Межсетевой экран нового поколения: особенности и преимущества
Узнать большеБезопасность корпоративных сведений и локальных сетей должна обеспечиваться комплексно, в том числе с помощью единых систем защиты — универсальных шлюзов. Это многофункциональные решения, которые представляют собой совокупность нескольких инструментов. Обсудим, какие именно модули защищают конфиденциальные данные, как они выполняют свои задачи.
Универсальный шлюз безопасности: что это, история появления
Универсальные шлюзы безопасности — инструменты, которые защищают локальные сети. Изначально эту задачу выполняли только межсетевые экраны — решения для фильтрации и контроля трафика. Затем появились продукты класса Intrusion Prevention System для противостояния атакам (сокращенно — IPS) и Virtual Private Network (сокращенно — VPN) для создания анонимных безопасных подключений к интернету. Также использовались потоковые антивирусы и Deep Packet Inspection (DPI) для анализа пакетов трафика. Для обеспечения надежной защиты внутренних сетей приходилось внедрять и настраивать все эти инструменты по отдельности.
С развитием процессоров и передовых технологий на рынке инструментов обеспечения сетевой защиты появились новые решения — Unified Threat Management (сокращенно — UTM). Это и были универсальные шлюзы безопасности. В их состав вошли все перечисленные выше модули, реализованные на одной аппаратной платформе. Но изначально все они работали последовательно, то есть следующий механизм защиты выполнял свои задачи только после того, как закончит предыдущий. В результате производительность продукта со всеми включенными модулями редко достигала нескольких Гбит/с, часто оставаясь в пределах нескольких сотен Мбит/с.
Сейчас технологии сделали очередной скачек в своем развитии, что позволило организавать параллельную работу механизмов защиты. Таким образом, трафик быстрее анализируется, производительность инструментов не теряется, и общее значение для всего продукта может достигать десятков и сотен Гбит/с.
Модули и функции универсальных шлюзов безопасности
Ключевая задача шлюзов — многоуровневая защита локальных сетей от кибератак, спама и вредоносного ПО. Полную функциональность продуктов данного класса логичнее рассматривать в контексте возможностей каждого компонента, входящего в состав. Например:
- IPS — инструмент для предотвращения вторжений, который может обнаруживать угрозы по сигнатурам, выявлять аномалии трафика и отбрасывать сомнительные пакеты.
- DPI — технология детальной проверки содержимого пакетов данных путем накопления статистики их поведения, распознавания сетевых протоколов и определения приложения, к которому пакет данных относится. Позволяет выявлять не соответствующие политике безопасности подключения или управлять скоростью передачи данных по сетям.
- VPN — модуль в универсальных шлюзах безопасности, который обеспечивает защищенное соединение с удаленными устройствами и серверами, позволяет скрывать IP-координаты и шифровать данные.
- Антивирусное обеспечение потокового типа — инструмент, способный в реальном времени исследовать трафик и обнаруживать в нем подозрительные компоненты, препятствовать их проникновению в корпоративную сеть.
- Спам-фильтры — решения, которые обнаруживают и блокируют сомнительные сообщения, ссылки и т.д.
Состав каждого конкретного универсального шлюза безопасности варьируется, то есть могут присутствовать и другие компоненты. Однако перечисленные являются базовыми — они включены в большинство решений данного класса.
Теперь более подробно поговорим о функциях.
Аутентификация и авторизация
Аутентификация подразумевает подтверждение подлинности пользователей, авторизация диктует разрешенные полномочия для них. Для осуществления этих процессов универсальные шлюзы безопасности используют следующие методы:
- Basic Access Authentication — базовый алгоритм аутентификации, подразумевающий включение в состав запроса имени пользователя и пароля, которые должны присутствовать в заголовках или адресных строках.
- Аутентификация по IP-адресам — метод, который используется универсальными шлюзами безопасности, если нет высоких требований к защите. Дело в том, что такая аутентификация чувствительна к некоторым сетевым атакам, например, IP-spoofing.
- Kerberos — механизм, в рамках которого аутентификацию проходит как клиент, так и сервер.
- NTLM — алгоритм, подразумевающий реализацию схемы «вопрос-ответ» между сервером и клиентом.
Если аутентификация пройдена, система безопасности подтверждает или запрещает для пользователей возможность делать поступающие запросы, то есть помогает реализовать авторизацию.
Также универсальные шлюзы безопасности участвуют в процессах аутентификации админов с помощью смарт-карт, токенов и других способов, предусмотренных в настройках.
Противодействие атакам на внутренние сети
Эта задача отводится межсетевому экрану и модулю IPS или СОВ (система обнаружения вторжений в отечественных продуктах). Первые эффективны против базовых атак, например, бэкдор-доступа. Вторые — против более сложных комплексных схем, в том числе направленных на конкретные компании. Межсетевые экраны в универсальных шлюзах безопасности осуществляют простую фильтрацию трафика, IPS — сигнатурный анализ и исследование аномалий.
Также противодействовать сетевым атакам помогают потоковые антивирусы. Инструменты такого типа проверяют трафик на границах сетей, что позволяет предотвратить заражение устройств и значительно повысить степень защиты. Они эффективно обнаруживают подозрительные компоненты различных видов — от компьютерных червей до элементов сложных шпионских программ.
Контроль приложений
Злоумышленники умеют обходить межсетевые экраны, пользуясь тем, что некоторые приложения используют нестандартные порты. В этом случае будет полезен модуль DPI, который реализован в универсальных шлюзах безопасности. Инструмент выявляет попытки приложений скрыть трафик и любые другие некорректные действия, оповещает ответственных лиц о потенциальной опасности.
Благодаря появлению технологии DPI впервые можно было исследовать трафик на седьмом уровне модели OSI. Для сравнения — межсетевые экраны работают на третьем и четвертом.
Также DPI может блокировать нежелательные приложения и изменять приоритет трафика, тем самым оптимизируя нагрузку на сеть. Эта функция напрямую не относится к обеспечению безопасности, но тоже играет важную роль.
Шифрование данных
За шифрование в универсальных шлюзах безопасности отвечает технология VPN. Она позволяет передавать информацию в том виде, в котором ее не смогут прочитать третьи лица. Процесс выглядит так:
- Клиент пересылает данные серверу в корпоративной сети.
- С помощью технологии данные шифруются.
- Полученную в результате информациюсервер отправляет адресату через открытый интернет.
- В обратном процессе сведения также подлежат шифрованию.
Эта функция универсальных шлюзов безопасности полезна для связи с филиалами компании. Также она незаменима, если в штате есть удаленные сотрудники. Шифрование в таких случаях позволяет сохранить конфиденциальность пересылаемых корпоративных данных.
Веб-защита и контроль доступа в интернет
Еще одна важная роль в системе защиты данных принадлежит веб-прокси — посредникам между пользователями интернета и веб-ресурсами. Их функции в составе универсальных шлюзов безопасности:
- Расшифрование и фильтрация HTTPS-трафика.
- Блокировка отдельных частей веб-страниц, например, рекламных баннеров или механизмов сбора cookies
- Контроль использования интернета путем разграничения прав доступа к веб-ресурсам.
- Категоризация веб-ресурсов по тематикам на основе анализа их контента
Веб-прокси осуществляют защиту на границах локальной и глобальной сетей. Они пропускают через себя все потоки трафика — как входящие, так и исходящие.
Где применяются универсальные шлюзы безопасности
Шлюзы могут применяться для защиты периметров внутренних сетей. Второй вариант эксплуатации — сегментация, то есть обеспечение безопасности участков, где обрабатываются данные особой важности. Универсальные шлюзы безопасности также обеспечивают защиту сетей в случае удаленного доступа.
Конец эры универсальных шлюзов безопасности UTM
Развитие новых технологий и возможностей в сфере защиты данных привело к появлению решений, инструменты в составе которых стали проверять трафик не последовательно, а параллельно. Это дало прирост в производительности до сотен Гбит/с. Название таких продуктов — брандмауэры нового поколения Next Generation Firewall (сокращенно — NGFW). В остальном они работают по такому же принципу, что и универсальные шлюзы безопасности.
Компания Gartner предлагала ввести для NGFW и UTM общие названия: Network Firewall и Enterprise Firewall (сокращенно — NFW и EFW). Однако идея не прижилась, и многие вендоры обновили свои решения до NGFW.
В портфеле Solar тоже есть межсетевой экран нового поколения. Основные характеристики продукта:
- Работа в режиме межсетевого экрана виртуализированного типа с производительностью до 20 Гбит/с.
- Собственные уникальные сигнатуры для IPS, с помощью которых можно обнаруживать самые новые сетевые угрозы.
- Возможность интеграции с другими инструментами защиты.
Еще одна уникальная функция Solar NGFW, опережающая конкурентов — наличие модуля «Досье». С его помощью можно собирать информацию о сетевой активности пользователей, предотвращать внутренние нарушения и утечки данных.
Заключение
Универсальные шлюзы безопасности стали первыми решениями, позволяющими проводить многоступенчатый анализ трафика с помощью нескольких встроенных инструментов и комплексно обеспечивать сетевую безопасность. Однако такие продукты не подходят для крупных компаний со сложными локальными сетями, поскольку не могут обеспечить достаточный уровень производительности для работы в высоконагруженных проектах. В связи с этим недостатком UTM уступили место на рынке межсетевым экранам нового поколения — NGFW. Для отечественных компаний подойдет решение от Solar, которое отличается стабильностью работы, удобным управлением, неограниченной масштабируемостью и независимостью от аппаратных компонентов.
