Что такое Firewall (межсетевой экран), как он работает и зачем нужен
Узнать большеДля защиты своих корпоративных сетей и конфиденциальных сведений организации применяют различные инструменты, среди которых обязательно присутствуют межсетевые экраны. Традиционные решения этого класса могут называться файрволами, МЭ, брандмауэрами. Однако на слуху еще и NGFW, Next Generation Firewall — межсетевые экраны нового поколения, активно внедряемые в арсенал защиты современными компаниями. Статья посвящена именно этому классу продуктов. Обсудим, чем такие решения отличаются от традиционных МЭ, какие задачи они выполняют, какие механизмы защиты могут иметь в составе и т. д.
Чем межсетевые экраны нового поколения отличаются от традиционных МЭ
Сначала вспомним, что такое традиционные МЭ. Это средства защиты, способные анализировать проходящий через периметр сетей трафик и проверять его на соответствие политикам безопасности, после чего пропускать или блокировать.
Традиционные брандмауэры могут быть аппаратными, то есть представленными в виде оборудования со специализированным софтом или программными — виртуальным обеспечением, выполняющим аналогичные функции.
Теперь поговорим о том, что же такое межсетевые экраны нового поколения. Это многофункциональные решения, сочетающие в себе возможности нескольких параллельно работающих инструментов. У каждого механизма защиты свои наборы сигнатуры, фидов и т. д., но единая политика безопасности, состоящая из комплексных правил, благодаря чему инструменты могут эффективно и быстро обрабатывать трафик.
Помимо защиты от атак на периметре сетей и защиты отдельных сегментов, NGFW также помогают в управлении доступом в интернет и к внутренним веб-ресурсам.
Состав межсетевых экранов нового поколения
Какие механизмы защиты могут быть реализованы в МЭ нового поколения:
- Базовый межсетевой экран, который работает на L3/L4 модели OSI. Он анализирует такие характеристики трафика, как IP-адреса отправителя и получателя, время передачи данных, используемые протоколы и порты.
- Инструменты для анализа трафика приложений (уровень L7 модели OSI). Они позволяют обнаруживать вредоносную активность, которая может быть пропущена базовым МЭ из-за того, что некоторые приложения используют нестандартные порты.
- Инструменты для расшифровки HTTPS-трафика. Они позволяют подготовить трафик для проверки другими механизмами защиты.
- Система IPS для обнаружения сложных и нетипичных сетевых атак.
- Средства фильтрации по URL. Они нужны, чтобы определять, к каким сайтам поступают запросы.
У межсетевых экранов нового поколения от разных вендоров состав механизмов защиты может варьироваться. Для примера рассмотрим ключевые возможности продукта Solar NGFW:
- МЭ, поддерживающий SPI (Stateful Packet Inspection). Он анализирует трафик по всем базовым параметрам (IP-адресам, портам, протоколам, временным промежуткам и т. д.). Также реализована технология NAT, которая позволяет подменять IP-адреса пакетов данных и тем самым помогает оставить в тайне топологию локальной сети.
- IPS. Под этим механизмом мы понимаем комбинацию технологий IPS и IDS. Инструмент показывает высокую эффективность в борьбе с нетипичными сетевыми атаками, поскольку умеет анализировать трафик на предмет совпадения с сигнатурами и принимать решения, что с ним делать — пропускать или блокировать. Сигнатуры для работы системы берутся как из общедоступных баз, так и создаются экспертами центра исследования киберугроз — Solar 4RAYS.
- Механизм Deep Packet Inspection (сокращенно — DPI) для контроля приложений. В составе межсетевого экрана нового поколения он выявляет трафик определенных приложений и при необходимости блокирует его, обнаруживает нетипичное поведение программ и оповещает ответственных лиц о нарушениях, а также позволяет управлять приоритетом потоков трафика, оптимизируя нагрузку на сеть.
- Антивирусное обеспечение, которое распознает вредоносные компоненты различных типов, анализирует ссылки и файлы любого формата.
- Механизм контентной фильтрации, который служит посредником между пользователями и интернет-ресурсами, контролирует HTTPS-трафик, позволяет разграничивать доступ различных подразделений организации в интернет, защищает от фишинговых и других вредоносных сайтов.
- Реверс-прокси — модуль, который в основном предназначен для контроля доступа удаленных пользователей к внутренним службам и ресурсам организации, а также для базовой защиты от утечек.
- Уникальная технология «Досье», позволяющая накапливать информацию о каждом сотруднике и собирать трафик с рабочих станций.
Продвинутые методы обнаружения угроз
В МЭ нового поколения используются сигнатурный и безсигнатурный методы обнаружения угроз. Сигнатурный предполагает определение вредоносной активности по уже известным характерным признакам атак. Безсигнатурный — исследование аномалий трафика, отслеживание изменений тенденций сетевого трафика, анализ протоколов и т. д.
В Solar NGFW тоже используется комбинация этих подходов. Задачу поиска совпадений с известными атаками берет на себя IPS, сигнатуры для которого создает Solar 4RAYS — Центр исследований киберугроз. Именно эта связка экспертизы подразделений ГК «Солар» привносит в продукт необходимый для соответствия классу NGFW компонент Threat intelligence — данные о методах и схемах актуальных атак.
Также комплексные системы позволяют еще лучше защищаться от различных сетевых угроз благодаря симбиозу нескольких дополнительных функций. Например, межсетевые экраны нового поколения способны анализировать трафик как по ключевым словам, так и по приложению-отправителю. Таким образом, можно усилить защиту от утечек на периметре сети.
Характеристики межсетевых экранов нового поколения
Какими характеристиками обладают решения класса NGFW:
- Высокая производительность, рассчитанная на нагрузки крупного бизнеса. Например, решение от Solar на момент подготовки статьи обладает производительностью до 75 Гбит/с в режиме МЭ и 7 Гбит/с в режиме NGFW.
- Отказоустойчивость за счет кластеризации и балансировки нагрузки.
- Возможность централизованного управления всеми подключенными механизмами защиты с одной рабочей станции.
- Разные варианты развертывания — в виде программно-аппаратных комплексов или в виртуальном формате.
При выборе решения также следует обращать внимание на интерфейс — он должен быть удобным и интуитивно понятным. Для примера расскажем об интерфейсе Solar NGFW. Межсетевой экран нового поколения выглядит как «ситуационный центр» с максимально автоматизированными рутинными операциями. С настройками и управлением разберутся даже молодые администраторы благодаря встроенной справке.
Возможности интеграции межсетевого экрана нового поколения с другими системами
Решения класса NGFW совместно с другими средствами обеспечения ИБ формируют надежный контур информационной безопасности организации. Они могут интегрироваться с инструментами защиты конечных точек, сторонними антивирусами, «песочницами» для выявления вредоносных компонентов, системами Data Leak Prevention (сокращенно — DLP), Security Information And Event Management (сокращенно — SIEM). Интеграция осуществляется с помощью протоколов ICAP и Syslog.
Масштабируемость межсетевых экранов нового поколения
NGFW, поставляемые в виртуальном формате, быстро внедряются, легко разворачиваются и масштабируются без ограничений. Еще одно преимущество интеграции продукта в данном виде — независимость от аппаратного обеспечения. Также виртуальный формат позволяет снизить стоимость средства защиты и оптимизировать использование уже имеющихся вычислительных ресурсов. Это очень важный аргумент для крупных организаций.
Межсетевые экраны нового поколения в формате программно-аппаратных комплексов масштабируются не так легко, как виртуальные. Зато они считаются более надежными и подходят для организаций с высокими требованиями к сетевой защите.
Solar NGFW поставляется как в виртуальном исполнении, так и в формате ПАК, что позволяет клиентам выбирать оптимальный вариант под особенности корпоративной инфраструктуры и актуальные задачи.
Соответствие законодательным требованиям и сертификация межсетевых экранов нового поколения
Сертифицированные ФСТЭК России МЭ нового поколения вызывают больше доверия, поскольку сертификат подтверждает, что реализованные в продуктах механизмы защиты действительно выполняют свои задачи и обеспечивают безопасность конфиденциальной информации организаций (в том числе государственных).
NGFW от Solar уже прошел сертификацию по требованиям ФСТЭК России. Также в конце 2023 года продукт был внесен в Единый реестр отечественного ПО. Это значит, что система полностью адаптирована под российский бизнес и может успешно заменять зарубежные аналоги.
