1 октября 2013
Современные файрволы: от узкой специализации к универсальной защите
Межсетевой экран (называемый также файрвол или брандмауэр) является важнейшим по значимости средством защиты корпоративной сети от различных угроз. В последние годы файрвол существенно эволюционировал: из специализированного инструмента фильтрации сетевых пакетов он превратился в универсальную систему защиты.
Первоначально файрволом (а эти решения применяются уже свыше 25 лет) называли систему, выполняющую функции фильтрации сетевых пакетов согласно заданным правилам с целью разграничения трафика между сегментами сети. Именно такое определение дается в стандарте RFC3511.
Необходимость в применении подобных систем возникла с целью предотвращения проникновений злоумышленников в локальную корпоративную сеть. Принцип действия файрвола основан на контроле трафика, которым обмениваются LAN- и WAN-сети. При этом используются следующие методы контроля трафика:
- Фильтрация пакетов. В основу этого метода положен набор фильтров. Если пакет данных удовлетворяет указанным в фильтрах условиям, он пропускается в сеть, если нет — блокируется. Межсетевой экран применяет следующие основные типы фильтров: по IP-адресу, по доменному имени, по программному порту, по типу протокола. Также могут применяться другие параметры для фильтров, в зависимости от выполняемых в ней задач.
- Stateful inspection. Это более прогрессивный метод контроля входящего трафика, который был впервые введен и запатентован компанией Check Point. Данная технология позволяет контролировать сетевой трафик и содержит гибкий механизм проверки потока данных, который использует предварительно сохраненную таблицу состояний. При таком подходе анализируется не весь пакет, но сравнивается некоторые контрольные строки с заранее известными значениями из базы данных разрешенных ресурсов. Подобный метод обеспечивает гораздо более высокую производительность работы межсетевого экрана.
Основная задача современных файрволов — блокирование неавторизованных сетевых коммуникаций (далее атак), подразделяемых на внутренние и внешние. Среди них: внешние атаки на защищённую систему, причем как проводимые хакерами, так и вредоносным кодом. Кроме того, это запрет неавторизованных исходящих сетевых соединений, инициированных вредоносным кодом либо приложениями, сетевая активность которых запрещена правилами.
В настоящее время на рынке присутствуют аппаратные и программные файрволы. Программный межсетевой экран может использоваться как для защиты персонального компьютера, так и крупных корпоративных сетей. В этом случае он реализован в виде программы, запущенной на ПК, либо пограничном сетевом устройстве, например, маршрутизаторе. А вот аппаратное устройство применяется исключительно в корпоративном сегменте. В случае аппаратной реализации брандмауэр является отдельным сетевым элементом, обладающим высокой производительностью и расширенной функциональностью. Кроме того, в последнее время появились так называемые виртуальные файрволы, используемые, как правило, в программно-определяемых сетях.
Новые вызовы
По мере роста сложности киберугроз и хакерских атак функционал файрвола пополнился новыми инструментами. Сейчас межсетевой экран содержит целый набор функций для защиты корпоративной сети. Так, любой полноценный брандмаэр должен содержать модуль HIPS (средство проактивной защиты, построенное на анализе поведения), обеспечивать защиту от спама, вирусов, смешанных угроз, шпионского ПО, фишинга и сетевых атак. Кроме того, файрволы могут содержать инструменты защиты от утечек данных, облачный сервис «песочницы», поиск уязвимостей и веб-фильтрацию.
Иными словами, в настоящее время фактически исчезли с рынка продукты, которые можно было бы отнести к классическим файрволам. На смену им пришли комплексные продукты защиты.
Обзор рынка
Среди основных производителей современных межсетевых экранов стоит отметить такие компании как Barracuda, Check Point, Cisco, Fortinet, Lumension, McAfee, Radware, SonicWALL и Watchguard.
Приватная компания Barracuda Networks была основана в 2002 г. в Купертино (Калифорния, США), а ее первый продукт, аппаратно-программное решение для борьбы со спамом, был выпущен в 2003. Брандмауэр нового поколения Barracuda NG Firewall позволяет решить такие актуальные задачи, как управлени удаленными пользователями, приложениями Web 2.0, BYOD-устройствами в корпоративных сетях. В отличие от многих других систем, Barracuda NG Firewall предоставляет широкий спектр инструментов для оповещения, контроля трафика и пропускной способности, оптимизации производительности и надежности сетей. Немаловажно, что все продукты Barracuda Networks имеют русскоязычный интерфейс, управление ими не представляет сложности для технических специалистов и не требует дополнительного очного обучения.
Компания Check Point в основном специализируется на выпуске программных систем, хотя у нее есть и линейка аппаратных устройств. Программные решения этого вендора состоят из множества подключаемых модулей, называемых блейдами. Программный блейд Check Point Firewall — это популярный межсетевой экран, который применяют для своей защиты практически все компании списка Fortune 100. Блейд Firewall обеспечивает высочайший уровень защиты, с контролем доступа, защитой приложений, аутентификацией и трансляцией сетевых адресов. Firewall использует другие программные блейды для управления безопасностью (Security Management Software Blades), благодаря чему обеспечивается удобное удаленное управление средствами защиты с наивысшей эффективностью.
SonicWALL со штаб-квартирой в Сан-Хосе (Калифорния, США) была создана в 1991 году и известна своими межсетевыми экранами и UTM-решенями. Вендор владеет 130 патентами, его решениями в области компьютерной безопасности пользуются около 300 тыс клиентов в 50 странах мира. Продукты SonicWALL отличаются широкой функциональностью, при этом просты в использовании и обеспечивают быстрый возврат инвестиций. В марте 2012 года SonicWALL была выкуплена корпорацией Dell.
Основанная в 1996 года WatchGuard Technologies специализируется на выпуске систем для унифицированного управления угрозами (UTM). Компания предоставляет надежные, простые в использовании устройства для безопасности компьютерных сетей. Линейка продуктов WatchGuard включает в себя программно-аппаратные комплексы серии XTM, представляющие собой UTM-продукты нового поколения, системы XCS для защиты электронной почты и веб-сервисов, которые позволяют предотвратить случайные или умышленные утечки данных. Кроме того, вендор выпускает решения по обеспечению удаленного доступа WatchGuard SSL VPN, а также защищенные беспроводные точки доступа, управляемые комплексами WatchGuard XTM. Все продукты поставляются с сервисом LiveSecurity — продвинутой программой поддержки пользователей.
Публикации по теме
|
|
|
29 апреля 2014
Многие компании закупают за свой счет мобильные гаджеты для сотрудников, часто бывающих в командировках. В этих условиях у ИТ-службы появляется насущная необходимость контролировать устройства, которые имеют доступ к корпоративным данным, но при этом находятся за пределами периметра корпоративной сети.
|
 |
28 февраля 2014
Как известно, десять лет назад появился первый в мире мобильный вирус Cabir. Он был разработан для заражения телефонов Nokia Series 60, атака заключалась в появлении слова «Caribe» на экранах заражённых телефонов. Современные вирусы для мобильных устройств гораздо более опасны и многообразны.
|
 |
28 января 2014
По принципу своей работы виртуальные машины напоминают физические. Поэтому для киберпреступников, атакующих корпоративные сети с целью хищения денег или конфиденциальной информации, привлекательны как виртуальные, так и физические узлы.
|
 |
30 декабря 2013
Решения для защиты конечных точек появились на рынке не так давно, фактически после начала массового развертывания в компаниях локальных сетей. Прообразом этих продуктов послужил обычный антивирус для защиты персонального компьютера.
|
 |
