Система NGFW: функционал, составляющие модули и принцип их работы

Защита информационной инфраструктуры организации и периметра корпоративной сети – важнейшая задача кибербезопасности. Все чаще организации обращаются к использованию комплексных и функциональных решений в этой области. Например, система NGFW – межсетевой экран нового поколения. С ее помощью можно защищать информационные активы компании от несанкционированного доступа, отражать большинство кибератак, поддерживать безопасную рабочую сеть.

что такое система ngfw

О системе NGFW

Подобное решение используется для комплексной защиты корпоративных сетей и данных, находящихся в них. Для обеспечения информационной безопасности используется группа взаимосвязанных модулей, которые работают на разных уровнях защиты, но обрабатывают трафик одновременно.

Благодаря NGFW решается группа задач:

Защита периметра сети. NGFW, проверяя входящий трафик всеми своими модулями, препятствует несанкционированному доступу и сетевым атакам из внешней сети, скрывает от злоумышленников данные о компонентах и адресации внутренней сети. Проверка трафика в зависимости от механизма защиты проходит по типу, адресату, источнику, приложению и так далее. Результатом является либо разрешение, либо блокировка дальнейшего движения пакетов данных в соответствии с политикой безопасности.
Сегментация сети. С помощью системы NGFW можно выполнить сегментацию рабочей сети на более мелкие фрагменты, установить разные правила и политики для каждого сегмента. Чаще всего используется для выделения демилитаризованной зоны (DMZ), где располагаются сервисы организации, к которым обращаются из интернета. Или же можно выделить в отдельный сегмент важное структурное подразделение.
Аутентификация внутренних и внешних пользователей. В системе NGFW используется проверка данных пользователей и подтверждение их личности. Как правило, поддерживаются несколько наиболее распространенных способов аутентификации и имеется возможность подключить NGFW к базе пользователей, например Active Directory. Это позволяет более детально настраивать политику безопасности и управлять доступом сотрудников. Для внешних пользователей может быть предусмотрена функция создания гостевого портала, дающая доступ к строго определенным возможностям корпоративной ИТ-инфраструктуры.

как работает модуль защиты ngfw

Работа модулей защиты NGFW

Межсетевые экраны впервые стали использоваться в 1991 году в качестве простейших инструментов проверки пакетов данных. В конце 90-х годов 20 века они были улучшены путем внедрения технологии «Stateful Inspection». В 2004 году появились первые UTM-решения, направленные на комплексное обеспечение сетевой безопасности. 2008 год ознаменовался приходом в сетевую безопасность NGFW. На данный момент это самые совершенные и многофункциональные комплекты для защиты пользователей, устройств, данных от всевозможных сетевых угроз. Компоненты NGFW представлены ниже.

Файрвол

Классический и надежный механизм защиты, направленный на проверку пакетов данных, сверку их соответствия используемым правилам. Модуль проверяет трафик на безопасность на основе настроенных правил. Принимает решение о пропуске или блокировке трафика. Также производит сканирование сети на попытки проникновения и подмену трафика.

Система IDS/IPS

Система обнаружения/предотвращения вторжений. Позволяет создавать более сложные правила защиты, чем межсетевой экран, так как опирается не просто на заголовки пакетов, а сверяет данные с базой решающих правил, составленной специалистами по кибербезопасности на основе опыта прошлых атак. Базы необходимо регулярно обновлять для поддержания их актуальности. При этом сама система может как в режиме реального времени блокировать трафик, так и работать в «прозрачном режиме», т.е. не уменьшать своими вычислениями скорость обмена данными, а работать рядом с межсетевым экраном, присылать уведомления службе ИБ в случае выявления угроз. Первый вариант защиты – это IPS (предотвращение), а второй – IDS (детекция).

Модуль DPI с Application control

Межсетевой экран просматривает данные пакета на низких уровнях модели OSI (заголовки). Система DPI анализирует данные пакета на уровне верхних протоколов модели. Таким образом возможно идентифицировать не только отправителя, адресата, порты, но и определить какое приложение и какие данные передает. Самый распространенный пример – торренты. Они сильно нагружают канал, поэтому все провайдеры и ИТ-службы стараются от них избавиться или ограничить в использовании ресурсов.

С помощью DPI по ряду характеристик становится возможным, например, выделить из потока трафика пакеты видеоданных, определить приложения, а затем пропускать корпоративный сервис для видеосвязи, но блокировать приложение Youtube. Это уже конкретный пример контроля приложений, то есть Application Control. Подобным образом определяются и ограничиваются при необходимости мессенджеры, браузеры, почтовые клиенты и прочие приложения, которые имеют доступ в интернет.

Потоковый антивирус

Модуль схож с IPS, только он проверяет пакет данных не по базе решающих правил, а по базе антивирусных сигнатур. Базы требуют регулярного обновления для поддержания эффективности защиты. Потоковый антивирус блокирует большую часть веб-угроз и при этом не оказывает негативного влияния на производительность сети.

Веб-прокси

Модуль выполняет роль посредника между пользователем и веб-ресурсами. С его помощью скрываются данные о структуре корпоративной сети, повышается анонимность работы в сети, ведется борьба с веб-угрозами через блокировку рекламы и определение URL небезопасных сайтов, к которым запрещен доступ. В работе веб-прокси задействованы два собственных механизма: AD-блок и URL-фильтрация. Также веб-прокси способен в рамках политики безопасности блокировать подключения пользователей к различным ресурсам, которые не имеют отношения к рабочим задачам. В число полезных функции веб-прокси включены ускорение загрузки веб-ресурсов, проверка на безопасность онлайн-сервисов, обход ограничений на доступ к необходимым в работе, но заблокированным в стране сайтам. Прокси могут поддерживать различные протоколы для работы, поэтому обладают гибкими настройками под решение конкретных задач.

Веб-прокси

Используется для маскировки истинной структуры сети, повышения уровня анонимности пользователей, помогает блокировать рекламу, блокирует доступ к небезопасным веб-ресурсам. Также прокси может обеспечить повышенную скорость загрузки веб-ресурсов и обход национальных блокировок интернет-ресурсов.

Кластеризация

Дополнительная функция, которая позволяет продублировать NGFW (межсетевой экран нового поколения), на случай если он выйдет из строя. Полезна с точки зрения обеспечения бесперебойной защиты сети на случай аварийных сбоев. Кластеризация основывается на регулярной отправке данных с изменениями настройки и журналами действий между несколькими брандмауэрами. Когда всё в порядке основной межсетевой экран раз в несколько секунд или миллисекунд отправляет на второстепенный МЭ все журналы и изменения в настройках. Если первый отключился, то второй, не получив данные от него, тут же становится основным, обеспечивая бесперебойную защиту сети, пока инженеры разбираются с проблемами первого. Для нормального функционирования и использования кластеризации оба межсетевых экрана должны быть напрямую подключены к выходу во внешнюю сеть, располагаться на периметре сети и иметь связь друг с другом.

Система NGFW подходит для использования в качестве основного инструмента обеспечения сетевой безопасности компаний. Межсетевой экран нового поколения от «Ростелеком-Солар» подойдет для обеспечения сетевой безопасности большинству компаний регулярно использующих интернет и ведущих обработку данных. Он гарантирует комплексную и прогрессивную защиту данных. За счет гибких настроек подходит для выполнения широкой группы задач. Также Solar NGFW решает задачи управления доступом в интернет, отслеживния выполнения внутренних регламентов в организации, сбора досье сетевой активности сотрудников.