Sprekend over de hardware- en softwarecomponent van het informatiebeveiligingssysteem, moet worden erkend dat de meest effectieve methode bescherming van lokale netwerkobjecten (netwerksegment) tegen invloeden van open netwerken(bijvoorbeeld internet), gaat uit van de plaatsing van een bepaald element dat de netwerkpakketten die er doorheen gaan, controleert en filtert in overeenstemming met de gespecificeerde regels. Zo'n element werd genoemd firewall (firewall) of firewall, firewall.

Firewall, firewall, firewall, firewall- gevormd door transliteratie van de Engelse term firewall.

Firewall (Duitse Brandmauer)- een term ontleend aan de Duitse taal, die een analoog is van de Engelse "firewall" in zijn oorspronkelijke betekenis (een muur die aangrenzende gebouwen scheidt en de verspreiding van vuur voorkomt).

Firewall / Firewall (ITU)- een complex van hardware of software dat netwerkpakketten die er doorheen gaan, bewaakt en filtert met behulp van verschillende protocollen in overeenstemming met de gespecificeerde regels.

De belangrijkste taak van de firewall is het beschermen van: computer netwerken en/of individuele knooppunten van onbevoegde toegang. Soms worden firewalls aangeroepen filters, aangezien het hun belangrijkste taak is om geen pakketten door te geven (filteren) die niet voldoen aan de criteria die in de configuratie zijn gedefinieerd.

Om de veiligheid van het netwerk effectief te waarborgen, bewaakt en controleert de firewall alle gegevensstromen die er doorheen gaan. Om controlebeslissingen te nemen voor TCP / IP-services (dat wil zeggen, verbindingspogingen verzenden, blokkeren of loggen), moet de firewall informatie ontvangen, onthouden, selecteren en verwerken die is ontvangen van alle communicatielagen en van andere applicaties.

De firewall stuurt al het verkeer door zichzelf en neemt een beslissing over elk passerend pakket: of het wordt doorgelaten of niet. Om ervoor te zorgen dat de firewall deze bewerking kan uitvoeren, moet deze een set filterregels definiëren. De beslissing om al dan niet een firewall te gebruiken om datapakketten te filteren die zijn gekoppeld aan specifieke protocollen en adressen, hangt af van het beveiligingsbeleid van het beveiligde netwerk. In wezen is een firewall een set componenten die zijn geconfigureerd om de geselecteerde beveiligingsbeleid... Het netwerkbeveiligingsbeleid van elke organisatie moet (onder andere) twee componenten bevatten: een beleid voor toegang tot netwerkdiensten en een beleid voor het implementeren van firewalls.

Het is echter niet voldoende om pakketten alleen afzonderlijk te testen. Informatie over de verbindingsstatus die is verkregen uit eerdere verbindingsinspecties en andere toepassingen is een belangrijke factor in de managementbeslissing bij pogingen om een ​​nieuwe verbinding tot stand te brengen. Voor de besluitvorming kan zowel de verbindingsstatus (verkregen uit de gegevensstroom uit het verleden) als de toepassingsstatus (verkregen uit andere toepassingen) worden overwogen.

Beheersbeslissingen vereisen dus dat de firewall toegang heeft tot de volgende factoren, deze kan analyseren en exploiteren:

• verbindingsinformatie - informatie van alle zeven lagen (OSI-modellen) in het pakket;
• verbindingsgeschiedenis - informatie ontvangen van eerdere verbindingen;
• status op applicatieniveau - informatie over de status van de verbinding die is ontvangen van andere applicaties;
• informatie manipuleren - verschillende uitdrukkingen berekenen op basis van alle bovenstaande factoren.

Typen firewalls

Er zijn verschillende soorten firewalls, afhankelijk van de volgende kenmerken:

• of het schild een verbinding biedt tussen één knooppunt en een netwerk, of tussen twee of meer verschillende netwerken;
• of verkeerscontrole plaatsvindt op de netwerklaag of hogere lagen van het OSI-model;
• of de statussen van actieve verbindingen worden gecontroleerd of niet.

Afhankelijk van de dekking van de bewaakte datastromen worden firewalls onderverdeeld in:

• traditionele firewall (of firewall)- een programma (of een integraal onderdeel van een besturingssysteem) op een gateway (een apparaat dat verkeer tussen netwerken verzendt) of een hardwareoplossing die inkomende en uitgaande gegevensstromen tussen aangesloten netwerken (objecten van een gedistribueerd netwerk) regelt;
• persoonlijke firewall- een programma dat op de computer van de gebruiker is geïnstalleerd en is ontworpen om alleen deze computer te beschermen tegen ongeoorloofde toegang.

Afhankelijk van de OSI-laag waarop toegangscontrole plaatsvindt, kunnen firewalls werken aan:

• netwerklaag wanneer filteren is gebaseerd op de adressen van de afzender en ontvanger van pakketten, poortnummers van de transportlaag van het OSI-model en statische regels die zijn ingesteld door de beheerder;
• sessie niveau(ook gekend als stateful) wanneer sessies worden gemonitord tussen applicaties en pakketten die de TCP / IP-specificaties schenden, vaak gebruikt bij kwaadwillende operaties - bronscans, hacks door onjuiste TCP / IP-implementaties, verbroken / vertraagde verbindingen, gegevensinjectie worden niet doorgegeven;
• toepassingsniveau(of applicatielaag), wanneer filteren is gebaseerd op de analyse van applicatiegegevens die binnen het pakket worden verzonden. Met dit soort schermen kunt u de overdracht van ongewenste en mogelijk schadelijke informatie blokkeren op basis van beleid en instellingen.

Filteren op de netwerklaag

Filtering van inkomende en uitgaande pakketten wordt uitgevoerd op basis van informatie in de volgende velden van TCP en IP-headers van pakketten: IP-adres van de afzender; IP-adres van de ontvanger; afzender poort; ontvanger poort.

Filteren kan worden geïmplementeerd verschillende manieren om verbindingen met specifieke computers of poorten te blokkeren. U kunt bijvoorbeeld verbindingen blokkeren van specifieke adressen van computers en netwerken die als onbetrouwbaar worden beschouwd.

• relatief lage kosten;
• flexibiliteit bij het definiëren van filterregels;
• kleine vertraging bij het passeren van pakketten.

nadelen:

• verzamelt geen gefragmenteerde pakketten;
• er is geen manier om relaties (verbindingen) tussen pakketten te volgen.?

Filteren op sessieniveau

Afhankelijk van hoe actieve verbindingen worden gecontroleerd, kunnen firewalls zijn:

• staatloos(eenvoudige filtering), die de huidige verbindingen niet volgen (bijvoorbeeld TCP), maar de gegevensstroom uitsluitend filteren op basis van statische regels;
• stateful, stateful pakketinspectie (SPI)(filteren op context), het bewaken van de huidige verbindingen en het doorgeven van alleen die pakketten die voldoen aan de logica en algoritmen van de bijbehorende protocollen en applicaties.

Met SPI-firewalls kunt u verschillende soorten DoS-aanvallen en kwetsbaarheden van sommige netwerkprotocollen effectiever bestrijden. Bovendien ondersteunen ze protocollen zoals H.323, SIP, FTP, enz. die gebruikmaken van complexe circuits overdracht van gegevens tussen ontvangers, slecht vatbaar voor beschrijving door statische regels, en vaak onverenigbaar met standaard, staatloos firewalls.

De voordelen van deze filtering zijn onder meer:

• analyse van de inhoud van pakketten;
• er is geen informatie vereist over hoe de Layer 7-protocollen werken.

nadelen:

• moeilijk om gegevens op toepassingsniveau te ontleden (mogelijk met behulp van ALG - gateway op toepassingsniveau).

Gateway op applicatieniveau, ALG- een onderdeel van een NAT-router dat een applicatieprotocol begrijpt en, wanneer de pakketten van dit protocol er doorheen gaan, deze zodanig aanpast dat gebruikers die achter NAT zitten het protocol kunnen gebruiken.

ALG biedt ondersteuning voor protocollen op applicatieniveau (zoals SIP, H.323, FTP, enz.) waarvoor Network Address Translation niet is toegestaan. Deze service bepaalt het type applicatie in pakketten die van de interface komen intern netwerk en het op de juiste manier uitvoeren van adres- / poortvertaling voor hen via de externe interface.

SPI-technologie(Stateful Packet Inspection) of stateful packet-inspectietechnologie is tegenwoordig de leidende methode van verkeerscontrole. Deze technologie maakt gegevensbeheer mogelijk tot op de applicatielaag zonder dat voor elk beveiligd protocol of elke netwerkservice een aparte proxy of proxy-applicatie nodig is.

Historisch gezien kwam de evolutie van firewalls voort uit pakketfilters voor algemene doeleinden, daarna begonnen proxyprogramma's voor individuele protocollen te verschijnen en ten slotte werd stateful-inspectietechnologie ontwikkeld. Eerdere technologieën vulden elkaar alleen maar aan, maar boden geen uitgebreide controle over verbindingen. Pakketfilters hebben geen toegang tot informatie over de status van de verbinding en de applicatie, die nodig is voor het nemen van een definitieve beslissing door het beveiligingssysteem. Proxyprogramma's verwerken alleen gegevens op applicatieniveau, wat vaak verschillende mogelijkheden creëert voor systeemcompromissen. De stateful-inspectiearchitectuur is uniek omdat het de volledige mogelijke informatie passeren door de gateway-machine: gegevens uit het pakket, gegevens over de status van de verbinding, gegevens die nodig zijn voor de toepassing.

Een voorbeeld van hoe Stateful Inspection werkt... De firewall bewaakt de FTP-sessie door de gegevens op applicatieniveau te controleren. Wanneer een client de server vraagt ​​om een ​​omgekeerde verbinding te openen (FTP PORT-commando), haalt de firewall het poortnummer uit dit verzoek. De lijst slaat de client- en serveradressen, poortnummers op. Wanneer het een poging detecteert om een ​​FTP-gegevensverbinding tot stand te brengen, scant de firewall de lijst en controleert of deze verbinding inderdaad een reactie is op een geldig clientverzoek. De lijst met verbindingen wordt dynamisch onderhouden, zodat alleen de benodigde FTP-poorten open zijn. Zodra de sessie wordt gesloten, worden de poorten geblokkeerd, wat een hoog beveiligingsniveau biedt.

Filteren op applicatieniveau

Om enkele van de kwetsbaarheden die inherent zijn aan pakketfiltering te beschermen, moeten firewalls gebruik maken van: toepassingsprogramma's om verbindingen met services zoals Telnet, HTTP, FTP te filteren. Vergelijkbare toepassing: genaamd proxy-service en de host die de proxyservice uitvoert, is een gateway op toepassingsniveau. Deze gateway elimineert directe communicatie tussen de geautoriseerde client en de externe host. De gateway filtert alle inkomende en uitgaande pakketten op de applicatielaag (applicatielaag - top niveau netwerkmodel) en kan gegevensinhoud ontleden, zoals een URL in een HTTP-bericht of een opdracht in een FTP-bericht. Soms is pakketfiltering effectiever op basis van informatie in de gegevens zelf. Pakketfilters en linklaagfilters gebruiken de inhoud van de verkeersstroom niet om filterbeslissingen te nemen, maar ze kunnen worden gedaan met filtering op applicatieniveau. Filters op de applicatielaag kunnen informatie uit de pakketheader gebruiken, evenals gegevensinhoud en gebruikersinformatie. Beheerders kunnen applicatielaagfiltering gebruiken om de toegang te controleren op basis van gebruikersidentiteit en/of op basis van: specifieke taak die de gebruiker probeert te implementeren. In applicatielaagfilters kunt u regels instellen op basis van de opdrachten die door de applicatie worden gegeven. Een beheerder kan bijvoorbeeld voorkomen dat een specifieke gebruiker bestanden downloadt naar een specifieke computer met FTP, of een gebruiker toestaan ​​om bestanden via FTP naar dezelfde computer te posten.

Vergelijking van hardware- en softwarefirewalls

Ter vergelijking: firewalls zijn onderverdeeld in twee typen: 1e - hardware en software en hardware, en 2e - software.

Hardware- en firmware-firewalls omvatten apparaten die aan de rand van het netwerk zijn geïnstalleerd. Softwarefirewalls zijn de firewalls die op de eindhosts zijn geïnstalleerd.

De belangrijkste richtingen die inherent zijn aan zowel het eerste als het tweede type:

• het waarborgen van de veiligheid van inkomend en uitgaand verkeer;
• Verhoog de netwerkbeveiliging aanzienlijk en verminder het risico voor hosts op het subnet bij het filteren van bekende onbeveiligde services;
• de mogelijkheid om de toegang tot netwerksystemen te controleren;
• melding van gebeurtenissen met behulp van geschikte alarmen die worden geactiveerd wanneer verdachte activiteiten plaatsvinden (onderzoekspogingen of aanvallen);
• biedt een goedkope, eenvoudig te implementeren en gemakkelijk te beheren beveiligingsoplossing.

Hardware en software en hardwarefirewalls ondersteunen bovendien functionaliteit waarmee u:

• voorkomen dat informatie wordt ontvangen van het beschermde subnet of wordt geïnjecteerd in het beschermde subnet met behulp van kwetsbare services;
• toegangspogingen registreren en de nodige statistieken over het internetgebruik verstrekken;
• middelen verschaffen om de volgorde van toegang tot het netwerk te regelen;
• gecentraliseerd verkeersbeheer bieden.

Softwarefirewalls staan, naast de hoofdgebieden, het volgende toe:

• controleer de lancering van applicaties op de host waar ze zijn geïnstalleerd;
• bescherm het object tegen penetratie door de "luiken" (achterdeuren);
• bieden bescherming tegen interne dreigingen.

De firewall is geen symmetrisch apparaat. Hij maakt onderscheid tussen de begrippen "buiten" en "binnen". De firewall beschermt het interne gebied tegen een ongecontroleerde en potentieel vijandige externe omgeving. Tegelijkertijd kunt u met de firewall de toegang tot objecten van het openbare netwerk afbakenen van de onderwerpen van het beveiligde netwerk. In geval van schending van de autoriteit wordt het werk van de toegangspersoon geblokkeerd en alles Nodige informatie wordt naar het logboek geschreven.

Firewalls kunnen ook binnen beveiligde bedrijfsnetwerken worden gebruikt. Als het lokale netwerk subnetten bevat met een verschillende mate van vertrouwelijkheid van informatie, moeten dergelijke fragmenten worden gescheiden door firewalls. In dit geval worden de schermen intern genoemd.

Waarom heb je een firewall in een router nodig?

Het draadloze netwerk heeft een zorgvuldige beveiliging nodig, omdat hier de meest gunstige mogelijkheden voor het onderscheppen van informatie worden gecreëerd. Als er daarom meerdere computers met een router (router) op het netwerk zijn aangesloten, moet de firewall niet alleen op elke computer, maar ook op de router worden geïnstalleerd en gebruikt. De functie van een firewall in een router uit de DI-XXX-serie wordt bijvoorbeeld uitgevoerd door SPI, die presteert: extra controle pakketjes. Onderwerp van de controle is of de pakketten bij de tot stand gebrachte verbinding horen.

Tijdens de verbindingssessie wordt een poort geopend die kan worden aangevallen door externe pakketten, een bijzonder gunstig moment hiervoor - wanneer de sessie is voltooid en de poort nog een paar minuten open blijft. Daarom onthoudt SPI de huidige status van de sessie en analyseert het alle inkomende pakketten. Ze moeten overeenkomen met de verwachte - afkomstig zijn van het adres waarnaar het verzoek is verzonden, hebben bepaalde nummers... Als het pakket niet overeenkomt met de sessie, dat wil zeggen dat het onjuist is, wordt het geblokkeerd en wordt deze gebeurtenis in het logboek vastgelegd. Met een andere firewall op de router kunt u uitgaande verbindingen van een geïnfecteerde computer blokkeren.

Met een enorme verscheidenheid aan professionele softwaretools voor bescherming tegen verschillende soorten aanvallen op een lokaal netwerk van buitenaf (dat wil zeggen vanaf internet), hebben ze allemaal één serieus nadeel: hoge kosten. En als we het hebben over kleine netwerken van de SOHO-klasse, dan is het kopen van solide pakketten een ontoelaatbare luxe. Tegelijkertijd moet worden opgemerkt dat voor kleine netwerken de mogelijkheden van dergelijke pakketten zelfs buitensporig kunnen zijn. Om kleine netwerken van de SOHO-klasse te beschermen, worden daarom veel goedkope hardwareoplossingen - firewalls - gebruikt. Door hun ontwerp kunnen firewalls ofwel worden geïmplementeerd als een afzonderlijke oplossing of een integraal onderdeel vormen van routers van SOHO-klasse, met name draadloze routers, wat het mogelijk maakt om op basis daarvan bekabelde en draadloze LAN-segmenten te combineren.
In dit artikel behandelen we de belangrijkste functionaliteit moderne hardware-firewalls die zijn ingebouwd in routers van SOHO-klasse en worden gebruikt om bescherming te bieden voor kleine lokale netwerken.

Firewalls als onderdeel van routers

Aangezien routers netwerkapparaten zijn die zich op de grens tussen interne en externe netwerken bevinden en fungeren als een netwerkgateway, moeten ze worden ontworpen met ten minste twee poorten. Een van deze poorten maakt verbinding het lokale netwerk en deze poort wordt de interne LAN-poort. Op de tweede poort wordt een extern netwerk (internet) aangesloten, waardoor deze een externe WAN-poort wordt. SOHO-klasse routers hebben in de regel één WAN-poort en meerdere (van één tot vier) LAN-poorten, die tot een switch zijn gecombineerd. In de meeste gevallen heeft de WAN-poort van de switch een 10/100Base-TX-interface en kan er ofwel een xDSL-modem met de juiste interface of een Ethernet-netwerkkabel op worden aangesloten.

Bovendien heeft het wijdverbreide gebruik van draadloze netwerken geleid tot de opkomst van een hele klasse van zogenaamde draadloze routers. Deze apparaten bevatten naast de klassieke router met WAN- en LAN-poorten een geïntegreerd draadloos toegangspunt dat het IEEE 802.11a/b/g-protocol ondersteunt. Het draadloze segment van het netwerk, waarmee u een toegangspunt kunt organiseren, vanuit het oogpunt van de router, verwijst naar het interne netwerk, en in die zin verschillen computers die draadloos met de router zijn verbonden niet van computers die met de router zijn verbonden. LAN-poort.

Elke router heeft als netwerklaagapparaat zijn eigen IP-adres. Naast de router heeft ook de WAN-poort een eigen IP-adres.

Computers die zijn aangesloten op de LAN-poorten van de router moeten een IP-adres hebben op hetzelfde subnet als de router zelf. Bovendien moet u in de netwerkinstellingen van deze pc's het standaard gateway-adres instellen dat overeenkomt met het IP-adres van de router. Ten slotte moet het apparaat dat vanaf het externe netwerk op de WAN-poort is aangesloten, een IP-adres hebben van hetzelfde subnet als de WAN-poort van de router.

Aangezien de router fungeert als gateway tussen het lokale netwerk en internet, is het logisch om van hem een ​​functie te verwachten als het beschermen van het interne netwerk tegen onbevoegde toegang. Daarom hebben bijna alle moderne SOHO-klasse routers ingebouwde hardware-firewalls, ook wel firewalls genoemd.

Firewall-functies

De belangrijkste taak van elke firewall komt uiteindelijk neer op het beveiligen van het interne netwerk. Om dit probleem op te lossen, moeten firewalls in staat zijn om het beveiligde netwerk te maskeren, alle bekende soorten hackeraanvallen te blokkeren, het lekken van informatie uit het interne netwerk te blokkeren en toepassingen te controleren die toegang krijgen tot het externe netwerk.

Om deze functies te implementeren, analyseren firewalls al het verkeer tussen de externe en interne netwerken op naleving van bepaalde vastgestelde criteria of regels die de voorwaarden bepalen voor de verkeersstroom van het ene netwerk naar het andere. Als verkeer aan de opgegeven criteria voldoet, laat de firewall het door zichzelf passeren. Anders, dat wil zeggen, als niet aan de opgegeven criteria wordt voldaan, wordt het verkeer geblokkeerd door de firewall. Firewalls filteren zowel inkomend als uitgaand verkeer en stellen u ook in staat de toegang tot specifieke netwerkbronnen of applicaties te beheren. Ze kunnen alle pogingen tot ongeautoriseerde toegang tot lokale netwerkbronnen registreren en waarschuwingen geven over inbraakpogingen.

Door hun doel lijken firewalls vooral op een checkpoint (checkpoint) van een bewaakte faciliteit, waar documenten worden gecontroleerd voor iedereen die het grondgebied van de faciliteit betreedt en iedereen die deze verlaat. Als de pas in orde is, is toegang tot het grondgebied toegestaan. Firewalls werken op precies dezelfde manier, alleen netwerkpakketten fungeren als mensen die door het controlepunt gaan, en de pas is de overeenstemming van de headers van deze pakketten met een vooraf gedefinieerde set regels.

Zijn firewalls zo betrouwbaar?

Kan worden gezegd dat een firewall 100 procent veilig is op het netwerk of de pc van een gebruiker? Natuurlijk niet. Al was het maar omdat geen enkel systeem een ​​100% veiligheidsgarantie geeft. Een firewall moet worden behandeld als een hulpmiddel dat, indien correct geconfigureerd, de taak van een aanvaller om binnen te dringen aanzienlijk kan bemoeilijken Persoonlijke computer gebruiker. Wij benadrukken: alleen om het ingewikkeld te maken, maar helemaal niet om absolute veiligheid te garanderen. Trouwens, als we het niet hebben over het beschermen van het lokale netwerk, maar over het beschermen van een individuele pc met internettoegang, dan kan de in het Windows XP-besturingssysteem ingebouwde ICF-firewall (Internet Connection Firewall) met succes de persoonlijke veiligheid waarborgen. Daarom zullen we het in de toekomst alleen hebben over hardware-firewalls voor bedrijven die gericht zijn op het beschermen van kleine netwerken.

Als de firewall geïnstalleerd bij de ingang van het lokale netwerk is geactiveerd door: volledig programma(dit komt in de regel overeen met de standaardinstellingen), dan is het netwerk dat het beschermt volledig ondoordringbaar en ontoegankelijk van buitenaf. Een dergelijke volledige ondoordringbaarheid van het interne netwerk heeft echter een keerzijde. Het feit is dat het in dit geval onmogelijk wordt om internetdiensten (bijvoorbeeld ICQ en soortgelijke programma's) te gebruiken die op de pc zijn geïnstalleerd. De taak van het configureren van een firewall is dus om vensters te maken in de aanvankelijk lege muur, een firewall voor een aanvaller, waardoor gebruikersprogramma's kunnen reageren op verzoeken van buitenaf en uiteindelijk gecontroleerde interactie van het interne netwerk met buitenwereld... Hoe meer dergelijke vensters in zo'n muur verschijnen, hoe kwetsbaarder het netwerk zelf wordt. Dus we benadrukken nogmaals: geen enkele firewall kan de absolute veiligheid garanderen van het lokale netwerk dat het beschermt.

Firewallclassificatie

Firewall-mogelijkheden en intelligentie zijn afhankelijk van de laag van het OSI-referentiemodel waarop ze werken. Hoe hoger de OSI-laag waarop de firewall is gebouwd, hoe hoger het beschermingsniveau dat deze biedt.

Bedenk dat het OSI-model (Open System Interconnection) zeven lagen netwerkarchitectuur omvat. Het eerste, het laagste, is het fysieke niveau. Het wordt gevolgd door de datalink, netwerk, transport, sessie, presentatie en applicatie of applicatielagen. Om verkeer te filteren, moet de firewall ten minste op de derde laag van het OSI-model werken, dat wil zeggen op de netwerklaag, waar pakketten worden gerouteerd op basis van de vertaling van MAC-adressen in netwerkadressen. Vanuit het oogpunt van het TCP/IP-protocol komt deze laag overeen met de IP-laag (Internet Protocol). Door netwerklaaginformatie te ontvangen, kunnen firewalls de bron- en bestemmingsadressen van het pakket bepalen en controleren of verkeer tussen deze bestemmingen acceptabel is. Er is echter niet genoeg netwerklaaginformatie om de inhoud van het pakket te analyseren. Firewalls die op de transportlaag van het OSI-model werken, verzamelen iets meer informatie over pakketten en kunnen in die zin intelligentere schema's bieden voor het beschermen van netwerken. Wat betreft firewalls op applicatieniveau, ze hebben volledige informatie over: netwerk pakketten wat betekent dat dergelijke firewalls de meest betrouwbare netwerkbescherming bieden.

Afhankelijk van het niveau van het OSI-model waarop firewalls werken, heeft zich historisch gezien de volgende classificatie van deze apparaten ontwikkeld:

• pakketfilter;
• gateway op circuitniveau;
• gateway op applicatieniveau;
• Stateful Packet Inspectie (SPI).

Merk op dat deze classificatie alleen van historisch belang is, aangezien alle moderne firewalls tot de categorie van de meest geavanceerde (in termen van netwerkbeveiliging) SPI-firewalls behoren.

Pakketfilters

Pakketfilter-firewalls zijn de eenvoudigste (minst intelligente). Deze firewalls werken op de netwerklaag van het OSI-model of de IP-laag van de TCP/IP-protocolstack. Dergelijke firewalls zijn verplicht in elke router, aangezien elke router ten minste op de derde laag van het OSI-model werkt.

Het doel van pakketfilters is om pakketten te filteren op basis van bron- of bestemmings-IP-adresinformatie en poortnummers.

In pakketfilter-firewalls wordt elk pakket geanalyseerd om te voldoen aan de transmissiecriteria of om transmissie te blokkeren voordat het wordt verzonden. Afhankelijk van het pakket en de gedefinieerde verzendcriteria kan de firewall het pakket doorsturen, weigeren of een melding sturen naar de afzender van de verzending.

Pakketfilters zijn eenvoudig te implementeren en hebben weinig of geen effect op de routeringssnelheid.

Gateways op sessieniveau

Session Layer Gateways zijn firewalls die werken op de sessielaag van het OSI-model of de TCP-laag (Transport Control Protocol) van de TCP/IP-protocolstack. Deze firewalls bewaken het proces van het tot stand brengen van een TCP-verbinding (de organisatie van communicatiesessies tussen eindmachines) en stellen u in staat om te bepalen of deze communicatiesessie legitiem is. Gegevens overgedragen aan computer op afstand op het externe netwerk via een gateway op sessieniveau, bevatten geen informatie over de transmissiebron, dat wil zeggen dat alles eruitziet alsof de gegevens door de firewall zelf worden verzonden, en niet door een computer op het interne (beveiligde) netwerk. Alle NAT-firewalls zijn gateways voor sessielagen (NAT wordt hieronder beschreven).

Gateways op sessieniveau hebben ook geen significante invloed op de routeringssnelheid. Tegelijkertijd zijn deze gateways niet in staat om individuele pakketten te filteren.

Toepassingsgateways

Gateways voor de applicatielaag, of proxyservers, werken op de applicatielaag van het OSI-model. De applicatielaag is verantwoordelijk voor de toegang tot de applicaties op het netwerk. Taken op dit niveau zijn onder meer bestandsoverdracht, e-mailberichten en netwerkbeheer. Door informatie over pakketten op applicatieniveau te ontvangen, kunnen gateways op applicatieniveau blokkerende toegang tot bepaalde services implementeren. Als de gateway van de applicatielaag bijvoorbeeld is geconfigureerd als een webproxy, wordt al het verkeer dat verband houdt met de Telnet-, FTP- en Gopher-protocollen geblokkeerd. Aangezien deze firewalls pakketten op de applicatielaag analyseren, zijn ze in staat om specifieke commando's zoals http: post, get, etc. te filteren. Deze functie is niet beschikbaar voor pakketfilters of gateways op sessieniveau. Gateways op applicatieniveau kunnen ook worden gebruikt om de activiteit van individuele gebruikers te registreren en om communicatiesessies door hen tot stand te brengen. Deze firewalls bieden een betrouwbaardere manier om netwerken te beschermen dan sessiegateways en pakketfilters.

SPI-firewalls

Het nieuwste type firewall, Stateful Packet Inspection (SPI), combineert tegelijkertijd de voordelen van pakketfilters, sessiegateways en applicatiegateways. Dat wil zeggen, we hebben het in feite over meerlaagse firewalls die gelijktijdig werken op netwerk-, sessie- en applicatieniveau.

SPI-firewalls filteren pakketten op de netwerklaag, bepalen de legitimiteit van het opzetten van een sessie op basis van de sessielaaggegevens en analyseren de inhoud van de pakketten op basis van de applicatielaaggegevens.

Deze firewalls bieden de meest betrouwbare manier om netwerken te beschermen en zijn tegenwoordig de de facto standaard.

Firewalls configureren

De methodologie en configuratie-opties voor firewalls verschillen per model. Helaas zijn er geen uniforme aanpassingsregels, laat staan ​​een uniforme interface. We kunnen alleen praten over enkele algemene regels die moeten worden gevolgd. Eigenlijk is de basisregel vrij eenvoudig: het is noodzakelijk om alles te verbieden wat niet nodig is voor de normale werking van het netwerk.

Meestal komen de mogelijkheden voor het configureren van firewalls neer op het activeren van enkele vooraf gedefinieerde regels en het maken van statische regels in de vorm van een tabel.

Laten we als voorbeeld de mogelijkheden nemen voor het configureren van de firewall die is opgenomen in de Gigabyte GN-B49G-router. Deze router heeft een aantal vooraf gedefinieerde regels om verschillende beveiligingsniveaus op het interne netwerk af te dwingen. Deze regels houden het volgende in:

• Toegang tot de configuratie en het beheer van de router vanaf de WAN-zijde is verboden. Activering van deze functie verbiedt toegang tot de routerinstellingen vanaf het externe netwerk;
• De toegang van Global-IP tot Private-IP is verboden binnen LAN. Met deze functie kunt u de toegang binnen het lokale netwerk blokkeren van wereldwijde IP-adressen (indien aanwezig) tot IP-adressen die zijn gereserveerd voor privégebruik;
• Voorkom het delen van bestanden en printers van buiten het netwerk van de router. De functie voorkomt het gebruik van gedeelde toegang tot printers en bestanden op het interne netwerk van buitenaf;
• Het bestaan ​​van de router kan niet worden gedetecteerd vanaf de WAN-kant. Deze functie maakt de router onzichtbaar vanaf het externe netwerk;
• Denial of Service (DoS)-aanvallen worden voorkomen. Wanneer deze functie is ingeschakeld, wordt bescherming tegen DoS-aanvallen (Denial of Service) geïmplementeerd. DoS-aanvallen zijn een type netwerkaanval waarbij meerdere verzoeken aan een server worden gevraagd om een ​​door het systeem geleverde service. De server besteedt zijn middelen aan het opzetten en onderhouden van een verbinding, en met een bepaalde stroom van verzoeken kan hij deze niet aan. Bescherming tegen dit soort aanvallen is gebaseerd op het analyseren van de bronnen van overtollig verkeer in vergelijking met normaal verkeer en het verbieden van de overdracht ervan.

Zoals we al hebben opgemerkt, hebben veel firewalls vooraf gedefinieerde regels die inherent hetzelfde zijn als de hierboven genoemde, maar mogelijk verschillende namen hebben.

Een andere manier om de firewall te configureren, is door statische regels te maken waarmee u niet alleen het netwerk van buitenaf kunt beschermen, maar ook kunt voorkomen dat lokale netwerkgebruikers toegang krijgen tot het externe netwerk. De mogelijkheden voor het maken van regels zijn vrij flexibel en stellen u in staat om bijna elke situatie te implementeren. Om een ​​regel te maken, stelt u het bron-IP-adres (of adresbereik), de bronpoorten, de bestemmings-IP-adressen en poorten, het protocoltype, de pakkettransmissierichting (van het interne netwerk naar het externe netwerk of vice versa) in, evenals de actie die moet worden genomen wanneer een pakket wordt gedetecteerd met de aangegeven eigenschappen (het pakket laten vallen of overslaan). Als u bijvoorbeeld gebruikers van het interne netwerk (IP-adresbereik: 192.168.1.1-192.168.1.100) wilt verbieden toegang te krijgen tot de FTP-server (poort 21) die zich op het externe IP-adres 64.233.183.104 bevindt, kan de regel zijn als volgt geformuleerd:

• pakket doorsturen richting: LAN-naar-WAN;
• Bron IP-adressen: 192.168.1.1-192.168.1.100;
• bronpoort: 1-65535;
• ontvanger poort: 21;
• protocol: TCP;
• actie: laten vallen.

De statische configuratie van een firewallregel voor het bovenstaande voorbeeld wordt getoond in Fig. 1.

NAT als onderdeel van de firewall

Alle moderne routers met ingebouwde firewalls ondersteunen Network Address Translation (NAT).

NAT maakt geen deel uit van een firewall, maar helpt ook om de netwerkbeveiliging te verbeteren. De belangrijkste taak van het NAT-protocol is het oplossen van het probleem van een tekort aan IP-adressen, dat steeds urgenter wordt naarmate het aantal computers groeit.

In de huidige versie van het IPv4-protocol worden namelijk vier bytes toegewezen voor het bepalen van het IP-adres, waardoor het mogelijk is om ruim vier miljard adressen van netwerkcomputers te genereren. In de begindagen van internet was het natuurlijk moeilijk voor te stellen dat dit aantal IP-adressen ooit niet genoeg zou zijn. Om het probleem van een tekort aan IP-adressen gedeeltelijk op te lossen, werd ooit het NAT-netwerkadresvertalingsprotocol voorgesteld.

NAT wordt gedefinieerd door RFC 1631, die definieert hoe netwerkadressen worden vertaald.

In de meeste gevallen vertaalt een NAT-apparaat IP-adressen die zijn gereserveerd voor privégebruik op lokale netwerken naar openbare IP-adressen.

De privé-adresruimte wordt gereguleerd door RFC 1918. Deze adressen omvatten de volgende IP-bereiken: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.168.255.255.

Volgens RFC 1918 kunnen privé-IP-adressen niet worden gebruikt op het WAN, dus kunnen ze alleen vrij worden gebruikt voor interne doeleinden.

Laten we, voordat we verder gaan met de details van het NAT-protocol, eens kijken hoe een netwerkverbinding tussen twee pc's tot stand komt.

Wanneer een computer op het netwerk verbinding maakt met een andere computer, wordt een socket geopend, geïdentificeerd door het bron-IP-adres, de bronpoort, het bestemmings-IP-adres, de bestemmingspoort en het netwerkprotocol. Het IP-pakketformaat biedt een veld van twee bytes voor poortnummers. Hiermee kunt u 65.535 poorten definiëren, die de rol van een soort communicatiekanalen spelen. Van de 65.535 poorten zijn de eerste 1023 gereserveerd voor bekende serverdiensten zoals Web, FTP, Telnet, etc. Alle andere poorten kunnen voor andere doeleinden worden gebruikt.

Als bijvoorbeeld een computer in het netwerk toegang heeft tot een FTP-server (poort 21), dan is bij het openen van een socket besturingssysteem wijst de sessie toe aan een poort hoger dan 1023. Dit kan bijvoorbeeld poort 2153 zijn. Het IP-pakket dat van de pc naar de FTP-server wordt verzonden, bevat dan het IP-adres van de afzender, de poort van de afzender (2153), het IP-adres van de ontvanger en de bestemmingspoort ( 21). Het IP-adres en de poort van de afzender worden gebruikt om van de server naar de client te reageren. Door verschillende poorten voor verschillende netwerksessies te gebruiken, kunnen netwerkclients tegelijkertijd meerdere sessies opzetten met verschillende servers of met de services van één server.

Laten we nu eens kijken naar het proces van het opzetten van een sessie bij gebruik van een NAT-router op de grens van het interne netwerk en internet.

Wanneer een client op het interne netwerk een verbinding tot stand brengt met een server op het externe netwerk, wordt, zoals in het geval van het tot stand brengen van een verbinding tussen twee pc's, een socket geopend die wordt bepaald door het bron-IP-adres, de bronpoort, het bestemmings-IP-adres, bestemmingspoort en netwerkprotocol. Wanneer een toepassing gegevens over deze socket verzendt, worden het bron-IP-adres en de bronpoort in het pakket in de bronparametervelden ingevoegd. De bestemmingsparametervelden bevatten het IP-adres en de serverpoort van de server. Een computer op het interne netwerk met een IP-adres van 192.168.0.1 kan bijvoorbeeld toegang krijgen tot een webserver op het WAN met een IP-adres van 64.233.188.104. In dit geval kan het besturingssysteem van de client de gevestigde sessiepoort 1251 (bronpoort) toewijzen en de bestemmingspoort is de poort van de webservice, dat wil zeggen 80. Dan worden de volgende kenmerken aangegeven in de kop van het verzonden pakket (Fig. 2):

• bronpoort: 1251;
• IP-adres van ontvanger: 64.233.183.104;
• ontvanger poort: 80;
• protocol: TCP.

Een NAT-apparaat (router) onderschept een pakket dat uitgaat van het interne netwerk en vult de interne tabel met een toewijzing van de bron- en bestemmingspoorten van het pakket met behulp van het bestemmings-IP-adres, de bestemmingspoort, het externe NAT-IP-adres, de externe poort, het netwerkprotocol , en interne IP's -adres en poort van de client.

Stel dat in het bovenstaande voorbeeld de NAT-router een extern IP-adres 195.2.91.103 heeft (het WAN-poortadres), en voor de tot stand gebrachte sessie is de externe poort van het NAT-apparaat 3210. In dit geval zijn de interne bron en bestemming poorttoewijzingstabel van het pakket bevat de volgende informatie:

• Bron-IP: 192.168.0.1;
• bronpoort: 1251;
• extern IP-adres

NAT-apparaten: 195.2.91.103;

• externe poort van het NAT-apparaat: 3210;
• IP-adres van ontvanger: 64.233.183.104;
• ontvanger poort: 80;
• protocol: TCP.

Het NAT-apparaat "vertaalt" vervolgens het pakket, waarbij de bronvelden in het pakket worden getransformeerd: het interne IP-adres en de poort van de client worden vervangen door het externe IP-adres en de poort van de NAT. In dit voorbeeld bevat het geconverteerde pakket de volgende informatie:

• Bron-IP: 195.2.91.103
• bronpoort: 3210;
• IP-adres van ontvanger: 64.233.183.104;
• ontvanger poort: 80;
• protocol: TCP.

Het geconverteerde pakket wordt via het externe netwerk verzonden en komt uiteindelijk bij de opgegeven server terecht.

Na ontvangst van het pakket zal de server de antwoordpakketten doorsturen naar het externe IP-adres en de poort van het NAT-apparaat (router), waarbij het zijn eigen IP-adres en poort in de bronvelden specificeert (Figuur 3). In het beschouwde voorbeeld zal het antwoordpakket van de server de volgende informatie in de koptekst bevatten:

• bronpoort: 80;
• IP-adres van ontvanger: 195.2.91.103;
• ontvanger poort: 3210;
• protocol: TCP.

Rijst. 3. Het werkingsprincipe van een NAT-apparaat bij het verzenden van een pakket van een extern netwerk naar een intern netwerk

Het NAT-apparaat accepteert deze pakketten van de server en analyseert hun inhoud op basis van de poorttoewijzingstabel. Als in de tabel een poorttoewijzing wordt gevonden waarvan het bron-IP-adres, de bronpoort, de bestemmingspoort en het netwerkprotocol van het inkomende pakket overeenkomen met het IP-adres van de externe host, met externe poort: en met het netwerkprotocol gespecificeerd in de poorttoewijzing, zal NAT de omgekeerde vertaling uitvoeren: vervang het externe IP-adres en de externe poort in de pakketbestemmingsvelden door het IP-adres en de interne poort van de client op het interne netwerk. Een pakket dat voor het bovenstaande voorbeeld naar het interne netwerk wordt verzonden, heeft dus de volgende kenmerken:

• Bron-IP: 64.233.183.104;
• bronpoort: 80;
• Ontvanger IP-adres: 192.168.0.1;
• ontvanger poort: 1251;
• protocol: TCP.

Als er echter geen overeenkomst is in de poorttoewijzingstabel, wordt het binnenkomende pakket genegeerd en wordt de verbinding verbroken.

Dankzij een NAT-router kan elke pc op het interne netwerk gegevens naar het WAN verzenden via het externe IP-adres en de poort van de router. Tegelijkertijd blijven de IP-adressen van het interne netwerk, als de poorten die aan de sessies zijn toegewezen, onzichtbaar voor het externe netwerk.

Een NAT-router staat echter alleen communicatie tussen computers op het interne en externe netwerk toe als deze uitwisseling wordt geïnitieerd door een computer op het interne netwerk. Als een computer op het externe netwerk op eigen initiatief toegang probeert te krijgen tot de computer op het interne netwerk, wordt deze verbinding door het NAT-apparaat geweigerd. Daarom helpt NAT niet alleen het probleem van onvoldoende IP-adressen op te lossen, maar ook de beveiliging van het interne netwerk te verbeteren.

Problemen met NAT-apparaten

Ondanks de ogenschijnlijke eenvoud van bediening van NAT-apparaten, zijn er enkele problemen mee verbonden, die de organisatie van de interactie tussen netwerkcomputers of zelfs de oprichting ervan te voorkomen. Als het lokale netwerk bijvoorbeeld wordt beschermd door een NAT-apparaat, kan elke client op het interne netwerk een verbinding tot stand brengen met de WAN-server, maar niet omgekeerd. Dat wil zeggen dat u geen verbinding kunt maken van het externe netwerk naar een server die zich in het interne netwerk achter een NAT-apparaat bevindt. Maar wat als er een dienst op het interne netwerk is (zoals een FTP- of webserver) waartoe gebruikers op het externe netwerk toegang moeten hebben? Om dit probleem op te lossen, gebruiken NAT-routers DMZ- en port forwarding-technologieën, die hieronder in detail worden beschreven.

Een ander probleem met NAT-apparaten is dat sommige netwerktoepassingen het IP-adres en de poort in het gegevensgedeelte van het pakket opnemen. Het is duidelijk dat een NAT-apparaat dergelijke adressen niet kan vertalen. Als een netwerktoepassing een IP-adres of poort invoegt in het payload-gedeelte van een pakket, zal de server die op zo'n pakket reageert, het geneste IP-adres en de poort gebruiken waarvoor er geen corresponderend toewijzingsitem is in interne tafel NAT-apparaten. Als gevolg hiervan zal zo'n pakket worden verwijderd door het NAT-apparaat, en daarom toepassingen die deze technologie zal niet kunnen werken met NAT-apparaten.

Er zijn netwerkapplicaties die één poort (als bronpoort) gebruiken bij het verzenden van gegevens, maar wachten op een reactie op een andere poort. Het NAT-apparaat analyseert het uitgaande verkeer en brengt de bronpoort in kaart. Het NAT-apparaat weet echter niet dat er een reactie wordt verwacht op een andere poort en kan de bijbehorende toewijzing niet uitvoeren. Als gevolg hiervan zullen antwoordpakketten die zijn geadresseerd aan een poort waarvoor er geen toewijzing is in de interne tabel van het NAT-apparaat, worden verwijderd.

Een ander probleem met NAT-apparaten is meervoudige toegang tot dezelfde poort. Beschouw een situatie waarin meerdere clients van een lokaal netwerk, gescheiden van het externe netwerk door een NAT-apparaat, toegang hebben tot dezelfde standaardpoort. Dit kan bijvoorbeeld poort 80 zijn, die is gereserveerd voor een webservice. Aangezien alle clients op het interne netwerk hetzelfde IP-adres gebruiken, rijst de vraag: hoe kan een NAT-apparaat bepalen tot welke client op het interne netwerk het externe verzoek behoort? Om dit probleem op te lossen, heeft slechts één client op het interne netwerk tegelijkertijd toegang tot de standaardpoort.

Statische poorttoewijzing

Om bepaalde applicaties die draaien op een server op het interne netwerk (zoals een webserver of FTP-server) toegankelijk te maken vanaf het externe netwerk, moet er een mapping worden ingesteld op het NAT-apparaat tussen de poorten die door bepaalde applicaties worden gebruikt en IP-adressen die servers op het interne netwerk waarop deze applicaties draaien. In dit geval hebben ze het over poorttoewijzingstechnologie en wordt de server op het interne netwerk een virtuele server genoemd. Als gevolg hiervan wordt elk verzoek van het externe netwerk naar het externe IP-adres van het NAT-apparaat (router) via de opgegeven poort automatisch doorgestuurd naar de opgegeven virtuele server op het interne netwerk.

Als er bijvoorbeeld een virtuele FTP-server is geconfigureerd op het interne netwerk, dat draait op een pc met een IP-adres van 192.168.0.10, dan wordt bij het configureren van de virtuele server het IP-adres van de virtuele server (192.168.0.10) gebruikte protocol (TCP) en de toepassingspoort zijn ingesteld (21). In dit geval kan een gebruiker op het externe netwerk bij toegang tot het externe adres van het NAT-apparaat (WAN-poort van de router) op poort 21 toegang krijgen tot de FTP-server van het interne netwerk, ondanks het gebruik van het NAT-protocol. Een voorbeeld van het configureren van een virtuele server op een echte NAT-router wordt getoond in Fig. 4.

Doorgaans kunt u met NAT-routers meerdere statische poortdoorschakelingen maken. Op één virtuele server kunt u dus meerdere poorten tegelijk openen of meerdere virtuele servers maken met verschillende IP-adressen. Met statische port forwarding kunt u echter niet één poort doorsturen naar meerdere IP-adressen, dat wil zeggen dat een poort kan overeenkomen met een enkel IP-adres. Het is bijvoorbeeld onmogelijk om meerdere webservers met verschillende IP-adressen te configureren - hiervoor moet u de standaard webserverpoort wijzigen en bij toegang tot de 80e poort in de routerconfiguratie de gewijzigde webpoort specificeren als de privépoort. server.

Bij de meeste routermodellen kunt u ook statische port group forwarding instellen, dat wil zeggen een hele groep poorten tegelijk koppelen aan het IP-adres van een virtuele server. Deze functie is handig wanneer u toepassingen moet ondersteunen die een groot aantal poorten gebruiken, zoals games of audio-/videoconferenties. Het aantal doorgestuurde poortgroepen per verschillende modellen routers zijn verschillend, maar meestal zijn het er minstens tien.

Dynamische poortdoorschakeling (speciale toepassing)

Statische port forwarding lost gedeeltelijk het probleem op van toegang van het externe netwerk tot de services van het lokale netwerk dat wordt beschermd door een NAT-apparaat. Er is echter ook het tegenovergestelde probleem: de noodzaak om lokale netwerkgebruikers toegang te geven tot het externe netwerk via een NAT-apparaat. Het feit is dat sommige toepassingen (bijvoorbeeld internetspelletjes, videoconferenties, internettelefonie en andere toepassingen waarvoor meerdere sessies tegelijk moeten worden opgezet) niet compatibel zijn met NAT-technologie. Om dit probleem op te lossen, wordt de zogenaamde dynamische port forwarding (ook wel de speciale applicatie genoemd) gebruikt, wanneer port forwarding is ingesteld op het niveau van individuele netwerkapplicaties.

Als de router deze functie ondersteunt, moet u het interne poortnummer (of poortinterval) instellen dat is gekoppeld aan een specifieke toepassing (meestal aangeduid als Trigger Port), en het externe poortnummer instellen van het NAT-apparaat (Public Port) dat zal worden toegewezen aan de interne poort.

Wanneer dynamische poortdoorschakeling is ingeschakeld, bewaakt de router uitgaand verkeer van het interne netwerk en onthoudt het IP-adres van de computer waarvan dit verkeer afkomstig is. Wanneer gegevens terug komen op het lokale segment, wordt port forwarding ingeschakeld en worden de gegevens doorgegeven. Nadat de overdracht is voltooid, wordt de omleiding uitgeschakeld en kan elke andere computer een nieuwe omleiding naar zijn eigen IP-adres maken.

Dynamische poortdoorschakeling wordt voornamelijk gebruikt voor services die betrekking hebben op kortetermijnverzoeken en gegevensoverdrachten, omdat als één computer omleiding gebruikt van deze poort, dan kan de andere computer tegelijkertijd niet hetzelfde doen. Als u de werking moet configureren van toepassingen die een constante gegevensstroom nodig hebben en die een poort in beslag nemen: lange tijd dan is dynamische omleiding niet effectief. In dit geval is er echter een oplossing voor het probleem - het bestaat uit het gebruik van de gedemilitariseerde zone.

DMZ-zone

De gedemilitariseerde zone (DMZ) is een andere manier om NAT-beperkingen te omzeilen. Deze functie wordt geleverd door alle moderne routers. Wanneer u een computer op het interne LAN in de DMZ plaatst, wordt deze transparant voor het NAT-protocol. Dit betekent in feite dat de computer op het interne netwerk zich virtueel voor de firewall bevindt. Voor een pc die zich in de DMZ-zone bevindt, worden alle poorten omgeleid naar één intern IP-adres, waardoor de gegevensoverdracht van het externe netwerk naar het interne kan worden georganiseerd.

Als bijvoorbeeld een server met een IP-adres van 192.168.1.10, die zich in het interne lokale netwerk bevindt, zich in de DMZ-zone bevindt en het lokale netwerk zelf wordt beschermd door een NAT-apparaat, dan wanneer een verzoek van het externe netwerk arriveert op een willekeurige poort op het WAN-poortadres NAT-apparaten zullen dit verzoek omleiden naar het IP-adres 192.168.1.10, dat wil zeggen, naar het adres van de virtuele server in de DMZ-zone.

SOHO NAT-routers laten doorgaans slechts één computer toe in de DMZ. Een voorbeeld van het configureren van een computer in de DMZ-zone wordt getoond in Fig. 5.

Rijst. 5. Een voorbeeld van het configureren van een computer in de DMZ-zone

Aangezien een computer die zich in de DMZ bevindt, toegankelijk wordt vanaf het externe netwerk en op geen enkele manier wordt beschermd door een firewall, wordt het een kwetsbaar punt in het netwerk. Het is alleen nodig om als laatste redmiddel computers in de DMZ te plaatsen, wanneer om de een of andere reden geen andere methode om de beperkingen van het NAT-protocol te omzeilen geschikt is.

NAT Traversal-technologie

De methoden die we hebben opgesomd om de beperkingen van het NAT-protocol te omzeilen, kunnen moeilijk zijn voor beginnende gebruikers. Om het beheer te vergemakkelijken, is een geautomatiseerde technologie voor het configureren van NAT-apparaten voorgesteld. NAT Traversal-technologie maakt het mogelijk: netwerk toepassingen bepalen of ze worden beschermd door een NAT-apparaat, het externe IP-adres leren kennen en port forwarding uitvoeren naar: automatische modus... Het voordeel van NAT Traversal-technologie is dus dat de gebruiker de poorttoewijzing niet handmatig hoeft te configureren.

NAT Traversal-technologie is afhankelijk van de UPnP-protocollen (Universal Plug and Play), daarom is het vaak nodig om de UPnP- en NAT-optie in routers te controleren om deze technologie te activeren.

Firewalling - Het blokkeren van verkeer van ongeautoriseerde bronnen is een van de oudste netwerkbeveiligingstechnologieën, maar leveranciers van geschikte omgevingen blijven nieuwe benaderingen ontwikkelen om de huidige bedreigingen in een veranderende netwerkomgeving beter tegen te gaan en de IT-middelen van het bedrijf te beschermen. Met firewalls van de volgende generatie kunt u beleid maken en afdwingen met behulp van een breder scala aan contextuele gegevens.

De evolutie van firewalls (FW) is voorbij lange weg... Ze werden voor het eerst ontwikkeld in de late jaren 80 door DEC en werkten voornamelijk op de eerste vier lagen van het OSI-model, onderscheppen verkeer en analyseren pakketten op naleving van gespecificeerde regels. Vervolgens Controlepunt voorgestelde firewalls met gespecialiseerde geïntegreerde schakelingen (ASIC's) voor diepgaande analyse van pakketheaders. Deze geavanceerde systemen kunnen een tabel met actieve verbindingen bijhouden en gebruiken in regels (Stateful Packet Inspection, SPI). Met SPI-technologie kunt u de bron- en bestemmings-IP-adressen controleren en poorten bewaken.

De oprichting van FW's die op applicatieniveau opereren, wordt als een grote stap voorwaarts beschouwd. Het eerste dergelijke product werd in 1991 door SEAL uitgebracht en twee jaar later verscheen de open-source Firewall Toolkit (FWTK)-oplossing van Trusted Information Systems. Deze firewalls inspecteerden pakketten op alle zeven lagen, wat uitgebreide informatie in regelsets (beleid) mogelijk maakte - niet alleen over verbindingen en hun status, maar ook over bewerkingen met behulp van het applicatiespecifieke protocol. Tegen het midden van de jaren negentig hadden firewalls de mogelijkheid om populaire applicatielaagprotocollen te bewaken: FTP, Gopher, SMTP en Telnet. Deze applicatiebewuste producten worden Next-Generation Firewalls (NGFW's) genoemd.

TIS heeft een commerciële versie van FWTK - Gauntlet Firewall uitgebracht. Met gebruikersauthenticatie, URL-filtering, anti-malware en beveiligingsmogelijkheden voor de applicatielaag, wordt dit product beschouwd als de eerste "next generation" firewall. Dus formeel zijn NGFW-producten meer dan 15 jaar oud, hoewel deze term tegenwoordig een andere betekenis krijgt.

GENERATIEVERANDERING

Frost & Sullivan-analisten identificeren vier generaties firewalls. De eerste (1985-1990) is DEC-producten; de tweede (1996-2002) - de opkomst van SPI-producten (Check Point) en werk op applicatieniveau (Gauntlet), integratie van functies IPsec-VPN ASIC gebruiken zelf ontwikkeld om de productiviteit te verhogen (Lucent, NetScreen); de derde (2003-2006) - het gebruik van Deep Packet Inspection-functies en de consolidering van beschermende functies (Fortinet); vierde generatie (van 2007 tot heden) - verkeersbeveiliging op basis van identificatie van applicaties en gebruikers (Palo Alto) en de introductie van nieuwe technologieën door grote leveranciers.

Zo is de opkomst van de term NGFW in zijn modern begrip toegeschreven aan Palo Alto Networks. Ze noemde haar producten next-generation firewalls, die de toegang van individuele gebruikers tot applicaties en internet streng controleren. In wezen combineert NGFW verschillende functies op één platform: FW, IPS en Web Security Gateways. Klanten krijgen controle aan de "in" en "uit" van het netwerk. In NGFW wordt beleid ingesteld voor applicaties, niet alleen voor poorten en IP-adressen.

In vergelijking met firewalls van Cisco, Check Point Software Technologies en Juniper Networks, zorgden de producten van Palo Alto Networks voor een eenvoudigere monitoring en betere bescherming van verkeer bij het gebruik van sociale netwerken, Google gmail of Skype. De stijgende populariteit van webapplicaties heeft in hoge mate bijgedragen aan de ontwikkeling van het bedrijf van deze leverancier, dat in 2005 op de markt kwam. Forrester Research noemt zijn paradepaardje revolutionair.

Tegenwoordig omvat de markt voor firewalls (zie figuren 1 en 2) of firewalls: hele regel segmenten: SOHO, SMB, producten voor grote ondernemingen en providers. Nieuwe NGFW-functionaliteit helpt bedrijfsnetwerken te beschermen tegen nieuwe technologieën en computermodellen (cloud en mobiel computergebruik). De uitbreiding van functionaliteit heeft geleid tot de creatie van uniforme platforms (Unified Threat Management, UTM), die tegenwoordig veel worden gebruikt.

Hoewel de netwerkgrens vervaagt, blijft FW-perimeterbeveiliging een belangrijke factor en noodzakelijk onderdeel van een meerlagig beveiligingssysteem. De opkomst van mobiele apparaten en de opkomst van het BYOD-concept heeft een sterke impact op de beveiliging, maar vergroot eerder het belang van de netwerkperimeter, omdat alleen daarbinnen gegevens kunnen worden opgeslagen relatieve veiligheid, meent Dmitry Kurashev, directeur van Entensys.

"Als we het hebben over moderne en veeleisende functies, dan worden voornamelijk firewalls gebruikt als klassieke firewalls", merkt Dmitry Ushakov op, hoofd van de afdeling voorbereiding en implementatie technische oplossingen Steenzacht Rusland. - Natuurlijk verschillen ze in hun mogelijkheden al van die welke in de jaren 80 en 90 werden gebruikt - neem op zijn minst contextuele filtering, rekening houdend met de staat en parsing-applicaties (de mogelijkheid om gerelateerde verbindingen te volgen). Maar in de praktijk zijn het vooral de klassieke functies waar vraag naar is”.

Volgens Frost & Sullivan-analisten, Hoewel traditionele firewalls fundamentele beveiligingshulpmiddelen blijven, zijn ze niet effectief in het beschermen tegen geavanceerde netwerkaanvallen... De ontwikkeling van technologieën en toepassingen leidt tot het openen van steeds meer mazen voor aanvallers en de praktische implementatie van het beveiligingssysteem wordt ingewikkelder. Om de veranderende bedreigingen het hoofd te bieden, moeten fabrikanten de ontwikkeling van nieuwe methoden versnellen om aanvallen te detecteren en te voorkomen en ongewenste te blokkeren netwerk verkeer... Volgens Gartner-experts is de firewallmarkt een periode van "dynamische evolutie" ingegaan en zullen de komende jaren hoge groeipercentages aanhouden (zie figuur 3).

Figuur 3. Frost & Sullivan's wereldwijde groeiprognose voor firewalls.

"NIEUWE GENERATIE" VANDAAG

Gedetailleerde en aanpasbare controle op applicatieniveau blijft de kerntechnologie van NGFW, maar "toepassingsondersteuning" in moderne firewalls verschilt aanzienlijk van wat 20 jaar geleden werd aangeboden. Firewall-technologie is aanzienlijk geëvolueerd - het is geëvolueerd tot gespecialiseerde oplossingen die diepgaande verkeersanalyse en applicatie-identificatie uitvoeren. De producten zijn sneller en ondersteunen complexere regelsets dan hun voorgangers.

Gartner-analisten merken op dat er de afgelopen twee tot drie jaar een groeiende vraag is naar NGFW-platforms die geavanceerde aanvallen kunnen detecteren en blokkeren, waarbij (met een hoge mate van granulariteit) beveiligingsbeleid wordt ingesteld op applicatieniveau, niet alleen poorten en protocollen . De functionaliteit en prestaties van firewalls moeten voldoen aan de eisen van complexere interactie met applicaties, en de apparaten zelf moeten een hoge bandbreedte hebben en virtualisatie ondersteunen. De keuze voor een oplossing wordt bepaald door factoren als kosten, beheergemak, gebruiksgemak en snelheid van implementatie. De lijst is hier natuurlijk niet toe beperkt.

“Bij het vergelijken of ontwikkelen van een methodologie voor het kiezen van firewalls, werken analisten met enkele tientallen (soms tot wel anderhalfhonderd) criteria waarmee rekening moet worden gehouden bij het kiezen van een oplossing. Elke klant stelt op zijn eigen manier prioriteiten - er is geen universeel recept of scenario, en dat kan ook niet', benadrukt Aleksey Lukatsky, een Cisco-expert op het gebied van netwerkbeveiliging.

nieuwe bedreigingen en Webtechnologieën 2.0 dwingt leveranciers om hun aanbod bij te werken - firewalls evolueren. Ze zijn uitgerust met uitgebreide verkeersanalysefuncties en flexibele beleidsinstellingen, en hun prestaties worden verbeterd in overeenstemming met de groei van de netwerkbandbreedte. NGFW's zijn in staat om netwerkverkeer op applicatie- en gebruikersniveau te monitoren en bedreigingen actief te blokkeren. Ze kunnen een verscheidenheid aan extra geld bieden beveiliging en ondersteuning van geavanceerde netwerkfuncties.

Grote ondernemingen en providers hebben hoogwaardige oplossingen nodig. De nieuwste systemen zijn gebouwd op krachtige hardwareplatforms en als geïntegreerde componenten gebruiken ze voorheen ongelijksoortige beveiligingstools en -functies - IPS, diepe pakketanalyse, gebruikersauthenticatie en nog veel meer. Firewalls op bedrijfsniveau worden echter niet gekenmerkt door een specifieke set functies, maar door de schaalbaarheid, beheerbaarheid en betrouwbaarheid die voldoen aan de behoeften van grote bedrijven.

Firewalls van toonaangevende leveranciers, waaronder Check Point Software Technologies, Cisco Systems, Fortinet, Juniper Networks en Palo Alto Networks, bieden gedetailleerde contextuele verkeersanalyse op de applicatielaag. Maar dit is niet het enige eigendom van NGFW. Zo stelde Gartner meer dan drie jaar geleden een eigen definitie voor die de relatie tussen IPS en NGFW benadrukte. Andere analisten beschouwen UTM-functies als een belangrijk kenmerk van NGFW. Palo Alto en Juniper houden vast aan hun eigen terminologie. Het gaat echter niet om de bewoordingen, maar om de functies van de NGFW die organisaties kunnen gebruiken om hun netwerken te beschermen.

Volgens Alexei Lukatsky kijkt Cisco hier iets ruimer naar dan bij andere bedrijven gebruikelijk is: “We gebruiken het NGFW-concept niet, maar vervangen door Context-Aware FW, oftewel een context-aware firewall. De context wordt niet alleen begrepen door het antwoord op de vraag "WAT is er mogelijk?" (dat wil zeggen verkeersanalyse op netwerk- en applicatieniveau), maar ook de antwoorden op de vraag "WANNEER kunt u?" (een toegangspoging koppelen aan de tijd), "WAAR en WAAR is het mogelijk?" (locatie van middelen en apparatuur van waaruit het verzoek wordt verzonden), "NAAR WIE kan ik?" (niet alleen bindend voor het IP-adres, maar ook voor het gebruikersaccount), "HOE kunt u?" (vanaf welk apparaat het is toegestaan ​​om toegang te krijgen - van persoonlijk of van een bedrijf, van een stationair of mobiel). Dit alles stelt je in staat om flexibeler een toegangsbeleid op te bouwen en rekening te houden met de constant veranderende behoeften van een moderne onderneming op het gebied van informatiebeveiliging."

NGFW is een apparaat dat de functionaliteit van een traditionele firewall uitbreidt in termen van aanvullende diensten voor inspectie en controle van gebruikers en applicaties, meent Dmitry Ushakov. "Daarom is de volgende generatie firewall over het algemeen FW, IPS en een systeem voor het bewaken van het gedrag van gebruikers en applicaties", benadrukt hij. "En in die zin dient Stonesoft StoneGate FW al enkele jaren als een NGFW."

Firewalls doen meer dan binnenkomend verkeer filteren. Sommige NGFW's kunnen abnormale activiteit in uitgaand verkeer detecteren bijvoorbeeld communicatie op poort 80 met een niet-geautoriseerde site of verkeer dat overeenkomt met een van de handtekeningen. Dit helpt bij het identificeren en blokkeren van uitgaande communicatie, inclusief communicatie die wordt geïnitieerd door malware. “Steeds meer functies die voorheen op dedicated firewalls werden geïmplementeerd, worden gecombineerd in één apparaat. We hebben het over NGFW met een goede mix van functies zoals standaardafscherming, applicatiecontrole en inbraakpreventie”, zegt Brendan Patterson, senior productmanagementmanager bij WatchGuard Technologies.

Met NGFW kunt u informatiebeveiligingsbeleid maken op basis van een brede reeks contextuele gegevens, wat meer biedt hoge graad bescherming, beheersbaarheid en schaalbaarheid. Internetserviceverkeer (van e-mail naar streaming video en sociale netwerken) gaat door de browser op een beperkt aantal poorten, en de NGFW moet de mogelijkheid hebben om sessies te analyseren (met een of ander detailniveau) om beslissingen te nemen op basis van de context. Een ander kenmerk van NGFW is ondersteuning voor gebruikersidentificatie (die kan worden gebruikt bij het maken van regels), en hiervoor kan de firewall zijn eigen informatie gebruiken of toegang krijgen tot Active Directory. Het kennen en analyseren van het verkeer van individuele applicaties is met name belangrijker geworden met de verspreiding van webapplicaties, die de meeste SPI-firewalls alleen kunnen identificeren als HTTP-verkeer op poort 80.

NGFW kopen met de bedoeling om alleen de verkeersfilterfuncties per poort te gebruiken, is onpraktisch, maar niet iedereen heeft gedetailleerde applicatiebeheerfuncties nodig. Daarnaast is het de moeite waard om te overwegen of de organisatie de expertise heeft om de complexe NGFW-regelset te configureren en te onderhouden. We mogen snelheid niet vergeten. U kunt het beste NGFW opzetten en testen in een productieomgeving. Bandbreedte en beheersbaarheid blijven belangrijke criteria voor het evalueren van firewalls. Een apart segment zijn de producten voor beleidsbeheer (Firewall Policy Management, FPM). Gartner raadt aan ze te gebruiken wanneer de complexiteit van de IT-omgeving de mogelijkheden van de FW Management Console overschrijdt.

Volgens Gartner-analisten zijn traditionele SPI-firewalls een verouderde technologie die geen bescherming biedt tegen veel bedreigingen, en veel organisaties zetten nu NGFW in. Volgens de prognose van Gartner zal in drie jaar 38% van de ondernemingen NGFW gebruiken, terwijl dat in 2011 nog maar 10% was. Tegelijkertijd zal het aantal klanten dat hybride oplossingen (FW + IPS) inzet, afnemen van 60% naar 45%, en het aantal bedrijven dat uitsluitend firewalls gebruikt, afnemen van 25% naar 10%. In Rusland zullen de resultaten waarschijnlijk anders zijn.

"Zoals de praktijk laat zien, zijn traditionele firewalls nog steeds erg succesvol", herinnert Dmitry Ushakov zich. - Dit komt voornamelijk door de beperkte controle over de implementatie van beveiligingsdiensten door regelgevende instanties en, helaas, door het bieden van IT-bescherming op een overgebleven basis - goedkoper en minimaal. Weinig mensen denken na over de bedreigingen en gevolgen. Er is dus zeker ruimte voor traditionele schermen, maar die zullen worden voorzien van nieuwe functies. Zo worden apparaten steeds populairder waarin naast de traditionele FW ook tools staan ​​voor diepgaande analyse van internetwerkstromen.”

Ondertussen, bij het adresseren van nieuwe moeilijke taken ontwikkelaars moeten soms compromissen sluiten. Het NSS-lab concludeerde dat nieuwe NGFW-functies, zoals granulair applicatiebeheer, vaak de prestaties en beveiligingsprestaties verminderen in vergelijking met een combinatie van traditionele firewalls en IPS's. Slechts de helft van de geteste systemen had een beschermingsefficiëntie van meer dan 90%.

NSS-onderzoek wees ook uit dat IPS zelden wordt geconfigureerd op NGFW-systemen, waarbij het standaardbeleid van leveranciers doorgaans wordt toegepast na implementatie. Dit heeft een negatief effect op de veiligheid. En de doorvoer komt niet overeen met de opgegeven: van de acht producten bleken er vijf lager te zijn. Bovendien hadden alle geteste NGFW's hun maximale verbindingen buiten de specificaties. NSS-labtesters kwamen tot de conclusie dat NGFW's pas klaar zijn voor gebruik in bedrijfsomgevingen nadat de prestaties zijn verbeterd, en in het algemeen moeten NGFW-technologieën worden verbeterd - systemen moeten een stabielere werking en een hoge mate van beveiliging bieden.

Tegelijkertijd ontwikkelen de meeste leveranciers hun bedrijf met succes. IDC rangschikte Check Point bijvoorbeeld als een toonaangevende firewall/UTM-leverancier, terwijl de firewallveteraan vorig jaar het peloton leidde in het tweede kwartaal. dit segment in termen van verkoop, die de grootste leveranciers van netwerkapparatuur overtreft. Het aandeel van Check Point in de wereldwijde FW/UTM-markt overschrijdt 20% en in West-Europa nadert het de 30%.

De productlijn van Check Point omvat zeven modellen beveiligingsapparatuur met de "Software Blade"-architectuur (zie afbeelding 4): modellen 2200 tot 61000 (de laatste is de snelste firewall die momenteel beschikbaar is). Krachtige Check Point-appliances integreren firewall, VPN, inbraakpreventie, applicatiebeheer en mobiele toegang, preventie van gegevensverlies, identificatieondersteuning, URL-filtering, antispam, antivirus en antibots.

In het Magic Quadrant rangschikten Gartner-analisten Check Point en Palo Alto Networks onder de leiders in de firewallmarkt, en Fortinet, Cisco, Juniper Networks en Intel (McAfee) werden genoemd als kanshebbers. Maar liefst zeven leveranciers bleken "nichespelers" te zijn en geen enkel bedrijf maakte het in de sector "visionairs". Dit weerhoudt klanten er echter niet van om de voorkeur te geven aan Cisco-producten (zie figuur 5).

Nu gaat de markt door met de overgang naar NGFW-systemen die in staat zijn om te detecteren en te blokkeren verschillende soorten geavanceerde aanvallen en het afdwingen van beleid op applicatieniveau. In 2012 probeerden gevestigde marktspelers hun NGFW-oplossingen te verbeteren zodat ze niet onderdoen voor producten van nieuwkomers in de sector, en ontwikkelaars van innovatieve systemen vulden ze aan met controles, waardoor ze op het niveau van bekende merken kwamen.

GROEIDRIVERS EN NIEUWE ONTWIKKELINGEN

Hoewel de wereldwijde firewallmarkt verzadigd is, stagneert deze verre van. Bijna alle grote leveranciers hebben nieuwe generatie producten met extra functies gepresenteerd. De groeimotoren van de firewallmarkt zijn mobiliteit, virtualisatie en cloud computing- de vraag naar nieuwe faciliteiten van NGFW stimuleren. Gartner-analisten melden een groeiende vraag naar softwareversies van firewalls die worden gebruikt in gevirtualiseerde datacenters (zie afbeelding 6). In 2012 was het aandeel virtuele NGFW-opties niet groter dan 2%, maar volgens Gartner-prognoses zal het in 2016 groeien tot 20%. Virtuele versies van firewalls en oplossingen voor inhoudsbescherming zijn zeer geschikt voor cloudimplementaties.

Figuur 6. Volgens Infonetics Research zijn de uitgaven voor datacenterbeveiliging door Noord-Amerikaanse bedrijven het afgelopen jaar enorm gestegen.

Voor externe kantoren en het MKB is een door een serviceprovider geïnstalleerde cloudfirewall vaak een aantrekkelijke oplossing. Volgens sommige experts zal met de ontwikkeling van mobiele toegang en cloudarchitecturen ook de beveiligingsarchitectuur moeten veranderen: in plaats van NGFW zullen bedrijven vaker webgateways gebruiken die worden beheerd door de provider, en grote organisaties zullen de functies van webgateways scheiden en firewalls om de prestaties en het beheer te verbeteren, hoewel sommige NGFW-producten over de basisfunctionaliteit van een webgateway beschikken.

Dmitry Kurashev is van mening dat het beter is om alle verkeersverwerkingsfuncties toe te wijzen aan gateways die zich binnen het bedrijf bevinden: "Het is correcter om cloudservices te gebruiken voor het beheer en de monitoring van servertoepassingen, evenals voor het verzamelen van statistieken en analyse." "De firewall moet standaard zowel bij de cloudprovider als bij de klant van cloudservices worden geïnstalleerd", voegt Alexey Lukatsky toe. “Er zit immers een onbeschermde omgeving tussen, die een springplank kan worden om een ​​bedrijfsnetwerk of een wolk van malware binnen te dringen, of voor aanvallen door indringers. Daarom zijn er nog steeds netwerkbeveiligingstools nodig."

Een typisch voorbeeld van managed security services is de onlangs aangekondigde reeks services in Rusland om het netwerk van een klant te beschermen tegen grote netwerkbedreigingen, aangeboden door Orange Business Services. Met Unified Defense-services kunt u gecentraliseerde antivirusbescherming bieden voor alle apparaten in het netwerk, bedrijfsmailboxen beschermen tegen spam en internetverkeer filteren, indien nodig, waardoor de toegang van werknemers tot bepaalde netwerkbronnen op hardwareniveau wordt beperkt. Daarnaast bevat het beveiligingssysteem een ​​firewall en tools voor inbraakdetectie en -preventie.

Unified Defense is gebaseerd op Fortinet's compacte UTM-apparaat met NGFW-functionaliteit, geïmplementeerd op het netwerk van de klant en ondersteund door Orange. Het product wordt aangeboden in twee versies - voor netwerken die tot 200 gebruikers ondersteunen en de snelheid van het internetkanaal niet hoger is dan 20 Mbps (FortiGate 80C-apparatuur), evenals voor netwerken ontworpen voor 1000 gebruikers en een 100 Mbps-kanaal ( apparatuur FortiGate 200B) (zie afbeelding 7). Momenteel is de dienst beschikbaar voor Orange-klanten, in de toekomst is het de bedoeling om de dienst in de netwerken van externe providers aan te bieden.

Door Fortinet aangedreven Unified Defense stelt bedrijven met beperkte IT-budgetten in staat om te profiteren van nieuwe beveiligingstechnologieën. Een van de functies van het klantenportaal is toegang tot regelmatige rapporten over de systeemwerking, inclusief informatie over geneutraliseerde bedreigingen.

Dankzij een diepgaande verkeersanalyse kunt u toepassingen identificeren die via het netwerk communiceren. Overwegen moderne tendensen door applicaties naar de cloud te verplaatsen en SaaS-services te ontwikkelen, is het mogelijk om ervoor te zorgen dat alleen de benodigde gegevens in het bedrijfsnetwerk komen, alleen met een nog hoger detailniveau. Elke leverancier gebruikt zijn eigen benaderingen bij het maken van NGFW's. Veel mensen kiezen voor de handtekeningmethode.

Astaro (sinds 2011 onderdeel van Sophos) maakt bijvoorbeeld gebruik van de van zijn partner Vineyard Networks. Hierdoor kan Astaro Security Gateway onderscheid maken tussen verschillende applicaties die op dezelfde website draaien, QoS-beleid toepassen, prioriteit geven aan verkeer en bandbreedte toewijzen. In de nieuwe versie van Astaro Security Gateway is de beheerinterface verbeterd: met behulp van de netwerkkaart kunt u in realtime regels instellen en snel reageren op nieuwe bedreigingen. In toekomstige versies van de Astaro-firewall zal het mogelijk zijn om pakketten van een onbekend type naar specialisten te sturen voor hun latere analyse.

Check Point heeft zijn productlijn vorig jaar met 90% geüpdatet. De gepresenteerde modellen zijn geoptimaliseerd voor de Check Point "Software Blade"-architectuur en hebben volgens de ontwikkelaar ongeveer drie keer hogere prestaties dan eerdere generaties. Nieuwe module Security Acceleration is gebouwd op de SecurityCore-technologie en verbetert de prestaties van de firewall aanzienlijk door de belangrijkste bewerkingen te versnellen. Volgens Check Point bereikt de bandbreedte 110 Gbps en is de latentie minder dan 5 μs. Het bedrijf beweert dat het de krachtigste 2U-firewall in de branche is.

De AppWiki-bibliotheek gemaakt door Check Point kan meer dan 5.000 applicaties en 100.000 widgets identificeren. Deze handtekeningen worden gebruikt door de Check Point Application Control en Identity Awareness Software Blades. Bovendien, om clientapparaten te identificeren en eindgebruikers, De software kan worden geïntegreerd met Active Directory en beheerders kunnen het beveiligingsbeleid verfijnen. Training van medewerkers vindt plaats in realtime: wanneer een van hen een beveiligingsbeleid schendt, geeft de Check Point UserCheck-clientagenttoepassing een pop-upvenster weer waarin de essentie van de overtreding wordt uitgelegd en om bevestiging van de actie wordt gevraagd. De mogelijkheid om een ​​verzoek door te geven aan een beheerder vereenvoudigt het proces van het aanpassen van het beveiligingsbeleid aan de behoeften van de gebruiker.

Voor belangrijke netwerkbeveiligingsproducten van Check Point bevat softwarerelease R74.40 meer dan 100 nieuwe functies, waaronder de Anti-Bot Software Blade en een bijgewerkte versie van Anti-Virus met Check Point ThreatCloud-technologie, een cloudgebaseerde service die informatie over bedreigingen verzamelt en Biedt realtime bescherming voor beveiligingsgateways. Met de nieuwe datacenter- en private cloud-oplossing van Check Point Virtual Systems kunnen tot 250 virtuele systemen worden geconsolideerd op één enkel apparaat.

Cisco vorig jaar uitgebracht eigen oplossing NGFW is de volgende generatie Adaptive Security Appliance (ASA) als reactie op technologie die is ontwikkeld door Palo Alto Networks. ASA CX is een contextbewuste firewall, dat wil zeggen dat het niet alleen IP-adressen herkent, maar ook applicaties, gebruikers en apparaten, wat betekent dat je kunt volgen hoe een medewerker bepaalde applicaties op verschillende apparatuur gebruikt en de relevante regels handhaaft.

Werkend op basis van alle Cisco ASA 5500-X-modellen (van 5512-X tot 5585-X), biedt Cisco ASA CX het binden van regels aan een gebruikersaccount in Active Directory, controle over meer dan 1100 applicaties (Facebook, LinkedIn, Skype , BitTorrent, iCloud, Dropbox, Google Drive, MS Windows Azure, Salesforce CRM, Oracle e-Business Suite, MS Lync, Tor, etc.), tijdregistratie en toegang vragen, en vele andere taken. Waarin Cisco ASA CX is niet alleen een op zichzelf staand multi-gigabit-platform, maar integreert nauw met andere Cisco-beveiligingsoplossingen- Cisco IPS-systeem voor inbraakpreventie, Cisco ISE-autorisatie- en controlesysteem voor netwerktoegang, Cisco Web Security-systeem voor webverkeersbeveiliging, enz.

Zoals Alexey Lukatsky benadrukt, houdt een dergelijke firewall ook rekening met de "waas" van de netwerkperimeter. Dankzij integratie met Cisco ISE en de volledige netwerkinfrastructuur van Cisco kan het bijvoorbeeld herkennen dat verkeer afkomstig is van de persoonlijke iPad van een medewerker en vervolgens, afhankelijk van het beveiligingsbeleid, deze dynamisch blokkeren of alleen toegang geven tot bepaalde interne bronnen. Als deze toegang wordt uitgevoerd vanaf een zakelijk mobiel apparaat, kunnen de privileges worden uitgebreid.

Tegelijkertijd functioneert ASA CX niet alleen volgens het principe vriend/vijand (persoonlijk/zakelijk), maar houdt ook rekening met de mobiel apparaat OS, zijn versie, beschikbaarheid van updates en andere "patches", evenals de werking van de antivirus en de relevantie van zijn databases, enz. Toegang wordt niet verleend door de IP-adressen van de afzender en ontvanger, maar afhankelijk van een een hele reeks parameters, die het mogelijk maakt om een ​​flexibel beleid te implementeren voor het verbinden met beschermde bronnen, ongeacht of de gebruiker zich buiten of binnen bevindt en of hij een bekabelde of draadloze verbinding gebruikt, een persoonlijk of zakelijk apparaat.

De Dell SonicWALL Firewall gebruikt een steeds groter wordende database met handtekeningen om meer dan 3.500 applicaties en hun functies te identificeren. SonicWALL ReassemblyFree Deep Packet Inspection (RFDPI)-technologie scant pakketten voor elk protocol en elke interface. Experts van SonicWALL Research Team creëren nieuwe handtekeningen die automatisch worden geleverd aan bestaande firewalls. Klanten kunnen indien nodig zelf handtekeningen toevoegen. In de SonicWALL Visualization Dashboard- en Real-Time Monitor-vensters kunnen beheerders specifieke applicaties op het netwerk zien, evenals wie ze gebruikt en hoe. Deze informatie is handig voor het instellen van beleid en diagnose.

Entensys heeft ook de functionaliteit van zijn product uitgebreid. UserGate Proxy & Firewall versie 6.0 uitgebracht in november 2012 bevat een volwaardige VPN-server en IPS-systeem. Dit UTM-product wordt aangeboden in de vorm van software of appliance. Naast functies die direct verband houden met beveiliging, hebben de ontwikkelaars veel aandacht besteed aan het filteren van inhoud en controle over internettoepassingen. In 2012 werden de functies van morfologische analyse van verzonden informatie verbeterd voor het filteren van inkomend en uitgaand verkeer, en werd een krachtige en functionele inhoudfilterserver UserGate Web Filter 3.0 uitgebracht, die kan worden gebruikt in combinatie met elke UTM-oplossing van derden.

Fortinet, vaak geassocieerd met UTM, introduceerde vorig jaar de FortiGate3240C, wat meer een NGFW-product is. Fortinet FortiGate-apparaten gebruiken protocoldecoders en decodering van netwerkverkeer om applicaties te identificeren. Ontwikkelaars onderhouden een database waarin ze handtekeningen van nieuwe applicaties toevoegen en, met de release van nieuwe versies, bijgewerkte handtekeningen van bestaande. Met deze informatie maken Fortinet-producten onderscheid tussen applicaties en passen ze verschillende regels toe op elke applicatie. Het bedrijf beweert dat zijn producten een hoger prestatie- en integratieniveau hebben in vergelijking met concurrerende oplossingen, aangezien alle technologieën door het bedrijf in eigen huis worden ontwikkeld. F5 Networks en Riverbed vestigden ook de aandacht op de NGFW-functies: samen met McAfee (Intel) en andere leveranciers van iintegreren ze deze in hardware en software om het WAN-verkeer te optimaliseren.

Juniper Networks implementeert de NGFW-functionaliteit van SRX Services Gateways in de AppSecure-applicatiesuite. AppTrack maakt ook gebruik van Juniper's database met applicatiehandtekeningen, aangevuld met handtekeningen die zijn gegenereerd door klantbeheerders. AppTrack identificeert applicaties en AppFirewall en AppQoS bieden beleidshandhaving en controle over applicatieverkeer. Volgens de fabrikant is dit platform zeer schaalbaar en werkt het met snelheden tot 100 Gbps.

Intel-onderdeel McAfee gebruikt AppPrism-technologie om applicaties in McAfee Firewall Enterprise te herkennen en duizenden applicaties te identificeren, ongeacht poorten en protocollen. Daarnaast worden handtekeningen gebruikt die zijn ontwikkeld door McAfee Global Threat Intelligence-experts. Met AppPrism kunnen beheerders voorkomen dat niet alleen de applicaties zelf worden uitgevoerd, maar ook hun "risicovolle" componenten- blokkeer bijvoorbeeld de Skype-functie voor het delen van bestanden door berichten toe te staan. Net als Juniper noemt McAfee gepatenteerde technologie en applicatiehandtekeningen als sterke punten van zijn oplossing.

De App-ID-technologie van Palo Alto Networks gebruikt verschillende methoden om applicaties te identificeren: decodering, detectie, decodering, handtekeningen, heuristieken, enz.... V App-ID's elke combinatie ervan kan worden gebruikt, waardoor u alle versies van de toepassing kunt identificeren, evenals het besturingssysteem waarin deze wordt uitgevoerd. In overeenstemming met de App-ID van de applicatie past de Palo Alto-firewall een regel toe op zijn verkeer, bijvoorbeeld dat bestandsoverdracht kan worden geblokkeerd. Daarnaast kunnen App-ID's worden aangevuld met nieuwe methoden voor het identificeren en identificeren van applicaties door ze in te bedden in classificatiemechanismen.

Stonesoft heeft zijn reeks firewalls in 2012 niet bijgewerkt, maar heeft een nieuwe Evasion Prevention System (EPS) -oplossing aangekondigd. Deze tool is ontworpen om cyberaanvallen te detecteren en te voorkomen die gebruikmaken van dynamische bypass-technieken.(Advanced Evasion Technique, AET - technieken die worden gebruikt in combinatie met) netwerk aanvallen om beveiligingssystemen te omzeilen) en misbruik te maken van de kwetsbaarheden van beveiligingssystemen. Zoals Dmitry Ushakov zei, biedt het product: extra niveau beveiliging voor reeds geïnstalleerde NGFW-, IPS- en UTM-apparaten in organisaties die kwetsbaar zijn voor AET. Dit is een nieuwe klasse apparaten die is ontworpen om geavanceerde pogingen van indringers om het netwerk van een organisatie binnen te dringen, te bestrijden.

“Vandaag de dag begrijpen werkgevers dat hun werknemers soms toegang nodig hebben tot verboden sites (wervingssites, sociale netwerken, enz.) en berichtensystemen (Skype, ICQ). In dit verband worden applicaties van de "witte" (u mag) en "zwarte" lijsten (u kunt niet) verplaatst naar het gebied van "grijze" (het is mogelijk onder bepaalde voorwaarden of op een bepaald moment). Er wordt voorgesteld om dit informatiebeveiligingsbeleid te formuleren in de vorm van toegangsregels', zegt Dmitry Ushakov.

Volgens Alexander Kushnarev, technisch adviseur bij Rainbow Security (distributeur van WatchGuard Technologies), heeft WatchGuard nieuwe virtuele versies van zijn XTMv- en XCSv-producten onthuld, evenals hardwareplatforms van de volgende generatie "met marktleidende UTM-prestaties". WatchGuard XTM-appliances gebruiken WatchGuard Reputation Enabled Defense om gebruikers te beschermen tegen kwaadwillende websites en tegelijkertijd de netwerkbelasting aanzienlijk te verminderen. Deze service biedt superieure bescherming tegen webbedreigingen, sneller surfen op het web, flexibel beheer en uitgebreide rapportagemogelijkheden.

“We zien de vraag naar UTM-apparaten groeien. De nieuwste generatie WatchGuard-hardwareplatforms kunnen UTM-enabled verkeer verwerken met dezelfde snelheid als eerdere generaties alleen eenvoudige pakketfiltering konden uitvoeren. Het veranderen van uw WatchGuard-firewalls in een UTM-apparaat is alles wat nodig is om uw licentie te activeren. Als de klant alleen pakketten hoeft te filteren en VPN-tunnels moet organiseren, past een firewall in de klassieke zin bij hem', zegt Alexander Kushnarev.

Hij benadrukt dat er nu veel vraag is naar de applicatiebeheerfuncties in NGFW: bedrijven willen de toegang van werknemers tot sociale netwerken en gamingsites reguleren. Tot de relevante UTM-tools behoren URL-filtering met ondersteuning voor een database met Russischtalige sites, evenals: volledige ondersteuning poortaggregatie en reputatie van externe bronnen. Dit laatste draagt ​​bij aan hoogwaardige detectie en preventieve blokkering van verkeer van botnets. Bovendien zijn de meeste klanten geïnteresseerd in kostenbesparingen en gemakkelijke, handige configuratie-instellingen, dus alles-in-één-oplossingen zoals WatchGuard XTM zullen voor hen de juiste optie zijn.

Tot twee of drie jaar geleden waren klanten sceptisch over NGFW, maar nu de concurrentie in deze markt groot genoeg is, kunnen ze kiezen uit een breed scala aan hoogwaardige NGFW-producten. Cybersecurity-analisten voorspellen dat de wereldwijde markt voor enterprise-class firewalls tot 2018 jaarlijks met meer dan 11% zal groeien. Firewalls zijn echter geen wondermiddel. Bij het kiezen van een oplossing moet u duidelijk definiëren welke functies nodig zijn, ervoor zorgen dat de beveiligingseigenschappen die door de leverancier zijn aangegeven, kunnen worden geïmplementeerd in een specifieke werkomgeving, dat het bedrijf (of de uitbesteder) voldoende middelen heeft om het beveiligingsbeleid te beheren.

En houd er natuurlijk rekening mee dat NGFW's perimeterbeveiligingsapparaten blijven. Ze vervullen hun functie perfect bij toegang tot internet, maar “ mobiele beveiliging"Er is meer nodig. Vandaag moet NGFW worden versterkt door cloud en mobiele oplossingen veiligheid en "in staat zijn" de context te herkennen. Na verloop van tijd zullen deze oplossingen betaalbaarder, eenvoudiger en functioneler worden en zal het cloudmodel aanpassingen doorvoeren in de manier waarop u ze beheert.

Sergey Orlov- Hoofdredacteur van het "Journal of Network Solutions / LAN". U kunt contact met hem opnemen via: