Typer brannmurer. Sikkerhet: brannmurer, inntrengningsdeteksjon. Intervju med D-Link-selskapet. Brannmurklassifisering

Legg igjen en kommentar 6,950

Når vi snakker om maskinvare- og programvarekomponenten i informasjonssikkerhetssystemet, bør det erkjennes at det er mest effektiv metode beskyttelse av lokale nettverksobjekter (nettverkssegment) mot påvirkning fra åpne nettverk(for eksempel Internett), forutsetter plasseringen av et bestemt element som overvåker og filtrerer nettverkspakkene som passerer gjennom det i samsvar med de spesifiserte reglene. Et slikt element ble navngitt brannmur (brannmur) eller brannmur, brannmur.

Brannmur, brannmur, brannmur, brannmur- dannet ved translitterasjon av det engelske begrepet brannmur.

Brannmur (tysk Brandmauer)- et begrep lånt fra det tyske språket, som er en analog av den engelske "brannmuren" i sin opprinnelige betydning (en vegg som skiller tilstøtende bygninger, og forhindrer spredning av brann).

Brannmur / brannmur (ITU)- et kompleks av maskinvare eller programvare som overvåker og filtrerer nettverkspakker som passerer gjennom det ved hjelp av forskjellige protokoller i samsvar med de spesifiserte reglene.

Brannmurens hovedoppgave er å beskytte datanettverk og/eller individuelle noder fra uautorisert tilgang. Noen ganger kalles brannmurer filtre, siden deres hovedoppgave ikke er å sende (filtrere) pakker som ikke samsvarer med kriteriene definert i konfigurasjonen.

For effektivt å sikre sikkerheten til nettverket, overvåker og kontrollerer brannmuren all dataflyt som går gjennom det. For å ta kontrollbeslutninger for TCP/IP-tjenester (det vil si å overføre, blokkere eller logge tilkoblingsforsøk), må brannmuren motta, huske, velge og behandle informasjon mottatt fra alle kommunikasjonslag og fra andre applikasjoner.

Brannmuren sender all trafikk gjennom seg selv, og tar en avgjørelse angående hver passerende pakke: om den skal tillates å passere eller ikke. For at brannmuren skal kunne utføre denne operasjonen, må den definere et sett med filtreringsregler. Beslutningen om å bruke en brannmur til å filtrere datapakker knyttet til spesifikke protokoller og adresser avhenger av sikkerhetspolicyen til det beskyttede nettverket. I hovedsak er en brannmur et sett med komponenter som er konfigurert til å implementere det valgte sikkerhetspolitikk... Hver organisasjons retningslinjer for nettverkssikkerhet bør inkludere (blant annet) to komponenter: en policy for tilgang til nettverkstjenester og en policy for implementering av brannmurer.

Det er imidlertid ikke nok bare å teste pakker individuelt. Tilkoblingsstatusinformasjon hentet fra tidligere tilkoblingsinspeksjoner og andre applikasjoner er en viktig faktor i ledelsesbeslutningen når man forsøker å etablere en ny tilkobling. For beslutningstaking kan både tilkoblingstilstanden (hentet fra tidligere datastrøm) og applikasjonstilstanden (innhentet fra andre applikasjoner) vurderes.

Derfor krever ledelsesbeslutninger at brannmuren skal kunne få tilgang til, analysere og utnytte følgende faktorer:

  • tilkoblingsinformasjon - informasjon fra alle syv lagene (OSI-modeller) i pakken;
  • tilkoblingshistorikk - informasjon mottatt fra tidligere tilkoblinger;
  • tilstand på applikasjonsnivå - informasjon om tilstanden til forbindelsen mottatt fra andre applikasjoner;
  • manipulere informasjon - beregne en rekke uttrykk basert på alle de ovennevnte faktorene.
Typer brannmurer

Det finnes flere typer brannmurer, avhengig av følgende egenskaper:

  • om skjoldet gir en forbindelse mellom en node og et nettverk, eller mellom to eller flere forskjellige nettverk;
  • om trafikkkontroll skjer på nettverkslaget eller høyere lag av OSI-modellen;
  • om tilstandene til aktive tilkoblinger overvåkes eller ikke.

Avhengig av dekningen til de overvåkede datastrømmene, er brannmurer delt inn i:

  • tradisjonell brannmur (eller brannmur)- et program (eller en integrert del av et operativsystem) på en gateway (en enhet som overfører trafikk mellom nettverk) eller en maskinvareløsning som kontrollerer innkommende og utgående datastrømmer mellom tilkoblede nettverk (objekter i et distribuert nettverk);
  • personlig brannmur- et program installert på brukerens datamaskin og designet for å beskytte kun denne datamaskinen mot uautorisert tilgang.

Avhengig av OSI-laget som tilgangskontroll finner sted på, kan brannmurer fungere på:

  • nettverkslaget når filtrering er basert på adressene til avsender og mottaker av pakker, portnumre til transportlaget til OSI-modellen og statiske regler satt av administratoren;
  • øktnivå(også kjent som statelig) når økter overvåkes mellom applikasjoner og pakker som bryter med TCP/IP-spesifikasjoner, ofte brukt i ondsinnede operasjoner – ressursskanning, hacking gjennom feil TCP/IP-implementeringer, frakoblede/bremsede tilkoblinger, datainjeksjon blir ikke bestått;
  • applikasjonsnivå(eller applikasjonslag), når filtrering er basert på analyse av applikasjonsdata overført i pakken. Disse typer skjermer lar deg blokkere overføring av uønsket og potensielt skadelig informasjon basert på retningslinjer og innstillinger.

Filtrering på nettverkslaget

Filtrering av innkommende og utgående pakker utføres på grunnlag av informasjon som finnes i følgende felt av TCP- og IP-overskrifter for pakker: Avsender IP-adresse; Mottakers IP-adresse; sender port; mottakerport.

Filtrering kan implementeres forskjellige måter for å blokkere tilkoblinger til bestemte datamaskiner eller porter. Du kan for eksempel blokkere tilkoblinger fra bestemte adresser til datamaskiner og nettverk som anses som upålitelige.

  • relativt lave kostnader;
  • fleksibilitet i å definere filtreringsregler;
  • liten forsinkelse i passasjen av pakker.

Ulemper:

  • samler ikke fragmenterte pakker;
  • det er ingen måte å spore relasjoner (forbindelser) mellom pakker.?

Filtrering på øktnivå

Avhengig av hvordan aktive tilkoblinger overvåkes, kan brannmurer være:

  • statsløs(enkel filtrering), som ikke sporer gjeldende tilkoblinger (for eksempel TCP), men filtrerer datastrømmen utelukkende basert på statiske regler;
  • stateful, stateful packet inspection (SPI)(filtrering basert på kontekst), overvåker gjeldende tilkoblinger og sender bare de pakkene som tilfredsstiller logikken og algoritmene til de tilsvarende protokollene og applikasjonene.

SPI-brannmurer lar deg mer effektivt bekjempe ulike typer DoS-angrep og sårbarheter i enkelte nettverksprotokoller. I tillegg støtter de protokoller som H.323, SIP, FTP osv. som bruker komplekse kretsløp overføring av data mellom mottakere, dårlig tilgjengelig for beskrivelse av statiske regler, og ofte uforenlig med standard, statsløs brannmurer.

Fordelene med denne filtreringen inkluderer:

  • analyse av innholdet i pakkene;
  • Det kreves ingen informasjon om hvordan Layer 7-protokollene fungerer.

Ulemper:

  • vanskelig å analysere applikasjonsnivådata (muligens ved bruk av ALG - Application level gateway).

Applikasjonsnivå gateway, ALG- en komponent av en NAT-ruter som forstår en applikasjonsprotokoll og, når pakkene til denne protokollen passerer gjennom den, modifiserer dem på en slik måte at brukere som står bak NAT kan bruke protokollen.

ALG gir støtte for protokoller på applikasjonsnivå (som SIP, H.323, FTP osv.) som Network Address Translation ikke er tillatt for. Denne tjenesten bestemmer typen applikasjon i pakker som kommer fra grensesnittet internt nettverk og hensiktsmessig utføre adresse-/portoversettelse for dem gjennom det eksterne grensesnittet.

SPI-teknologi(Stateful Packet Inspection) eller stateful packet inspection-teknologi er i dag den ledende metoden for trafikkkontroll. Denne teknologien tillater datakontroll ned til applikasjonslaget uten å kreve en separat proxy- eller proxy-applikasjon for hver beskyttet protokoll eller nettverkstjeneste.

Historisk sett kom utviklingen av brannmurer fra generelle pakkefiltre, deretter begynte proxy-programmer for individuelle protokoller å dukke opp, og til slutt ble stateful inspeksjonsteknologi utviklet. Tidligere teknologier utfylte bare hverandre, men ga ikke omfattende kontroll over forbindelser. Pakkefiltre har ikke tilgang til informasjon om tilstanden til forbindelsen og applikasjonen, som er nødvendig for å ta en endelig avgjørelse fra sikkerhetssystemet. Proxy-programmer behandler kun data på applikasjonsnivå, noe som ofte skaper ulike muligheter for systemkompromittering. Den stateful inspeksjonsarkitekturen er unik ved at den tillater helheten mulig informasjon passerer gjennom gatewaymaskinen: data fra pakken, data om tilstanden til tilkoblingen, data som kreves for applikasjonen.

Et eksempel på hvordan Stateful Inspection fungerer... Brannmuren overvåker FTP-økten ved å sjekke dataene på applikasjonsnivå. Når en klient ber serveren om å åpne en omvendt tilkobling (FTP PORT-kommando), trekker brannmuren ut portnummeret fra denne forespørselen. Listen lagrer klient- og serveradresser, portnumre. Når den oppdager et forsøk på å etablere en FTP-dataforbindelse, skanner brannmuren listen og sjekker om denne forbindelsen virkelig er et svar på en gyldig klientforespørsel. Listen over tilkoblinger opprettholdes dynamisk slik at bare de nødvendige FTP-portene er åpne. Så snart økten er stengt, blokkeres portene, noe som gir et høyt sikkerhetsnivå.

Filtrering på applikasjonsnivå

For å beskytte noen av sårbarhetene som ligger i pakkefiltrering, må brannmurer bruke applikasjonsprogrammer for å filtrere forbindelser med tjenester som Telnet, HTTP, FTP. Lignende applikasjon kalt proxy-tjeneste og verten som kjører proxy-tjenesten er en gateway på applikasjonsnivå. Denne gatewayen eliminerer direkte kommunikasjon mellom den autoriserte klienten og den eksterne verten. Gatewayen filtrerer alle innkommende og utgående pakker på applikasjonslaget (applikasjonslag - toppnivå nettverksmodell) og kan analysere datainnhold, for eksempel en URL i en HTTP-melding eller en kommando i en FTP-melding. Noen ganger er pakkefiltrering mer effektiv basert på informasjonen i selve dataene. Pakkefiltre og lenkelagsfiltre bruker ikke innholdet i trafikkflyten til å ta filtreringsbeslutninger, men de kan gjøres med filtrering på applikasjonsnivå. Applikasjonslagfiltre kan bruke informasjon fra pakkehodet samt datainnhold og brukerinformasjon. Administratorer kan bruke applikasjonslagfiltrering for å kontrollere tilgang basert på brukeridentitet og/eller basert på spesifikk oppgave som brukeren prøver å implementere. I applikasjonslagsfiltre kan du angi regler basert på kommandoene utstedt av applikasjonen. En administrator kan for eksempel hindre en spesifikk bruker i å laste ned filer til en bestemt datamaskin ved hjelp av FTP, eller tillate en bruker å legge ut filer via FTP til samme datamaskin.

Sammenligning av maskinvare- og programvarebrannmurer

Til sammenligning er brannmurer delt inn i to typer: 1. - maskinvare og programvare og maskinvare, og 2. - programvare.

Maskinvare- og fastvarebrannmurer inkluderer enheter installert på kanten av nettverket. Programvarebrannmurer er de som er installert på sluttvertene.

Hovedretningene som er iboende i både den første og andre typen:

  • å sikre sikkerheten til innkommende og utgående trafikk;
  • Øk nettverkssikkerheten betydelig og reduser risikoen for verter på subnettet ved filtrering av kjente usikrede tjenester;
  • evnen til å kontrollere tilgang til nettverkssystemer;
  • varsling av hendelser ved hjelp av passende alarmer som utløses når mistenkelig aktivitet oppstår (undersøkelsesforsøk eller angrep);
  • gir en rimelig sikkerhetsløsning som er enkel å implementere og lett å administrere.

Maskinvare- og programvare- og maskinvarebrannmurer støtter i tillegg funksjonalitet som lar deg:

  • forhindre at informasjon mottas fra det beskyttede delnettet eller injiseres i det beskyttede delnettet ved bruk av sårbare tjenester;
  • registrere tilgangsforsøk og gi nødvendig statistikk om bruk av Internett;
  • tilveiebringe midler for å regulere rekkefølgen for tilgang til nettverket;
  • gi sentralisert trafikkstyring.

Programvarebrannmurer, i tillegg til hovedområdene, tillater:

  • kontrollere lanseringen av applikasjoner på verten der de er installert;
  • beskytte gjenstanden mot penetrasjon gjennom "lukene" (bakdører);
  • gi beskyttelse mot interne trusler.

Brannmuren er ikke en symmetrisk enhet. Han skiller mellom begrepene «utenfor» og «innsiden». Brannmuren beskytter det indre området fra et ukontrollert og potensielt fiendtlig ytre miljø. Samtidig lar brannmuren deg avgrense tilgang til objekter i det offentlige nettverket fra emnene til det beskyttede nettverket. Ved brudd på myndigheten blokkeres tilgangssubjektets arbeid, og alt nødvendig informasjon skrives til loggen.

Brannmurer kan også brukes i sikre bedriftsnettverk. Hvis det lokale nettverket inneholder undernett med ulik grad av konfidensialitet av informasjon, bør slike fragmenter skilles fra brannmurer. I dette tilfellet kalles skjermene interne.




Hvorfor trenger du en brannmur i en ruter

Det trådløse nettverket trenger nøye beskyttelse, fordi de gunstigste mulighetene for avskjæring av informasjon skapes her. Derfor, hvis flere datamaskiner er koblet til nettverket ved hjelp av en ruter (ruter), bør brannmuren installeres og brukes ikke bare på hver datamaskin, men også på ruteren. For eksempel utføres funksjonen til en brannmur i en ruter i DI-XXX-serien av SPI, som utfører ekstra sjekk pakker. Emnet for kontrollen er om pakkene tilhører den etablerte forbindelsen.

Under tilkoblingsøkten åpnes en port som kan forsøkes å angripe av fremmede pakker, et spesielt gunstig øyeblikk for dette - når økten er fullført, og porten forblir åpen i noen minutter til. Derfor husker SPI gjeldende status for økten og analyserer alle innkommende pakker. De må svare til forventet - komme fra adressen som forespørselen ble sendt til, har visse tall... Hvis pakken ikke samsvarer med økten, det vil si at den er feil, blokkeres den, og denne hendelsen registreres i loggen. En annen brannmur på ruteren lar deg blokkere utgående tilkoblinger fra en infisert datamaskin.

Med et stort utvalg av profesjonelle programvareverktøy for beskyttelse mot ulike typer angrep på et lokalt nettverk utenfra (det vil si fra Internett), har de alle en alvorlig ulempe - høye kostnader. Og hvis vi snakker om små nettverk av SOHO-klassen, så er det å kjøpe solide pakker en utillatelig luksus. Samtidig bør det bemerkes at for små nettverk kan egenskapene til slike pakker til og med være overdrevne. Derfor, for å beskytte små nettverk av SOHO-klassen, er rimelige maskinvareløsninger - brannmurer - mye brukt. Ved sin utforming kan brannmurer enten implementeres som en separat løsning, eller være en integrert del av rutere i SOHO-klassen, spesielt trådløse rutere, som gjør det mulig å kombinere kablede og trådløse LAN-segmenter på basis av dem.
I denne artikkelen vil vi dekke det viktigste funksjonalitet moderne maskinvarebrannmurer som er innebygd i rutere i SOHO-klassen og brukes til å gi beskyttelse for små lokalnettverk.

Brannmurer som en del av rutere

Siden rutere er nettverksenheter som sitter i grensen mellom interne og eksterne nettverk og fungerer som en nettverksporter, bør de være utformet med minst to porter. En av disse portene kobles til det lokale nettverket og denne porten blir den interne LAN-porten. Et eksternt nettverk (Internett) er koblet til den andre porten, og gjør den om til en ekstern WAN-port. Som regel har rutere i SOHO-klassen én WAN-port og flere (fra én til fire) LAN-porter, som er kombinert til en svitsj. I de fleste tilfeller har WAN-porten til svitsjen et 10 / 100Base-TX-grensesnitt, og enten et xDSL-modem med passende grensesnitt eller en Ethernet-nettverkskabel kan kobles til den.

I tillegg har den utbredte bruken av trådløse nettverk ført til fremveksten av en hel klasse med såkalte trådløse rutere. Disse enhetene, i tillegg til den klassiske ruteren med WAN- og LAN-porter, inneholder et integrert trådløst tilgangspunkt som støtter IEEE 802.11a / b / g-protokollen. Det trådløse segmentet av nettverket, som lar deg organisere et tilgangspunkt, fra ruterens synspunkt, refererer til det interne nettverket, og i denne forstand er datamaskiner koblet til ruteren trådløst ikke forskjellige fra de som er koblet til LAN-port.

Enhver ruter, som en nettverkslagsenhet, har sin egen IP-adresse. I tillegg til ruteren har WAN-porten også sin egen IP-adresse.

Datamaskiner koblet til LAN-portene på ruteren må ha en IP-adresse på samme subnett som ruteren selv. I tillegg, i nettverksinnstillingene til disse PC-ene, må du angi standard gateway-adresse som samsvarer med IP-adressen til ruteren. Til slutt må enheten koblet til WAN-porten fra det eksterne nettverket ha en IP-adresse fra samme subnett som WAN-porten til ruteren.

Siden ruteren fungerer som en gateway mellom det lokale nettverket og Internett, er det logisk å forvente av den en funksjon som å beskytte det interne nettverket mot uautorisert tilgang. Derfor har nesten alle moderne rutere i SOHO-klassen innebygde hardware-brannmurer, også kalt brannmurer.

Brannmurfunksjoner

Hovedoppgaven til enhver brannmur kommer til syvende og sist ned på å sikre det interne nettverket. For å løse dette problemet må brannmurer kunne maskere det beskyttede nettverket, blokkere alle kjente typer hackerangrep, blokkere informasjonslekkasje fra det interne nettverket og kontrollere applikasjoner som får tilgang til det eksterne nettverket.

For å implementere disse funksjonene analyserer brannmurer all trafikk mellom de eksterne og interne nettverkene for samsvar med visse etablerte kriterier eller regler som bestemmer betingelsene for trafikkflyt fra ett nettverk til et annet. Hvis trafikk oppfyller de angitte kriteriene, vil brannmuren tillate den å passere gjennom seg selv. Ellers, det vil si at hvis de angitte kriteriene ikke oppfylles, blokkeres trafikken av brannmuren. Brannmurer filtrerer både inngående og utgående trafikk og lar deg også kontrollere tilgangen til spesifikke nettverksressurser eller applikasjoner. De kan registrere alle forsøk på uautorisert tilgang til lokale nettverksressurser og gi advarsler om inntrengingsforsøk.

Av formålet ligner brannmurer mest av alt et sjekkpunkt (sjekkpunkt) til et bevoktet anlegg, der dokumenter blir sjekket for alle som kommer inn på anleggets territorium og alle som forlater det. Hvis passet er i orden, tillates tilgang til territoriet. Brannmurer fungerer på nøyaktig samme måte, bare nettverkspakker fungerer som personer som passerer gjennom sjekkpunktet, og passet er korrespondansen til overskriftene til disse pakkene til et forhåndsdefinert sett med regler.

Er brannmurer så pålitelige?

Kan en brannmur sies å være 100 prosent sikker på en brukers nettverk eller personlige PC? Selvfølgelig ikke. Om ikke annet fordi ingen system i det hele tatt gir en 100% sikkerhetsgaranti. En brannmur bør behandles som et verktøy som, hvis den er konfigurert riktig, betydelig kan komplisere oppgaven til en angriper å trenge inn i Personlig datamaskin bruker. Vi understreker: bare for å komplisere, men ikke i det hele tatt for å garantere absolutt sikkerhet. Forresten, hvis vi ikke snakker om å beskytte det lokale nettverket, men om å beskytte en individuell PC med Internett-tilgang, klarer ICF (Internet Connection Firewall) brannmuren innebygd i Windows XP-operativsystemet vellykket å sikre sin personlige sikkerhet. Derfor vil vi i fremtiden bare snakke om bedriftens maskinvarebrannmurer fokusert på å beskytte små nettverk.

Hvis brannmuren som er installert ved inngangen til det lokale nettverket aktiveres av fullt program(som regel tilsvarer dette standardinnstillingene), da er nettverket det beskytter helt ugjennomtrengelig og utilgjengelig fra utsiden. Imidlertid har en slik fullstendig ugjennomtrengelighet av det interne nettverket sin ulempe. Faktum er at i dette tilfellet blir det umulig å bruke Internett-tjenester (for eksempel ICQ og lignende programmer) installert på PC-en. Dermed er oppgaven med å konfigurere en brannmur å lage vinduer i den opprinnelig tomme veggen, som er en brannmur for en angriper, slik at brukerprogrammer kan svare på forespørsler fra utsiden og til slutt implementere kontrollert interaksjon av det interne nettverket med verden utenfor... Men jo flere slike vinduer dukker opp i en slik vegg, jo mer sårbart blir selve nettverket. Så vi understreker nok en gang: ingen brannmur kan garantere den absolutte sikkerheten til det lokale nettverket den beskytter.

Brannmurklassifisering

Brannmurfunksjoner og intelligens avhenger av laget i OSI-referansemodellen de opererer på. Jo høyere OSI-laget som brannmuren er bygget på, desto høyere beskyttelsesnivå gir den.

Husk at OSI-modellen (Open System Interconnection) inkluderer syv lag med nettverksarkitektur. Det første, det laveste, er det fysiske nivået. Den etterfølges av datalink, nettverk, transport, økt, presentasjon og applikasjons- eller applikasjonslag. For å gi trafikkfiltrering, må brannmuren fungere minst i det tredje laget av OSI-modellen, det vil si på nettverkslaget, hvor pakker rutes basert på oversettelse av MAC-adresser til nettverksadresser. Fra synspunktet til TCP / IP-protokollen tilsvarer dette laget IP-laget (Internet Protocol). Ved å motta informasjon om nettverkslag, er brannmurer i stand til å bestemme kilde- og destinasjonsadressene til pakken og sjekke om trafikken mellom disse destinasjonene er akseptabel. Det er imidlertid ikke nok nettverkslagsinformasjon til å analysere innholdet i pakken. Brannmurer som opererer på transportlaget til OSI-modellen får litt mer informasjon om pakker og kan i denne forstand gi mer intelligente ordninger for å beskytte nettverk. Når det gjelder brannmurer på applikasjonsnivå, har de full informasjon om nettverkspakker som betyr at slike brannmurer gir den mest pålitelige nettverksbeskyttelsen.

Avhengig av nivået på OSI-modellen som brannmurer fungerer på, har følgende klassifisering av disse enhetene historisk utviklet seg:

  • pakke filter;
  • gateway på kretsnivå;
  • applikasjonsnivå gateway;
  • Stateful Packet Inspection (SPI).

Merk at denne klassifiseringen kun er av historisk interesse, siden alle moderne brannmurer tilhører kategorien de mest avanserte (når det gjelder nettverksbeskyttelse) SPI-brannmurer.

Pakkefiltre

Pakkefilterbrannmurer er de enkleste (minst intelligente). Disse brannmurene opererer på nettverkslaget til OSI-modellen eller IP-laget til TCP/IP-protokollstabelen. Slike brannmurer er obligatoriske i hver ruter, siden enhver ruter opererer minst på det tredje laget av OSI-modellen.

Hensikten med pakkefiltre er å filtrere pakker basert på kilde- eller destinasjons-IP-adresseinformasjon og portnumre.

I pakkefilterbrannmurer analyseres hver pakke for å oppfylle overføringskriteriene eller blokkere overføring før den overføres. Avhengig av pakken og de definerte overføringskriteriene, kan brannmuren videresende pakken, avvise den eller sende en melding til opphavsmannen til overføringen.

Pakkefiltre er enkle å implementere og har liten eller ingen effekt på rutehastigheten.

Innganger på øktnivå

Session Layer Gateways er brannmurer som opererer på sesjonslaget til OSI-modellen eller TCP-laget (Transport Control Protocol) i TCP/IP-protokollstabelen. Disse brannmurene overvåker prosessen med å etablere en TCP-forbindelse (organiseringen av kommunikasjonsøkter mellom sluttmaskiner) og lar deg avgjøre om denne kommunikasjonsøkten er legitim. Data overført til ekstern datamaskin på det eksterne nettverket gjennom en gateway på sesjonsnivå, ikke inneholder informasjon om overføringskilden, det vil si at alt ser ut som om dataene sendes av selve brannmuren, og ikke av en datamaskin på det interne (beskyttede) nettverket. Alle NAT-brannmurer er sesjonslaggatewayer (NAT vil bli beskrevet nedenfor).

Gatewayer på øktnivå påvirker heller ikke rutinghastigheten nevneverdig. Samtidig er disse gatewayene ikke i stand til å filtrere individuelle pakker.

Søknadsporter

Applikasjonslaggatewayer, eller proxy-servere, opererer på applikasjonslaget til OSI-modellen. Applikasjonslaget er ansvarlig for å få tilgang til applikasjonene til nettverket. Oppgaver på dette nivået inkluderer filoverføring, e-postmeldinger og nettverksadministrasjon. Ved å motta informasjon om pakker på applikasjonsnivå, kan gatewayer på applikasjonsnivå implementere blokkering av tilgang til visse tjenester. For eksempel, hvis gatewayen til applikasjonslaget er konfigurert som en web-proxy, vil all trafikk relatert til Telnet, FTP, Gopher-protokollene bli blokkert. Siden disse brannmurene analyserer pakker i applikasjonslaget, er de i stand til å filtrere spesifikke kommandoer som http: post, get, etc. Denne funksjonen er ikke tilgjengelig for verken pakkefiltre eller gatewayer på øktnivå. Gatewayer på applikasjonsnivå kan også brukes til å registrere aktiviteten til individuelle brukere og etablere kommunikasjonsøkter av dem. Disse brannmurene tilbyr en mer pålitelig måte å beskytte nettverk enn øktgatewayer og pakkefiltre.

SPI brannmurer

Den nyeste typen brannmur, Stateful Packet Inspection (SPI), kombinerer fordelene med pakkefiltre, øktgatewayer og applikasjonsgatewayer på samme tid. Det vil si at vi faktisk snakker om flerlags brannmurer som opererer samtidig på nettverks-, sesjons- og applikasjonsnivå.

SPI-brannmurer filtrerer pakker på nettverkslaget, bestemmer legitimiteten til å etablere en økt basert på sesjonslagsdataene og analyserer innholdet i pakkene basert på applikasjonslagsdataene.

Disse brannmurene gir den mest pålitelige måten å beskytte nettverk på og er de facto-standarden i dag.

Konfigurering av brannmurer

Metodikken og konfigurasjonsalternativene for brannmurer varierer fra modell til modell. Dessverre er det ingen enhetlige tilpasningsregler, enn si et enhetlig grensesnitt. Vi kan bare snakke om noen generelle regler som bør følges. Egentlig er den grunnleggende regelen ganske enkel - det er nødvendig å forby alt som ikke er nødvendig for normal funksjon av nettverket.

Som oftest går mulighetene for å konfigurere brannmurer ned på å aktivere noen forhåndsdefinerte regler og lage statiske regler i form av en tabell.

La oss ta som eksempel mulighetene for å konfigurere brannmuren som er inkludert i Gigabyte GN-B49G-ruteren. Denne ruteren har en rekke forhåndsdefinerte regler for å håndheve ulike sikkerhetsnivåer på det interne nettverket. Disse reglene inkluderer følgende:

  • Tilgang til ruterens konfigurasjon og administrasjon fra WAN-siden er forbudt. Aktivering av denne funksjonen forbyr tilgang til ruterinnstillingene fra det eksterne nettverket;
  • Tilgang fra Global-IP til Private-IP er forbudt i LAN. Denne funksjonen lar deg blokkere tilgang innenfor det lokale nettverket fra globale IP-adresser (hvis noen) til IP-adresser reservert for privat bruk;
  • Forhindre fil- og skriverdeling fra utenfor ruterens nettverk. Funksjonen hindrer bruk av delt tilgang til skrivere og filer på det interne nettverket fra utsiden;
  • Eksistensen av ruteren kan ikke oppdages fra WAN-siden. Denne funksjonen gjør ruteren usynlig fra det eksterne nettverket;
  • Angrep av typen Denial of Service (DoS) forhindres. Når denne funksjonen er aktivert, implementeres beskyttelse mot DoS-angrep (Denial of Service). DoS-angrep er en type nettverksangrep som involverer flere forespørsler til en server som ber om en tjeneste levert av systemet. Serveren bruker ressursene sine på å etablere en tilkobling og vedlikeholde den, og med en viss flyt av forespørsler kan den ikke takle dem. Beskyttelse mot angrep av denne typen er basert på å analysere kildene til overflødig trafikk sammenlignet med normal trafikk og forby overføringen.

Som vi allerede har bemerket, har mange brannmurer forhåndsdefinerte regler som iboende er de samme som de som er oppført ovenfor, men kan ha forskjellige navn.

En annen måte å konfigurere brannmuren på er å lage statiske regler som lar deg ikke bare beskytte nettverket fra utsiden, men også begrense lokale nettverksbrukere fra å få tilgang til det eksterne nettverket. Mulighetene for å lage regler er ganske fleksible og lar deg implementere nesten enhver situasjon. For å opprette en regel, angi kilde-IP-adressen (eller rekkevidden av adresser), kildeporter, IP-adresser og destinasjonsporter, protokolltype, pakkeoverføringsretning (fra det interne nettverket til det eksterne nettverket eller omvendt), samt handling som skal iverksettes når en pakke oppdages med de angitte egenskapene (slipp eller hopp over pakken). For eksempel, hvis du vil forby brukere av det interne nettverket (IP-adresseområde: 192.168.1.1-192.168.1.100) fra å få tilgang til FTP-serveren (port 21) som ligger på den eksterne IP-adressen 64.233.183.104, kan regelen være formulert som følger:

  • pakkevideresendingsretning: LAN-til-WAN;
  • Kilde IP-adresser: 192.168.1.1-192.168.1.100;
  • kildeport: 1-65535;
  • mottakerport: 21;
  • protokoll: TCP;
  • handling: slipp.

Den statiske konfigurasjonen av en brannmurregel for eksemplet ovenfor er vist i fig. 1.

NAT som en del av brannmuren

Alle moderne rutere med innebygde brannmurer støtter Network Address Translation (NAT).

NAT er ikke en del av en brannmur, men det bidrar også til å forbedre nettverkssikkerheten. Hovedoppgaven til NAT-protokollen er å løse problemet med mangel på IP-adresser, som blir mer og mer presserende etter hvert som antallet datamaskiner vokser.

Faktum er at i den nåværende versjonen av IPv4-protokollen er fire byte tildelt for å bestemme IP-adressen, noe som gjør det mulig å generere over fire milliarder adresser til nettverksdatamaskiner. Selvfølgelig, i de tidlige dagene av Internett, var det vanskelig å forestille seg at en dag dette antallet IP-adresser kanskje ikke var nok. For å delvis løse problemet med mangel på IP-adresser, ble NAT-nettverkforeslått på en gang.

NAT er definert av RFC 1631, som definerer hvordan nettverksadresser oversettes.

I de fleste tilfeller oversetter en NAT-enhet IP-adresser reservert for privat bruk på lokale nettverk til offentlige IP-adresser.

Det private adresserommet er regulert av RFC 1918. Disse adressene inkluderer følgende IP-områder: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-15252.51.

I følge RFC 1918 kan private IP-adresser ikke brukes på WAN, så de kan kun brukes fritt til interne formål.

Før vi går videre til spesifikasjonene til NAT-protokollen, la oss se på hvordan en nettverkstilkobling oppstår mellom to PC-er.

Når en datamaskin på nettverket oppretter en forbindelse med en annen datamaskin, åpnes en stikkontakt, identifisert av kilde-IP-adressen, kildeporten, destinasjons-IP-adressen, destinasjonsporten og nettverksprotokollen. IP-pakkeformatet gir et to-byte-felt for portnumre. Dette lar deg definere 65 535 porter, som spiller rollen som en slags kommunikasjonskanaler. Av de 65 535 portene er de første 1023 reservert for kjente servertjenester som Web, FTP, Telnet, etc. Alle andre porter kan brukes til andre formål.

Hvis for eksempel én datamaskin i nettverket får tilgang til en FTP-server (port 21), så når du åpner en stikkontakt operativsystem tildeler økten til en hvilken som helst port høyere enn 1023. Det kan for eksempel være port 2153. Da vil IP-pakken som sendes fra PC-en til FTP-serveren inneholde avsenderens IP-adresse, avsenderens port (2153), mottakerens IP-adresse og destinasjonsporten ( 21). Avsenderens IP-adresse og port vil bli brukt til å svare fra serveren til klienten. Ved å bruke forskjellige porter for forskjellige nettverksøkter kan nettverksklienter samtidig etablere flere økter med forskjellige servere eller med tjenestene til en server.

La oss nå se på prosessen med å etablere en økt når du bruker en NAT-ruter på grensen til det interne nettverket og Internett.

Når en klient på det interne nettverket etablerer en forbindelse med en server på det eksterne nettverket, åpnes det, som i tilfellet med å etablere en forbindelse mellom to PC-er, en socket bestemt av kildens IP-adresse, kildeport, destinasjons-IP-adresse, destinasjonsport og nettverksprotokoll. Når en applikasjon overfører data over denne kontakten, settes kildens IP-adresse og kildeporten inn i pakken i kildeparameterfeltene. Destinasjonsparameterfeltene vil inneholde serverens IP-adresse og serverport. For eksempel kan en datamaskin på det interne nettverket med en IP-adresse på 192.168.0.1 få tilgang til en webserver på WAN med en IP-adresse på 64.233.188.104. I dette tilfellet kan operativsystemet til klienten tildele den etablerte sesjonsporten 1251 (kildeporten), og destinasjonsporten er porten til webtjenesten, det vil si 80. Deretter vil følgende attributter bli indikert i overskriften til den sendte pakken (fig. 2):

  • kildeport: 1251;
  • Mottakers IP-adresse: 64.233.183.104;
  • mottakerport: 80;
  • protokoll: TCP.

NAT-enheten (ruteren) avskjærer pakken som går ut fra det interne nettverket og legger inn kartleggingen av kilde- og destinasjonsportene til pakken i sin interne tabell ved å bruke destinasjons-IP-adressen, destinasjonsporten, ekstern NAT-enhetens IP-adresse, ekstern port, nettverk protokoll, og interne IP-er -adresse og port til klienten.

Anta at i eksemplet ovenfor har NAT-ruteren en ekstern IP-adresse 195.2.91.103 (WAN-portadressen), og for den etablerte økten er den eksterne porten til NAT-enheten 3210. I dette tilfellet er den interne kilden og destinasjonen portkartleggingstabellen for pakken inneholder følgende informasjon:

  • Kilde IP: 192.168.0.1;
  • kildeport: 1251;
  • ekstern IP-adresse

NAT-enheter: 195.2.91.103;

  • ekstern port på NAT-enheten: 3210;
  • Mottakers IP-adresse: 64.233.183.104;
  • mottakerport: 80;
  • protokoll: TCP.

NAT-enheten "oversetter" deretter pakken og transformerer kildefeltene i pakken: klientens interne IP-adresse og port erstattes med NATs eksterne IP-adresse og port. I dette eksemplet vil den konverterte pakken inneholde følgende informasjon:

  • Kilde IP: 195.2.91.103
  • kildeport: 3210;
  • Mottakers IP-adresse: 64.233.183.104;
  • mottakerport: 80;
  • protokoll: TCP.

Den konverterte pakken sendes over det eksterne nettverket og kommer til slutt til den angitte serveren.

Etter å ha mottatt pakken, vil serveren videresende svarpakkene til den eksterne IP-adressen og porten til NAT-enheten (ruteren), og spesifisere sin egen IP-adresse og port i kildefeltene (Figur 3). I det betraktede eksemplet vil svarpakken fra serveren inneholde følgende informasjon i overskriften:

  • kildeport: 80;
  • Mottakers IP-adresse: 195.2.91.103;
  • mottakerport: 3210;
  • protokoll: TCP.

Ris. 3. Prinsippet for drift av en NAT-enhet ved overføring av en pakke fra et eksternt nettverk til et internt

NAT-enheten godtar disse pakkene fra serveren og analyserer innholdet basert på portkartleggingstabellen. Hvis det finnes en porttilordning i tabellen der kilde-IP-adressen, kildeporten, destinasjonsporten og nettverksprotokollen fra den innkommende pakken samsvarer med IP-adressen til den eksterne verten, med ekstern port og med nettverksprotokollen spesifisert i portkartleggingen, vil NAT utføre den omvendte oversettelsen: erstatte den eksterne IP-adressen og den eksterne porten i pakkedestinasjonsfeltene med IP-adressen og den interne porten til klienten på det interne nettverket. Dermed vil en pakke som sendes til det interne nettverket for eksemplet ovenfor ha følgende attributter:

  • Kilde IP: 64.233.183.104;
  • kildeport: 80;
  • Mottakers IP-adresse: 192.168.0.1;
  • mottakerport: 1251;
  • protokoll: TCP.

Men hvis det ikke er samsvar i portkartleggingstabellen, forkastes den innkommende pakken og tilkoblingen avbrytes.

Takket være en NAT-ruter kan enhver PC på det interne nettverket overføre data til WAN ved å bruke den eksterne IP-adressen og porten til ruteren. Samtidig forblir IP-adressene til det interne nettverket, som portene som er tildelt øktene, usynlige fra det eksterne nettverket.

En NAT-ruter tillater imidlertid bare kommunikasjon mellom datamaskiner på det interne og eksterne nettverket hvis denne utvekslingen initieres av en datamaskin på det interne nettverket. Hvis en datamaskin på det eksterne nettverket prøver å få tilgang til datamaskinen på det indre nettverket på eget initiativ, blir denne tilkoblingen avvist av NAT-enheten. Derfor, i tillegg til å løse problemet med utilstrekkelige IP-adresser, hjelper NAT også med å forbedre sikkerheten til det interne nettverket.

Problemer med NAT-enheter

Til tross for den tilsynelatende enkelheten i driften av NAT-enheter, er det noen problemer knyttet til dem, som ofte kompliserer organiseringen av samhandling mellom datamaskiner i nettverk eller til og med hindre etableringen. For eksempel, hvis det lokale nettverket er beskyttet av en NAT-enhet, kan enhver klient på det interne nettverket opprette en tilkobling til WAN-serveren, men ikke omvendt. Det vil si at du ikke kan starte en tilkobling fra det eksterne nettverket til en server som ligger i det interne nettverket bak en NAT-enhet. Men hva om det er en tjeneste på det interne nettverket (som en FTP eller webserver) som brukere på det eksterne nettverket må ha tilgang til? For å løse dette problemet bruker NAT-rutere DMZ- og portvideresendingsteknologier, som vil bli beskrevet i detalj nedenfor.

Et annet problem med NAT-enheter er at noen nettverksapplikasjoner inkluderer IP-adressen og porten i datadelen av pakken. Det er tydelig at en NAT-enhet ikke er i stand til å oversette slike adresser. Som et resultat, hvis en nettverksapplikasjon setter inn en IP-adresse eller port i nyttelastdelen av en pakke, vil serveren som svarer på en slik pakke bruke den nestede IP-adressen og porten som det ikke er noen tilsvarende kartoppføring i innvendig bord NAT-enheter. Som et resultat vil en slik pakke bli droppet av NAT-enheten, og derfor bruker applikasjoner denne teknologien vil ikke kunne fungere med NAT-enheter.

Det er nettverksapplikasjoner som bruker én port (som kildeport) når data overføres, men venter på svar på en annen port. NAT-enheten analyserer den utgående trafikken og kartlegger kildeporten. NAT-enheten vet imidlertid ikke at det forventes et svar på en annen port og kan ikke utføre den tilsvarende tilordningen. Som et resultat vil svarpakker adressert til en port som det ikke er noen tilordning for i den interne tabellen til NAT-enheten, bli slettet.

Et annet problem med NAT-enheter er flere tilganger til samme port. Tenk på en situasjon når flere klienter i et lokalt nettverk, atskilt fra det eksterne nettverket med en NAT-enhet, får tilgang til samme standardport. Dette kan for eksempel være port 80, som er reservert for en webtjeneste. Siden alle klienter på det interne nettverket bruker samme IP-adresse, oppstår spørsmålet: Hvordan kan en NAT-enhet bestemme hvilken klient på det interne nettverket den eksterne forespørselen tilhører? For å løse dette problemet har bare én klient på det interne nettverket tilgang til standardporten om gangen.

Statisk portkartlegging

For å gjøre visse applikasjoner som kjører på en server på det interne nettverket (som en webserver eller FTP-server) tilgjengelige fra det eksterne nettverket, må det settes opp en kartlegging på NAT-enheten mellom portene som brukes av visse applikasjoner og IP-adresser disse serverne på det interne nettverket som disse programmene kjører på. I dette tilfellet snakker de om portmapping-teknologi, og serveren på det interne nettverket kalles en virtuell server. Som et resultat vil enhver forespørsel fra det eksterne nettverket til den eksterne IP-adressen til NAT-enheten (ruteren) via den angitte porten automatisk omdirigeres til den angitte virtuelle serveren på det interne nettverket.

For eksempel, hvis en virtuell FTP-server er konfigurert på det interne nettverket, som kjører på en PC med IP-adressen 192.168.0.10, vil IP-adressen til den virtuelle serveren (192.168.0.10) når du konfigurerer den virtuelle serveren. protokollen som brukes (TCP) og applikasjonsporten er satt (21). I dette tilfellet, når du får tilgang til den eksterne adressen til NAT-enheten (WAN-porten til ruteren) på port 21, kan en bruker på det eksterne nettverket få tilgang til FTP-serveren til det interne nettverket, til tross for bruk av NAT-protokollen. Et eksempel på å konfigurere en virtuell server på en ekte NAT-ruter er vist i fig. 4.

Vanligvis lar NAT-rutere deg lage flere statiske portvideresendinger. Så på en virtuell server kan du åpne flere porter samtidig eller lage flere virtuelle servere med forskjellige IP-adresser. Med statisk portvideresending kan du imidlertid ikke videresende én port til flere IP-adresser, det vil si at en port kan tilsvare én enkelt IP-adresse. Det er for eksempel umulig å konfigurere flere webservere med forskjellige IP-adresser - for dette må du endre standard webserverport og når du får tilgang til den 80. porten i ruterkonfigurasjonen, spesifisere den endrede webporten som privat port server.

De fleste rutermodeller lar deg også angi statisk portgruppevideresending, det vil si å assosiere en hel gruppe porter samtidig med IP-adressen til en virtuell server. Denne funksjonen er nyttig når du trenger å støtte programmer som bruker et stort antall porter, for eksempel spill eller lyd-/videokonferanser. Antall videresendte havnegrupper pr ulike modeller rutere er forskjellige, men vanligvis er det minst ti av dem.

Dynamisk portvideresending (spesiell applikasjon)

Statisk portvideresending løser delvis problemet med tilgang fra det eksterne nettverket til tjenestene til det lokale nettverket beskyttet av en NAT-enhet. Imidlertid er det også det motsatte problemet - behovet for å gi lokale nettverksbrukere tilgang til det eksterne nettverket gjennom en NAT-enhet. Faktum er at noen applikasjoner (for eksempel Internett-spill, videokonferanser, Internett-telefoni og andre applikasjoner som krever etablering av flere økter samtidig) ikke er kompatible med NAT-teknologi. For å løse dette problemet brukes den såkalte dynamiske portvideresendingen (noen ganger kalt spesialapplikasjonen), når portvideresending er satt på nivået til individuelle nettverksapplikasjoner.

Hvis ruteren støtter denne funksjonen, må du angi det interne portnummeret (eller portintervallet) knyttet til en spesifikk applikasjon (vanligvis referert til som triggerport), og angi det eksterne portnummeret til NAT-enheten (offentlig port) som vil tilordnes intern port.

Når dynamisk portvideresending er aktivert, overvåker ruteren utgående trafikk fra det interne nettverket og husker IP-adressen til datamaskinen som denne trafikken kommer fra. Når data kommer tilbake til det lokale segmentet, slås portvideresending på og dataene sendes inn. Etter at overføringen er fullført, er omdirigeringen deaktivert, og deretter kan en hvilken som helst annen datamaskin opprette en ny omdirigering til sin egen IP-adresse.

Dynamisk portvideresending brukes hovedsakelig for tjenester som involverer kortsiktige forespørsler og dataoverføringer, fordi hvis én datamaskin bruker omdirigering av denne havnen, så kan ikke den andre datamaskinen gjøre det samme. Hvis du trenger å konfigurere driften av applikasjoner som trenger en konstant strøm av data som opptar en port på lang tid da er dynamisk omdirigering ineffektiv. Men i dette tilfellet er det en løsning på problemet - den består i å bruke den demilitariserte sonen.

DMZ sone

Den demilitariserte sonen (DMZ) er en annen måte å omgå NAT-restriksjoner. Denne funksjonen leveres av alle moderne rutere. Når du plasserer en datamaskin på det interne LAN i DMZ, blir den gjennomsiktig for NAT-protokollen. Dette betyr i praksis at datamaskinen på det interne nettverket er praktisk talt plassert foran brannmuren. For en PC som befinner seg i DMZ-sonen, blir alle porter omdirigert til én intern IP-adresse, som gjør det mulig å organisere dataoverføring fra det eksterne nettverket til det interne.

Hvis for eksempel en server med en IP-adresse på 192.168.1.10, plassert i det interne lokale nettverket, er plassert i DMZ-sonen, og selve det lokale nettverket er beskyttet av en NAT-enhet, så når en forespørsel fra det eksterne nettverket kommer på en hvilken som helst port på WAN-portadressen NAT-enheter vil omdirigere denne forespørselen til IP-adressen 192.168.1.10, det vil si til adressen til den virtuelle serveren i DMZ-sonen.

Vanligvis tillater SOHO NAT-rutere bare én datamaskin i DMZ. Et eksempel på å konfigurere en datamaskin i DMZ-sonen er vist i fig. 5.

Ris. 5. Et eksempel på konfigurering av en datamaskin i DMZ-sonen

Siden en datamaskin som ligger i DMZ blir tilgjengelig fra det eksterne nettverket og ikke er beskyttet på noen måte av en brannmur, blir den et sårbart punkt i nettverket. Det er bare nødvendig å ty til å plassere datamaskiner i DMZ som en siste utvei, når ingen andre metoder for å omgå begrensningene til NAT-protokollen er egnet av en eller annen grunn.

NAT Traversal-teknologi

Metodene vi har listet opp for å omgå begrensningene til NAT-protokollen kan være vanskelige for nybegynnere. For å lette administrasjonen er det foreslått en automatisert teknologi for å konfigurere NAT-enheter. NAT Traversal-teknologi tillater nettverksapplikasjoner finne ut at de er beskyttet av en NAT-enhet, lære den eksterne IP-adressen og utføre portvideresending til automatisk modus... Dermed er fordelen med NAT Traversal-teknologi at brukeren ikke trenger å konfigurere portkartlegging manuelt.

NAT Traversal-teknologi er avhengig av UPnP (Universal Plug and Play)-protokoller, derfor er det ofte nødvendig å sjekke UPnP & NAT-alternativet i rutere for å aktivere denne teknologien.

Brannmur – Blokkering av trafikk fra uautoriserte kilder er en av de eldste nettverkssikkerhetsteknologiene, men leverandører av passende miljøer fortsetter å utvikle nye tilnærminger for å bedre motvirke dagens trusler i et skiftende nettverksmiljø og beskytte bedriftens IT-ressurser. Neste generasjons brannmurer lar deg opprette og håndheve retningslinjer ved å bruke et bredere spekter av kontekstuelle data.

Utviklingen av brannmurer (FW) har passert lang vei... De ble først utviklet på slutten av 80-tallet av DEC og opererte hovedsakelig på de fire første lagene av OSI-modellen, og fanget opp trafikk og analyserte pakker for samsvar med spesifiserte regler. Deretter Sjekkpunkt foreslåtte brannmurer med spesialiserte integrerte kretser (ASIC) for dyp analyse av pakkehoder. Disse avanserte systemene kan opprettholde en tabell over aktive tilkoblinger og bruke den i regler (Stateful Packet Inspection, SPI). SPI-teknologi lar deg sjekke kilde- og destinasjons-IP-adresser og overvåke porter.

Opprettelsen av FW-er som opererer på applikasjonsnivå anses som et stort skritt fremover. Det første slike produkt ble utgitt av SEAL tilbake i 1991, og to år senere dukket åpen kildekode Firewall Toolkit (FWTK)-løsningen fra Trusted Information Systems. Disse brannmurene inspiserte pakker i alle de syv lagene, noe som muliggjorde omfattende informasjon i regelsett (policyer) - ikke bare om tilkoblinger og deres tilstand, men også om operasjoner som bruker den applikasjonsspesifikke protokollen. På midten av 1990-tallet hadde brannmurer muligheten til å overvåke populære applikasjonslagsprotokoller: FTP, Gopher, SMTP og Telnet. Disse applikasjonsbevisste produktene kalles Next-Generation Firewalls (NGFWs).

TIS har gitt ut en kommersiell versjon av FWTK - Gauntlet Firewall. Med brukerautentisering, URL-filtrering, anti-malware og sikkerhetsfunksjoner for applikasjonslag, regnes dette produktet som den første "neste generasjons" brannmur. Dermed er NGFW-produkter formelt sett mer enn 15 år gamle, selv om dette begrepet i dag gis en annen betydning.

GENERASJONSSKIFTE

Frost & Sullivan-analytikere identifiserer fire generasjoner brannmurer. Den første (1985-1990) er DEC-produkter; den andre (1996-2002) - fremveksten av SPI-produkter (Check Point) og arbeid på applikasjonsnivå (Gauntlet), integrering av funksjoner IPsec VPN bruker ASIC selvutvikletå øke produktiviteten (Lucent, NetScreen); den tredje (2003-2006) - bruk av Deep Packet Inspection-funksjoner og konsolidering av beskyttelsesfunksjoner (Fortinet); fjerde generasjon (fra 2007 til i dag) - trafikksikkerhet basert på identifikasjon av applikasjoner og brukere (Palo Alto) og introduksjon av ny teknologi fra store leverandører.

Dermed fremveksten av begrepet NGFW i sin moderne forståelse tilskrevet Palo Alto Networks. Hun kalte produktene hennes neste generasjons brannmurer, som kontrollerer individuelle brukertilgang til applikasjoner og Internett. NGFW kombinerer i hovedsak flere funksjoner på én plattform – FW, IPS og Web Security Gateways. Kunder får kontroll på "inn" og "ut" av nettverket. I NGFW er retningslinjer satt for applikasjoner, ikke bare porter og IP-adresser.

Sammenlignet med brannmurer fra Cisco, Check Point Software Technologies og Juniper Networks, ga Palo Alto Networks-produkter enklere overvåking og bedre beskyttelse av trafikk ved bruk av sosiale nettverk, Google gmail eller Skype. Økningen i popularitet til webapplikasjoner har i stor grad bidratt til utviklingen av denne leverandørens virksomhet, som kom inn på markedet i 2005. Forrester Research kaller flaggskipet sitt revolusjonerende.

I dag omfatter markedet for brannmurer (se figur 1 og 2) eller brannmurer hele linjen segmenter: SOHO, SMB, produkter for store bedrifter og leverandører. Ny NGFW-funksjonalitet bidrar til å beskytte bedriftsnettverk i møte med nye teknologier og datamodeller (sky- og mobildatabehandling). Utvidelsen av funksjonalitet har ført til opprettelsen av enhetlige plattformer (Unified Threat Management, UTM), som er mye brukt i dag.

Selv om nettverksgrensen er i ferd med å bli uklar, er FW-perimeterbeskyttelse fortsatt en viktig faktor og nødvendig element i et flerlags sikkerhetssystem. Fremveksten av mobile enheter og fremveksten av BYOD-konseptet har en sterk innvirkning på sikkerheten, men det øker heller viktigheten av nettverksperimeteren, siden bare innenfor den kan data lagres relativ sikkerhet, mener Dmitrij Kurashev, direktør for Entensys.

"Hvis vi snakker om moderne og etterspurte funksjoner, så brukes i utgangspunktet brannmurer som klassiske brannmurer," bemerker Dmitry Ushakov, leder for avdelingen for forberedelse og implementering tekniske løsninger Stonesoft Russland. - Selvfølgelig, i sine evner skiller de seg allerede fra de som ble brukt på 80- og 90-tallet - ta i det minste kontekstuell filtrering basert på tilstands- og parsing-applikasjoner (evnen til å spore relaterte forbindelser). Men i praksis er det hovedsakelig de klassiske funksjonene som etterspørres”.

Ifølge Frost & Sullivan-analytikere, Mens tradisjonelle brannmurer fortsatt er grunnleggende sikkerhetsverktøy, er de ineffektive til å beskytte mot sofistikerte nettverksangrep... Utviklingen av teknologier og applikasjoner fører til at det åpnes flere og flere smutthull for angripere, og den praktiske implementeringen av sikkerhetssystemet blir mer komplisert. For å møte nye trusler, må produsenter fremskynde utviklingen av nye metoder for å oppdage og forhindre angrep og blokkere uønskede nettverkstrafikk... Ifølge Gartner-eksperter har brannmurmarkedet gått inn i en periode med «dynamisk utvikling» og i de kommende årene vil høye vekstrater fortsette (se figur 3).
Figur 3. Frost & Sullivans globale brannmurmarkeds vekstprognose.

"NY GENERASJON" I DAG

Granulær og tilpassbar kontroll på applikasjonsnivå er fortsatt kjernen i NGFW-teknologien, men "applikasjonsstøtte" i moderne brannmurer er vesentlig forskjellig fra det som ble tilbudt for 20 år siden. Brannmurteknologien har utviklet seg betydelig – den har utviklet seg til spesialiserte løsninger som utfører dybdegående trafikkanalyse og applikasjonsidentifikasjon. Produktene er raskere og støtter mer komplekse regelsett enn deres forgjengere.

Gartner-analytikere bemerker at i løpet av de siste to til tre årene har det vært en økende etterspørsel etter NGFW-plattformer som er i stand til å oppdage og blokkere sofistikerte angrep, sette (med høy grad av granularitet) sikkerhetspolicyer på applikasjonsnivå, ikke bare porter og protokoller . Funksjonaliteten og ytelsen til brannmurer må oppfylle kravene til mer kompleks interaksjon med applikasjoner, og selve enhetene må ha høy båndbredde og støtte virtualisering. Valget av en løsning avgjøres av faktorer som kostnad, enkel administrasjon, brukervennlighet og utrullingshastighet. Listen er selvfølgelig ikke begrenset til dette.

«Når man sammenligner eller utvikler en metodikk for valg av brannmurer, opererer analytikere med flere dusin (noen ganger opptil halvannet hundre) kriterier som bør tas i betraktning når de velger en løsning. Hver kunde setter prioriteringer på sin egen måte - det er ingen universell oppskrift eller scenario, og det kan ikke være det, understreker Aleksey Lukatsky, en nettverkssikkerhetsekspert fra Cisco.

Nye trusler og Nettteknologier 2.0 tvinger leverandører til å oppdatere sine tilbud – brannmurer er i utvikling. De er utstyrt med dype trafikkanalysefunksjoner og fleksible policyinnstillinger, og ytelsen deres økes i samsvar med veksten av nettverksbåndbredde. NGFW-er er i stand til å overvåke nettverkstrafikk på applikasjons- og brukernivå og aktivt blokkere trusler. De kan inkludere en rekke ekstra midler gi sikkerhet og støtte avanserte nettverksfunksjoner.

Store bedrifter og leverandører trenger løsninger med høy ytelse. De nyeste systemene er bygget på kraftige maskinvareplattformer, og som integrerte komponenter bruker de tidligere forskjellige sikkerhetsverktøy og funksjoner – IPS, dyp pakkeanalyse, brukerautentisering og mye mer. Brannmurer av bedriftskvalitet er imidlertid ikke preget av et spesifikt funksjonssett, men av skalerbarheten, håndterbarheten og påliteligheten som møter behovene til store selskaper.

Brannmurer fra ledende leverandører, inkludert Check Point Software Technologies, Cisco Systems, Fortinet, Juniper Networks og Palo Alto Networks, gir detaljert kontekstuell trafikkanalyse på applikasjonslaget. Men dette er ikke den eneste egenskapen til NGFW. For eksempel foreslo Gartner for mer enn tre år siden en egen definisjon som understreket forholdet mellom IPS og NGFW. Andre analytikere anser UTM-funksjoner som en viktig funksjon ved NGFW. Palo Alto og Juniper holder seg til sin egen terminologi. Det handler imidlertid ikke om ordlyden, men om funksjonene til NGFW som organisasjoner kan bruke for å beskytte nettverkene sine.

I følge Aleksey Lukatsky ser Cisco litt bredere på denne problemstillingen enn det som er vanlig i andre selskaper: «Vi bruker ikke NGFW-konseptet, og erstatter det med Context-Aware FW, det vil si en kontekstbevisst brannmur. Konteksten forstås ikke bare svaret på spørsmålet "HVA er mulig?" (det vil si trafikkanalyse på nettverks- og applikasjonsnivå), men også svarene på spørsmålet "NÅR kan du?" (knytter et tilgangsforsøk til tiden), "HVOR og HVOR er det mulig?" (plassering av ressurser og utstyr som forespørselen sendes fra), "TIL HVEM kan jeg?" (bindende ikke bare til IP-adressen, men også til brukerkontoen), "HVORDAN kan du?" (fra hvilken enhet det er tillatt å få tilgang - fra personlig eller fra en bedrift, fra en stasjonær eller mobil). Alt dette lar deg bygge en tilgangspolicy mer fleksibelt og ta hensyn til de stadig skiftende behovene til en moderne bedrift når det gjelder informasjonssikkerhet."

NGFW er en enhet som utvider funksjonaliteten til en tradisjonell brannmur i form av tilleggstjenester for inspeksjon og kontroll av brukere og applikasjoner, mener Dmitry Ushakov. "Derfor er neste generasjons brannmur stort sett FW, IPS og et system for å overvåke bruker- og applikasjonsatferd," understreker han. "Og i den forstand har Stonesoft StoneGate FW tjent som en NGFW i flere år."

Brannmurer gjør mer enn å filtrere innkommende trafikk. Noen NGFW-er kan oppdage unormal aktivitet i utgående trafikk for eksempel kommunikasjon på port 80 med et uautorisert nettsted eller trafikk som samsvarer med en av signaturene. Dette bidrar til å identifisere og blokkere utgående kommunikasjon, inkludert de som initieres av skadelig programvare. "Flere og flere funksjoner som pleide å bli implementert på dedikerte brannmurer blir kombinert til en enkelt enhet. Vi snakker om NGFW med en god blanding av funksjoner som standard skjerming, applikasjonskontroll og inntrengingsforebygging, sier Brendan Patterson, senior produktleder hos WatchGuard Technologies.

NGFW lar deg lage retningslinjer for informasjonssikkerhet basert på et bredt sett med kontekstuelle data, og gir mer høy grad beskyttelse, håndterbarhet og skalerbarhet. Internett-tjenestetrafikk (fra e-post til strømme video og sosiale nettverk) passerer gjennom nettleseren på et begrenset antall porter, og NGFW må ha muligheten til å analysere økter (med ett eller annet detaljnivå) for å ta avgjørelser basert på konteksten. En annen funksjon ved NGFW er støtte for brukeridentifikasjon (som kan brukes ved opprettelse av regler), og for dette kan brannmuren enten bruke sin egen informasjon eller få tilgang til Active Directory. Å kjenne til og analysere trafikken til individuelle applikasjoner har fått særlig betydning med spredningen av nettapplikasjoner, som de fleste SPI-brannmurer bare kan identifisere som HTTP-trafikk på port 80.

Å kjøpe NGFW med den hensikt å bruke bare trafikkfiltreringsfunksjonene etter porter er upraktisk, men ikke alle trenger detaljerte applikasjonskontrollfunksjoner. I tillegg er det verdt å vurdere om organisasjonen har kompetanse til å konfigurere og vedlikeholde det komplekse NGFW-regelsettet. Vi må ikke glemme hastigheten. Det beste alternativet er å sette opp og teste NGFW i et produksjonsmiljø. Båndbredde og håndterbarhet er fortsatt nøkkelkriterier for evaluering av brannmurer. Et eget segment er policy management-produkter (Firewall Policy Management, FPM). Gartner anbefaler å bruke dem når kompleksiteten til IT-miljøet overstiger mulighetene til FW Management Console.

Ifølge Gartner-analytikere er tradisjonelle SPI-brannmurer en utdatert teknologi som ikke klarer å beskytte mot mange trusler, og mange organisasjoner distribuerer nå NGFW. I følge Gartners prognose vil 38 % av foretakene om tre år bruke NGFW, mens det i 2011 bare var 10 %. Samtidig vil antallet kunder som implementerer hybridløsninger (FW + IPS) reduseres fra 60 % til 45 %, og antallet selskaper som utelukkende bruker brannmurer vil reduseres fra 25 % til 10 %. I Russland er resultatene sannsynligvis annerledes.

"Som praksis viser, er tradisjonelle brannmurer fortsatt svært vellykkede," minnes Dmitrij Ushakov. – Dette skyldes hovedsakelig begrenset kontroll over implementeringen av sikkerhetstjenester fra tilsynsmyndighetene og dessverre med levering av IT-beskyttelse på restebasis – billigere og på et minimum. De færreste tenker på truslene og konsekvensene. Derfor er det absolutt plass til tradisjonelle skjermer, men de vil utstyres med nye funksjoner. For eksempel blir enheter der det, i tillegg til den tradisjonelle FW, også er verktøy for dybdeanalyse av internettarbeidsflyter, mer populære."

I mellomtiden, når du adresserer nye vanskelige oppgaver noen ganger må utviklere inngå kompromisser. NSS-laben konkluderte med at nye NGFW-funksjoner, som granulær applikasjonskontroll, ofte reduserer ytelsen og sikkerhetsytelsen sammenlignet med en kombinasjon av tradisjonelle brannmurer og IPS-er. Bare halvparten av de testede systemene hadde beskyttelseseffektivitet på over 90 %.

NSS-undersøkelser fant også at IPS sjelden er konfigurert på NGFW-systemer, med standardpolicyer for leverandører som vanligvis brukes etter distribusjon. Dette har en negativ innvirkning på sikkerheten. Og gjennomstrømningen tilsvarer ikke den deklarerte: av åtte produkter viste fem av dem seg å være lavere. I tillegg hadde alle NGFW-er som ble testet sine maksimale tilkoblinger utenfor spesifikasjonen. NSS laboratorietestere kom til den konklusjonen at NGFW-er vil være klare for utplassering i bedriftsmiljøer først etter at ytelsen øker, og generelt må NGFW-teknologier forbedres - systemene skal gi mer stabil drift og høy grad av sikkerhet.

Samtidig lykkes de fleste leverandører med å utvikle virksomheten sin. For eksempel rangerte IDC Check Point som en ledende brannmur/UTM-leverandør, med brannmurveteranen som ledet flokken i Q2 i fjor. dette segmentet når det gjelder salg, overgår de største leverandørene av nettverksutstyr. Check Points andel av det globale FW/UTM-markedet overstiger 20 %, og i Vest-Europa nærmer den seg 30 %.

Check Point-produktlinjen inkluderer syv sikkerhetsapparatmodeller med en "Software Blade"-arkitektur (se figur 4): modellene 2200 til 61000 (sistnevnte er den raskeste brannmuren som er tilgjengelig i dag). Høyytelses Check Point-apparater integrerer brannmur, VPN, inntrengingsbeskyttelse, applikasjonskontroll og mobil tilgang, forebygging av datatap, identifikasjonsstøtte, URL-filtrering, antispam, antivirus og anti-bots.

I Magic Quadrant rangerte Gartner-analytikere Check Point og Palo Alto Networks blant de ledende på brannmurmarkedet, og Fortinet, Cisco, Juniper Networks og Intel (McAfee) ble kåret til konkurrenter. Så mange som syv leverandører viste seg å være «nisjeaktører», og ikke et eneste selskap kom seg inn i «visjonære»-sektoren. Dette hindrer imidlertid ikke kunder i å foretrekke Cisco-produkter (se figur 5).

Nå fortsetter markedet å gå over til NGFW-systemer som er i stand til å oppdage og blokkere forskjellige typer sofistikerte angrep og håndheve retningslinjer på applikasjonsnivå. I 2012 forsøkte etablerte markedsaktører å forbedre NGFW-løsningene sine slik at de ikke var dårligere enn produkter fra nykommere i industrien, og utviklere av innovative systemer supplerte dem med kontroller, og brakte dem til nivået av kjente merkevarer.

VEKSTDRIVERE OG NY UTVIKLING

Mens det globale brannmurmarkedet er mettet, er det langt fra å stagnere. Nesten alle større leverandører har presentert nye generasjons produkter med tilleggsfunksjoner. Vekstdriverne for brannmurmarkedet er mobilitet, virtualisering og cloud computing- stimulere etterspørselen etter nye fasiliteter som tilbys av NGFW. Gartner-analytikere rapporterer en økende etterspørsel etter programvareversjoner av brannmurer som brukes i virtualiserte datasentre (se figur 6). I 2012 oversteg ikke andelen virtuelle NGFW-opsjoner 2 %, men ifølge Gartners prognoser vil den innen 2016 vokse til 20 %. Virtuelle versjoner av brannmurer og innholdsbeskyttelsesløsninger er godt egnet for skydistribusjoner.
Figur 6. I følge Infonetics Research har utgifter til datasentersikkerhet fra nordamerikanske selskaper skutt i været det siste året.

For eksterne kontorer og SMB er en skybrannmur installert av en tjenesteleverandør ofte en attraktiv løsning. I følge noen eksperter, med utviklingen av mobiltilgang og skyarkitekturer, vil sikkerhetsarkitekturen også måtte endres: i stedet for NGFW vil bedrifter oftere bruke nettgatewayer kontrollert av leverandøren, og store organisasjoner vil skille funksjonene til nettporter. og brannmurer for å forbedre ytelsen og administrerbarheten, selv om noen NGFW-produkter er i stand til grunnleggende Web-gateway-funksjonalitet.

Dmitry Kurashev mener at det er bedre å tilordne alle trafikkbehandlingsfunksjoner til gatewayer i selskapet: "Det er mer riktig å bruke skytjenester for administrasjon og overvåking av serverapplikasjoner, samt for innsamling av statistikk og analyse." "Brannmuren bør installeres som standard både hos skyleverandøren og på klientens side av skytjenester," legger Alexey Lukatsky til. "Tross alt er det et ubeskyttet miljø mellom dem, som kan bli et springbrett for å trenge inn i et bedriftsnettverk eller en sky av skadevare, eller for angrep fra inntrengere. Derfor er det fortsatt behov for nettverkssikkerhetsverktøy."

Et typisk eksempel på administrerte sikkerhetstjenester er det nylig annonserte settet med tjenester i Russland for å beskytte en klients nettverk mot store nettverkstrusler, som tilbys av Orange Business Services. Unified Defense-tjenester lar deg gi sentralisert antivirusbeskyttelse for alle enheter på nettverket, beskytte bedriftens postbokser mot spam og filtrere Internett-trafikk, om nødvendig, og begrense ansattes tilgang til visse nettverksressurser på maskinvarenivå. I tillegg inkluderer beskyttelsessystemet en brannmur og inntrengningsdeteksjons- og forebyggingsverktøy.

Unified Defense er basert på Fortinets kompakte UTM-enhet med NGFW-funksjonalitet, distribuert på kundens nettverk og støttet av Orange. Produktet tilbys i to versjoner - for nettverk som støtter opptil 200 brukere, og hastigheten på Internett-kanalen overstiger ikke 20 Mbps (FortiGate 80C-utstyr), samt for nettverk designet for 1000 brukere og en 100 Mbps kanal ( utstyr FortiGate 200B) (se figur 7). For øyeblikket er tjenesten tilgjengelig for Orange-kunder; i fremtiden er det planlagt å tilby tjenesten i nettverkene til tredjepartsleverandører.

Fortinet-drevet Unified Defense gjør det mulig for selskaper med begrensede IT-budsjetter å dra nytte av nye sikkerhetsteknologier. En av funksjonene til klientportalen er tilgang til regelmessige rapporter om systemdrift, inkludert informasjon om nøytraliserte trusler.

Dybde trafikkanalyse lar deg identifisere applikasjoner som kommuniserer over nettverket. Med tanke på moderne tendenser overføre applikasjoner til skyen og utvikle SaaS-tjenester, er det mulig å sikre at kun de nødvendige dataene kommer inn i bedriftsnettverket bare med et enda høyere detaljnivå. Hver leverandør bruker sine egne tilnærminger når de oppretter NGFW-er. Mange velger signaturmetoden.

For eksempel bruker Astaro (del av Sophos siden 2011) applikasjonssignaturdatabasen til partneren Vineyard Networks. Dette gjør at Astaro Security Gateway kan skille mellom ulike applikasjoner som kjører på samme nettsted, bruke QoS-policyer, trafikkprioritering og tildele båndbredde til dem. I den nye versjonen av Astaro Security Gateway er administrasjonsgrensesnittet forbedret: ved hjelp av nettverkskartet kan du sette regler i sanntid og raskt svare på nye trusler. I fremtidige versjoner av Astaro-brannmuren vil det være mulig å sende pakker av ukjent type til spesialister for deres påfølgende analyse.

Check Point oppdaterte sin produktlinje med 90 % i fjor. De presenterte modellene er optimalisert for Check Point "Software Blade"-arkitekturen og har ifølge utvikleren omtrent tre ganger høyere ytelse enn tidligere generasjoner. Ny modul Bygget på toppen av SecurityCore-teknologi, forbedrer Security Acceleration dramatisk brannmurytelsen ved å akselerere nøkkeloperasjoner. Ifølge Check Point når båndbredden 110 Gbps, og latensen er mindre enn 5 μs. Selskapet hevder det er den kraftigste 2U-brannmuren i bransjen.

AppWiki-biblioteket opprettet av Check Point kan identifisere mer enn 5 000 applikasjoner og 100 000 widgets. Disse signaturene brukes av programvarebladene Check Point Application Control og Identity Awareness. I tillegg, for å identifisere klientenheter og sluttbrukere, Programvaren integreres med Active Directory, og administratorer kan finjustere sikkerhetspolicyer. Opplæring av ansatte foregår i sanntid: når noen av dem bryter en sikkerhetspolicy, viser Check Point UserCheck klientagentapplikasjon et popup-vindu som forklarer essensen av bruddet og ber om bekreftelse av handlingen. Muligheten til å sende en forespørsel til en administrator forenkler prosessen med å tilpasse sikkerhetspolicyer for å passe brukerbehov.

For viktige Check Point nettverkssikkerhetsprodukter inkluderer programvareversjon R74.40 over 100 nye funksjoner, inkludert Anti-Bot Software Blade og en oppdatert versjon av Anti-Virus med Check Point ThreatCloud-teknologi, en skybasert tjeneste som samler inn trusselintelligens og Gir sanntidsbeskyttelse for Security Gateways. Check Point Virtual Systems nye datasenter og private skyløsning gjør at opptil 250 virtuelle systemer kan konsolideres på en enkelt enhet.

Cisco lanserte i fjor egen løsning NGFW er neste generasjon Adaptive Security Appliance (ASA) som svar på teknologi utviklet av Palo Alto Networks. ASA CX er en kontekstbevisst brannmur, det vil si at den gjenkjenner ikke bare IP-adresser, men applikasjoner, brukere og enheter, noe som betyr at den lar deg spore hvordan en ansatt bruker visse applikasjoner på forskjellig utstyr og håndhever de relevante reglene.

Cisco ASA CX opererer på basis av alle Cisco ASA 5500-X-modeller (fra 5512-X til 5585-X), og gir binding av regler til en brukerkonto i Active Directory, kontroll over mer enn 1100 applikasjoner (Facebook, LinkedIn, Skype , BitTorrent, iCloud, Dropbox, Google Drive, MS Windows Azure, Salesforce CRM, Oracle e-Business Suite, MS Lync, Tor, etc.), tidsregistrering og forespørsel om tilgang og mange andre oppgaver. Hvori Cisco ASA CX er ikke bare en frittstående multi-gigabit-plattform, men integreres tett med andre Cisco-sikkerhetsløsninger- Cisco IPS-inntrengingsforebyggende system, Cisco ISE-nettverksadgangsautorisasjons- og kontrollsystem, Cisco Web Security-netttrafikkbeskyttelsessystem, etc.

Som Alexey Lukatsky understreker, tar en slik brannmur også hensyn til "uskarphet" av nettverksomkretsen. For eksempel, takket være integrasjon med Cisco ISE og hele Ciscos nettverksinfrastruktur, kan den gjenkjenne at trafikk kommer fra en ansatts personlige iPad, og deretter, avhengig av sikkerhetspolicyen, dynamisk blokkere den eller bare tillate tilgang til visse interne ressurser. Hvis denne tilgangen utføres fra en bedriftsmobilenhet, kan dens privilegier utvides.

Samtidig fungerer ASA CX ikke bare etter prinsippet om venn / fiende (personlig / bedrift), men tar også hensyn til mobil enhet OS, versjonen, tilgjengeligheten av oppdateringer og andre "patcher", samt driften av antiviruset og relevansen til databasene, etc. Tilgang vil ikke gis av IP-adressene til avsender og mottaker, men avhengig av en hele settet med parametere, som gjør det mulig å implementere fleksibel policy for tilkobling til beskyttede ressurser, uavhengig av om brukeren er ute eller inne og om han bruker en kablet eller trådløs tilkobling, en personlig eller bedriftsenhet.

Dell SonicWALL-brannmuren bruker en stadig voksende signaturdatabase for å identifisere over 3500 applikasjoner og deres funksjoner. SonicWALL ReassemblyFree Deep Packet Inspection (RFDPI) teknologi skanner pakker for hver protokoll og grensesnitt. SonicWALL Research Team-eksperter lager nye signaturer som automatisk leveres til eksisterende brannmurer. Kunder kan selv legge til signaturer ved behov. I vinduene SonicWALL Visualization Dashboard og Real-Time Monitor kan administratorer se spesifikke applikasjoner på nettverket, samt hvem som bruker dem og hvordan. Denne informasjonen er nyttig for policyinnstilling og diagnostikk.

Entensys har også utvidet funksjonaliteten til produktet sitt. UserGate Proxy & Firewall versjon 6.0 utgitt i november 2012 inkluderer en fullverdig VPN-server og IPS-system. Dette UTM-produktet tilbys i form av programvare eller apparat. I tillegg til funksjoner direkte knyttet til sikkerhet, har utviklerne lagt stor vekt på innholdsfiltrering og kontroll over internettapplikasjoner. I 2012 ble funksjonene til morfologisk analyse av overført informasjon forbedret for filtrering av innkommende og utgående trafikk, og en kraftig og funksjonell innholdsfiltreringsserver UserGate Web Filter 3.0 ble utgitt, som kan brukes i forbindelse med enhver tredjeparts UTM-løsning.

Fortinet, ofte assosiert med UTM, introduserte FortiGate3240C i fjor, som er mer et NGFW-produkt. Fortinet FortiGate-enheter bruker protokolldekodere og dekryptering av nettverkstrafikk for å identifisere applikasjoner. Utviklere vedlikeholder en database der de legger til signaturer av nye applikasjoner og, med utgivelsen av nye versjoner, oppdaterte signaturer til eksisterende. Med denne informasjonen skiller Fortinet-produkter mellom applikasjoner og bruker forskjellige regler for hver applikasjon. Selskapet hevder at produktene deres har et høyere nivå av ytelse og integrasjon sammenlignet med konkurrerende løsninger, siden all teknologi er utviklet av det internt. F5 Networks og Riverbed trakk også oppmerksomhet til NGFW-funksjonene: sammen med McAfee (Intel) og andre leverandører av informasjonssikkerhetsløsninger, bygger de dem inn i maskinvare og programvare for å optimalisere WAN-trafikken.

Juniper Networks implementerer NGFW-funksjonaliteten til SRX Services Gateways i AppSecure-applikasjonspakken. AppTrack utnytter også Junipers applikasjonssignaturdatabase, forsterket med signaturer generert av kundeadministratorer. AppTrack identifiserer applikasjoner, og AppFirewall og AppQoS gir policyhåndhevelse og kontroll over applikasjonstrafikk. Ifølge produsenten er denne plattformen svært skalerbar og opererer med hastigheter på opptil 100 Gbps.

Intel-delen McAfee bruker AppPrism-teknologi for å gjenkjenne applikasjoner i McAfee Firewall Enterprise, og identifisere tusenvis av applikasjoner uavhengig av porter og protokoller. I tillegg brukes signaturer utviklet av McAfee Global Threat Intelligence-eksperter. Med AppPrism kan administratorer forhindre kjøring av ikke bare applikasjonene selv, men også deres "risikofylte" komponenter- blokker for eksempel Skype-fildelingsfunksjonen ved å tillate meldinger. I likhet med Juniper, siterer McAfee proprietær teknologi og applikasjonssignaturer blant styrkene til løsningen.

Palo Alto Networks' App-ID-teknologi bruker flere metoder for å identifisere applikasjoner: dekryptering, deteksjon, dekoding, signaturer, heuristikk, etc.... V App-ID-er En hvilken som helst kombinasjon av dem kan brukes, noe som lar deg identifisere alle versjoner av applikasjonen, så vel som operativsystemet den kjører i. I samsvar med app-ID-en til applikasjonen, bruker Palo Alto-brannmuren en regel for trafikken, for eksempel kan filoverføring blokkeres. I tillegg kan App-IDer suppleres med nye metoder for å identifisere og identifisere applikasjoner ved å bygge dem inn i klassifiseringsmekanismer.

Stonesoft oppdaterte ikke sin serie med brannmurer i 2012, men kunngjorde en ny løsning for Evasion Prevention System (EPS). Dette verktøyet er utviklet for å oppdage og forhindre cyberangrep som bruker dynamiske bypass-teknikker.(Advanced Evasion Technique, AET - teknikker brukt i forbindelse med nettverksangrep for å omgå beskyttelsessystemer) og utnytte sårbarhetene til beskyttelsessystemer. Som Dmitry Ushakov sa, gir produktet tilleggsnivå sikkerhet for allerede installerte NGFW-, IPS- og UTM-enheter i organisasjoner som er sårbare for AET. Dette er en ny klasse enheter designet for å bekjempe sofistikerte forsøk fra inntrengere på å trenge inn i en organisasjons nettverk.

«I dag forstår arbeidsgivere at deres ansatte noen ganger trenger tilgang til forbudte nettsteder (rekruttering, sosiale nettverk, etc.) og meldingssystemer (Skype, ICQ). I denne forbindelse flyttes applikasjoner fra "hvite" (du kan) og "svarte" lister (du kan ikke) til området "grå" (det er mulig under visse forhold eller på et bestemt tidspunkt). Det foreslås å formulere disse informasjonssikkerhetspolicyene i form av tilgangsregler, sier Dmitry Ushakov.

Ifølge Alexander Kushnarev, teknisk konsulent hos Rainbow Security (distributør av WatchGuard Technologies), har WatchGuard avduket nye virtuelle versjoner av sine XTMv- og XCSv-produkter, samt neste generasjons maskinvareplattformer «med markedsledende UTM-ytelse». WatchGuard XTM-apparater bruker WatchGuard Reputation Enabled Defense for å beskytte brukere mot ondsinnede nettsteder samtidig som de reduserer nettverksbelastningen betydelig. Denne tjenesten gir overlegen beskyttelse mot nettrusler, raskere nettsurfing, fleksibel administrasjon og omfattende rapporteringsmuligheter.

"Vi ser at etterspørselen etter UTM-enheter vokser. Den siste generasjonen WatchGuard maskinvareplattformer kan håndtere UTM-aktivert trafikk med samme hastighet som tidligere generasjoner bare kunne utføre enkel pakkefiltrering.Å gjøre WatchGuard-brannmurene om til en UTM-enhet er alt som trengs for å aktivere lisensen din. Hvis klienten bare trenger å filtrere pakker og organisere VPN-tunneler, vil en brannmur i klassisk forstand passe ham, sier Alexander Kushnarev.

Han understreker at applikasjonskontrollfunksjonene i NGFW nå er etterspurt: Bedrifter ønsker å regulere ansattes tilgang til sosiale nettverk og spillsider. Blant de relevante UTM-verktøyene er URL-filtrering med støtte for en database med russiskspråklige nettsteder, samt full støtte portaggregering og ekstern ressursomdømme. Sistnevnte bidrar til høykvalitets deteksjon og forebyggende blokkering av trafikk fra botnett. I tillegg er de fleste kunder interessert i kostnadsbesparelser og enkle, praktiske konfigurasjonsinnstillinger, så alt-i-ett-løsninger som WatchGuard XTM vil være det riktige alternativet for dem.

Inntil for to-tre år siden var kundene skeptiske til NGFW, men nå som konkurransen i dette markedet er høy nok, kan de velge mellom et bredt utvalg av NGFW-produkter av høy kvalitet. Cyber ​​​​Security-analytikere spår at det globale markedet for brannmurer i bedriftsklassen vil vokse med mer enn 11 % årlig frem til 2018. Brannmurer er imidlertid ikke et universalmiddel. Når du velger en løsning, må du tydelig definere hvilke funksjoner som trengs, sørge for at sikkerhetsegenskapene som er deklarert av leverandøren kan implementeres i et spesifikt arbeidsmiljø, at selskapet (eller outsourceren) har nok ressurser til å administrere sikkerhetspolicyer.

Og selvfølgelig, husk at NGFW-er forblir perimeterbeskyttelsesenheter. De utfører funksjonen sin perfekt når de får tilgang til Internett, men " mobil sikkerhet"Krever mer. I dag må NGFW styrkes med sky og mobile løsninger sikkerhet og «kunne» gjenkjenne konteksten. Over tid vil disse løsningene bli rimeligere, enklere, mer funksjonelle, og skymodellen vil gjøre justeringer av hvordan du administrerer dem.

Sergey Orlov- Ledende redaktør av "Journal of Network Solutions / LAN". Du kan kontakte ham på:



© Copyright 2017, https://qzoreteam.ru