Круглосуточная поддержка клиентов: 8 800 600 75 76

Защита сетей: межсетевые экраны

Назначение и виды межсетевых экранов

Чаще всего вредоносное ПО стремится получить доступ к конфиденциальным данным – рабочим файлам пользователей, базам данных клиентов, учётным данным. Борьба индустрии информационной безопасности со злоумышленниками – это бесконечная «гонка вооружений».

    Что такое межсетевой экран

    Межсетевой экран, или Firewall, служит первой линией защиты сетей уже более 25 лет. Он устанавливает барьер между контролируемыми, защищенными внутренними сетями, которым можно доверять, и ненадежными внешними сетями. Другими словами, межсетевой экран — это программное или аппаратно-программное решение, которое обрабатывает сетевой трафик и блокирует нежелательные элементы. 

    Настройка Firewall

    Что именно заблокирует или пропустит межсетевой экран — решает администратор, настраивающий устройство. Чаще всего трафик фильтруется на уровнях:

    • Доменное имя ресурса: можно создать черный список сайтов, трафик с которых межсетевой экран не пропустит.
    • IP-адреса: можно запретить передачу данных с определенных адресов.
    • Протоколы.
    • Порты: на этом уровне можно регулировать доступ к целой категории ресурсов.
    • Контекст: например, трафик, инициированный внешней сетью, блокируется по умолчанию, однако если внешний трафик становится ответом на внутренний запрос, такая операция будет допустимой.

    Функции межсетевых экранов

    Основное назначение межсетевых экранов — блокировать потенциально вредоносный или запрещенный по иным причинам трафик. Эта опция защищает корпоративные данные от несанкционированного доступа, устройства — от вредоносного ПО, а сети — от атак и сканирования. 

    Говоря более предметно, межсетевой экран может:

    • Не допускать сторонний трафик в сеть. Например, когда ваш сотрудник обменивается данными с подрядчиком — злоумышленники могут замаскировать свой трафик под подрядчика и попытаться проникнуть в вашу сеть. МСЭ обнаружит незнакомый IP-адрес и остановит обмен данными.
    • Обеспечивать защиту от DDoS-атак. Межсетевой экран распознает атаки, создает алгоритм выявления трафика от атакующих узлов и блокирует его.
    • Обеспечить сохранность корпоративных данных. Даже если вредоносному ПО удалось проникнуть в сеть, при попытке передать данные на внешний ресурс МСЭ распознает подозрительную операцию и остановит ее.

     

    Межсетевой экран может фильтровать не только обмен данными с внешними ресурсами, но и контролировать их движение внутри вашей сети. Например, если в каком-то ее сегменте расположена информация, которая не должна быть доступна всем сотрудникам, МСЭ может быть настроен так, чтобы защищать эти данные от несанкционированных запросов. 

    Типы межсетевых экранов

    Прокси-сервер

    Один из первых типов МСЭ, главное назначение которого — функция шлюза. Когда пользователь отправляет запрос на сторонний ресурс, он сначала подключается к прокси-серверу, а тот, в свою очередь, к нужному серверу — получает от него ответ и либо блокирует, либо пропускает запрос пользователя. 

    Сейчас прокси-сервер — недостаточное решение для растущих потребностей бизнеса из-за ряда технологических ограничений (например, для каждого сервиса требуется отдельный прокси, что ограничивает возможность масштабирования), нехватки производительности и чувствительности прокси к сбоям в ОС и приложениях.

    Межсетевой экран UTM

    Рост изобретательности злоумышленников привел к формированию потребности в более сложной технологии защиты — так и появились устройства UTM (Unified threat management), первые внедрения которых состоялись еще в 2004 году.

    Такие решения стали более эффективными, потому что предоставляли функции защиты от сетевых атак и вирусов, контент-фильтрации. Объединив в себе этот набор возможностей, UTM-решения стали эффективными и с точки зрения управления, ведь администратору нужно было работать только с одним устройством.

    Подробнее о технологии UTM можно почитать здесь.

    Межсетевой экран нового поколения (NGFW)

    Next-Generation Firewall (NGFW) — это межсетевые экраны с привычным, широким функционалом: они поддерживают VPN, проверяют трафик, работают с преобразованием портов и сетевых адресов. Фильтрация данных такими устройствами происходит не только на уровне портов и протоколов, но и на уровне протоколов приложений и их функций. Такой подход помогает распознавать даже хорошо замаскированные атаки и вредоносный трафик.

    Типовой набор функций таких МСЭ включает:

    • все возможности, присущие более ранним поколениям устройств;
    • защита сети от регулярных атак от зараженных систем;
    • инспекция приложений и трафика, в т.ч. зашифрованного через SSL;
    • идентификация приложений по IPS;
    • модерируемый точный контроль трафика приложений;
    • поддержка обновляемой базы угроз.

    Как работает межсетевой экран

    Во время отправки данные разбиваются на части. Каждый фрагмент содержит в себе определенные данные об устройстве-отправителе и получателе, типе протокола, и многое другое.

    Защитная функция фаервола опирается на анализ таких пакетов данных, передвигающихся в сети. Предварительно заданные правила и политики позволяют устройству принимать решения о допуске или блокировке сетевого трафика в определенных направлениях.

    Современные межсетевые экраны могут получать и анализировать гораздо больше информации о передаваемых данных, чем раньше, благодаря чему они принимают более точные решения. Например, NGFW запоминают номер порта, используемый двумя IP-адресами, могут распознавать множество протоколов, приложений и их версии, распознают сигнатуры вредоносного ПО; могут расшифровывать SSL-трафик.

    Cisco Firepower

    При анализе трафика на предмет угроз применяются две основные системы:

    1. IDS (Intrusion Detection System) или система обнаружения вторжений.
    2. IPS (Intrusion Prevention System) или система предотвращения вторжений.

    Обнаружение вторжений обычно подразумевает процесс пассивного мониторинга и анализа сетевого трафика на предмет потенциальных вторжений, а также последующее хранение данных для анализа специалистами по информационной безопасности. Предотвращение вторжений включает в себя обнаружение вторжений, но при этом и способность блокировать или изменять вредоносный трафик.

    Преимущества

    На данный момент, одним из лучших решений для безопасности корпоративных сетей является серия NGFW, яркий представитель которой — межсетевой экран Cisco Firepower. Линейка Cisco Firepower включают в себя решения как для малых, так и крупных предприятий, ЦОД и операторов связи. В зависимости от требований, устройства предлагают пропускную способность от 650 Мбит/с до 168 Гбит/с, а функционал, кроме всего прочего, включает в себя:

    • мониторинг и контроль работы приложений, блокирование нежелательных приложений;
    • систему защиты от вторжений нового поколения (NGIPS);
    • защиту от вредоносного ПО;
    • фильтрацию URL-адресов;
    • блокировку DDoS-атак.

    Фильтрация URL-адресов осуществляется на основании более чем 80 категорий (например, «Стриминг сервисы» или «Онлайн-магазины») и репутации конкретных ресурсов. Система принимает решения руководствуясь локальной базой URL, которая получает регулярные обновления из облака URL, которое «знает» более 200 млн URL-адресов. К примеру, если создано правило, которое блокирует социальные сети, и кто-то опубликует на странице своего профиля ссылку на вредоносное ПО, система может присвоить этой странице репутацию «Высокий риск» и заблокировать её.

    Защита от DDoS-атак (Distributed Denial of Service) реализуется средствами Radware Virtual DefensePro (vDP). DDoS-атака – это скоординированная атака на сетевую инфраструктуру, которая выполняется большим количеством подчиненных злоумышленнику компьютеров-зомби (ботнет), и целью которой является перегрузка сетевых устройств за счёт отправки огромного количества данных, которое оборудование не в состоянии обработать. Пользователи компьютеров-участников атаки чаще всего не подозревают о том, что являются участниками такой сети.

    vDP – это запатентованное решение, которое в реальном времени защищает от множества разновидностей DDoS-атак: SYN, IP, ICMP, TCP, UDP, IGMP, HTTP, DNS. При этом во время атаки система не блокирует законных пользователей.

    Благодаря использованию межсетевых экранов Cisco вы сможете увидеть полную и подробную картину вашей инфраструктуры, быстро обнаруживать угрозы и устранять уязвимости.

     

    Компания X NET является партнёром Cisco уровня Premier и обладает опытными и сертифицированными инженерами для проведения внедрения, а также собственной службой технической поддержки клиентов, работающей в режиме 24/7.

      Пример проекта

      Построение IТ-инфраструктуры

      Завод «Белая Дача»

      Нами выполнен проект по построению IT-инфраструктуры картофелеперерабатывающего завода. Внедрены следующие решения:

      • 147 промышленных точек доступа для бесшовного покрытия (Wi-Fi)
      • 561 сетевой узел
      • 24 стойки ЦОД с полной виртуализацией
      • 256 датчиков безопасности, политики безопасности системы ИБ для достижения отказоустойчивости сети и беспрерывной работы производства
      • IP-телефония и портал для видеоконференцсвязи

      Инфраструктура и пользователи находятся на технической поддержке X NET.

      Смотрите также