Говорейки за хардуерния и софтуерния компонент на системата за информационна сигурност, трябва да се признае, че най-много ефективен методзащита на локални мрежови обекти (мрежов сегмент) от въздействия от отворени мрежи(например Интернет), предполага поставянето на определен елемент, който следи и филтрира преминаващите през него мрежови пакети в съответствие с определените правила. Такъв елемент беше наречен защитна стена (защитна стена)или защитна стена, защитна стена.

Защитна стена, защитна стена, защитна стена, защитна стена- образувано чрез транслитерация на английския термин firewall.

Защитна стена (немски Brandmauer)- термин, заимстван от немския език, който е аналог на английското "firewall" в първоначалното му значение (стена, която разделя съседните сгради, предотвратявайки разпространението на пожар).

Защитна стена / Защитна стена (ITU)- комплекс от хардуер или софтуер, който следи и филтрира преминаващите през него мрежови пакети, използвайки различни протоколи в съответствие с определените правила.

Основната задача на защитната стена е да защитава компютърни мрежии/или отделни възлиот неоторизиран достъп. Понякога се извикват защитни стени филтри, тъй като основната им задача е да не предават (филтрират) пакети, които не отговарят на критериите, определени в конфигурацията.

За да гарантира ефективно сигурността на мрежата, защитната стена следи и контролира целия поток от данни, преминаващ през нея. За да вземе контролни решения за TCP/IP услуги (т.е. да предава, блокира или регистрира опити за свързване), защитната стена трябва да получава, запомня, избира и обработва информация, получена от всички комуникационни слоеве и от други приложения.

Защитната стена пропуска целия трафик през себе си, като взема решение относно всеки преминаващ пакет: дали да му позволи да премине или не. За да може защитната стена да изпълни тази операция, тя трябва да дефинира набор от правила за филтриране. Решението дали да се използва защитна стена за филтриране на пакети данни, свързани със специфични протоколи и адреси, зависи от политиката за сигурност на защитената мрежа. По същество защитната стена е набор от компоненти, които са конфигурирани да изпълняват избраното политики за сигурност... Политиката за мрежова сигурност на всяка организация трябва да включва (наред с други неща) два компонента: политика за достъп до мрежови услуги и политика за внедряване на защитни стени.

Не е достатъчно обаче само да тествате пакетите поотделно. Информацията за състоянието на връзката, получена от минали проверки на връзката и други приложения, е основен фактор при управленското решение при опит за установяване на нова връзка. За вземане на решение могат да се вземат предвид както състоянието на връзката (получено от миналия поток от данни), така и състоянието на приложението (получено от други приложения).

По този начин, управленските решения изискват защитната стена да може да има достъп, анализира и използва следните фактори:

• информация за връзката - информация от всичките седем слоя (OSI модели) в пакета;
• история на връзките - информация, получена от предишни връзки;
• състояние на ниво приложение - информация за състоянието на връзката, получена от други приложения;
• манипулиране на информация - изчисляване на различни изрази въз основа на всички горепосочени фактори.

Видове защитни стени

Има няколко вида защитни стени в зависимост от следните характеристики:

• дали щитът осигурява връзка между един възел и мрежа, или между две или повече различни мрежи;
• дали контролът на трафика се осъществява на мрежовия слой или по-високите слоеве на OSI модела;
• дали състоянията на активните връзки се наблюдават или не.

В зависимост от покритието на наблюдаваните потоци от данни, защитните стени се подразделят на:

• традиционна защитна стена (или защитна стена)- програма (или неразделна част от операционната система) на шлюз (устройство, което предава трафик между мрежи) или хардуерно решение, което контролира входящите и изходящите потоци от данни между свързани мрежи (разпределени мрежови обекти);
• лична защитна стена- програма, инсталирана на компютъра на потребителя и предназначена да защитава само този компютър от неоторизиран достъп.

В зависимост от слоя OSI, на който се извършва контрол на достъпа, защитните стени могат да работят върху:

• мрежов слойкогато филтрирането се основава на адресите на подателя и получателя на пакети, номерата на портовете на транспортния слой на OSI модела и статичните правила, зададени от администратора;
• ниво на сесия(също известен като държавен) когато се наблюдават сесии между приложения и пакети, които нарушават спецификациите на TCP/IP, често използвани при злонамерени операции – сканиране на ресурси, хакове чрез неправилни TCP/IP реализации, прекъснати/забавени връзки, не се предават инжектиране на данни;
• ниво на приложение(или приложния слой), когато филтрирането се основава на анализа на данните от приложението, предавани в пакета. Тези типове екрани ви позволяват да блокирате предаването на нежелана и потенциално вредна информация въз основа на правила и настройки.

Филтриране на мрежовия слой

Филтрирането на входящи и изходящи пакети се извършва на базата на информация, съдържаща се в следните полета на TCP и IP заглавките на пакетите: IP адрес на подателя; IP адрес на получателя; порт на изпращача; порт на получателя.

Може да се приложи филтриране различни начиниза блокиране на връзки към конкретни компютри или портове. Например, можете да блокирате връзки от конкретни адреси на компютри и мрежи, които се считат за ненадеждни.

• сравнително ниска цена;
• гъвкавост при дефиниране на правила за филтриране;
• малко забавяне при преминаването на пакети.

недостатъци:

• не събира фрагментирани пакети;
• няма начин за проследяване на връзки (връзки) между пакетите.?

Филтриране на ниво сесия

В зависимост от това как се наблюдават активните връзки, защитните стени могат да бъдат:

• без гражданство(просто филтриране), които не проследяват текущите връзки (например TCP), а филтрират потока от данни единствено въз основа на статични правила;
• Инспекция на пакети с изчислено състояние (SPI)(филтриране въз основа на контекст), следене на текущите връзки и предаване само на онези пакети, които отговарят на логиката и алгоритмите на съответните протоколи и приложения.

SPI защитните стени ви позволяват по-ефективно да се борите с различни видове DoS атаки и уязвимости на някои мрежови протоколи. В допълнение, те поддържат протоколи като H.323, SIP, FTP и др., които използват сложни веригитрансфер на данни между получатели, слабо податлив на описание чрез статични правила и често несъвместим със стандартен, без гражданство защитни стени.

Предимствата на това филтриране включват:

• анализ на съдържанието на пакети;
• не се изисква информация за това как работят протоколите на ниво 7.

недостатъци:

• трудни за анализиране данни на ниво приложение (евентуално с помощта на ALG - шлюз на ниво приложение).

Шлюз на ниво приложение, ALG- компонент на NAT рутер, който разбира протокол за приложение и, когато пакетите от този протокол преминават през него, ги модифицира по такъв начин, че потребителите, които стоят зад NAT, да могат да използват протокола.

ALG осигурява поддръжка за протоколи на ниво приложение (като SIP, H.323, FTP и т.н.), за които не е разрешено преобразуването на мрежови адреси. Тази услуга определя типа на приложението в пакети, идващи от интерфейса. вътрешна мрежаи подходящо извършване на превод на адрес/порт за тях чрез външния интерфейс.

SPI технология(Stateful Packet Inspection) или технологията за проверка на пакети със състояние е водещият метод за контрол на трафика. Тази технология позволява контрол на данните до слоя на приложението, без да се изисква отделно прокси или прокси приложение за всеки защитен протокол или мрежова услуга.

Исторически еволюцията на защитните стени идва от пакетни филтри с общо предназначение, след това започват да се появяват прокси програми за отделни протоколи и накрая е разработена технологията за проверка на състоянието. Предишните технологии само се допълваха, но не осигуряваха цялостен контрол върху връзките. Пакетните филтри нямат достъп до информация за състоянието на връзката и приложението, което е необходимо за вземане на окончателно решение от системата за сигурност. Прокси програмите обработват само данни на ниво приложение, което често създава различни възможности за компрометиране на системата. Архитектурата за проверка на състоянието е уникална с това, че позволява цялото възможна информацияпреминаване през шлюз машината: данни от пакета, данни за състоянието на връзката, данни, необходими за приложението.

Пример за това как работи проверката на състоянието... Защитната стена следи FTP сесията, като проверява данните на ниво приложение. Когато клиент поиска от сървъра да отвори обратна връзка (команда FTP PORT), защитната стена извлича номера на порта от тази заявка. Списъкът съхранява адресите на клиента и сървъра, номерата на портовете. Когато открие опит за установяване на FTP връзка за данни, защитната стена сканира списъка и проверява дали тази връзка наистина е отговор на валидна клиентска заявка. Списъкът с връзки се поддържа динамично, така че да са отворени само необходимите FTP портове. Веднага след като сесията приключи, портовете се блокират, осигурявайки високо ниво на сигурност.

Филтриране на ниво приложение

За да защитят някои от уязвимостите, присъщи на филтрирането на пакети, защитните стени трябва да използват приложни програмиза филтриране на връзки с услуги като Telnet, HTTP, FTP. Подобно приложениеНаречен прокси услугаи хостът, изпълняващ прокси услугата, е шлюз на ниво приложение. Този шлюз елиминира директната комуникация между оторизирания клиент и външния хост. Шлюзът филтрира всички входящи и изходящи пакети на слоя на приложението (слой на приложението - Най-високо нивомрежов модел) и може да анализира съдържанието на данни, като например URL, съдържащ се в HTTP съобщение или команда, съдържаща се в FTP съобщение. Понякога филтрирането на пакети е по-ефективно въз основа на информацията, съдържаща се в самите данни. Пакетните филтри и филтрите на слоя на връзката не използват съдържанието на потока на трафика, за да вземат решения за филтриране, но могат да бъдат направени с филтриране на ниво приложение. Филтрите на приложния слой могат да използват информация от заглавката на пакета, както и съдържание на данни и потребителска информация. Администраторите могат да използват филтриране на слоя на приложението, за да контролират достъпа въз основа на потребителска идентичност и/или въз основа на конкретна задачакоито потребителят се опитва да приложи. Във филтрите на слоя на приложението можете да задавате правила въз основа на командите, издадени от приложението. Например, администраторът може да попречи на конкретен потребител да изтегля файлове на конкретен компютър чрез FTP или да позволи на потребител да публикува файлове чрез FTP на същия компютър.

Сравнение на хардуерни и софтуерни защитни стени

За сравнение, защитните стени са разделени на два вида: 1-ви - хардуер и софтуер и хардуер, и 2-ри - софтуер.

Хардуерните и фърмуерните защитни стени включват устройства, инсталирани на ръба на мрежата. Софтуерните защитни стени са тези, които са инсталирани на крайните хостове.

Основните направления, присъщи както на първия, така и на втория тип:

• осигуряване на сигурността на входящия и изходящия трафик;
• Значително повишаване на мрежовата сигурност и намаляване на риска за хостовете в подмрежата при филтриране на известни незащитени услуги;
• възможността за контрол на достъпа до мрежови системи;
• известяване за събития с помощта на подходящи аларми, които се задействат, когато възникне някаква подозрителна дейност (опити за сондиране или атаки);
• осигуряване на евтино, лесно за внедряване и лесно за управление решение за сигурност.

Хардуерните и софтуерните и хардуерните защитни стени допълнително поддържат функционалност, която ви позволява да:

• предотвратяване на получаване на информация от защитената подмрежа или инжектиране в защитената подмрежа чрез използване на уязвими услуги;
• регистрира опитите за достъп и предоставя необходимата статистика за използването на Интернет;
• осигуряват средства за регулиране на реда на достъп до мрежата;
• осигуряват централизирано управление на трафика.

Софтуерните защитни стени, в допълнение към основните области, позволяват:

• контролира стартирането на приложения на хоста, където са инсталирани;
• защита на обекта от проникване през "люковете" (задни врати);
• осигуряват защита срещу вътрешни заплахи.

Защитната стена не е симетрично устройство. Той прави разлика между понятията "отвън" и "отвътре". Защитната стена защитава вътрешната зона от неконтролирана и потенциално враждебна външна среда. В същото време защитната стена ви позволява да ограничите достъпа до обекти на публичната мрежа от субектите на защитената мрежа. В случай на нарушаване на правомощията, работата на субекта за достъп се блокира и всичко необходимата информациясе записва в дневника.

Защитните стени могат да се използват и в защитени корпоративни мрежи. Ако локалната мрежа съдържа подмрежи с различна степен на поверителност на информацията, тогава такива фрагменти трябва да бъдат разделени от защитни стени. В този случай екраните се наричат ​​вътрешни.

Защо имате нужда от защитна стена в рутер

Безжичната мрежа се нуждае от внимателна защита, тъй като тук се създават най-благоприятните възможности за прихващане на информация. Следователно, ако няколко компютъра са свързани към мрежата с помощта на рутер (рутер), защитната стена трябва да бъде инсталирана и използвана не само на всеки компютър, но и на рутера. Например, функцията на защитна стена в рутер от серия DI-XXX се изпълнява от SPI, който изпълнява допълнителна проверкапакети. Предмет на проверката е дали пакетите принадлежат към установената връзка.

По време на сесията на свързване се отваря порт, който може да бъде опитан за атака от външни пакети, особено благоприятен момент за това - когато сесията приключи и портът остава отворен още няколко минути. Следователно SPI запомня текущото състояние на сесията и анализира всички входящи пакети. Те трябва да отговарят на очакваното – да идват от адреса, на който е изпратена заявката, да имат определени числа... Ако пакетът не съответства на сесията, тоест не е правилен, той е блокиран и това събитие се записва в дневника. Друга защитна стена на рутера ви позволява да блокирате изходящи връзки от заразен компютър.

С огромно разнообразие от професионални софтуерни инструменти за защита срещу различни видове атаки на локална мрежа отвън (тоест от Интернет), всички те имат един сериозен недостатък - висока цена. И ако говорим за малки мрежи от класа SOHO, тогава закупуването на солидни пакети е недопустим лукс. В същото време трябва да се отбележи, че за малки мрежи възможностите на такива пакети може дори да са прекомерни. Следователно, за да се защитят малки мрежи от класа SOHO, широко се използват евтини хардуерни решения - защитни стени. По своя дизайн защитните стени могат или да бъдат реализирани като отделно решение, или да бъдат неразделна част от рутери от клас SOHO, по-специално безжични рутери, което прави възможно комбинирането на кабелни и безжични LAN сегменти на тяхна основа.
В тази статия ще разгледаме основните функционалностмодерни хардуерни защитни стени, които са вградени в рутери от клас SOHO и се използват за осигуряване на защита на малки локални мрежи.

Защитни стени като част от рутери

Тъй като рутерите са мрежови устройства, които се намират на границата между вътрешна и външна мрежа и действат като мрежов шлюз, те трябва да бъдат проектирани с поне два порта. Един от тези портове се свързва локалната мрежаи този порт става вътрешен LAN порт. Към втория порт е свързана външна мрежа (Интернет), което го превръща във външен WAN порт. По правило рутерите от клас SOHO имат един WAN порт и няколко (от един до четири) LAN порта, които са комбинирани в комутатор. В повечето случаи WAN портът на комутатора има 10 / 100Base-TX интерфейс и към него може да бъде свързан или xDSL модем с подходящия интерфейс, или Ethernet мрежов кабел.

Освен това широкото използване на безжичните мрежи доведе до появата на цял клас т. нар. безжични рутери. Тези устройства, в допълнение към класическия рутер с WAN и LAN портове, съдържат интегрирана безжична точка за достъп, която поддържа протокола IEEE 802.11a / b / g. Безжичният сегмент на мрежата, който ви позволява да организирате точка за достъп, от гледна точка на рутера, се отнася до вътрешната мрежа и в този смисъл компютрите, свързани към рутера безжично, не се различават от тези, свързани към LAN порт.

Всеки рутер, като устройство на мрежовия слой, има свой собствен IP адрес. В допълнение към рутера, WAN портът също има свой собствен IP адрес.

Компютрите, свързани към LAN портовете на рутера, трябва да имат IP адрес в същата подмрежа като самия рутер. Освен това в мрежовите настройки на тези компютри трябва да зададете адреса на шлюза по подразбиране, който съвпада с IP адреса на рутера. И накрая, устройството, свързано към WAN порта от външната мрежа, трябва да има IP адрес от същата подмрежа като WAN порта на рутера.

Тъй като рутерът действа като шлюз между локалната мрежа и Интернет, логично е да се очаква от него такава функция като защита на вътрешната мрежа от неоторизиран достъп. Следователно почти всички съвременни рутери от клас SOHO имат вградени хардуерни защитни стени, наричани още защитни стени.

Функции на защитната стена

Основната задача на всяка защитна стена в крайна сметка се свежда до защита на вътрешната мрежа. За да решат този проблем, защитните стени трябва да могат да маскират защитената мрежа, да блокират всички известни видове хакерски атаки, да блокират изтичането на информация от вътрешната мрежа и да контролират приложенията, които получават достъп до външната мрежа.

За да реализират тези функции, защитните стени анализират целия трафик между външната и вътрешната мрежа за съответствие с определени установени критерии или правила, които определят условията за трафик от една мрежа към друга. Ако трафикът отговаря на посочените критерии, тогава защитната стена ще му позволи да премине през себе си. В противен случай, тоест, ако посочените критерии не са изпълнени, трафикът се блокира от защитната стена. Защитните стени филтрират както входящия, така и изходящия трафик и също така ви позволяват да контролирате достъпа до конкретни мрежови ресурси или приложения. Те могат да записват всички опити за неоторизиран достъп до ресурси на локална мрежа и да издават предупреждения за опити за проникване.

По своето предназначение защитните стени наподобяват най-вече контролно-пропускателен пункт (контролно-пропускателен пункт) на охраняем обект, където се проверяват документи за всеки влизащ на територията на съоръжението и всеки, който го напуска. Ако пропускът е изряден, достъпът до територията е разрешен. Защитните стени действат по абсолютно същия начин, само мрежовите пакети действат като хора, преминаващи през контролната точка, а пропускът е съответствието на заглавките на тези пакети с предварително дефиниран набор от правила.

Толкова надеждни ли са защитните стени?

Може ли да се каже, че защитната стена е 100 процента сигурна в мрежата на потребителя или персоналния компютър? Разбира се, че не. Дори само защото никоя система не предоставя 100% гаранция за сигурност. Защитната стена трябва да се третира като инструмент, който, ако е конфигуриран правилно, може значително да усложни задачата на атакуващия да проникне Персонален компютърпотребител. Подчертаваме: само за да усложним, но изобщо не за да гарантираме абсолютна безопасност. Между другото, ако не говорим за защита на локалната мрежа, а за защита на отделен компютър с достъп до интернет, тогава защитната стена ICF (Internet Connection Firewall), вградена в операционната система Windows XP, успешно се справя с осигуряването на личната си сигурност. Ето защо в бъдеще ще говорим само за корпоративни хардуерни защитни стени, фокусирани върху защитата на малки мрежи.

Ако защитната стена, инсталирана на входа на локалната мрежа, е активирана от пълна програма(като правило това съответства на настройките по подразбиране), тогава мрежата, която защитава, е напълно непроницаема и недостъпна отвън. Такава пълна непроницаемост на вътрешната мрежа обаче има своя недостатък. Факт е, че в този случай става невъзможно използването на интернет услуги (например ICQ и подобни програми), инсталирани на компютъра. По този начин задачата на конфигурирането на защитна стена е да направи прозорци в първоначално празната стена, която е защитна стена за нападател, позволяваща на потребителските програми да отговарят на заявки отвън и в крайна сметка да реализират контролирано взаимодействие на вътрешната мрежа с външен свят... Въпреки това, колкото повече такива прозорци се появяват в такава стена, толкова по-уязвима става самата мрежа. Затова подчертаваме още веднъж: нито една защитна стена не може да гарантира абсолютната сигурност на локалната мрежа, която защитава.

Класификация на защитната стена

Възможностите и интелигентността на защитната стена зависят от слоя на референтния модел на OSI, на който работят. Колкото по-висок е OSI слой, върху който е изградена защитната стена, толкова по-високо ниво на защита осигурява.

Припомнете си, че моделът OSI (Open System Interconnection) включва седем слоя мрежова архитектура. Първото, най-ниското, е физическото ниво. Следва слоевете за връзка за данни, мрежа, транспорт, сесия, презентация и приложение или приложение. За да осигури филтриране на трафика, защитната стена трябва да работи поне на третия слой на OSI модела, тоест на мрежовия слой, където пакетите се маршрутизират въз основа на транслацията на MAC адресите в мрежови адреси. От гледна точка на протокола TCP / IP, този слой съответства на слоя IP (Internet Protocol). Получавайки информация за мрежовия слой, защитните стени могат да определят адресите на източника и дестинацията на пакета и да проверяват дали трафикът между тези дестинации е приемлив. Въпреки това, няма достатъчно информация за мрежовия слой за анализиране на съдържанието на пакета. Защитните стени, работещи на транспортния слой на OSI модела, придобиват малко повече информация за пакетите и в този смисъл могат да осигурят по-интелигентни схеми за защита на мрежите. Що се отнася до защитните стени на ниво приложение, те имат пълна информация за мрежови пакетикоето означава, че такива защитни стени осигуряват най-надеждната защита на мрежата.

В зависимост от нивото на OSI модела, на който работят защитните стени, исторически се е развила следната класификация на тези устройства:

• филтър за пакети;
• шлюз на ниво верига;
• шлюз на ниво приложение;
• Инспекция на пакети със състояние (SPI).

Имайте предвид, че тази класификация е само от исторически интерес, тъй като всички съвременни защитни стени принадлежат към категорията на най-модерните (по отношение на защитата на мрежата) SPI защитни стени.

Пакетни филтри

Защитните стени за пакетен филтър са най-простите (най-малко интелигентни). Тези защитни стени работят на мрежовия слой на модела OSI или IP слоя на стека на протоколите TCP/IP. Такива защитни стени са задължителни във всеки рутер, тъй като всеки рутер работи поне на третия слой на OSI модела.

Целта на пакетните филтри е да филтрират пакети въз основа на информация за IP адрес на източник или местоназначение и номера на портове.

В защитните стени на пакетен филтър всеки пакет се анализира, за да отговори на критериите за предаване или блоково предаване, преди да бъде предадено. В зависимост от пакета и дефинираните критерии за предаване, защитната стена може да препрати пакета, да го отхвърли или да изпрати известие до инициатора на предаването.

Пакетните филтри са лесни за прилагане и имат малък или никакъв ефект върху скоростта на маршрутизиране.

Шлюзове на ниво сесия

Шлюзовете на сесийния слой са защитни стени, които работят на слоя на сесията на OSI модела или слоя TCP (Transport Control Protocol) на стека от протоколи TCP/IP. Тези защитни стени наблюдават процеса на установяване на TCP връзка (организацията на комуникационни сесии между крайните машини) и ви позволяват да определите дали тази комуникационна сесия е легитимна. Данните са прехвърлени към отдалечен компютървъв външната мрежа през шлюз на ниво сесия, не съдържат информация за източника на предаване, тоест всичко изглежда така, сякаш данните се изпращат от самата защитна стена, а не от компютър във вътрешната (защитена) мрежа. Всички NAT защитни стени са шлюзове на сесийния слой (NAT ще бъде описан по-долу).

Шлюзовете на ниво сесия също не влияят значително на скоростта на маршрутизиране. В същото време тези шлюзове не са в състояние да филтрират отделни пакети.

Шлюзове за приложения

Шлюзовете на приложния слой или прокси сървърите работят на приложния слой на OSI модела. Приложният слой е отговорен за достъпа на приложенията до мрежата. Задачите на това ниво включват прехвърляне на файлове, имейл съобщения и управление на мрежата. Получавайки информация за пакети на ниво приложение, шлюзовете на ниво приложение могат да реализират блокиране на достъпа до определени услуги. Например, ако шлюзът на слоя на приложението е конфигуриран като Web-прокси, тогава всеки трафик, свързан с протоколите Telnet, FTP, Gopher, ще бъде блокиран. Тъй като тези защитни стени анализират пакети на слоя на приложението, те са в състояние да филтрират конкретни команди като http: post, get и т.н. Тази функция не е достъпна нито за пакетни филтри, нито за шлюзове на ниво сесия. Шлюзовете на ниво приложение могат също да се използват за регистриране на активността на отделни потребители и за установяване на комуникационни сесии от тях. Тези защитни стени предлагат по-надежден начин за защита на мрежи от шлюзове за сесии и филтри за пакети.

SPI защитни стени

Най-новият тип защитна стена, Stateful Packet Inspection (SPI), съчетава предимствата на пакетни филтри, шлюзове за сесии и шлюзове на приложения едновременно. Тоест всъщност говорим за многослойни защитни стени, които работят едновременно на ниво мрежа, сесия и приложение.

SPI защитните стени филтрират пакети на мрежовия слой, определят легитимността на установяване на сесия въз основа на данните от слоя на сесията и анализират съдържанието на пакетите въз основа на данните от слоя на приложението.

Тези защитни стени осигуряват най-надеждния начин за защита на мрежите и са де факто стандарт днес.

Конфигуриране на защитни стени

Методологията и опциите за конфигуриране на защитните стени варират в зависимост от модела. За съжаление няма единни правила за персонализиране, камо ли единен интерфейс. Можем да говорим само за някои общи правила, които трябва да се спазват. Всъщност основното правило е доста просто - необходимо е да се забрани всичко, което не е необходимо за нормалното функциониране на мрежата.

Най-често възможностите за конфигуриране на защитни стени се свеждат до активиране на някои предварително дефинирани правила и създаване на статични правила под формата на таблица.

Да вземем за пример възможностите за конфигуриране на защитната стена, включена в рутера Gigabyte GN-B49G. Този рутер има редица предварително дефинирани правила за прилагане на различни нива на сигурност във вътрешната мрежа. Тези правила включват следното:

• Достъпът до конфигурацията и администрирането на рутера от страна на WAN е забранен. Активирането на тази функция забранява достъпа до настройките на рутера от външната мрежа;
• Достъпът от Global-IP към Private-IP е забранен в LAN. Тази функция ви позволява да блокирате достъпа в рамките на локалната мрежа от глобални IP адреси (ако има такива) до IP адреси, запазени за лична употреба;
• Предотвратете споделянето на файлове и принтери извън мрежата на рутера. Функцията предотвратява използването на споделен достъп до принтери и файлове във вътрешната мрежа отвън;
• Съществуването на рутера не може да бъде открито от страна на WAN. Тази функция прави рутера невидим от външната мрежа;
• Предотвратени са атаки тип отказ на услуга (DoS). Когато тази функция е активирана, се прилага защита срещу DoS (отказ на услуга) атаки. DoS атаките са вид мрежова атака, която включва множество заявки към сървър, изискващ услуга, предоставена от системата. Сървърът изразходва ресурсите си за установяване и поддържане на връзка и при определен поток от заявки не може да се справи с тях. Защитата срещу атаки от този тип се основава на анализиране на източниците на излишен трафик в сравнение с нормалния трафик и забрана на предаването му.

Както вече отбелязахме, много защитни стени имат предварително дефинирани правила, които по своята същност са същите като изброените по-горе, но може да имат различни имена.

Друг начин за конфигуриране на защитната стена е да създадете статични правила, които ви позволяват не само да защитавате мрежата отвън, но и да ограничавате достъпа на потребителите в локалната мрежа до външната мрежа. Възможностите за създаване на правила са доста гъвкави и ви позволяват да приложите почти всяка ситуация. За да създадете правило, задайте IP адреса на източника (или диапазона на адресите), портовете на източника, IP адресите и портовете на местоназначението, типа на протокола, посоката на предаване на пакети (от вътрешната мрежа към външната мрежа или обратно), както и действието да се вземе при откриване на пакет с посочените свойства (пускане или пропускане на пакета). Например, ако искате да забраните на потребителите от вътрешната мрежа (обхват на IP адресите: 192.168.1.1-192.168.1.100) достъп до FTP сървъра (порт 21), разположен на външния IP адрес 64.233.183.104, тогава правилото може да бъде формулиран както следва:

• посока на препращане на пакети: LAN-to-WAN;
• IP адреси на източника: 192.168.1.1-192.168.1.100;
• изходен порт: 1-65535;
• порт получател: 21;
• протокол: TCP;
• действие: пускане.

Статичната конфигурация на правилото на защитната стена за горния пример е показана на фиг. 1.

NAT като част от защитната стена

Всички съвременни рутери с вградени защитни стени поддържат транслация на мрежови адреси (NAT).

NAT не е част от защитна стена, но също така помага за подобряване на мрежовата сигурност. Основната задача на NAT протокола е да реши проблема с недостига на IP адреси, който става все по-належащ с нарастването на броя на компютрите.

Факт е, че в текущата версия на протокола IPv4 са разпределени четири байта за определяне на IP адреса, което прави възможно генерирането на над четири милиарда адреса на мрежови компютри. Разбира се, в първите дни на Интернет беше трудно да си представим, че някой ден този брой IP адреси може да не е достатъчен. За да се реши частично проблема с недостига на IP адреси, наведнъж беше предложен протоколът за транслация на мрежови адреси NAT.

NAT се дефинира от RFC 1631, който дефинира как се превеждат мрежовите адреси.

В повечето случаи NAT устройство превежда IP адреси, запазени за частна употреба в локални мрежи, към публични IP адреси.

Частното адресно пространство се регулира от RFC 1918. Тези адреси включват следните IP диапазони: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-1925.5.5.

Съгласно RFC 1918 частните IP адреси не могат да се използват в WAN, така че могат да се използват свободно само за вътрешни цели.

Преди да преминем към спецификата на NAT протокола, нека да разгледаме как възниква мрежова връзка между два компютъра.

Когато един компютър в мрежата установи връзка с друг компютър, се отваря сокет, идентифициран от IP адреса на източника, порта на източника, IP адреса на местоназначението, порта на местоназначението и мрежовия протокол. Форматът на IP пакета предоставя двубайтово поле за номера на портове. Това ви позволява да дефинирате 65 535 порта, които играят ролята на един вид комуникационни канали. От 65 535 порта, първите 1023 са запазени за добре познати сървърни услуги като Web, FTP, Telnet и др. Всички останали портове могат да се използват за всякакви други цели.

Ако например един компютър в мрежа има достъп до FTP сървър (порт 21), тогава при отваряне на сокет операционна системаприсвоява сесията на всеки порт по-висок от 1023. Например може да бъде порт 2153. Тогава IP пакетът, изпратен от компютъра към FTP сървъра, ще съдържа IP адреса на подателя, порта на подателя (2153), IP адреса на получателя и порта на местоназначението ( 21). IP адресът и портът на подателя ще се използват за отговор от сървъра към клиента. Използването на различни портове за различни мрежови сесии позволява на мрежовите клиенти едновременно да установяват няколко сесии с различни сървъри или с услугите на един сървър.

Сега нека разгледаме процеса на установяване на сесия при използване на NAT рутер на границата на вътрешната мрежа и Интернет.

Когато клиент във вътрешната мрежа установи връзка със сървър във външната мрежа, тогава, както в случая на установяване на връзка между два компютъра, се отваря сокет, определен от IP адреса на източника, порта на източника, IP адреса на местоназначението, порт на местоназначение и мрежов протокол. Когато приложение предава данни през този сокет, IP адресът на източника и портът на източника се вмъкват в пакета в полетата на параметрите на източника. Полетата за параметър на местоназначението ще съдържат IP адреса на сървъра и порта на сървъра. Например, компютър във вътрешната мрежа с IP адрес 192.168.0.1 може да има достъп до уеб сървър в WAN с IP адрес 64.233.188.104. В този случай операционната система на клиента може да присвои установения порт за сесия 1251 (порт на източника), а портът на дестинацията е портът на уеб услугата, тоест 80. След това следните атрибути ще бъдат посочени в заглавката на изпратения пакет (фиг. 2):

• изходен порт: 1251;
• IP адрес на получател: 64.233.183.104;
• порт получател: 80;
• протокол: TCP.

NAT устройство (рутер) прихваща изходящ пакет от вътрешната мрежа и попълва вътрешната си таблица с картографиране на портовете на източника и дестинацията на пакета, използвайки IP адреса на местоназначението, порта на местоназначението, външен NAT IP адрес, външен порт, мрежов протокол , и вътрешни IP адреси -адрес и порт на клиента.

Да предположим, че в горния пример NAT рутерът има външен IP адрес 195.2.91.103 (адресът на WAN порта), а за установената сесия външният порт на NAT устройството е 3210. В този случай вътрешният източник и местоназначение Таблицата за картографиране на портове на пакета съдържа следната информация:

• IP източник: 192.168.0.1;
• изходен порт: 1251;
• външен IP адрес

NAT устройства: 195.2.91.103;

• външен порт на NAT устройството: 3210;
• IP адрес на получател: 64.233.183.104;
• порт получател: 80;
• протокол: TCP.

След това NAT устройството „превежда“ пакета, трансформирайки изходните полета в пакета: вътрешният IP адрес и порт на клиента се заменят с външния IP адрес и порт на NAT. В този пример конвертираният пакет ще съдържа следната информация:

• IP източник: 195.2.91.103
• изходен порт: 3210;
• IP адрес на получател: 64.233.183.104;
• порт получател: 80;
• протокол: TCP.

Преобразуваният пакет се изпраща през външната мрежа и в крайна сметка достига до посочения сървър.

След като получи пакета, сървърът ще препрати пакетите с отговор към външния IP адрес и порт на NAT устройството (рутера), като посочи собствен IP адрес и порт в полетата на източника (Фигура 3). В разглеждания пример пакетът с отговор от сървъра ще съдържа следната информация в заглавката:

• порт източник: 80;
• IP адрес на получател: 195.2.91.103;
• порт получател: 3210;
• протокол: TCP.

Ориз. 3. Принципът на работа на NAT устройство при предаване на пакет от външна мрежа към вътрешна

NAT устройството приема тези пакети от сървъра и анализира тяхното съдържание на базата на таблицата за картографиране на портове. Ако в таблицата е намерено съпоставяне на порт, за което IP адресът на източника, портът на източника, портът на местоназначението и мрежовият протокол от входящия пакет съответстват на IP адреса на отдалечения хост, с отдалечен порти с мрежовия протокол, посочен в съпоставянето на портовете, NAT ще извърши обратната транслация: замени външния IP адрес и външния порт в полетата за дестинация на пакета с IP адреса и вътрешния порт на клиента във вътрешната мрежа. По този начин пакет, предаден към вътрешната мрежа за горния пример, ще има следните атрибути:

• IP източник: 64.233.183.104;
• порт източник: 80;
• IP адрес на получателя: 192.168.0.1;
• порт получател: 1251;
• протокол: TCP.

Въпреки това, ако няма съвпадение в таблицата за съпоставяне на портове, входящият пакет се отхвърля и връзката се прекратява.

Благодарение на NAT рутер, всеки компютър във вътрешната мрежа може да предава данни към WAN, използвайки външния IP адрес и порта на рутера. В същото време IP адресите на вътрешната мрежа, като портовете, присвоени на сесиите, остават невидими от външната мрежа.

Въпреки това, NAT рутер позволява комуникация между компютри във вътрешната и външната мрежа само ако този обмен е иницииран от компютър във вътрешната мрежа. Ако някой компютър във външната мрежа се опита да получи достъп до компютъра във вътрешната мрежа по своя собствена инициатива, тогава тази връзка се отхвърля от NAT устройството. Следователно, освен че решава проблема с недостатъчните IP адреси, NAT помага и за подобряване на сигурността на вътрешната мрежа.

Проблеми с NAT устройства

Въпреки привидната простота на работа на NAT устройствата, има някои проблеми, свързани с тях, които често усложняват организацията на взаимодействието между мрежови компютриили дори предотвратяване на неговото установяване. Например, ако локалната мрежа е защитена от NAT устройство, тогава всеки клиент във вътрешната мрежа може да установи връзка към WAN сървъра, но не и обратното. Това означава, че не можете да инициирате връзка от външната мрежа към сървър, разположен във вътрешната мрежа зад NAT устройство. Но какво ще стане, ако във вътрешната мрежа има услуга (като FTP или уеб сървър), до която потребителите във външната мрежа трябва да имат достъп? За да решат този проблем, NAT рутерите използват DMZ и технологии за пренасочване на портове, които ще бъдат описани подробно по-долу.

Друг проблем с NAT устройствата е, че някои мрежови приложения включват IP адреса и порта в частта с данни на пакета. Ясно е, че NAT устройство не е в състояние да превежда такива адреси. В резултат на това, ако мрежово приложение вмъкне IP адрес или порт в частта за полезен товар на пакета, сървърът, отговарящ на такъв пакет, ще използва вложения IP адрес и порт, за които няма съответен запис за картографиране в вътрешна маса NAT устройства. В резултат на това такъв пакет ще бъде изпуснат от NAT устройството и следователно приложенията, които използват тази технологияняма да може да работи с NAT устройства.

Има мрежови приложения, които използват един порт (като порт източник) при предаване на данни, но чакат отговор на друг порт. NAT устройството анализира изходящия трафик и картографира изходния порт. Въпреки това, NAT устройството не знае, че се очаква отговор на друг порт и не може да извърши съответното съпоставяне. В резултат на това пакетите за отговор, адресирани до порт, за който няма съпоставяне във вътрешната таблица на NAT устройството, ще бъдат отхвърлени.

Друг проблем с NAT устройствата е многократният достъп до един и същ порт. Помислете за ситуация, когато няколко клиента на локална мрежа, отделени от външната мрежа от NAT устройство, имат достъп до един и същ стандартен порт. Например, това може да бъде порт 80, който е запазен за уеб услуга. Тъй като всички клиенти във вътрешната мрежа използват един и същ IP адрес, възниква въпросът: Как може NAT устройство да определи на кой клиент във вътрешната мрежа принадлежи външната заявка? За да се реши този проблем, само един клиент във вътрешната мрежа има достъп до стандартния порт наведнъж.

Статично картографиране на портове

За да се направят определени приложения, работещи на сървър във вътрешната мрежа (като уеб сървър или FTP сървър), достъпни от външната мрежа, трябва да се настрои съпоставяне на NAT устройството между портовете, използвани от определени приложения, и IP адресите тези сървъри във вътрешната мрежа, на които тези приложения работят. В този случай се говори за технология за картографиране на портове, а сървърът във вътрешната мрежа се нарича виртуален сървър. В резултат на това всяка заявка от външната мрежа към външния IP адрес на NAT устройството (рутера) през посочения порт ще бъде автоматично пренасочена към посочения виртуален сървър във вътрешната мрежа.

Например, ако във вътрешната мрежа е конфигуриран виртуален FTP сървър, който работи на компютър с IP адрес 192.168.0.10, тогава при конфигуриране на виртуалния сървър IP адресът на виртуалния сървър (192.168.0.10), се задават използвания протокол (TCP) и портът на приложението (21). В този случай, при достъп до външния адрес на NAT устройството (WAN порт на рутера) на порт 21, потребител от външната мрежа може да получи достъп до FTP сървъра на вътрешната мрежа, въпреки използването на NAT протокола. Пример за конфигуриране на виртуален сървър на реален NAT рутер е показан на фиг. 4.

Обикновено NAT рутерите ви позволяват да създавате множество статични пренасочвания на портове. Така че на един виртуален сървър можете да отворите няколко порта наведнъж или да създадете няколко виртуални сървъра с различни IP адреси. Въпреки това, със статично пренасочване на портове, не можете да препратите един порт към множество IP адреси, тоест порт може да съответства на един IP адрес. Невъзможно е например да конфигурирате няколко уеб сървъра с различни IP адреси - за това ще трябва да промените порта на уеб сървъра по подразбиране и при достъп до 80-ия порт в конфигурацията на рутера да посочите променения уеб порт като частен порт. сървър.

Повечето модели рутери също ви позволяват да зададете статично пренасочване на група портове, тоест да свържете цяла група портове наведнъж с IP адреса на виртуален сървър. Тази функция е полезна, когато трябва да поддържате приложения, които използват голям брой портове, като игри или аудио/видео конферентна връзка. Броят на препратените групи портове на различни моделирутерите са различни, но обикновено има поне десет от тях.

Динамично пренасочване на портове (Специално приложение)

Статичното пренасочване на портове частично решава проблема с достъпа от външната мрежа до услугите на локалната мрежа, защитени от NAT устройство. Съществува обаче и обратният проблем - необходимостта да се осигури на потребителите на локална мрежа достъп до външната мрежа чрез NAT устройство. Факт е, че някои приложения (например интернет игри, видеоконферентна връзка, интернет телефония и други приложения, които изискват създаване на множество сесии едновременно) не са съвместими с NAT технологията. За решаване на този проблем се използва така нареченото динамично пренасочване на портове (понякога наричано специално приложение), когато пренасочването на портове е зададено на ниво отделни мрежови приложения.

Ако рутерът поддържа тази функция, трябва да зададете номера на вътрешния порт (или интервала на порта), свързан с конкретно приложение (обикновено наричан Trigger Port), и да зададете номера на външния порт на NAT устройството (Public Port), което ще да бъде съпоставен с вътрешен порт.

Когато е активирано динамично пренасочване на портове, рутерът следи изходящия трафик от вътрешната мрежа и запомня IP адреса на компютъра, от който идва този трафик. Когато данните пристигнат обратно в локалния сегмент, пренасочването на портове се включва и данните се предават. След като прехвърлянето приключи, пренасочването е деактивирано и след това всеки друг компютър може да създаде ново пренасочване към своя собствен IP адрес.

Динамичното пренасочване на портове се използва главно за услуги, които включват краткосрочни заявки и трансфери на данни, тъй като ако един компютър използва пренасочване на това пристанище, то в същото време другият компютър не може да направи същото. Ако трябва да конфигурирате работата на приложения, които се нуждаят от постоянен поток от данни, които заемат даден порт дълго времетогава динамичното пренасочване е неефективно. В този случай обаче има решение на проблема - то се състои в използването на демилитаризираната зона.

DMZ зона

Демилитаризираната зона (DMZ) е друг начин за заобикаляне на ограниченията на NAT. Тази функция се предоставя от всички съвременни рутери. Когато поставите компютър във вътрешната LAN в DMZ, той става прозрачен за NAT протокола. Това на практика означава, че компютърът във вътрешната мрежа е практически позициониран пред защитната стена. За компютър, разположен в зоната на DMZ, всички портове се пренасочват към един вътрешен IP адрес, което позволява организиране на трансфер на данни от външната мрежа към вътрешната.

Ако например сървър с IP адрес 192.168.1.10, разположен във вътрешната локална мрежа, се намира в зоната на DMZ, а самата локална мрежа е защитена от NAT устройство, тогава при заявка от външната мрежа пристига на всеки порт на адреса на WAN порта NAT устройствата ще пренасочат тази заявка към IP адреса 192.168.1.10, тоест към адреса на виртуалния сървър в DMZ зоната.

Обикновено рутерите SOHO NAT позволяват само един компютър да бъде разположен в DMZ. Пример за конфигуриране на компютър в зоната на DMZ е показан на фиг. 5.

Ориз. 5. Пример за конфигуриране на компютър в DMZ зона

Тъй като компютър, разположен в DMZ, става достъпен от външната мрежа и не е защитен по никакъв начин от защитна стена, той се превръща в уязвима точка в мрежата. Необходимо е само да се прибегне до поставянето на компютри в DMZ в краен случай, когато по една или друга причина не са подходящи други методи за заобикаляне на ограниченията на NAT протокола.

NAT Traversal технология

Методите, които изброихме за заобикаляне на ограниченията на NAT протокола, могат да бъдат трудни за начинаещи потребители. За улесняване на администрирането е предложена автоматизирана технология за конфигуриране на NAT устройства. Технологията NAT Traversal позволява мрежови приложенияопределете дали са защитени от NAT устройство, научете външния IP адрес и извършете пренасочване на портове към автоматичен режим... По този начин предимството на технологията NAT Traversal е, че потребителят не трябва ръчно да конфигурира картографирането на портове.

Технологията NAT Traversal разчита на UPnP (Universal Plug and Play) протоколи, поради което често е необходимо да се провери опцията UPnP & NAT в рутерите, за да се активира тази технология.

Защитна стена – Блокирането на трафик от неоторизирани източници е една от най-старите технологии за мрежова сигурност, но доставчиците на подходящи среди продължават да разработват нови подходи за по-добро противодействие на днешните заплахи в променящата се мрежова среда и защита на корпоративните ИТ активи. Защитните стени от следващо поколение ви позволяват да създавате и прилагате политики, използвайки по-широк набор от контекстуални данни.

Еволюцията на защитните стени (FW) премина дълъг път... Те бяха разработени за първи път в края на 80-те от DEC и работеха основно върху първите четири слоя на модела OSI, прихващайки трафик и анализирайки пакети за съответствие с определени правила. Тогава Контролна точкапредложени защитни стени със специализирани интегрални схеми (ASIC) за задълбочен анализ на заглавките на пакети. Тези усъвършенствани системи могат да поддържат таблица с активни връзки и да я използват в правила (Stateful Packet Inspection, SPI). SPI технологията ви позволява да проверявате IP адресите на източника и дестинацията и портовете за наблюдение.

Създаването на FW, работещи на ниво приложение, се счита за голяма стъпка напред. Първият такъв продукт беше пуснат от SEAL през 1991 г., а две години по-късно се появи решението Firewall Toolkit (FWTK) с отворен код от Trusted Information Systems. Тези защитни стени проверяваха пакети на всичките седем слоя, което позволяваше обширна информация в набори от правила (политики) - не само за връзките и тяхното състояние, но и за операциите, използващи специфичния за приложението протокол. До средата на 90-те години защитните стени имаха възможността да наблюдават популярни протоколи на приложния слой: FTP, Gopher, SMTP и Telnet. Тези продукти, ориентирани към приложенията, се наричат ​​защитни стени от следващо поколение (NGFW).

TIS пусна комерсиална версия на FWTK - Gauntlet Firewall. С удостоверяване на потребителя, филтриране на URL адреси, анти-зловреден софтуер и възможности за защита на приложния слой, този продукт се счита за първата защитна стена от „следващо поколение“. Така формално продуктите на NGFW са на повече от 15 години, въпреки че днес на този термин се придава различно значение.

СМЯНА НА ПОКОЛЕНИЕТО

Анализаторите на Frost & Sullivan идентифицират четири поколения защитни стени. Първият (1985-1990) е продуктите на DEC; вторият (1996-2002) - появата на SPI продукти (Check Point) и работа на ниво приложение (Gauntlet), интегриране на функции IPsec VPNизползвайки ASIC самостоятелно развитаза повишаване на производителността (Lucent, NetScreen); третият (2003-2006) - използването на функциите за дълбока проверка на пакети и консолидирането на защитните функции (Fortinet); четвърто поколение (от 2007 г. до момента) - сигурност на трафика, базирана на идентифициране на приложения и потребители (Пало Алто) и въвеждане на нови технологии от големи доставчици.

По този начин появата на термина NGFW в неговата съвременното разбиранеприписва на Palo Alto Networks. Тя нарече своите продукти защитни стени от следващо поколение, които строго контролират достъпа на отделните потребители до приложения и интернет. По същество NGFW комбинира няколко функции на една платформа - FW, IPS и шлюзове за уеб сигурност. Клиентите получават контрол на „в” и „извън” на мрежата. В NGFW политиките се задават за приложения, а не само за портове и IP адреси.

В сравнение със защитните стени на Cisco, Check Point Software Technologies и Juniper Networks, продуктите на Palo Alto Networks осигуряват по-лесен мониторинг и по-добра защита на трафика при използване на социални мрежи, Google gmailили Skype. Нарастването на популярността на уеб приложенията допринесе значително за развитието на бизнеса на този доставчик, който навлезе на пазара през 2005 г. Forrester Research нарича своя водещ продукт революционен.

Днес пазарът на защитни стени (виж фигури 1 и 2) или защитни стени обхваща цяла линиясегменти: SOHO, SMB, продукти за големи предприятия и доставчици. Новата функционалност на NGFW помага за защитата на корпоративните мрежи пред лицето на новите технологии и изчислителни модели (облачни и мобилни изчисления). Разширяването на функционалността доведе до създаването на унифицирани платформи (Unified Threat Management, UTM), които се използват широко днес.

Въпреки че границите на мрежата стават замъглени, защитата на периметъра на FW остава важен фактор и необходим елемент от многопластовата система за сигурност. Появата на мобилни устройства и появата на концепцията за BYOD оказва силно влияние върху сигурността, но по-скоро увеличава значението на мрежовия периметър, тъй като само в него могат да бъдат данни в относителна безопасност, смята Дмитрий Курашев, директор на Entensys.

„Ако говорим за модерни и търсени функции, тогава основно защитните стени се използват като класически защитни стени“, отбелязва Дмитрий Ушаков, ръководител на отдела за подготовка и внедряване технически решенияСтоунсофт Русия. - Разбира се, по своите възможности те вече се различават от тези, които са били използвани през 80-те и 90-те години - вземете поне контекстно филтриране въз основа на приложения за състояние и синтактичен анализ (способност за проследяване на свързани връзки). Но на практика се търсят предимно класическите функции.

Според анализаторите на Frost & Sullivan, Въпреки че традиционните защитни стени остават основни инструменти за сигурност, те са неефективни при защита срещу сложни мрежови атаки... Развитието на технологиите и приложенията води до отваряне на все повече вратички за нападателите, а практическото внедряване на системата за сигурност се усложнява. За да се справят с развиващите се заплахи, производителите трябва да ускорят разработването на нови методи за откриване и предотвратяване на атаки и блокиране на нежелани мрежов трафик... Според експертите на Gartner, пазарът на защитни стени е навлязъл в период на „динамична еволюция“ и през следващите години високите темпове на растеж ще продължат (виж Фигура 3).

Фигура 3.Прогноза за глобален пазар на защитни стени на Frost & Sullivan.

"НОВО ПОКОЛЕНИЕ" ДНЕС

Гранулираният и адаптивен контрол на ниво приложение остава основната технология на NGFW, но "поддръжката на приложения" в съвременните защитни стени е значително различна от предлаганата преди 20 години. Технологията на защитната стена еволюира значително – тя се превърна в специализирани решения, които извършват задълбочен анализ на трафика и идентифициране на приложения. Продуктите са по-бързи и поддържат по-сложни набори от правила от своите предшественици.

Анализаторите на Gartner отбелязват, че през последните две до три години има нарастващо търсене на NGFW платформи, способни да откриват и блокират сложни атаки, да задават (с висока степен на детайлност) политики за сигурност на ниво приложение, а не само на портове и протоколи . Функционалността и производителността на защитните стени трябва да отговарят на изискванията за по-сложно взаимодействие с приложенията, а самите устройства трябва да имат висока честотна лента и да поддържат виртуализация. Изборът на решение се определя от фактори като цена, лекота на управление, лекота на използване и скорост на внедряване. Разбира се, списъкът не се ограничава до това.

„Когато сравняват или разработват методология за избор на защитни стени, анализаторите оперират с няколко десетки (понякога до сто и половина) критерии, които трябва да се вземат предвид при избора на решение. Всеки клиент определя приоритетите по свой начин - няма универсална рецепта или сценарий и не може да има ”, подчертава Алексей Лукацки, експерт по мрежова сигурност на Cisco.

Нови заплахи и Уеб технологии 2.0 принуждава доставчиците да актуализират своите предложения - защитните стени се развиват. Те са оборудвани с функции за дълбок анализ на трафика и гъвкави настройки на политиката, а производителността им се увеличава в съответствие с нарастването на честотната лента на мрежата. NGFW са в състояние да наблюдават мрежовия трафик на ниво приложение и потребител и активно блокират заплахите. Те могат да включват различни допълнителни средстваосигуряват сигурност и поддържат разширени мрежови функции.

Големите предприятия и доставчици се нуждаят от високопроизводителни решения. Най-новите системи са изградени на мощни хардуерни платформи и като интегрирани компоненти използват различни преди това инструменти и функции за сигурност - IPS, дълбок анализ на пакети, удостоверяване на потребителя и много други.Въпреки това защитните стени от корпоративен клас не се характеризират със специфичен набор от функции, а с мащабируемост, управляемост и надеждност, които отговарят на нуждите на големите компании.

Защитните стени от водещи доставчици, включително Check Point Software Technologies, Cisco Systems, Fortinet, Juniper Networks и Palo Alto Networks, предоставят подробен анализ на контекстуалния трафик на слоя на приложението. Но това не е единственото свойство на NGFW. Например Gartner преди повече от три години предложи собствена дефиниция, която подчертава връзката между IPS и NGFW. Други анализатори смятат UTM функциите за важна характеристика на NGFW. Пало Алто и Juniper се придържат към собствената си терминология. Не става въпрос обаче за формулировката, а за функциите на NGFW, които организациите могат да използват за защита на своите мрежи.

Според Алексей Лукацки, Cisco разглежда този въпрос малко по-широко, отколкото е обичайно в други компании: „Ние не използваме концепцията NGFW, заменяйки я с Context-Aware FW, тоест контекстно-ориентирана защитна стена. Под контекст се разбира не само отговорът на въпроса "КАКВО е възможно?" (тоест анализ на трафика на ниво мрежа и приложение), но и отговорите на въпроса "КОГА можете?" (свързване на опит за достъп с времето), "КЪДЕ и КЪДЕ е възможно?" (местоположение на ресурсите и оборудването, от което се изпраща заявката), "КОЙ мога?" (обвързване не само с IP адреса, но и с потребителския акаунт), "КАК можете?" (от кое устройство е разрешен достъп - от лично или от корпоративно, от стационарно или мобилно). Всичко това ви позволява по-гъвкаво да изградите политика за достъп и да вземете предвид постоянно променящите се нужди на съвременното предприятие по отношение на информационната сигурност.

NGFW е устройство, което разширява функционалността на традиционната защитна стена по отношение на допълнителни услуги за проверка и контрол на потребители и приложения, смята Дмитрий Ушаков. „Съответно следващото поколение защитна стена е като цяло FW, IPS и система за наблюдение на поведението на потребителите и приложенията“, подчертава той. "И в този смисъл Stonesoft StoneGate FW служи като NGFW от няколко години."

Защитните стени правят повече от филтриране на входящия трафик. Някои NGFW могат да открият необичайна активност в изходящия трафикнапример комуникация на порт 80 с неоторизиран сайт или трафик, който съответства на един от подписите. Това помага да се идентифицират и блокират изходящите комуникации, включително тези, инициирани от злонамерен софтуер. „Все повече и повече функции, които са били внедрени на специални защитни стени, се комбинират в едно устройство. Говорим за NGFW с добър микс от функции като стандартно екраниране, контрол на приложенията и предотвратяване на проникване “, казва Брендън Патерсън, старши мениджър за продуктово управление в WatchGuard Technologies.

NGFW ви позволява да създавате политики за информационна сигурност, базирани на широк набор от контекстуални данни, предоставяйки повече висока степензащита, управляемост и мащабируемост. Трафик от интернет услуги (от имейл до поточно видеои социални мрежи) преминава през браузъра на ограничен брой портове и NGFW трябва да има способността да анализира сесиите (с едно или друго ниво на детайлност), за да взема решения въз основа на контекста. Друга характеристика на NGFW е поддръжката за идентификация на потребителя (която може да се използва при създаване на правила) и за това защитната стена може или да използва своя собствена информация, или да има достъп до Active Directory. Познаването и анализирането на трафика на отделните приложения придоби особено значение с разпространението на уеб приложения, които повечето SPI защитни стени могат да идентифицират само като HTTP трафик на порт 80.

Купуването на NGFW с намерението да се използват само функциите му за филтриране на трафика по портове е непрактично, но не всеки се нуждае от подробни функции за контрол на приложението. Освен това си струва да се помисли дали организацията има опит да конфигурира и поддържа сложния набор от правила NGFW. Не трябва да забравяме за скоростта. Най-добрият ви залог е да настроите и тествате NGFW в производствена среда. Пропускателната способност и управляемостта остават ключови критерии за оценка на защитните стени. Отделен сегмент са продуктите за управление на политиките (Firewall Policy Management, FPM). Gartner препоръчва използването им, когато сложността на ИТ средата надвишава възможностите на FW Management Console.

Според анализаторите на Gartner традиционните защитни стени на SPI са остаряла технология, която не успява да защити от много заплахи и много организации вече внедряват NGFW. Според прогнозата на Gartner след три години 38% от предприятията ще използват NGFW, докато през 2011 г. са били само 10%. В същото време броят на клиентите, внедряващи хибридни решения (FW + IPS), ще намалее от 60% на 45%, а броят на компаниите, използващи изключително защитни стени, ще намалее от 25% на 10%. В Русия резултатите вероятно ще бъдат различни.

„Както показва практиката, традиционните защитни стени все още са много успешни“, спомня си Дмитрий Ушаков. - Това се дължи основно на ограничения контрол върху изпълнението на услугите за сигурност от страна на регулаторните органи и, за съжаление, с предоставянето на ИТ защита на остатъчна база - по-евтина и на минимум. Малко хора се замислят за заплахите и последствията. Следователно със сигурност има място за традиционните екрани, но те ще бъдат оборудвани с нови функции. Например устройствата, в които освен традиционния FW, има и инструменти за задълбочен анализ на потоците в мрежата, стават все по-популярни."

Междувременно при адресиране на нов трудни задачиразработчиците понякога трябва да правят компромиси. Лабораторията на NSS заключи, че новите функции на NGFW, като подробен контрол на приложенията, често намаляват производителността и ефективността на сигурността в сравнение с комбинация от традиционни защитни стени и IPS.Само половината от тестваните системи имат защитна ефективност над 90%.

Изследването на NSS също така установи, че IPS рядко се конфигурира в системите NGFW, като политиките по подразбиране на доставчика обикновено се прилагат след внедряването. Това има отрицателно въздействие върху безопасността. И производителността не съответства на декларираната: от осем продукта пет от тях се оказаха по-ниски. В допълнение, всички тествани NGFW са имали максимални връзки извън спецификацията. Лабораторните тестери на NSS стигнаха до заключението, че NGFW ще бъдат готови за внедряване в корпоративни среди само след повишаване на производителността и като цяло технологиите NGFW трябва да бъдат подобрени - системите трябва да осигуряват по-стабилна работа и висока степен на сигурност.

В същото време повечето доставчици успешно развиват бизнеса си. Например, IDC класира Check Point като водещ доставчик на защитна стена / UTM, като ветеранът на защитната стена е водещ в пакета през второто тримесечие на миналата година. този сегментпо продажби, изпреварвайки най-големите доставчици на мрежово оборудване. Делът на Check Point на глобалния пазар на FW/UTM надхвърля 20%, а в Западна Европа се доближава до 30%.

Продуктовата линия на Check Point включва седем модела защитни устройства с архитектура "Software Blade" (вижте Фигура 4): модели от 2200 до 61000 (последният е най-бързата защитна стена, налична днес). Високопроизводителните уреди на Check Point интегрират защитна стена, VPN, предотвратяване на проникване, контрол на приложения и мобилен достъп, предотвратяване на загуба на данни, поддръжка за идентификация, URL филтриране, антиспам, антивирус и анти-ботове.

В магическия квадрант анализаторите на Gartner класираха Check Point и Palo Alto Networks сред лидерите на пазара на защитни стени, а Fortinet, Cisco, Juniper Networks и Intel (McAfee) бяха посочени като претенденти. Цели седем доставчици се оказаха „нишови играчи“ и нито една компания не успя да влезе в сектора на „визионерите“. Това обаче не пречи на клиентите да дават предпочитание на продуктите на Cisco (виж фигура 5).

Сега пазарът продължава да преминава към NGFW системи, способни да откриват и блокират различни видовесложни атаки и прилагане на политики на ниво приложение. През 2012 г. утвърдените пазарни играчи се опитаха да подобрят своите NGFW решения, за да отговарят на възможностите на новодошлите в индустрията, докато разработчиците на иновативни системи ги допълниха с контроли, извеждайки ги до нивото на добре познатите марки.

ДВИГАТЕЛИ НА РАСТЕЖА И НОВИ РАЗРАБОТЕНИЯ

Въпреки че глобалният пазар на защитни стени е наситен, той далеч не е в стагнация. Почти всички големи доставчици са представили продукти от ново поколение с допълнителни функции. Двигателите за растеж на пазара на защитни стени са мобилността, виртуализацията и облачни изчисления- стимулиране на търсенето на нови съоръжения, предлагани от NGFW. Анализаторите на Gartner отчитат нарастващо търсене на софтуерни версии на защитни стени, използвани във виртуализирани центрове за данни (вижте фигура 6). През 2012 г. делът на виртуалните NGFW опции не надвишава 2%, но според прогнозите на Gartner до 2016 г. ще нарасне до 20%. Виртуалните версии на защитни стени и решения за защита на съдържанието са много подходящи за внедряване в облак.

Фигура 6.Според Infonetics Research разходите за сигурност на центровете за данни от северноамериканските компании са се увеличили до небето през последната година.

За отдалечени офиси и малки и средни предприятия облачната защитна стена, инсталирана от доставчик на услуги, често е привлекателно решение. Според някои експерти, с развитието на мобилен достъп и облачни архитектури, архитектурата за сигурност също ще трябва да се промени: вместо NGFW, компаниите по-често ще използват уеб шлюзове, контролирани от доставчика, а големите организации ще отделят функциите на уеб шлюзовете и защитни стени за подобряване на производителността и управляемостта, въпреки че някои продукти на NGFW са способни на основна функционалност на уеб шлюза.

Дмитрий Курашев смята, че е по-добре всички функции за обработка на трафика да бъдат възложени на шлюзове, разположени в рамките на компанията: „По-правилно е да се използват облачни услуги за администриране и наблюдение на сървърни приложения, както и за събиране на статистически данни и анализи“. „Защитната стена трябва да бъде инсталирана по подразбиране както при доставчика на облака, така и от страна на клиента на облачни услуги“, добавя Алексей Лукацки. „В края на краищата между тях има незащитена среда, която може да се превърне в трамплин за проникване в корпоративна мрежа или облак от зловреден софтуер, или за атаки от натрапници. Следователно все още са необходими инструменти за мрежова сигурност."

Типичен пример за управлявани услуги за сигурност е наскоро обявеният набор от услуги в Русия за защита на мрежата на клиента от големи мрежови заплахи, предлагани от Orange Business Services. Услугите на Unified Defense ви позволяват да осигурите централизирана антивирусна защита за всички устройства в мрежата, да защитите корпоративните пощенски кутии от спам и да филтрирате интернет трафика, ако е необходимо, ограничавайки достъпа на служителите до определени мрежови ресурси на хардуерно ниво. В допълнение, системата за защита включва защитна стена и инструменти за откриване и предотвратяване на проникване.

Unified Defense се основава на компактното UTM устройство на Fortinet с NGFW функционалност, разположено в мрежата на клиента и поддържано от Orange. Продуктът се предлага в две версии - за мрежи, които поддържат до 200 потребители, а скоростта на интернет канала не надвишава 20 Mbps (оборудване FortiGate 80C), както и за мрежи, предназначени за 1000 потребители и 100 Mbps канал ( оборудване FortiGate 200B) (виж Фигура 7). В момента услугата е достъпна за клиенти на Orange, в бъдеще се планира предоставянето на услугата в мрежите на доставчици на трети страни.

Захранваната от Fortinet Unified Defense позволява на компании с ограничени ИТ бюджети да се възползват от новите технологии за сигурност. Една от функциите на клиентския портал е достъпът до редовни отчети за работата на системата, включително информация за неутрализирани заплахи.

Задълбоченият анализ на трафика ви позволява да идентифицирате приложения, комуникиращи през мрежата. Имайки в предвид съвременните тенденциипрехвърляйки приложения в облака и разработвайки SaaS услуги, е възможно да се гарантира, че само необходимите данни влизат в корпоративната мрежа само с още по-високо ниво на детайлност.Всеки доставчик използва свои собствени подходи при създаването на NGFW. Много хора избират метода на подпис.

Например, Astaro (част от Sophos от 2011 г.) използва базата данни за подписи на приложения на своя партньор Vineyard Networks. Това позволява на Astaro Security Gateway да прави разлика между различни приложения, работещи на един и същ уеб сайт, да прилага QoS политики, да дава приоритет на трафика и да им разпределя честотна лента. В новата версия на Astaro Security Gateway интерфейсът за администриране е подобрен: с помощта на мрежовата карта можете да задавате правила в реално време и бързо да реагирате на нови заплахи. В бъдещите версии на защитната стена Astaro ще бъде възможно изпращането на пакети от неизвестен тип до специалисти за последващ анализ.

Check Point актуализира своята продуктова линия с 90% миналата година. Представените модели са оптимизирани за архитектурата на Check Point "Software Blade" и според разработчика имат приблизително три пъти по-висока производителност от предишните поколения. Нов модулИзграден върху технологията SecurityCore, Security Acceleration драстично подобрява производителността на защитната стена чрез ускоряване на ключови операции. Според Check Point, неговата честотна лента достига 110 Gbps, а латентността е по-малка от 5 μs. Компанията твърди, че това е най-мощната 2U защитна стена в индустрията.

Библиотеката AppWiki, създадена от Check Point, може да идентифицира повече от 5 000 приложения и 100 000 джаджи. Тези подписи се използват от софтуерните блейдове за контрол на приложенията и идентифициране на самоличността. В допълнение, за идентифициране на клиентски устройства и крайни потребители, Софтуерът се интегрира с Active Directory и администраторите могат да прецизират политиките за сигурност. Обучението на служителите се извършва в реално време: когато някой от тях наруши политика за сигурност, приложението на клиентския агент Check Point UserCheck показва изскачащ прозорец, обясняващ същността на нарушението и иска потвърждение на действието. Възможността за предаване на заявка до администратор опростява процеса на персонализиране на политиките за сигурност, за да отговарят на нуждите на потребителите.

За ключови продукти за мрежова сигурност на Check Point версията на софтуера R74.40 включва над 100 нови функции, включително Anti-Bot Software Blade и актуализирана версия на Anti-Virus с технологията Check Point ThreatCloud, базирана в облак услуга, която събира информация за заплахите и Осигурява защита в реално време за шлюзовете за сигурност. Новият център за данни и частно облачно решение на Check Point Virtual Systems позволява да се консолидират до 250 виртуални системи на едно устройство.

Cisco пусна миналата година собствено решение NGFW е следващото поколение Adaptive Security Appliance (ASA) в отговор на технологията, разработена от Palo Alto Networks. ASA CX е контекстно-съобразена защитна стена, тоест разпознава не само IP адреси, но приложения, потребители и устройства, което означава, че ви позволява да проследявате как служител използва определени приложения на различно оборудване и прилага съответните правила.

Работейки на базата на всички модели Cisco ASA 5500-X (от 5512-X до 5585-X), Cisco ASA CX осигурява обвързване на правила към потребителски акаунт в Active Directory, контрол над повече от 1100 приложения (Facebook, LinkedIn, Skype , BitTorrent, iCloud, Dropbox, Google Drive, MS Windows Azure, Salesforce CRM, Oracle e-Business Suite, MS Lync, Tor и др.), проследяване на времето и заявка за достъп и много други задачи. При което Cisco ASA CX не е просто самостоятелна мулти-гигабитова платформа, но тясно се интегрира с други решения за сигурност на Cisco- Cisco IPS система за предотвратяване на проникване, система за оторизиране и контрол на достъпа до мрежата Cisco ISE, система за защита на уеб трафика на Cisco Web Security и др.

Както подчертава Алексей Лукацки, такава защитна стена отчита и „размазването“ на периметъра на мрежата. Например, благодарение на интеграцията с Cisco ISE и цялата мрежова инфраструктура на Cisco, той може да разпознае, че трафикът идва от личния iPad на служител, и след това, в зависимост от политиката за сигурност, динамично да го блокира или да разреши достъп само до определени вътрешни ресурси. Ако този достъп се осъществява от корпоративно мобилно устройство, неговите привилегии могат да бъдат разширени.

В същото време ASA CX функционира не само на принципа приятел/враг (личен/корпоративен), но също така отчита мобилно устройствоОС, нейната версия, наличието на актуализации и други „кръпки“, както и работата на антивирусната програма и уместността на нейните бази данни и др. Достъпът ще бъде осигурен не от IP адресите на подателя и получателя, а в зависимост от цял набор от параметри, което дава възможност за прилагане на гъвкава политика за свързване към защитени ресурси, независимо дали потребителят е отвън или вътре и дали използва кабелна или безжична връзка, лично или корпоративно устройство.

Защитната стена на Dell SonicWALL използва непрекъснато разширяваща се база данни със сигнатури, за да идентифицира над 3500 приложения и техните функции.Технологията SonicWALL ReassemblyFree Deep Packet Inspection (RFDPI) сканира пакети за всеки протокол и интерфейс. Експертите на SonicWALL Research Team създават нови подписи, които автоматично се доставят на съществуващите защитни стени. Клиентите могат сами да добавят подписи, ако е необходимо. В прозорците на таблото за визуализация на SonicWALL и монитора в реално време администраторите могат да видят конкретни приложения в мрежата, както и кой ги използва и как. Тази информация е полезна за настройка на правила и диагностика.

Entensys също разшири функционалността на своя продукт. UserGate Proxy & Firewall версия 6.0, издадена през ноември 2012 г., включва пълноправен VPN сървър и IPS система. Този UTM продукт се предлага под формата на софтуер или уред. В допълнение към функциите, пряко свързани със сигурността, разработчиците са обърнали голямо внимание на филтрирането на съдържанието и контрола върху интернет приложенията. През 2012 г. бяха подобрени функциите на морфологичния анализ на предаваната информация за филтриране на входящия и изходящия трафик и беше пуснат мощен и функционален сървър за филтриране на съдържание UserGate Web Filter 3.0, който може да се използва във връзка с всяко UTM решение на трета страна.

Fortinet, често свързван с UTM, представи FortiGate3240C миналата година, който е по-скоро продукт на NGFW.Устройствата Fortinet FortiGate използват декодери на протоколи и декриптиране на мрежов трафик за идентифициране на приложения. Разработчиците поддържат база данни, в която добавят подписи на нови приложения и, с пускането на нови версии, актуализирани подписи на съществуващи. С тази информация продуктите на Fortinet разграничават приложенията и прилагат различни правила за всяко приложение. Компанията твърди, че нейните продукти имат по-високо ниво на производителност и интеграция в сравнение с конкурентните решения, тъй като всички технологии са разработени от нея вътрешно. F5 Networks и Riverbed също обърнаха внимание на функциите на NGFW: заедно с McAfee (Intel) и други доставчици на решения за информационна сигурност, те ги вграждат в хардуер и софтуер, за да оптимизират WAN трафика.

Juniper Networks реализира NGFW функционалността на SRX Services Gateways в пакета от приложения AppSecure. AppTrack също така използва базата данни за подписи на приложението Juniper, допълнена от подписи, генерирани от администраторите на клиенти. AppTrack идентифицира приложения, а AppFirewall и AppQoS осигуряват прилагане на правила и контрол върху трафика на приложения. Според производителя тази платформа е силно мащабируема и работи със скорост до 100 Gbps.

Част от Intel McAfee използва технологията AppPrism за разпознаване на приложения в McAfee Firewall Enterprise, идентифицирайки хиляди приложения, независимо от портовете и протоколите. Освен това се използват подписи, разработени от експертите на McAfee Global Threat Intelligence. С AppPrism администраторите могат да предотвратят изпълнението не само на самите приложения, но и на техните "рискови" компоненти- например блокирайте функцията за споделяне на файлове в Skype, като разрешите изпращане на съобщения. Подобно на Juniper, McAfee цитира собствена технология и сигнатури на приложения сред силните страни на своето решение.

Технологията App-ID на Palo Alto Networks използва няколко метода за идентифициране на приложения: декриптиране, откриване, декодиране, подписи, евристика и т.н.... V App-IDsможе да се използва всяка комбинация от тях, което ви позволява да идентифицирате всички версии на приложението, както и операционната система, в която се изпълнява. В съответствие с App-ID на приложението, защитната стена на Palo Alto прилага правило към своя трафик, например прехвърлянето на файлове може да бъде блокирано. В допълнение, App-ID могат да бъдат допълнени с нови методи за идентифициране и идентифициране на приложения чрез вграждането им в механизми за класификация.

Stonesoft не актуализира своята линия защитни стени през 2012 г., но обяви ново решение на Evasion Prevention System (EPS). Този инструмент е предназначен за откриване и предотвратяване на кибератаки, които използват динамични техники за байпас.(Разширена техника за избягване, AET - техники, използвани във връзка с мрежови атакис цел заобикаляне на защитните системи) и да използват уязвимостите на системите за защита. Както каза Дмитрий Ушаков, продуктът осигурява допълнително нивосигурност за вече инсталирани NGFW, IPS и UTM устройства в организации, които са уязвими към AET. Това е нов клас устройства, предназначени да се борят със сложни опити на натрапници да проникнат в мрежата на организация.

„Днес работодателите разбират, че техните служители понякога се нуждаят от достъп до забранени сайтове (сайтове за набиране на персонал, социални мрежи и т.н.) и системи за съобщения (Skype, ICQ). В тази връзка приложенията от списъците „бели“ (можете) и „черни“ (не можете) се преместват в зоната на „сиво“ (възможно е при определени условия или в определено време). Предлага се тези политики за информационна сигурност да бъдат формулирани под формата на правила за достъп “, казва Дмитрий Ушаков.

Според Александър Кушнарев, технически консултант в Rainbow Security (дистрибутор на WatchGuard Technologies), WatchGuard представи нови виртуални версии на своите XTMv и XCSv продукти, както и хардуерни платформи от следващо поколение „с водеща на пазара UTM производителност“. Устройствата WatchGuard XTM използват защита с активирана репутация на WatchGuard за защита на потребителите от злонамерени уебсайтове, като същевременно намаляват значително натоварването на мрежата. Тази услуга осигурява превъзходна защита срещу уеб заплахи, по-бързо сърфиране в мрежата, гъвкаво управление и богати възможности за отчитане.

„Виждаме, че търсенето на UTM устройства нараства. Хардуерните платформи от най-ново поколение WatchGuard могат да обработват трафик с активиран UTM със същата скорост, с която предишните поколения можеха да извършват само просто филтриране на пакети.Превръщането на вашите защитни стени на WatchGuard в UTM устройство е всичко, което е необходимо, за да активирате вашия лиценз. Ако клиентът се нуждае само от филтриране на пакети и организиране на VPN тунели, защитна стена в класическия смисъл ще му подхожда ”, казва Александър Кушнарев.

Той подчертава, че функциите за контрол на приложенията в NGFW сега са много търсени: компаниите искат да регулират достъпа на служителите до социалните мрежи и сайтовете за игри. Сред съответните UTM инструменти са URL филтриране с поддръжка на база данни от рускоезични сайтове, както и пълна подкрепаагрегиране на портове и репутация на външни ресурси. Последното допринася за висококачествено откриване и превантивно блокиране на трафик от ботнети. Освен това повечето клиенти се интересуват от спестяване на разходи и лесни и удобни настройки за конфигурация, така че решенията „всичко в едно“ като WatchGuard XTM ще бъдат правилната опция за тях.

Допреди две-три години клиентите бяха скептични относно NGFW, но сега, когато конкуренцията на този пазар е достатъчно висока, те могат да избират от широка гама от висококачествени NGFW продукти. Анализаторите на Cyber ​​Security прогнозират, че глобалният пазар на защитни стени от корпоративен клас ще нараства с повече от 11% годишно до 2018 г. Защитните стени обаче не са панацея. Когато избирате решение, трябва ясно да дефинирате какви функции са необходими, да се уверите, че свойствата за сигурност, декларирани от доставчика, могат да бъдат внедрени в конкретна работна среда, че компанията (или възложителят) разполага с достатъчно ресурси за управление на политиките за сигурност.

И разбира се, имайте предвид, че NGFW остават устройства за защита на периметъра. Те изпълняват перфектно своята функция при достъп до Интернет, но “ мобилна сигурност„Изисква повече. Днес NGFW трябва да бъде подсилена от облака и мобилни решениясигурност и „да могат“ да разпознават контекста. С течение на времето тези решения ще станат по-достъпни, по-прости, по-функционални, а облачният модел ще направи корекции в начина, по който ги управлявате.

Сергей Орлов- Водещ редактор на "Journal of Network Solutions / LAN". Можете да се свържете с него на: