UTM-klasse nettverkssikkerhetssystemer. Hvordan en mystisk UTM-løsning vil hjelpe din bedrift. UTM-klasseløsninger

Legg igjen en kommentar 6,950

Artikkelen diskuterer rollen til UTM-systemer når det gjelder nettverkssikkerhetskrav pålagt av virksomheten. En grunnleggende analyse av "maktbalansen" i det globale og russiske markedet gjennomføres. Under UTM-systemer (universelle sikkerhetsporter) vil vi mene en klasse med multifunksjonelle nettverksenheter, hovedsakelig brannmurer, som inneholder mange funksjoner som anti-spam, anti-virus, inntrengingsbeskyttelse (IDS / IPS) og innholdsfiltrering.

Introduksjon

Risikoen ved bruk av nettverk er kjent. Men under moderne forhold er det ikke lenger mulig å forlate sistnevnte. Dermed gjenstår det bare å minimere dem til et akseptabelt nivå.

I prinsippet kan to tilnærminger skilles for å sikre integrert sikkerhet. Den første kalles ofte klassisk eller tradisjonell. Essensen er basert på aksiomet "et spesialisert produkt er bedre enn en multifunksjonell skurtresker".

Men med veksten av muligheter ulike løsninger, begynte "flaskehalsene" ved deres felles bruk å dukke opp. Så på grunn av autonomien til hvert produkt, var det en duplisering av funksjonelt innhold, som til slutt påvirket ytelsen og den endelige kostnaden, ikke til det bedre. I tillegg var det ingen garantier for at ulike løsninger fra ulike produsenter ville «fredelig sameksistere» med hverandre, og ikke komme i konflikt. Dette skapte i sin tur også ytterligere vanskeligheter for implementering, administrasjon og vedlikehold av systemer. Til slutt var det et spørsmål om samspillet mellom ulike løsninger med hverandre (utveksling av informasjon for å bygge "det store bildet", sammenhengen mellom hendelser osv.) og bekvemmeligheten av å administrere dem.

Fra et forretningsmessig synspunkt bør enhver løsning være effektiv ikke bare i det praktiske aspektet. Det er viktig at det på den ene siden gjør det mulig å redusere de totale eierkostnadene, og på den andre siden øker det ikke kompleksiteten til infrastrukturen. Derfor var spørsmålet om utseendet til UTM-systemer bare et spørsmål om tid.

Hva er Universal Security Gateways (UTM)?

Vi gir en kort beskrivelse av de mest populære løsningene.

Fortinet (det er FSTEC-sertifisering)

Fortinet tilbyr et bredt utvalg av oppstillingen enheter som spenner fra FortiGate-20-serien for små bedrifter og kontorer til FortiGate-5000-serien for veldig store bedrifter og leverandører. FortiGate-plattformer bruker FortiOS-operativsystemet med FortiASIC-koprosessorer og annen maskinvare. Hvert FortiGate-apparat inkluderer:

  • Brannmur, VPN og Traffic Shaping;
  • Intrusion Prevention System (IPS);
  • Antivirus / Antimalware;
  • Integrert Wi-Fi-kontroller;
  • Programkontroll;
  • Beskyttelse mot datalekkasjer;
  • Søk etter sårbarheter;
  • IPv6-støtte;
  • Nettfiltrering;
  • Anti spam;
  • VoIP-støtte;
  • Ruting/bytte;
  • WAN-optimalisering og web-caching.

Enheter mottar dynamiske oppdateringer fra det globale forskningssenteret FortiGuard Labs. FortiGate-baserte produkter har også sofistikert nettverksfunksjonalitet, inkludert klynging (aktiv/aktiv, aktiv/passiv) og virtuelle domener(VDOM), som gjør det mulig å skille nettverk som krever ulike sikkerhetspolicyer.

Check Point (det er FSTEC-sertifisering)

Selskap sjekkpunkt fremhever følgende fordeler for sin Sjekk enheter Punkt UTM-1:

  • Utprøvde teknologier som er klarert av Fortune 500-selskaper;
  • Alt du trenger for å beskytte nettverket ditt: funksjonalitet, oppdateringer og sikkerhetsadministrasjon;
  • Beskytte nettverk, systemer og brukere mot mange typer angrep fra Internett
  • Sikre konfidensialitet ved å beskytte ekstern tilgang og kommunikasjon mellom noder;
  • Rask og enkel sikkerhetsdistribusjon og administrasjon med mange sikkerhetsfunksjoner i én enhet og et bredt utvalg av enheter for bedrifter i alle størrelser - fra små kontorer til store bedrifter;
  • Beskytt mot nye trusler med Check Point Update Service.

Alle UTM-enheter kan inkludere programvareblader som: brannmur, VPN, inntrengningsforebyggende system, SSL VPN, virus-/spyware-/spambeskyttelse, brannmur for beskyttelse av nettapplikasjoner og nettfiltrering. Andre programvareblader kan legges til etter ønske. Flere tekniske spesifikasjoner finner du.

Dell

Nok en industrileder, mer fokusert på store bedrifter enn på mellomstore og små bedrifter. Oppkjøpet i 2012 av Sonicwall har hatt en positiv innvirkning på porteføljen av løsninger som tilbys. Alle løsninger, fra SuperMassive E10800 til TZ 100, er bygget på den proprietære Network Security SonicOS-plattformen og inkluderer:

  • neste generasjons brannmur;
  • Programkontroll;
  • Dyp analyse av pakker (inkludert de som er kryptert med SSL);
  • Organisering av VPN og SSL VPN;
  • Antivirus;
  • Nettfiltrering;
  • Intrusion Prevention System (IPS).

Flere tekniske spesifikasjoner finner du.

WatchGuard (sertifisert av FSTEC)

I UTM-linjen er WatchGuard representert av Firebox X-enheter basert på flerlagsarkitekturen til Intelligent Layered Security. Arkitekturen består av seks beskyttelseslag som samhandler med hverandre:

  • "Eksterne sikkerhetstjenester" - tilbyr teknologier som utvider nettverksbeskyttelse utover brannmuren;
  • "Dataintegritet" - kontrollerer integriteten til pakkene og deres samsvar med protokollene;
  • "VPN" - sjekker kryptert ytre forbindelser organisasjoner;
  • En brannmur med dynamisk analyse begrenser trafikk fra kilder til de destinasjonene og portene som er tillatt i samsvar med sikkerhetspolicyen;
  • "Dyp analyse av applikasjoner" - sikrer deres samsvar med applikasjonslaget til ISO-modellen, kutter av farlige filer etter mønster eller filtype, blokkerer farlige kommandoer og konverterer data for å unngå lekkasje;
  • "Innholdssikkerhet" - analyserer og ordner trafikk for den tilsvarende applikasjonen. Eksempler på dette er signaturbaserte teknologier, spamblokkeringstjenester og URL-filtrering.

På grunn av dette blir mistenkelig trafikk dynamisk oppdaget og blokkert, mens normal trafikk tillates inne i nettverket.

Systemet bruker også sine egne:

  • Antivirus / inntrengingsforebyggende system på gatewayen;
  • nettblokker;
  • spam-blokkering.

Flere tekniske spesifikasjoner finner du.

Sophos (det er et FSTEC-sertifikat)

Modellutvalget til selskapets enheter er representert av UTM xxx-linjen (fra den yngre modellen UTM 100 til den eldre UTM 625). De viktigste forskjellene er i gjennomstrømning.

Løsningene inkluderer en rekke integrerte nettverksapplikasjoner:

  • DPI brannmur;
  • Inntrengningsdeteksjonssystem og nettfiltrering;
  • E-postsikkerhet og beskyttelse
  • Innholdsfiltre;
  • Antivirus trafikkkontroll;
  • Nettverkstjeneste (VLAN, DNS, DHCP, VPN);
  • Rapportering.

Løsningene lar deg sikre sikkerhet og beskyttelse av nettverkssegmenter og nettverkstjenester i ttil SOHO, SME, Enterprise, ISP og gi kontroll og finrens av IP-trafikk på nettverkslaget. applikasjonsnivåer (FW, IDS/IPS, VPN, Mail Security, WEB/FTP/IM/P2P Security, Anti-virus, Anti-spam).

Flere tekniske spesifikasjoner finner du.

NETASQ

NETASQ, en del av EADS Corporation, spesialiserer seg på å bygge forsvarsbaserte brannmurer for pålitelig å beskytte nettverk av alle størrelser. NETASQ UTM-enheter er sertifisert av NATO og EU, og overholder også EAL4+-klassen i Common Criteria for Assessing Information Technology Security.

Selskapet fremhever fordelene med produktene sine:

  1. NETASQ Vulnerability Manager;
  2. Anti-spam med e-postfiltrering;
  3. Integrasjon med Kaspersky Anti-Virus;
  4. URL-filtrering med kontinuerlige oppdateringer fra skyen;
  5. Filtrering inne i SSL/TLS;
  6. VPN-løsninger med maskinvareakselerasjon;

Selskapets portefølje inkluderer både maskinvare og virtuelle UTM-skjermer (henholdsvis U-serien og V-serien). V-serien er sertifisert av Citrix og VMware. U-serien har på sin side en imponerende tid mellom feil (MTBF) - 9-11 år.

Flere tekniske spesifikasjoner finner du.

Cisco (det er et FSTEC-sertifikat)

Selskapet tilbyr løsninger for både store (Cisco ASA XXX Series) og små/mellomstore bedrifter (Cisco Small Business ISA XXX Series). Løsningsstøttefunksjoner:

  • Applikasjonskontroll og applikasjonsatferd;
  • Nettfiltrering;
  • Botnet beskyttelse;
  • Beskyttelse mot Internett-trusler i en modus så nær sanntid som mulig;

Også gitt:

  • Støtte for to VPN-nettverk for kommunikasjon mellom kontorer og partnere, utvides til 25 (ASA 5505) eller 750 (ASA 5520) ansatte
  • Støtte fra 5 (ASA 5505) til 250 (ASA 5550) LAN-brukere fra hvor som helst

Flere tekniske spesifikasjoner finner du.

Juniper Networks

Den funksjonelle retningen til UTM støttes av enhetslinjene i SRX-serien og J-serien.

De viktigste fordelene inkluderer:

  • Omfattende flerlagsbeskyttelse inkludert anti-malware, IPS, URL-filtrering, innholdsfiltrering og anti-spam;
  • Programkontroll og beskyttelse ved å bruke brukerrollebaserte retningslinjer for å motvirke angrep på Web 2.0-applikasjoner og -tjenester;
  • Forhåndsinstallerte UTM-verktøy med hurtigkobling;
  • Minimumskostnader for kjøp og vedlikehold av en sikker gateway innenfor en enkelt produsent av et beskyttende kompleks.

Løsningen består av flere komponenter:

  • Antivirus. Beskytter nettverket mot skadelig programvare, virus, spyware, ormer, trojanere og andre angrep, så vel som e-post- og nettrusler som kan sette virksomhetens forretnings- og bedriftsressurser i fare. Anti-malware-beskyttelsessystemet innebygd i UTM er basert på antivirusmotoren til Kaspersky Lab.
  • IPS. Søke om ulike metoder deteksjon, inkl. protokoll- og trafikkavvikdeteksjon, kontekstuelle signaturer, SYN-flomdeteksjon, deteksjon av falsk svindel og bakdørsdeteksjon.
  • AppSecure. Applikasjonsbevisst sikkerhetspakke som analyserer trafikk, gir rik applikasjonssynlighet (applikasjonssynlighet), håndhever regler brannmur for applikasjoner, lar deg kontrollere bruken av applikasjoner og beskytte nettverket.
  • Forbedret nettfiltrering (EWF) gir beskyttelse mot potensielt skadelige nettsteder på flere måter. Teknologien bruker 95 kategorier av URL-er, som lar deg organisere deres fleksible kontroll, hjelper administratorer med å spore nettverksaktivitet og sikrer overholdelse av bedriftens retningslinjer for bruk av nettressurser. EWF bruker sanntids nettverksbasert omdømmeanalyse siste generasjon, som skanner mer enn 40 millioner nettsteder per time for skadelig kode. EWF opprettholder også en samlet risikoscore for alle nettadresser, både kategoriserte og ukategoriserte, slik at selskaper kan overvåke og/eller blokkere nettsteder med dårlig rykte.
  • Anti spam.

Flere tekniske spesifikasjoner finner du.

konklusjoner

Det russiske markedet for UTM-systemer er definitivt av interesse for både produsenter og potensielle kjøpere. Men på grunn av veletablerte "tradisjoner" må produsenter gjennomføre en samtidig "kamp" både på forsiden av sertifisering og bygging av en partnerkanal, og innen markedsføring og promotering.

Så man kan allerede i dag observere hvordan nesten alle de vurderte selskapene jobber med å oversette materialer til russisk, anskaffe nye partnere og også sertifisere løsningene deres. For eksempel, i 2012 etablerte Dell et eget selskap, Dell Russia, spesielt for det russiske markedet (selskapet vil ikke engang forholde seg til sine "nærmeste naboer" - Ukraina og Hviterussland). Innenlandske utviklere står heller ikke stille og utvikler sine løsninger. Det er bemerkelsesverdig at mange produsenter (både innenlandske og utenlandske) integrerer tredjepartsmoduler i produktene sine. Antivirusmodulen er veiledende i denne forbindelse: ulike UTM-systemer bruker ClamAV, Kaspersky Anti-Virus, Avira AV, Dr.Web, etc.

Likevel er konklusjonen klar: Det russiske markedet vurderes seriøst og på lang sikt. Så langt er det ingen som planlegger å trekke seg tilbake, noe som betyr at vi er i forkant av kampen om en plass under den hjemlige solen. Tross alt er "nr. 1 i verden" slett ikke det samme som "nr. 1 i Russland".

FIENDE VED PORTEN
OVERSIKT OVER POPULÆRE UTM-LØSNINGER
Det moderne Internett er full av mange trusler, og administratorer må bruke brorparten av arbeidstiden sin på nettverkssikkerhet. Etter å ha dukket opp på IT-markedet, vakte UTM multifunksjonelle sikkerhetsenheter umiddelbart oppmerksomheten til sikkerhetseksperter, da de kombinerer flere beskyttelsesmoduler med enkel distribusjon og administrasjon.

HVA ER UTM?
Bedrifter trenger et pålitelig og enkelt å administrere verktøy for å beskytte mot nettverksangrep, virus, spam og sikker kommunikasjon. Problemstillingen er spesielt akutt i nettverkene til små og mellomstore bedrifter, hvor det ofte ikke er teknisk og økonomisk mulighetå implementere heterogene sikkerhetssystemer. Og det er vanligvis ikke nok utdannede spesialister i slike organisasjoner. Det er for disse forholdene multifunksjonelle flerlags nettverksenheter ble utviklet, kalt UTM (Unified Threat Management, unified protection device). Etter å ha vokst fra brannmurer, kombinerer UTM-er i dag funksjonene til flere løsninger: en brannmur med DPI (Deep Packet Inspection), et inntrengningsbeskyttelsessystem (IDS / IPS), anti-spam, antivirus og innholdsfiltrering. Ofte har disse enhetene muligheten VPN-organisasjoner, brukerautentisering, lastbalansering, trafikkregnskap og annet. En alt-i-ett-enhet med en enkelt innstillingskonsoll kan raskt settes i drift, og i fremtiden er det like enkelt å oppdatere alle funksjoner eller legge til nye. Alt som kreves fra en spesialist er en forståelse av hva og hvordan du skal beskytte. Prisen på UTM er generelt lavere enn prisen for flere applikasjoner og/eller enheter.
UTM-markedet er ganske stort og viser en årlig økning på 25-30 % (erstatter gradvis den «rene» brannmuren), nesten alle store aktører har allerede presentert sine løsninger, både maskinvare og programvare. Hvilken man skal bruke er ofte et spørsmål om smak og tillit til utvikleren, tilstrekkelig støtte og selvfølgelig spesifikke forhold er også viktig. Det eneste poenget er at du bør velge en pålitelig og produktiv server, med tanke på den planlagte belastningen, for nå vil ett system utføre flere kontroller, noe som vil kreve ekstra ressurser. Samtidig må du være forsiktig: egenskapene til UTM-løsninger indikerer vanligvis gjennomstrømmingen til brannmuren, og IPS, VPN-funksjoner og andre komponenter er ofte en størrelsesorden lavere. UTM-serveren er et enkelt tilgangspunkt, hvis feil i praksis vil forlate organisasjonen uten Internett, så en rekke gjenopprettingsalternativer vil heller ikke være overflødige. Maskinvareimplementeringer har ofte ekstra koprosessorer som brukes til å behandle visse typer data, for eksempel kryptering eller kontekstparsing, for å avlaste hoved-CPU. Men programvareimplementeringen kan installeres på hvilken som helst PC, med mulighet for ytterligere oppgradering av hvilken som helst komponent. I denne forbindelse er OpenBoyce-løsninger (Untangle, pfSense, Endian og andre) av interesse, som gir betydelige besparelser på programvare. De fleste av disse prosjektene tilbyr også kommersielle versjoner med avanserte funksjoner og teknisk støtte.

California-selskapet Fortinet, grunnlagt i 2000, er i dag en av de største leverandørene av UTM-enheter orientert mot ulike arbeidsbelastninger – fra et lite kontor (FortiGate-30) til databehandlingssentre (FortiGate-5000). FortiGate-apparater er en maskinvareplattform som gir beskyttelse mot nettverkstrusler. Plattformen er utstyrt med brannmur, IDS/IPS, anti-virus trafikksjekking, anti-spam, webfilter og applikasjonskontroll. Noen modeller støtter DLP, VoIP, trafikkforming, WAN-optimalisering, feiltoleranse, brukerautentisering for tilgang til nettverkstjenester, PKI og andre. Den aktive profilmekanismen lar deg oppdage atypisk trafikk (med automatisk respons på en slik hendelse). Anti-Virus kan skanne filer i alle størrelser, inkludert de i arkiver, mens du lagrer høy level opptreden. Nettfiltreringsmekanismen lar deg angi tilgang til mer enn 75 kategorier av nettsteder, spesifisere kvoter, inkludert de som avhenger av tidspunktet på dagen. For eksempel kan tilgang til underholdningsportaler bare tillates utenom åpningstidene. Programkontrollmodulen oppdager typisk trafikk (Skype, P2P, IM, etc.) uavhengig av porten, trafikkformingsregler er spesifisert for individuelle søknader og kategorier. Sikkerhetssoner og virtuelle domener lar deg dele nettverket inn i logiske undernett. Noen modeller har Layer 2 LAN-svitsjgrensesnitt og WAN-grensesnitt, ruter over RIP-protokoller, 0SPF og BGP. Gatewayen kan konfigureres i ett av tre alternativer: transparent modus, statisk og dynamisk NAT, som lar deg implementere FortiGate smertefritt i ethvert nettverk. For å beskytte tilgangspunkter brukes en spesiell modifikasjon med Wi-Fi - FortiWiFi. For å dekke systemer (Windows-PCer, Android-smarttelefoner) som opererer utenfor det pålitelige nettverket, kan FortiClient-agentprogramvare installeres på dem, som inkluderer et komplett sett med beskyttelse (brannmur, antivirus, 5SL og IPsec VPN , IPS, nettfilter, anti-spam og mer). FortiManager og FortiAnalyzer brukes til å sentralt administrere flere Fortinet-enheter og analysere hendelseslogger.
I tillegg til web- og terminalgrensesnittet, for grunnleggende konfigurasjon av FortiGate / FortiWiFi, kan du bruke FortiExplorer-programmet (tilgjengelig i versjonen for Win og Mac OS X), som gir tilgang til GUI og CLI (kommandoer ligner Cisco). En av funksjonene til FortiGate er et spesialisert sett med FortiASIC-brikker, som gir innholdsanalyse og prosessering nettverkstrafikk og tillate sanntidsdeteksjon nettverkstrusler uten å påvirke nettverksytelsen. Alle enheter bruker et spesialisert operativsystem - FortiOS.

Sjekkpunkt UTM-1
PLATTFORM: Check Point UTM-1 PROSJEKTNETTSTED: rus.checkpoint.com LISENS: betalt REALISERING: maskinvare Check Point tilbyr tre linjer med enheter UTM klasse: UTM-1, UTM-1 Edge (eksterne kontorer) og SafeOFice (små bedrifter). Løsningene inneholder alt du trenger for å beskytte nettverket ditt: brannmur, IPS, antivirus-gateway, anti-spam, byggeverktøy SSL VPN og ekstern tilgang. Brannmuren er i stand til å skille mellom trafikk som er iboende i de fleste applikasjoner og tjenester (mer enn 200 protokoller), administratoren kan enkelt blokkere tilgang til IM, P2P-nettverk eller Skype. Tilbyr nettapplikasjonsbeskyttelse og et URL-filter, Check Point-databasen inneholder flere millioner nettsteder som enkelt kan blokkeres tilgang til. Antiviruset skanner HTTP/FTP/SMTP/P0P3/IMAP-strømmer, har ingen filstørrelsesgrenser og kan fungere med arkiver. UTM-1-modeller med bokstaven W er tilgjengelige med en innebygd prikk WiFi-tilgang. IPS bruker ulike metoder for deteksjon og analyse: sårbarhetssignaturer, analyse av protokoller og oppførsel av objekter, oppdagelse av anomalier. Analysemotoren er i stand til å isolere potensielt farlige forespørsler og data, så bare 10 % av trafikken blir nøye sjekket, resten går uten ytterligere kontroller. Dette reduserer belastningen på systemet og forbedrer effektiviteten til UTM. Anti-spam-systemet bruker flere teknologier – IP-omdømme, innholdsanalyse, svarte og hvite lister. Dynamisk ruting av OSPF, BGP og RIP støttes, flere brukerautentiseringsmetoder (passord, RADIUS, SecurelD og andre), en DHCP-server tilbys. Løsningen bruker en modulær arkitektur, de såkalte Software Blades (programvareblader) tillater, om nødvendig, å utvide funksjonaliteten, og gir det nødvendige nivået av sikkerhet og kostnad. Så du kan ettermontere gatewayen med blader Web Security (deteksjon og beskyttelse av nettinfrastruktur), VoIP (VoIP-beskyttelse), Advanced Networking, Acceleration & Clustering ( maksimal ytelse og tilgjengelighet i forgrenede miljøer). For eksempel, Nettteknologier Application Firewall og Advanced Streaming Inspection, brukt i nettsikkerhet, tillater sanntidsbehandling av konteksten, selv om den er delt opp i flere TCP-pakker, erstatning av overskrifter, skjuler data om applikasjonene som brukes, omdirigerer brukeren til en side med en detaljert beskrivelse av feilen.
Fjernkontroll er mulig ved hjelp av web og Telnet /
SSH. Til sentraliserte innstillinger Flere enheter kan bruke Check Point SmartCenter, som bruker sin Security Management Architecture-teknologi til å administrere alle Check Point-elementer som er inkludert i en sikkerhetspolicy. Funksjonene til SmartCenter utvides med tilleggsmoduler, gir policyvisualisering, LDAP-integrasjon, oppdateringer, rapporter og mer. Alle UTM-oppdateringer mottas sentralt ved hjelp av Check Point Update Service.

Zywall 1000
PLATTFORM: ZyWALL 1000 PROSJEKTNETTSTED: zyxel.ru LISENS: betalt REALISERING: maskinvare De fleste sikkerhetsgatewayene produsert av ZyXEL, på grunn av deres evner, kan trygt tilskrives UTM, selv om det ifølge den offisielle klassifiseringen i dag er fem ZyWALL USG 50 /100 modeller i denne linjen /300/1000/2000 for små og mellomstore nettverk (opptil 500 brukere). ZyXEL-terminologi refererer til disse enhetene som "Nettverkssikkerhetssentre". Så ZyWALL 1000 er en høyhastighets tilgangsporter designet for å løse problemer med nettverkssikkerhet og trafikkstyring. Inkluderer Kaspersky streaming antivirus, IDS/IPS, innholdsfiltrering og spambeskyttelse (Blue Coat og Commtouch), båndbreddekontroll og VPN (IPsec, SSL og L2TP over IPsec VPN). Forresten, når du kjøper, bør du ta hensyn til fastvaren - internasjonal eller for Russland. I sistnevnte, på grunn av tollunionens restriksjoner på tunneler IPsec VPN Og SSL VPN en 56-bits DES-nøkkel brukes. Tilgangspolicyer er basert på flere kriterier (IP, bruker og tid). Innholdsfiltreringsverktøy gjør det enkelt å begrense tilgangen til nettsteder med et bestemt emne og driften av noen programmer IM, P2P, VoIP, post og andre. IDS-systemet bruker signaturer og beskytter mot nettverksormer, trojanere, bakdører, DDoS og utnyttelser. teknologi oppdaget
fiskeavvik)

© Copyright 2017, https://qzoreteam.ru