Межсетевой экран нового поколения: особенности и преимущества
Узнать большеОдно из базовых средств защиты внутренних сетей от сетевых угроз — межсетевые экраны (МЭ). Они могут устанавливаться как на границах сетей, так и на их отдельных участках. Основная функция решений этого класса — анализ пакетов данных, циркулирующих внутри корпоративной сети, передаваемых из корпоративной сети в глобальную и наоборот.
Гораздо шире функциональные возможности у файрволов следующего поколения — NGFW. Это комплексные решения, в которых реализовано несколько инструментов защиты, работающих параллельно. Например, встроенный антивирус будет анализировать трафик одновременно с проверкой межсетевым экраном. Также продукты этого класса способны проводить категоризацию посещаемых сайтов, контролировать работу удаленных пользователей с внутренними ресурсами организации, предотвращать вторжения благодаря модулю IPS и многое другое.
Кажется, что сложнее всего сделать выбор инструмента, который будет использоваться для защиты. Однако придется решать еще один важный вопрос — как внедрить межсетевой экран без приостановки рабочих процессов. Особенно если приходится переходить на новый продукт после эксплуатации зарубежного софта. Рассказываем, какие способы внедрения МЭ существуют и как выбрать подходящий.
Внедрение межсетевого экрана: какой формат инструмента выбрать
Существует два вида исполнения МЭ — аппаратное и программное. В первом случае речь об отдельных физических устройствах для фильтрации трафика, во втором — о специализированном софте. Выбор межсетевого экрана следует делать, исходя из сферы деятельности компании и конкретных задач. Например, есть организации, которые обязаны использовать только аппаратные решения в связи с требованиями регуляторов. Также физические МЭ эксплуатируются в государственных учреждениях и на предприятиях с госучастием.
Все остальные организации могут выбирать виртуальные решения, которые легче внедряются и масштабируются. При этом они по большей части не уступают аппаратным в функциях.
Способы внедрения межсетевого экрана
Вариант реализации защиты зависит от многих факторов: сферы деятельности организации, особенностей сетей, арсенала используемых инструментов для обеспечения безопасности. Возможные способы:
- Межсетевой экран на периметре сети — традиционный вариант внедрения. Именно так работает большинство решений класса NGFW. Если эксплуатировать именно их, можно обойтись без выделенного прокси, отдельной системы IPS и других инструментов, которые реализованы в файрволах следующего поколения.
- Использование МЭ в качестве прокси — один из вариантов внедрения NGFW. Такую схему выбирают из-за отсутствия необходимости менять сразу всю существующую систему защиты и возможности плавно переехать на новое оборудование. Но у нее есть существенный минус — до полноценного внедрения невозможность полностью задействовать функции нового МЭ.
- МЭ как ядро — распространенный вариант для небольших сетей. В этом случае NGFW используется для маршрутизации трафика вместо коммутатора. Преимущества схемы — быстрота внедрения и легкость администрирования. Минусы — единая точка отказа и отсутствие гибкости управления трафиком.
- Межсетевой экран в режиме Bridge (мост) — вариант для сетей, топологию которых крайне нежелательно менять. В таком случае трафик проходит через МЭ только на втором (канальном) уровне. Если используется NGFW, можно избежать установки отдельной IPS-системы, поскольку файрвол справится с его функцией.
- МЭ для сегментации сети — схема, в которой межсетевой экран выступает барьером для защиты критически важных сегментов сети. В этой схеме на локальных участках он выполняет те же функции, что и на периметре.
Теперь о том, каких форматов решений требуют перечисленные варианты внедрения межсетевого экрана. На периметре и для сегментации сети можно использовать как аппаратные, так и программные МЭ. В качестве прокси обычно выступают виртуальные продукты. Для режима Bridge и эксплуатации в качестве ядра крайне желательно аппаратное обеспечение.
Если схема защиты выстраивается с нуля, целесообразно сделать выбор в пользу решения класса NGFW, поскольку в этом случае можно обойтись без использования отдельных антивирусов, прокси, IPS. А с другими инструментами защиты файрвол следующего поколения интегрируется с помощью специальных протоколов. Таким образом выстраивается целостная система защиты, каждый компонент которой легко контролируется и администрируется.
Внедрение межсетевого экрана Solar NGFW
Наше решение представлено в виде программного обеспечения, поэтому внедрение пройдет безболезненно для деятельности организации. Некоторым кажется, что программный формат продуктов уступает в надежности аппаратному, однако это не так. К тому же, виртуальный инструмент проще масштабировать, что очень важно для крупных предприятий.
Функции нашего решения:
- Фильтрация трафика по заданным параметрам и сигнатурам атак.
- Контентный анализ.
- Контроль доступа к интернет-ресурсам.
- Глубокий анализ пакетов данных.
- Проверка антивирусным ПО.
- Преобразование IP-адресов (NAT).
Solar NGFW подключается в разрыв трафика и предполагает параллельную работу всех реализованных в продукте механизмов. Решение может эксплуатироваться как на границах сетей, так и для сегментации сети.
Вне зависимости от выбранного способа внедрения межсетевого экрана Solar NGFW позволяет формировать отчеты для контроля использования интернета и создавать досье на отдельных сотрудников.
Заключение
Нельзя однозначно ответить на вопрос, как именно внедрить межсетевой экран. Каждая организация выбирает способ в зависимости от типа используемого решения и особенностей локальных сетей. Чаще всего применяется схема подключения МЭ на первой линий защиты, то есть на периметре. Там они могут ограничивать транзит трафика и установку подозрительных соединений. Вторая по популярности схема — сегментация внутренней сети. Именно эти варианты внедрения подходят для Solar NGFW — МЭ российского производства, обеспечивающего высокий уровень защищенности локальных сетей крупных организаций.