.
  • Нюансы взаимодействия межсетевого экрана с другими используемыми инструментами защиты. 
  • Ситуации, в которых программное обеспечение может не среагировать на угрозу.

Также тестирование поможет определить, соответствует ли выбранное решение характеристикам, заявленным разработчиком. Поставщики ПО, в свою очередь, тоже тестируют продукты с целью выявить слабые места, устранить их и представить конечному пользователю качественный софт. 

Еще одна задача тестирования — оценить, насколько удобно взаимодействовать с выбранным инструментом. Например, различные NGFW могут управляться как через единый веб-центр, с помощью которого можно оперативно оценивать обстановку, так и через устаревшие многооконные интерфейсы или командную строку. В процессе тестов удастся ближе познакомиться с нюансами. 

Методики тестирования межсетевого экрана 

Прежде чем переходить к обсуждению методик, следует заметить, что эффективная проверка предполагает применение нескольких алгоритмов тестирования. Проверять какой-то один показатель не совсем правильно, поскольку есть риск пропустить другие слабые места продукта. 

Например, чтобы оценить уровень защищенности информационной инфраструктуры и проверить, как МЭ работает с входящими пакетами данных, целесообразно использовать сетевые сканеры. Такие инструменты пытаются найти компоненты системы, доступные для несанкционированных сетевых подключений. Задача межсетевого экрана — не допустить этого и зафиксировать факт подозрительных действий. 

Вторая методика оценки работы межсетевого экрана — тесты на проникновение (пентесты), которые можно применять к любому режиму работы МЭ. Они помогают проверить, получится ли зайти в корпоративную сеть и передать данные в глобальную сеть, минуя защитный барьер. Самые распространенные варианты таких тестов:

  • Внедрение стороннего кода в адресное пространство выполняемой программы.
  • Запуск системного сервиса или программы с функцией передачи атрибутов для сетевого запроса.
  • Подмена компонентов, которым разрешен доступ в глобальную сеть. 
  • Попытка передачи данных «напролом», то есть без маскировки.  

Чтобы убедиться в эффективности тестирования, желательно проверить полученные показатели с помощью снифферов — инструментов, анализирующих передаваемые пакеты данных. Они помогут выявить ложноположительные срабатывания межсетевых экранов или, наоборот, отсутствие сигналов о подозрительных действиях. 

Кроме перечисленных вариантов тестирования межсетевых экранов разработчики решений используют и другие методики. Если речь о комплексных системах класса NGFW, отдельно проводится оценка всех модулей. 

методики тестирования межсетевого экрана

Использование NGFW для повышения уровня безопасности информационной инфраструктуры

Крупный бизнес чаще использует для защиты сетей не традиционные межсетевые экраны, а комплексные системы NGFW. Они позволяют более эффективно решать рабочие задачи в рамках высоконагруженных проектов и обойтись без внедрения инструментов, которые уже встроены в архитектуру. 

Наш продукт Solar NGFW как раз ориентирован на крупные компании, поэтому отличается высокой производительностью — до 20 Гбит/с в режиме МЭ. Этот показатель подтвержден тестированиями клиентами и нашими внутренними тестами, методика которых первая среди отечественных вендоров выложена в открытый доступ. 

Solar NGFW — отечественный продукт в виртуальном исполнении, который стал достойной альтернативой зарубежным системам безопасности. Помимо защитных функций он позволяет создавать интерактивные отчеты для оперативной оценки ситуации внутри локальных сетей. 

Заключение 

Тестирование межсетевых экранов может проводиться как конечными пользователями, так и разработчиками. Пользователи прибегают к ним, чтобы оценить эффективность выбранных инструментов и усилить безопасность внутренних сетей. Разработчики тестируют свои продукты с целью выявить слабые места, «подтянуть» функциональные возможности и сделать решения конкурентоспособными.

На российском рынке пока не так много продуктов, способных на высоком уровне обеспечить комплексную защиту информационной инфраструктуры организаций. Один из них — наш Solar NGFW. Для оценки качества продукта мы используем прозрачные механизмы тестирований, что позволяет с уверенностью заявить об эффективности каждого отдельно взятого модуля системы.