Говоря о программно-аппаратной составляющей системы информационной безопасности, следует признать, что наиболее эффективный способ защиты объектов локальной сети (сегмента сети) от воздействий из открытых сетей (например, Интернета), предполагает размещение некоего элемента, осуществляющего контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Такой элемент получил название межсетевой экран (сетевой экран) или файрволл, брандмауэр .

Файрволл, файрвол, файервол, фаервол – образовано транслитерацией английского термина firewall.

Брандмауэр (нем. Brandmauer) – заимствованный из немецкого языка термин, являющийся аналогом английского "firewall" в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара).

Сетевой/межсетевой экран (МСЭ) – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов по различным протоколам в соответствии с заданными правилами.

Основной задачей межсетевого экрана является защита компьютерных сетей и/или отдельных узлов от несанкционированного доступа. Иногда межсетевые экраны называют фильтрами , так как их основная задача – не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Для того чтобы эффективно обеспечивать безопасность сети, межсетевой экран отслеживает и управляет всем потоком данных, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений) межсетевой экран должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации. Решение о том, фильтровать ли с помощью межсетевого экрана пакеты данных, связанные с конкретными протоколами и адресами, зависит от принятой в защищаемой сети политики безопасности. По сути, межсетевой экран представляет собой набор компонентов, настраиваемых для реализации выбранной политики безопасности . Политика сетевой безопасности каждой организации должна включать (кроме всего прочего) две составляющие: политика доступа к сетевым сервисам и политика реализации межсетевых экранов.

Однако недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений – главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).

Таким образом, управляющие решения требуют, чтобы межсетевой экран имел доступ, возможность анализа и использования следующих факторов:

• информации о соединениях – информация от всех семи уровней (модели OSI) в пакете;
• истории соединений – информация, полученная от предыдущих соединений;
• состоянии уровня приложения – информация о состоянии соединения, полученная из других приложений;
• манипулировании информацией – вычисление разнообразных выражений, основанных на всех вышеперечисленных факторах.

Типы межсетевых экранов

Различают несколько типов межсетевых экранов в зависимости от следующих характеристик:

• обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
• происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
• отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных межсетевые экраны подразделяются на:

• традиционный сетевой (или межсетевой) экран – программа (или неотъемлемая часть операционной системы) на шлюзе (устройстве, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями (объектами распределённой сети);
• персональный межсетевой экран – программа, установленная на пользова-тельском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

В зависимости от уровня OSI, на котором происходит контроль доступа, сетевые экраны могут работать на:

• сетевом уровне , когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
• сеансовом уровне (также известные, как stateful ), когда отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP, часто используемые в злонамеренных операциях – сканирование ресурсов, взломы через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных;
• прикладном уровне (или уровне приложений), когда фильтрация производится на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Фильтрация на сетевом уровне

Фильтрация входящих и исходящих пакетов осуществляется на основе информации, содержащейся в следующих полях TCP- и IP-заголовков пакетов: IP-адрес отправителя; IP-адрес получателя; порт отправителя; порт получателя.

Фильтрация может быть реализована различными способами для блокирования соединений с определенными компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров и сетей, которые считаются ненадежными.

• сравнительно невысокая стоимость;
• гибкость в определении правил фильтрации;
• небольшая задержка при прохождении пакетов.

Недостатки:

• не собирает фрагментированные пакеты;
• нет возможности отслеживать взаимосвязи (соединения) между пакетами.?

Фильтрация на сеансовом уровне

В зависимости от отслеживания активных соединений межсетевые экраны могут быть:

• stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
• stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.

Межсетевые экраны с SPI позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и зачастую несовместимых со стандартными, stateless сетевыми экранами.

К преимуществам такой фильтрации относится:

• анализ содержимого пакетов;
• не требуется информации о работе протоколов 7 уровня.

Недостатки:

• сложно анализировать данные уровня приложений (возможно с использованием ALG – Application level gateway).

Application level gateway, ALG (шлюз прикладного уровня) – компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT’ом пользователи могут пользоваться протоколом.

Служба ALG обеспечивает поддержку протоколов на уровне приложений (таких как SIP, H.323, FTP и др.), для которых подмена адресов/портов (Network Address Translation) недопустима. Данная служба определяет тип приложения в пакетах, приходящих со стороны интерфейса внутренней сети и соответствующим образом выполняя для них трансляцию адресов/портов через внешний интерфейс.

Технология SPI (Stateful Packet Inspection) или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы.

Исторически эволюция межсетевых экранов происходила от пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection. Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали. Пакетным фильтрам недоступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности. Программы-посредники обрабатывают только данные уровня приложения, что зачастую порождает различные возможности для взлома системы. Архитектура stateful inspection уникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.

Пример работы механизма Stateful Inspection . Межсетевой экран отслеживает сессию FTP, проверяя данные на уровне приложения. Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), межсетевой экран извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, межсетевой экран просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.

Фильтрация на прикладном уровне

С целью защиты ряда уязвимых мест, присущих фильтрации пакетов, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как, например, Telnet, HTTP, FTP. Подобное приложение называется proxy-службой , а хост, на котором работает proxy-служба – шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне (уровне приложений – верхний уровень сетевой модели) и может анализировать содержимое данных, например, адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении. Иногда эффективнее бывает фильтрация пакетов, основанная на информации, содержащейся в самих данных. Фильтры пакетов и фильтры уровня канала не используют содержимое информационного потока при принятии решений о фильтрации, но это можно сделать с помощью фильтрации уровня приложений. Фильтры уровня приложений могут использовать информацию из заголовка пакета, а также содержимого данных и информации о пользователе. Администраторы могут использовать фильтрацию уровня приложений для контроля доступа на основе идентичности пользователя и/или на основе конкретной задачи, которую пытается осуществить пользователь. В фильтрах уровня приложений можно установить правила на основе отдаваемых приложением команд. Например, администратор может запретить конкретному пользователю скачивать файлы на конкретный компьютер с помощью FTP или разрешить пользователю размещать файлы через FTP на том же самом компьютере.

Сравнение аппаратных и программных межсетевых экранов

Для сравнения межсетевых экранов разделим их на два типа: 1-й – аппаратные и программно-аппаратные и 2-й – программные.

К аппаратным и программно-аппаратным межсетевым экранам относятся устройства, установленные на границе сети. Программные межсетевые экраны – это те, которые установлены на конечных хостах.

Основные направления, присущие и первому, и второму типам:

• обеспечение безопасности входящего и исходящего трафика;
• значительное увеличение безопасности сети и уменьшение риска для хостов подсети при фильтрации заведомо незащищенных служб;
• возможность контроля доступа к системам сети;
• уведомление о событиях с помощью соответствующих сигналов тревоги, которые срабатывают при возникновении какой-либо подозрительной деятельности (попытки зондирования или атаки);
• обеспечение недорогого, простого в реализации и управлении решения безопасности.

Аппаратные и программно-аппаратные межсетевые экраны дополнительно поддерживают функционал, который позволяет:

• препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб;
• регистрировать попытки доступа и предоставлять необходимую статистику об использовании Интернет;
• предоставлять средства регламентирования порядка доступа к сети;
• обеспечивать централизованное управление трафиком.

Программные межсетевые экраны, кроме основных направлений, позволяют:

• контролировать запуск приложений на том хосте, где установлены;
• защищать объект от проникновения через "люки" (back doors);
• обеспечивать защиту от внутренних угроз.

Межсетевой экран не является симметричным устройством. Он различает понятия: "снаружи" и "внутри". Межсетевой экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды. В то же время межсетевой экран позволяет разграничить доступ к объектам общедоступной сети со стороны субъектов защищенной сети. При нарушении полномочий работа субъекта доступа блокируется, и вся необходимая информация записывается в журнал.

Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей. Если в локальной сети имеются подсети с различной степенью конфиденциальности информации, то такие фрагменты целесообразно отделять межсетевыми экранами. В этом случае экраны называют внутренними.

Зачем нужен сетевой экран в роутере

Беспроводная сеть нуждается в тщательной защите, ведь возможности для перехвата информации здесь создаются самые благоприятные. Поэтому, если с помощью маршрутизатора (роутера) в сеть объединяется несколько компьютеров, сетевой экран должен стоять и использоваться не только на каждом компьютере, но и на роутере. Например, функцию сетевого экрана в роутере серии DI-XXX выполняет SPI, осуществляющая дополнительную проверку пакетов. Предметом проверки является принадлежность пакетов к установленному соединению.

Во время сессии соединения открывается порт, который могут пытаться атаковать посторонние пакеты, особенно благоприятный момент для этого - когда сессия завершена, а порт остается открытым еще несколько минут. Поэтому SPI запоминает текущее состояние сессии и анализирует все входящие пакеты. Они должны соответствовать ожидаемым - приходить с того адреса, на который был отправлен запрос, иметь определенные номера. Если пакет не соответствует сессии, то есть является некорректным, он блокируется, и это событие регистрируется в логе. Еще сетевой экран на роутере позволяет блокировать исходящие соединения с зараженного компьютера.

При огромном разнообразии профессиональных программных средств защиты от разного рода атак на локальную сеть извне (то есть из Интернета) все они имеют один серьезный недостаток — высокую стоимость. И если речь идет о небольших сетях класса SOHO, то приобретение солидных пакетов — непозволительная роскошь. В то же время стоит отметить, что для небольших сетей возможности подобных пакетов могут оказаться даже избыточными. Поэтому для защиты небольших сетей класса SOHO широкое применение получили недорогие аппаратные решения — брандмауэры. По своей конструкции брандмауэры могут либо выполняться в виде отдельного решения, либо быть составной частью маршрутизаторов класса SOHO, в частности беспроводных маршрутизаторов, что позволяет комбинировать на их основе проводные и беспроводные сегменты локальной сети.
В этой статье мы рассмотрим основные функциональные возможности современных аппаратных брандмауэров, которые встраиваются в маршрутизаторы класса SOHO и используются для обеспечения защиты небольших локальных сетей.

Брандмауэры как составная часть маршрутизаторов

оскольку маршрутизаторы являются сетевыми устройствами, устанавливаемыми на границе между внутренней и внешней сетями, и выполняют функцию сетевого шлюза, то в конструктивном плане они должны иметь как минимум два порта. К одному из этих портов подключается локальная сеть, и этот порт становится внутренним LAN-портом. Ко второму порту подключается внешняя сеть (Интернет), превращая его во внешний WAN-порт. Как правило, маршрутизаторы класса SOHO имеют один WAN-порт и несколько (от одного до четырех) LAN-портов, которые объединяются в коммутатор. В большинстве случаев WAN-порт коммутатора имеет интерфейс 10/100Base-TX, и к нему может подключаться либо xDSL-модем с соответствующим интерфейсом, либо сетевой Ethernet-кабель.

Кроме того, широкое распространение беспроводных сетей обусловило появление целого класса так называемых беспроводных маршрутизаторов. Эти устройства, помимо классического маршрутизатора с WAN- и LAN-портами, содержат интегрированную точку беспроводного доступа, поддерживающую протокол IEEE 802.11a/b/g. Беспроводной сегмент сети, который позволяет организовать точка доступа, с позиции маршрутизатора относится к внутренней сети, и в этом смысле компьютеры, подключаемые к маршрутизатору беспроводным образом, ничем не отличаются от тех, что подключены к LAN-порту.

Любой маршрутизатор, как устройство сетевого уровня, имеет свой IP-адрес. Помимо маршрутизатора свой IP-адрес имеет также WAN-порт.

Компьютеры, подключаемые к LAN-портам маршрутизатора, должны иметь IP-адрес той же подсети, что и сам маршрутизатор. Кроме того, в сетевых настройках этих ПК необходимо по умолчанию задать адрес шлюза, совпадающий с IP-адресом маршрутизатора. И наконец, устройство, подключаемое к WAN-порту со стороны внешней сети, должно иметь IP-адрес из той же подсети, что и WAN-порт маршрутизатора.

Поскольку маршрутизатор выполняет функцию шлюза между локальной сетью и Интернетом, логично ожидать от него такой функции, как защита внутренней сети от несанкционированного доступа. Поэтому практически все современные маршрутизаторы класса SOHO имеют встроенные аппаратные брандмауэры, которые также называются сетевыми экранами (firewall).

Функции брандмауэров

сновная задача любого брандмауэра в конечном счете сводится к обеспечению безопасности внутренней сети. Для решения этой задачи брандмауэры должны уметь маскировать защищаемую сеть, блокировать все известные типы хакерских атак, блокировать утечку информации из внутренней сети, контролировать приложения, получающие доступ во внешнюю сеть.

Для того чтобы реализовать указанные функции, брандмауэры анализируют весь трафик между внешней и внутренней сетями на предмет его соответствия тем или иным установленным критериям или правилам, определяющим условия прохождения трафика из одной сети в другую. Если трафик отвечает заданным критериям, то брандмауэр пропускает его через себя. В противном случае, то есть если установленные критерии не соблюдены, трафик блокируется брандмауэром. Брандмауэры фильтруют как входящий, так и исходящий трафики, а также позволяют управлять доступом к определенным сетевым ресурсам или приложениям. Они могут фиксировать все попытки несанкционированного доступа к ресурсам локальной сети и выдавать предупреждения о попытках проникновения.

По своему назначению брандмауэры больше всего напоминают контрольно-пропускной пункт (КПП) охраняемого объекта, где производится проверка документов всех входящих на территорию объекта и всех покидающих ее. Если пропуск в порядке — доступ на территорию разрешен. Совершенно аналогично действуют и брандмауэры, только в роли людей, проходящих через КПП, выступают сетевые пакеты, а пропуском является соответствие заголовков этих пакетов предопределенному набору правил.

Так ли надежны брандмауэры?

ожно ли утверждать, что брандмауэр обеспечивает 100-процентную безопасность пользовательской сети или персонального ПК? Безусловно, нет. Хотя бы потому, что вообще ни одна система не дает 100-процентной гарантии безопасности. К брандмауэру стоит относиться как к средству, которое, при правильной его настройке, способно в значительной мере осложнить задачу злоумышленника по проникновению в персональный компьютер пользователя. Подчеркнем: лишь осложнить, но вовсе не гарантировать абсолютной безопасности. Кстати, если речь заходит не о защите локальной сети, а о защите отдельного ПК, имеющего доступ в Интернет, то с обеспечением его персональной безопасности успешно справляется и брандмауэр ICF (Internet Connection Firewall), встроенный в операционную систему Windows XP. Поэтому в дальнейшем мы будем говорить лишь о корпоративных аппаратных брандмауэрах, ориентированных на защиту небольших сетей.

Если брандмауэр, устанавливаемый на входе в локальную сеть, активирован по полной программе (как правило, это соответствует настройкам по умолчанию), то защищаемая им сеть полностью непроницаема и недоступна извне. Однако у столь полной непроницаемости внутренней сети есть и своя оборотная сторона. Дело в том, что в этом случае становится невозможно пользоваться Интернет-сервисами (например, ICQ и тому подобными программами), установленными на ПК. Таким образом, задача настройки брандмауэра заключается в том, чтобы в первоначально глухой стене, которую представляет собой брандмауэр для злоумышленника, проделать окошки, предоставив возможность пользовательским программам отвечать на запросы извне и в конечном счете реализовать подконтрольное взаимодействие внутренней сети с внешним миром. Однако чем больше подобных окон появляется в такой стене, тем более уязвимой становится и сама сеть. Так что еще раз подчеркнем: ни один брандмауэр не может гарантировать абсолютной безопасности защищаемой им локальной сети.

Классификация брандмауэров

озможности брандмауэров и степень их интеллектуальности зависят от того, на каком уровне эталонной модели OSI они функционируют. Чем выше уровень OSI, на основе которого построен брандмауэр, тем выше обеспечиваемый им уровень защиты.

Напомним, что модель OSI (Open System Interconnection) включает семь уровней сетевой архитектуры. Первый, самый нижний, — это физический уровень. За ним следуют канальный, сетевой, транспортный, сеансовый уровни, уровень представления и прикладной уровень, или уровень приложений. Для того чтобы обеспечивать фильтрацию трафика, брандмауэр должен работать как минимум на третьем уровне модели OSI, то есть на сетевом уровне, где происходит маршрутизация пакетов на основе преобразования MAC-адресов в сетевые адреса. С точки зрения протокола TCP/IP этот уровень соответствует уровню IP (Internet Protocol). Получая информацию сетевого уровня, брандмауэры способны определить адрес источника и получателя пакета и проверить, допустима ли передача трафика между данными адресатами. Однако информации сетевого уровня для анализа содержимого пакета недостаточно. Брандмауэры, функционирующие на транспортном уровне модели OSI, получают несколько больше информации о пакетах и в этом смысле могут предоставлять более интеллектуальные схемы защиты сетей. Что же касается брандмауэров, работающих на уровне приложений, то им доступна полная информация о сетевых пакетах, а значит, такие брандмауэры обеспечивают наиболее надежную сетевую защиту.

В зависимости от уровня модели OSI, на которых функционируют брандмауэры, исторически сложилась следующая классификация этих устройств:

• пакетный фильтр (packet filter);
• шлюз сеансового уровня (circuit-level gateway);
• шлюз прикладного уровня (application-level gateway);
• Stateful Packet Inspection (SPI).

Отметим, что данная классификация имеет лишь исторический интерес, поскольку все современные брандмауэры относятся к категории наиболее совершенных (в плане защиты сети) SPI-брандмауэров.

Пакетные фильтры

Брандмауэры типа пакетных фильтров являются наиболее простыми (наименее интеллектуальными). Эти брандмауэры работают на сетевом уровне модели OSI или на IP-уровне стека протоколов TCP/IP. Такие брандмауэры в обязательном порядке присутствуют в каждом маршрутизаторе, поскольку любой маршрутизатор работает как минимум на третьем уровне модели OSI.

Задача пакетных фильтров заключается в фильтрации пакетов на основе информации об IP-адресе источника или получателя, а также о номерах портов.

В брандмауэрах типа пакетных фильтров каждый пакет, до того как он будет передан, анализируется на предмет соответствия критериям передачи или блокировки передачи. В зависимости от пакета и от сформированных критериев передачи брандмауэр может передать пакет, отвергнуть его или послать уведомление инициатору передачи.

Пакетные фильтры просты в реализации и практически не влияют на скорость маршрутизации.

Шлюзы сеансового уровня

Шлюзы сеансового уровня — это брандмауэры, которые работают на сеансовом уровне модели OSI или на TCP (Transport Control Protocol) уровне стека протоколов TCP/IP. Данные брандмауэры отслеживают процесс установления TCP-соединения (организацию сеансов обмена данными между оконечными машинами) и позволяют определить, является ли данный сеанс связи легитимным. Данные, передаваемые к удаленному компьютеру во внешней сети через шлюз на сеансовом уровне, не содержат информации об источнике передачи, то есть все выглядит таким образом, как будто данные отправляются самим брандмауэром, а не компьютером во внутренней (защищаемой) сети. Все брандмауэры на основе NAT-протокола являются шлюзами сеансового уровня (протокол NAT будет описан ниже).

Шлюзы сеансового уровня также не оказывают существенного влияния на скорость маршрутизации. В то же время эти шлюзы не способны осуществлять фильтрацию отдельных пакетов.

Шлюзы прикладного уровня

Шлюзы прикладного уровня, или proxy-серверы, функционируют на прикладном уровне модели OSI. Прикладной уровень отвечает за доступ приложений в сеть. К задачам этого уровня относятся перенос файлов, обмен почтовыми сообщениями и управление сетью. Получая информацию о пакетах на прикладном уровне, шлюзы прикладного уровня могут реализовывать блокировку доступа к определенным сервисам. К примеру, если шлюз прикладного уровня сконфигурирован как Web-proxy, то любой трафик, относящийся к протоколам Telnet, FTP, Gopher, будет заблокирован. Поскольку эти брандмауэры анализируют пакеты на прикладном уровне, они способны осуществлять фильтрацию специфических команд, например, http:post, get и т.д. Данная функция недоступна ни пакетным фильтрам, ни шлюзам сеансового уровня. Шлюзы прикладного уровня могут также использоваться для регистрации активности отдельных пользователей и для установления ими сеансов связи. Эти брандмауэры предлагают более надежный способ защиты сетей по сравнению со шлюзами сеансового уровня и пакетными фильтрами.

SPI-брандмауэры

Последний тип брандмауэров — Stateful Packet Inspection (SPI) — объединяет в себе преимущества одновременно и пакетных фильтров, и шлюзов сеансового уровня, и шлюзов прикладного уровня. То есть фактически речь идет о многоуровневых брандмауэрах, которые работают одновременно на сетевом, сеансовом и прикладном уровнях.

SPI-брандмауэры осуществляют фильтрацию пакетов на сетевом уровне, определяют легитимность установления сеанса связи на основании данных сеансового уровня и анализируют содержимое пакетов, основываясь на данных прикладного уровня.

Эти брандмауэры реализуют наиболее надежный способ защиты сетей и на данный момент являются стандартом де-факто.

Настройка брандмауэров

етодология и возможности по настройке брандмауэров зависят от конкретной модели. К сожалению, не существует единых правил настройки и тем более единообразного интерфейса. Можно говорить лишь о неких общих правилах, которых стоит придерживаться. Собственно, основное правило довольно простое — необходимо запрещать все, что не требуется для нормального функционирования сети.

Чаще всего возможности по настройке брандмауэров сводятся к активированию некоторых предопределенных правил и к созданию статических правил в виде таблицы.

Рассмотрим в качестве примера возможности по настройке брандмауэра, входящего в маршуртизатор Gigabyte GN-B49G. В этом маршрутизаторе имеется ряд предопределенных правил, позволяющих реализовывать различные уровни безопасности внутренней сети. К таким правилам относятся следующие:

• Access to Router’s configuration and administration from the WAN side is prohibited. Активация данной функции запрещает доступ к настройкам маршрутизатора из внешней сети;
• The access from Global-IP to Private-IP is prohibited inside LAN. Данная функция позволяет блокировать доступ внутри локальной сети с глобальных IP-адресов (если таковые имеются) на IP-адреса, зарезервированные для частного использования;
• Prevent file and printer sharing from outside the router’s network. Функция предотвращает использование разделяемого доступа к принтерам и файлам внутренней сети извне;
• The existence of the router cannot be detected from the WAN side. Данная функция делает маршрутизатор невидимым со стороны внешней сети;
• Denial of Service (DoS) type attacks are prevented. При активировании этой функции реализуется защита от атак типа DoS (Denial of Service). Атаки DoS — это вид сетевых атак, который заключается в поступлении на сервер множества запросов с требованием услуги, предоставляемой системой. Сервер расходует свои ресурсы на установление соединения и его обслуживание и при определенном потоке запросов не справляется с ними. Защита от атак этого вида строится на анализе источников избыточного по сравнению с обычным трафика и запрете его передачи.

Как мы уже отмечали, многие брандмауэры имеют предопределенные правила, которые по своей сути не отличаются от перечисленных выше, но могут иметь другие названия.

Другой способ настройки брандмауэра сводится к созданию статических правил, которые позволяют не только защитить сеть снаружи, но и ограничить пользователям локальной сети доступ во внешнюю сеть. Возможности по созданию правил достаточно гибкие и позволяют реализовать практически любую ситуацию. Для создания правила задаются IP-адрес (или диапазон адресов) источника, порты источника, IP-адреса и порты получателя, тип протокола, направление передачи пакета (из внутренней сети во внешнюю или наоборот), а также действие, которое должно предприниматься при обнаружении пакета с означенными свойствами (отбросить или пропустить пакет). К примеру, если требуется запретить пользователям внутренней сети (диапазон IP-адресов: 192.168.1.1-192.168.1.100) обращение к FTP-серверу (порт 21), расположенному по внешнему IP-адресу 64.233.183.104, то правило может быть сформулировано следующим образом:

• направление передачи пакетов: LAN-to-WAN;
• IP-адреса источника: 192.168.1.1-192.168.1.100;
• порт источника: 1-65535;
• порт получателя: 21;
• протокол: TCP;
• действие: drop.

Статическая настройка правила брандмауэра для рассмотренного выше примера показана на рис. 1.

Протокол NAT как составная часть брандмауэра

се современные маршрутизаторы со встроенными брандмауэрами поддерживают протокол трансляции сетевых адресов NAT (Network Address Translation).

Протокол NAT не является составной частью брандмауэра, но в то же время способствует повышению безопасности сети. Основная же задача протокола NAT — решение проблемы дефицита IP-адресов, которая становится все более актуальной по мере роста числа компьютеров.

Дело в том, что в настоящей версии протокола IPv4 для определения IP-адреса отводится четыре байта, что позволяет сформировать свыше четырех миллиардов адресов сетевых компьютеров. Конечно, в те времена, когда Интернет только зарождался, трудно было себе даже представить, что когда-нибудь этого количества IP-адресов может оказаться недостаточно. Для того чтобы частично решить проблему дефицита IP-адресов, и был в свое время предложен протокол трансляции сетевых адресов NAT.

Протокол NAT определен стандартом RFC 1631, в котором определяется, каким образом происходит преобразование сетевых адресов.

В большинстве случаев устройство NAT преобразует IP-адреса, зарезервированные для частного использования в локальных сетях, в открытые IP-адреса.

Частное адресное пространство регламентируется документом RFC 1918. К этим адресам относятся следующие IP-диапазоны: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.168.255.255.

Согласно документу RFC 1918, частные IP-адреса нельзя использовать в Глобальной сети, поэтому они могут свободно применяться только для внутренних целей.

Прежде чем перейти к особенностям функционирования протокола NAT, рассмотрим, как происходит сетевое соединение между двумя ПК.

Когда один компьютер сети устанавливает соединение с другим компьютером, открывается сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Формат IP-пакета предусматривает двухбайтовое поле для номеров портов. Это позволяет определить 65 535 портов, которые играют роль своеобразных каналов связи. Из 65 535 портов первые 1023 зарезервированы для хорошо известных серверных сервисов, таких как Web, FTP, Telnet и т.д. Все остальные порты могут использоваться для любых других целей.

Если, к примеру, один сетевой компьютер обращается к FTP-серверу (порт 21), то при открытии сокета операционная система присваивает сессии любой порт выше 1023. Например, это может быть порт 2153. Тогда IP-пакет, отправляемый со стороны ПК к FTP-серверу, будет содержать IP-адрес отправителя, порт отправителя (2153), IP-адрес получателя и порт назначения (21). IP-адрес и порт отправителя будут использоваться для ответа сервера клиенту. Использование разных портов для различных сетевых сессий позволяет клиентам сети одновременно устанавливать несколько сессий с различными серверами или с сервисами одного сервера.

Теперь рассмотрим процесс установления сессии при использовании NAT-маршрутизатора на границе внутренней сети и сети Интернет.

Когда клиент внутренней сети устанавливает связь с сервером внешней сети, то, как и в случае установки соединения между двумя ПК, открывается сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Когда приложение передает данные через этот сокет, IP-адрес источника и порт источника вставляются в пакет в поля параметров источника. Поля параметров пункта назначения будут содержать IP-адрес сервера и порт сервера. К примеру, компьютер внутренней сети с IP-адресом 192.168.0.1 может обратиться к Web-серверу Глобальной сети с IP-адресом 64.233.188.104. В этом случае операционная система клиента может назначить установленной сессии порт 1251 (порт источника), а порт назначения — это порт Web-сервиса, то есть 80. Тогда в заголовке отправляемого пакета будут указаны следующие атрибуты (рис. 2):

• порт источника: 1251;
• IP-адрес получателя: 64.233.183.104;
• порт получателя: 80;
• протокол: TCP.

Устройство NAT (маршрутизатор) перехватывает исходящий из внутренней сети пакет и заносит в свою внутреннюю таблицу сопоставление портов источника и получателя пакета, используя IP-адрес назначения, порт назначения, внешний IP-адрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента.

Предположим, что в рассмотренном выше примере NAT-маршрутизатор имеет внешний IP-адрес 195.2.91.103 (адрес WAN-порта), а для установленной сессии внешний порт NAT-устройства — 3210. В этом случае внутренняя таблица сопоставления портов источника и получателя пакета содержит следующую информацию:

• IP-адрес источника: 192.168.0.1;
• порт источника: 1251;
• внешний IP-адрес

NAT-устройства: 195.2.91.103;

• внешний порт NAT-устройства: 3210;
• IP-адрес получателя: 64.233.183.104;
• порт получателя: 80;
• протокол: TCP.

Затем устройство NAT «транслирует» пакет, преобразуя в пакете поля источника: внутренние IP-адрес и порт клиента заменяются внешними IP-адресом и портом устройства NAT. В рассмотренном примере преобразованный пакет будет содержать следующую информацию:

• IP-адрес источника: 195.2.91.103;
• порт источника: 3210;
• IP-адрес получателя: 64.233.183.104;
• порт получателя: 80;
• протокол: TCP.

Преобразованный пакет пересылается по внешней сети и в итоге попадает на заданный сервер.

Получив пакет, сервер будет направлять ответные пакеты на внешний IP-адрес и порт устройства NAT (маршрутизатора), указывая в полях источника свои собственные IP-адрес и порт (рис. 3). В рассмотренном примере ответный пакет от сервера будет содержать в заголовке следующую информацию:

• порт источника: 80;
• IP-адрес получателя: 195.2.91.103;
• порт получателя: 3210;
• протокол: TCP.

Рис. 3. Принцип работы NAT-устройства при передаче пакета из внешней сети во внутреннюю

Устройство NAT принимает эти пакеты от сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, с удаленным портом и с сетевым протоколом, указанным в сопоставлении портов, то NAT выполнит обратное преобразование: заменит внешний IP-адрес и внешний порт в полях назначения пакета на IP-адрес и внутренний порт клиента внутренней сети. Таким образом, пакет, передаваемый во внутреннюю сеть, для рассмотренного выше примера будет иметь следующие атрибуты:

• IP-адрес источника: 64.233.183.104;
• порт источника: 80;
• IP-адрес получателя: 192.168.0.1;
• порт получателя: 1251;
• протокол: TCP.

Однако если в таблице сопоставления портов не находится соответствия, то входящий пакет отвергается и соединение разрывается.

Благодаря NAT-маршрутизатору любой ПК внутренней сети получает возможность передавать данные в Глобальную сеть с использованием внешнего IP-адреса и порта маршрутизатора. При этом IP-адреса внутренней сети, как присвоенные сессиям порты, остаются невидимыми со стороны внешней сети.

Однако NAT-маршрутизатор позволяет обмениваться данными между компьютерами внутренней и внешней сетей только в том случае, если этот обмен инициируется компьютером внутренней сети. Если же какой-нибудь компьютер внешней сети пытается получить доступ к компьютеру внутренней сети по своей собственной инициативе, то такое соединение отвергается устройством NAT. Поэтому помимо решения проблемы нехватки IP-адресов протокол NAT также способствует повышению безопасности внутренней сети.

Проблемы, связанные с NAT-устройствами

есмотря на кажущуюся простоту работы NAT-устройств, с ними связаны некоторые проблемы, нередко усложняющие организацию взаимодействия между сетевыми компьютерами или вообще препятствующие его установлению. К примеру, если локальная сеть защищена NAT-устройством, то любой клиент внутренней сети может установить соединение с сервером Глобальной сети, но не наоборот. То есть из внешней сети нельзя инициировать соединение с сервером, расположенным во внутренней сети за NAT-устройством. Но как быть, если во внутренней сети расположен сервис (например, FTP- или Web-сервер), к которому пользователи внешней сети должны иметь доступ? Для решения данной проблемы в NAT-маршрутизаторах используются технологии демилитаризованной зоны и перенаправления портов, которые будут подробно описаны ниже.

Другая проблема, связанная с NAT-устройствами, заключается в том, что некоторые сетевые приложения включают IP-адрес и порт в ту часть пакета, которая отводится для данных. Понятно, что NAT-устройство не способно выполнить преобразование таких адресов. В результате если сетевое приложение вставляет IP-адрес или порт в содержащую полезные данные часть пакета, то сервер, отвечая на такой пакет, будет использовать вложенные IP-адрес и порт, для которых отсутствует соответствующая запись сопоставления во внутренней таблице NAT-устройства. В итоге такой пакет будет отброшен NAT-устройством, а следовательно, приложения, использующие данную технологию, не смогут работать при наличии NAT-устройств.

Существуют сетевые приложения, которые при передаче данных используют один порт (в качестве порта отправителя), но ожидают ответа на другой порт. Устройство NAT, анализируя исходящий трафик, производит сопоставление порта отправителя. Однако о том, что ответ ожидается на другой порт, устройство NAT не знает и выполнить соответствующего сопоставления не может. В результате ответные пакеты, адресованные на порт, для которого нет сопоставления во внутренней таблице NAT-устройства, будут отброшены.

Еще одна проблема, связанная с NAT-устройствами, заключается в множественном доступе к одному и тому же порту. Рассмотрим ситуацию, когда несколько клиентов локальной сети, отделенной от внешней сети NAT-устройством, обращаются к одному и тому же стандартному порту. К примеру, это может быть порт 80, зарезервированный для Web-сервиса. Поскольку все клиенты внутренней сети используют один и тот же IP-адрес, возникает вопрос: каким образом NAT-устройство сможет определить, к какому именно клиенту внутренней сети относится внешний запрос? Для решения данной проблемы в каждый момент времени доступ к стандартному порту имеет только один клиент внутренней сети.

Статическое перенаправление портов (Port mapping)

Для того чтобы сделать доступными из внешней сети определенные приложения, запускаемые на сервере во внутренней сети (такие, например, как Web-сервер или FTP-сервер), в NAT-устройстве необходимо задать сопоставление между портами, используемыми определенными приложениями, и IP-адресами тех серверов внутренней сети, на которых эти приложения работают. В этом случае говорят о технологии перенаправления портов (Port mapping), а сам сервер внутренней сети называется виртуальным сервером. В результате любой запрос из внешней сети на внешний IP-адрес NAT-устройства (маршрутизатора) по указанному порту будет автоматически перенаправлен на указанный виртуальный сервер внутренней сети.

К примеру, если во внутренней сети конфигурируется виртуальный FTP-сервер, который запускается на ПК с IP-адресом 192.168.0.10, то при настройке виртуального сервера задаются IP-адрес виртуального сервера (192.168.0.10), используемый протокол (TCP) и порт приложения (21). В подобном случае при обращении по внешнему адресу NAT-устройства (WAN-порт маршрутизатора) по порту 21 пользователь внешней сети может получить доступ к FTP-серверу внутренней сети, несмотря на использование протокола NAT. Пример конфигурирования виртуального сервера на реальном NAT-маршрутизаторе показан на рис. 4.

Как правило, NAT-маршрутизаторы позволяют создавать несколько статических перенаправлений портов. Так, на одном виртуальном сервере можно открыть сразу несколько портов или создать несколько виртуальных серверов с различными IP-адресами. Однако при статическом перенаправлении портов нельзя перенаправлять один порт на несколько IP-адресов, то есть порт может соответствовать одному IP-адресу. Невозможно, к примеру, сконфигурировать несколько Web-серверов с разными IP-адресами — для этого придется менять порт Web-сервера по умолчанию и при обращении по 80-му порту в настройке маршрутизатора в качестве внутреннего порта (Private Port) указывать измененный порт Web-сервера.

Большинство моделей маршрутизаторов позволяют также задавать статическое перенаправление группы портов, то есть ставить в соответствие IP-адресу виртуального сервера сразу целую группу портов. Такая возможность полезна в том случае, если необходимо обеспечить работу приложений, использующих большое количество портов, например игр или аудио/видеоконференций. Количество перенаправляемых групп портов в разных моделях маршрутизаторов различно, но обычно их не менее десяти.

Динамическое перенаправление портов (Special Application)

Статическое перенаправление портов позволяет отчасти решить проблему доступа из внешней сети к сервисам локальной сети, защищаемой NAT-устройством. Однако существует и противоположная задача — необходимость обеспечить пользователям локальной сети доступ во внешнюю сеть через NAT-устройство. Дело в том, что некоторые приложения (например, Интернет-игры, видеоконференции, Интернет-телефония и другие приложения, требующие одновременного установления множества сессий) не совместимы с NAT-технологией. Для решения этой проблемы используется так называемое динамическое перенаправление портов (иногда встречается название Special Application), когда перенаправление портов задается на уровне отдельных сетевых приложений.

В случае если маршрутизатор поддерживает данную функцию, необходимо задать номер внутреннего порта (или интервал портов), связанный с конкретным приложением (как правило, его обозначают Trigger Port), и задать номер внешнего порта NAT-устройства (Public Port), который будет сопоставляться с внутренним портом.

При активации динамического перенаправления портов маршрутизатор следит за исходящим трафиком из внутренней сети и запоминает IP-адрес компьютера, от которого исходит этот трафик. При поступлении данных обратно в локальный сегмент включается перенаправление портов и данные пропускаются внутрь. После завершения передачи перенаправление отключается, и тогда любой другой компьютер может создать новое перенаправление уже на свой IP-адрес.

Динамическое перенаправление портов используется в основном для служб, предусматривающих кратковременные запросы и передачу данных, поскольку если один компьютер использует перенаправление данного порта, то в этот же момент времени другой компьютер не может делать то же самое. Если требуется настроить работу приложений, которым необходим постоянный поток данных, занимающих порт на длительное время, то динамическое перенаправление малоэффективно. Однако и в этом случае существует решение проблемы — оно заключается в использовании демилитаризованной зоны.

DMZ-зона

Демилитаризованная зона (DMZ-зона) — еще один способ обхода ограничений протокола NAT. Эту возможность предоставляют все современные маршрутизаторы. При размещении компьютера внутренней локальной сети в зоне DMZ он становится прозрачным для протокола NAT. Фактически это означает, что компьютер внутренней сети виртуально располагается перед брандмауэром. Для ПК, расположенного в DMZ-зоне, осуществляется перенаправление всех портов на один внутренний IP-адрес, что позволяет организовать передачу данных из внешней сети во внутреннюю.

Если, к примеру, сервер с IP-адресом 192.168.1.10, находящийся во внутренней локальной сети, размещен в DMZ-зоне, а сама локальная сеть защищена NAT-устройством, то при поступлении по любому порту запроса из внешней сети по адресу WAN-порта NAT-устройства этот запрос будет переадресован на IP-адрес 192.168.1.10, то есть на адрес виртуального сервера в DMZ-зоне.

Как правило, NAT-маршрутизаторы класса SOHO позволяют разместить в DMZ-зоне только один компьютер. Пример конфигурирования компьютера в DMZ-зоне показан на рис. 5.

Рис. 5. Пример конфигурации компьютера в DMZ-зоне

Поскольку компьютер, размещенный в DMZ-зоне, становится доступным из внешней сети и никак не защищен брандмауэром, он становится уязвимым местом сети. Прибегать к размещению компьютеров в демилитаризованной зоне нужно только в самом крайнем случае, когда никакие другие способы обхода ограничений протокола NAT по тем или иным причинам не подходят.

Технология NAT Traversal

Перечисленные нами способы обхода ограничений протокола NAT могут представлять определенную сложность для начинающих пользователей. Для облегчения администрирования была предложена автоматизированная технология конфигурирования NAT-устройств. Технология NAT Traversal (прохождение NAT) позволяет сетевым приложениям определять, что они находятся под защитой NAT-устройства, узнавать внешний IP-адрес и выполнять перенаправление портов в автоматическом режиме. Таким образом, преимущество технологии NAT Traversal заключается в том, что пользователю не приходится вручную настраивать сопоставление портов.

Технология NAT Traversal опирается на протоколы UPnP (Universal Plug and Play) поэтому нередко в маршрутизаторах для активирования данной технологии необходимо отметить опцию UPnP&NAT.

Межсетевое экранирование - блокирование трафика от несанкционированных источников - одна из старейших сетевых технологий безопасности, но производители соответствующих сред продолжают разрабатывать новые подходы, которые помогают эффективнее противодействовать современным угрозам в меняющемся сетевом окружении и защищать корпоративные ИТ-ресурсы. Межсетевые экраны нового поколения позволяют создавать политики, используя более широкий спектр контекстных данных, и обеспечивать их соблюдение.

Эволюция межсетевых экранов (FW) прошла долгий путь. Впервые они были разработаны еще в конце 80-х компанией DEC и функционировали в основном на первых четырех уровнях модели OSI, перехватывая трафик и анализируя пакеты на соответствие заданным правилам. Затем Check Point предложила межсетевые экраны со специализированными микросхемами (ASIC) для глубокого анализа заголовков пакетов. Эти усовершенствованные системы могли вести таблицу активных соединений и задействовали ее в правилах (Stateful Packet Inspection, SPI). Технология SPI позволяет проверять IP-адреса отправителя и получателя и контролировать порты.

Большим шагом вперед считается создание FW, функционирующих на уровне приложений. Первый такой продукт выпустила компания SEAL еще в 1991-м, а два года спустя появилось открытое решение Firewall Toolkit (FWTK) от Trusted Information Systems. Эти межсетевые экраны проверяли пакеты на всех семи уровнях, что позволило использовать в наборах правил (политиках) расширенную информацию - не только о соединениях и их состоянии, но и об операциях с использованием протокола конкретного приложения. К середине 90-х межсетевые экраны обрели способность осуществлять мониторинг популярных протоколов прикладного уровня: FTP, Gopher, SMTP и Telnet. Эти усовершенствованные продукты (application-aware) получили название межсетевых экранов нового поколения (Next-Generation Firewall, NGFW).

TIS выпустила коммерческую версию FWTK - Gauntlet Firewall. Именно этот продукт, обладающий возможностями аутентификации пользователей, фильтрации URL, а также средствами защиты от вредоносных программ и функциями безопасности уровня приложений, считается первым межсетевым экраном «нового поколения». Таким образом, формально продуктам NGFW уже более 15 лет, хотя сегодня в этот термин вкладывают иной смысл.

СМЕНА ПОКОЛЕНИЙ

Аналитики Frost & Sullivan выделяют четыре поколения межсетевых экранов. Первое (1985–1990 годы) - это продукция DEC; второе (1996–2002 годы) - появление продуктов SPI (Check Point) и работа на уровне приложений (Gauntlet), интеграция функций IPsec VPN, использование ASIC собственной разработки для увеличения производительности (Lucent, NetScreen); третье (2003– 2006 годы) - применение функций Deep Packet Inspection и консолидация защитных функций (Fortinet); четвертое поколение (с 2007 года по настоящее время) - обеспечение безопасности трафика на основе идентификации приложений и пользователей (Palo Alto) и внедрение новых технологий крупными вендорами.

Таким образом, появление термина NGFW в его современном понимании приписывается компании Palo Alto Networks. Межсетевыми экранами следующего поколения она назвала свои продукты, позволяющие строго контролировать доступ отдельных пользователей к приложениям и Интернету. По существу, NGFW объединяет на одной платформе несколько функций - FW, IPS и Web-шлюзы безопасности. Заказчики получают возможность контроля на «входе» и «выходе» из сети. В NGFW политики задаются для приложений, а не только для портов и IP-адресов.

По сравнению с межсетевыми экранами Cisco, Check Point Software Technologies и Juniper Networks, продукты Palo Alto Networks обеспечивали более простой мониторинг и надежную защиту трафика при использовании социальных сетей, Google Gmail или Skype. Рост популярности Web-приложений в немалой степени способствовал развитию бизнеса этого вендора, вышедшего на рынок в 2005 году. В Forrester Research его основной продукт называют революционным.

Сегодня рынок межсетевых экранов (см. Рисунки 1 и 2) или брандмауэров охватывает целый ряд сегментов: SOHO, SMB, продукты для крупных предприятий и провайдеров. Новая функциональность NGFW помогает обеспечивать защиту корпоративных сетей в условиях внедрения новых технологий и моделей вычислений (облачные и мобильные вычисления). Расширение функциональности привело к созданию унифицированных платформ (Unified Threat Management, UTM), которые широко применяются в настоящее время.

Хотя граница сети становится размытой, защита периметра с помощью FW остается важным фактором и необходимым элементом многоуровневой системы безопасности. Появление мобильных устройств и возникновение концепции BYOD оказывает сильное влияние на безопасность, но это, скорее, увеличивает значение периметра сети, так как только в его пределах данные могут быть в относительной безопасности, считает Дмитрий Курашев, директор компании Entensys.

«Если говорить о современных и востребованных функциях, то в основном брандмауэры используются как классические межсетевые экраны, - замечает Дмитрий Ушаков, руководитель отдела по подготовке и внедрению технических решений Stonesoft Russia. - Конечно, по своим возможностям они уже отличаются от тех, что применялись в 80-е и 90-е годы, - взять хотя бы контекстную фильтрацию с учетом состояния и разбор приложений (способность отслеживать связанные соединения). Но на практике востребованы главным образом именно классические функции».

По мнению аналитиков Frost & Sullivan, хотя традиционные межсетевые экраны остаются фундаментальным средством обеспечения безопасности, они неэффективны при защите от сложных сетевых атак . Развитие технологий и приложений приводит к открытию все новых лазеек для злоумышленников, а практическая реализация системы безопасности усложняется. Чтобы противостоять меняющимся угрозам, производителям приходится активизировать разработку новых методов выявления и предотвращения атак и блокирования нежелательного сетевого трафика. По мнению экспертов Gartner, рынок межсетевых экранов вступил в период «динамичной эволюции» и в ближайшие годы высокие темпы роста сохранятся (см. Рисунок 3).

Рисунок 3. Прогноз роста мирового рынка межсетевых экранов от Frost & Sullivan.

«НОВОЕ ПОКОЛЕНИЕ» СЕГОДНЯ

Основной технологией NGFW остается детальный и настраиваемый контроль на уровне приложений, однако «поддержка приложений» в современных межсетевых экранах существенно отличается от того, что предлагалось 20 лет назад. Технология межсетевых экранов была значительно усовершенствована - она эволюционировала до специализированных решений, выполняющих глубокий анализ трафика и идентификацию приложений. Соответствующие продукты стали работать быстрее и поддерживают более сложные наборы правил, чем их предшественники.

Аналитики Gartner отмечают, что в последние два-три года растет спрос на платформы NGFW, способные выявлять и блокировать изощренные атаки, задавать (с высокой степенью детализации) политики безопасности на уровне приложений, а не только портов и протоколов. Функционал и производительность межсетевых экранов должны отвечать требованиям более сложного взаимодействия с приложениями, а сами устройства - обладать высокой пропускной способностью и поддерживать виртуализацию. Выбор решения определяется такими факторами, как стоимость, удобство управления, простота и скорость развертывания. Конечно, список этим не исчерпывается.

«При сравнении или разработке методики выбора межсетевых экранов аналитики оперируют несколькими десятками (иногда до полутора сотен) критериев, которые следует учитывать, выбирая решение. Каждый заказчик по-своему расставляет приоритеты - универсального рецепта или сценария нет и быть не может», - подчеркивает Алексей Лукацкий, эксперт Cisco в области сетевой безопасности.

Новые угрозы и технологии Web 2.0 заставляют вендоров обновлять свои предложения - межсетевые экраны эволюционируют. Они оснащаются функциями глубокого анализа трафика и предоставляют возможность гибкой настройки политики, а их производительность увеличивается в соответствии с ростом пропускной способности сетей. NGFW способны контролировать сетевой трафик на уровне приложений и пользователей и активно блокировать угрозы. Они могут включать в себя целый ряд дополнительных средств обеспечения безопасности и поддерживать развитые сетевые функции.

Крупные предприятия и провайдеры нуждаются в высокопроизводительных решениях. Новейшие системы строятся на мощных аппаратных платформах, причем в качестве интегрированных компонентов в них используются ранее разрозненные средства и функции безопасности - IPS, глубокий анализ пакетов, аутентификация пользователей и многое другое. Однако межсетевые экраны корпоративного уровня характеризуются не специфическим набором функций, а масштабируемостью, управляемостью и надежностью, которые отвечают потребностям крупных компаний.

Межсетевые экраны ведущих вендоров, включая Check Point Software Technologies, Cisco Systems, Fortinet, Juniper Networks и Palo Alto Networks, обеспечивают детальный контекстный анализ трафика на уровне приложений. Но это не единственное свойство NGFW. Например, компания Gartner более трех лет назад предложила собственное определение, подчеркивающее связь между IPS и NGFW. Другие аналитики считают важной особенностью NGFW функции UTM. Palo Alto и Juniper придерживаются своей терминологии. Однако суть не в формулировках, а в функциях NGFW, которые организации могут задействовать для защиты своих сетей.

По словам Алексея Лукацкого, Cisco смотрит на данный вопрос чуть шире, чем принято в других компаниях: «Мы не используем понятие NGFW, заменив его на Context-Aware FW, то есть межсетевой экран, учитывающий контекст. Под контекстом понимается не только ответ на вопрос «ЧТО можно?» (то есть анализ трафика на сетевом и уровне приложений), но и ответы на вопрос «КОГДА можно?» (привязка попытки доступа ко времени), «КУДА и ОТКУДА можно?» (местоположение ресурсов и оборудования, с которого отправляется запрос), «КОМУ можно?» (привязка не только к IP-адресу, но и к учетной записи пользователя), «КАК можно?» (с какого устройства разрешено осуществлять доступ - с личного или с корпоративного, со стационарного или мобильного). Все это позволяет более гибко выстраивать политику доступа и учитывать постоянно изменяющиеся потребности современного предприятия с точки зрения информационной безопасности».

NGFW - это устройство, которое расширяет функционал традиционного межсетевого экрана в части дополнительных сервисов инспекции и контроля пользователей и приложений, считает Дмитрий Ушаков. «Соответственно, межсетевой экран следующего поколения - это, по большому счету, FW, IPS и система контроля поведения пользователей и приложений, - подчеркивает он. - И в этом смысле Stonesoft StoneGate FW уже несколько лет выполняет функции NGFW».

Межсетевые экраны не только фильтруют входящий трафик. Некоторые NGFW могут выявлять аномальную активность и в исходящем трафике , например, взаимодействие через порт 80 с несанкционированным сайтом или трафик, совпадающий с одной из сигнатур. Это помогает идентифицировать и блокировать исходящие коммуникации, в том числе инициированные вредоносными программами. «Все больше и больше возможностей, которые раньше реализовывались на выделенных межсетевых экранах, объединяются в одном программно-аппаратном комплексе. Мы вкладываем в понятие NGFW качественное сочетание таких функций, как стандартное экранирование, контроль приложений, предотвращение вторжений», - говорит Брендан Паттерсон, старший менеджер по управлению продуктами WatchGuard Technologies.

NGFW позволяют создавать политики ИБ на основе широкого набора контекстных данных, обеспечивая более высокую степень защиты, управляемости и масштабируемости. Трафик интернет-сервисов (от электронной почты до потокового видео и социальных сетей) проходит через браузер по ограниченному числу портов, и NGFW должен обладать способностью анализа сеансов (с тем или иным уровнем детализации) для принятия решений в зависимости от контекста. Еще одной особенностью NGFW является поддержка идентификации пользователей (что можно применять при создании правил), причем для этого межсетевой экран может как использовать собственную информацию, так и обращаться к Active Directory. «Умение» распознавать и анализировать трафик отдельных приложений приобрело особое значение с распространением Web-приложений, которые большинство межсетевых экранов SPI могут идентифицировать лишь как трафик HTTP через порт 80.

Покупка NGFW с намерением использовать лишь его функции фильтрации трафика по портам нецелесообразна, но и функции детального контроля приложений нужны далеко не всем. К тому же стоит подумать, располагает ли организация квалифицированными ресурсами, чтобы конфигурировать и поддерживать сложный набор правил NGFW. Нельзя забывать и о скорости. Лучше всего настроить и протестировать NGFW в рабочей среде. Пропускная способность и удобство управления остаются ключевыми критериями оценки межсетевых экранов. Отдельный сегмент - продукты управления политиками (Firewall Policy Management, FPM). Gartner рекомендует применять их, если сложность среды ИТ превосходит возможности консоли управления FW.

Аналитики Gartner считают, что традиционные межсетевые экраны SPI - уже устаревшая технология, не способная защитить от многих угроз, и теперь многие организации развертывают NGFW. По прогнозу Gartner, через три года 38% предприятий будут использовать NGFW, тогда как в 2011 году таковых насчитывалось лишь 10%. В то же время число заказчиков, развертывающих комбинированные решения (FW+IPS), снизится с 60 до 45%, а количество компаний, пользующихся исключительно межсетевым экраном, - с 25 до 10%. В России видимо, результаты будут иными.

«Как показывает практика, традиционные межсетевые экраны до сих пор пользуются огромным успехом, - напоминает Дмитрий Ушаков. - В основном это связано с ограниченным контролем за реализацией сервисов безопасности со стороны регулирующих органов и, к сожалению, с обеспечением защиты ИТ по остаточному принципу - подешевле и по минимуму. Мало кто задумывается об угрозах и последствиях. Поэтому место для традиционных экранов, безусловно, есть, однако их будут оснащать новыми функциями. Например, более востребованными становятся устройства, в которых помимо традиционного FW есть еще и средства углубленного анализа межсетевых потоков».

Между тем при решении новых сложных задач разработчикам подчас приходится идти на компромисс. По заключению лаборатории NSS, новые функции NGFW, такие как детальный контроль на уровне приложений, часто снижают производительность и эффективность защиты по сравнению с комбинацией традиционных межсетевых экранов и IPS. Только у половины протестированных систем эффективность защиты превышала 90%.

Исследование NSS показало также, что средства IPS в системах NGFW настраивают редко: обычно после развертывания применяются политики, заданные вендорами по умолчанию. Это негативно сказывается на безопасности. Да и пропускная способность не отвечает заявленной: из восьми продуктов у пяти она оказалась ниже. Кроме того, у всех протестированных NGFW максимальное число подключений не соответствовало спецификациям. Тестировщики лаборатории NSS пришли к выводу, что NGFW будут готовы к развертыванию в корпоративных средах лишь после повышения производительности, да и в целом технологии NGFW нуждаются в совершенствовании - системы должны обеспечивать более стабильную работу и высокую степень безопасности.

В то же время большинство вендоров успешно развивают свой бизнес. Например, IDC отметила Check Point как ведущего производителя межсетевых экранов/UTM: во II квартале прошлого года этот ветеран рынка межсетевых экранов лидировал в данном сегменте по объему продаж, обойдя крупнейших поставщиков сетевого оборудования. Доля Check Point на мировом рынке FW/UTM превышает 20%, а в Западной Европе приближается к 30%.

В линейке Check Point - семь моделей устройств безопасности с архитектурой «программных блейдов» (см. Рисунок 4): модели от 2200 до 61000 (последняя является самым быстрым на сегодня межсетевым экраном). Высокопроизводительные устройства Check Point объединяют функции межсетевого экрана, VPN, предотвращения вторжений, контроля приложений и мобильного доступа, предотвращения утечек данных, поддержки идентификации, фильтрации URL, антиспама, антивируса и борьбы с ботами.

В «магическом квадранте» аналитики Gartner отнесли Check Point и Palo Alto Networks к лидерам рынка межсетевых экранов, а Fortinet, Cisco, Juniper Networks и Intel (McAfee) названы претендентами. Целых семь вендоров оказались «нишевыми игроками», и ни одна компания не попала в сектор «провидцы». Впрочем, это не мешает заказчикам отдавать предпочтение продукции Cisco (см. Рисунок 5).

Сейчас на рынке продолжается переход к системам NGFW, способным выявлять и блокировать различные виды изощренных атак и обеспечивать соблюдение политик на уровне приложений. В 2012 году признанные игроки рынка стремились усовершенствовать свои решения NGFW, чтобы они не уступали по своим возможностям продуктам новичков отрасли, а разработчики инновационных систем дополняли их средствами управления, выводя на уровень известных брендов.

ДРАЙВЕРЫ РОСТА И НОВЫЕ РАЗРАБОТКИ

Хотя мировой рынок межсетевых экранов насыщен, он далек от стагнации. Практически все крупные вендоры представили продукты нового поколения с дополнительными функциями. Драйверы роста рынка межсетевых экранов - мобильность, виртуализация и облачные вычисления - стимулируют потребности в новых средствах, предлагаемых NGFW. Аналитики Gartner констатируют растущий спрос на программные версии межсетевых экранов, используемые в виртуализированных ЦОД (см. Рисунок 6). В 2012 году доля виртуальных вариантов NGFW не превышала 2% но, по прогнозам Gartner, к 2016-му она вырастет до 20%. Виртуальные версии межсетевых экранов и решений для защиты контента хорошо подходят для развертывания в облачных средах.

Рисунок 6. По данным Infonetics Research, затраты североамериканских компаний на обеспечение информационной безопасности центров обработки данных в минувшем году резко выросли.

Для удаленных офисов и SMB привлекательным решением часто оказывается облачный межсетевой экран, установленный сервис-провайдером. По мнению некоторых экспертов, с развитием мобильного доступа и облачных архитектур потребуется менять и архитектуру безопасности: вместо NGFW компании будут чаще задействовать Web-шлюзы, находящиеся под контролем провайдера, а крупные организации - разделять функции Web-шлюзов и межсетевых экранов для улучшения производительности и управляемости, несмотря на то что некоторые продукты NGFW способны выполнять базовые функции Web-шлюзов.

Дмитрий Курашев считает, что все функции по обработке трафика лучше возложить на шлюзы, размещенные внутри компании: «Более правильным является использование облачных сервисов для администрирования и мониторинга серверных приложений, а также для сбора статистики и анализа». «Межсетевой экран должен быть установлен по умолчанию и у облачного провайдера, и на стороне заказчика облачных сервисов, - дополняет Алексей Лукацкий. - Ведь между ними находится незащищенная среда, которая может стать плацдармом для проникновения в корпоративную сеть или облако вредоносных программ либо для атак злоумышленников. Поэтому средства сетевой безопасности все равно необходимы».

Характерный пример управляемых сервисов безопасности - недавно анонсированный в России набор сервисов по защите сети клиента от основных сетевых угроз, предложенный Orange Business Services. Сервисы Unified Defense позволяют обеспечить централизованную антивирусную защиту всех устройств в сети, оградить корпоративные почтовые ящики от спама и фильтровать интернет-трафик, при необходимости ограничивая доступ сотрудников к тем или иным сетевым ресурсам на аппаратном уровне. Кроме того, в состав системы защиты включены межсетевой экран, а также средства обнаружения и предотвращения вторжений.

Unified Defense базируется на компактном устройстве UTM с функциональностью NGFW производства Fortinet, которое устанавливается в сети заказчика и поддерживается специалистами Orange. Продукт предлагается в двух версиях - для сетей, где обеспечивается поддержка до 200 пользователей, а скорость интернет-канала не превышает 20 Мбит/с (оборудование FortiGate 80C), а также для сетей, рассчитанных на 1000 пользователей и канал 100 Мбит/с (оборудование FortiGate 200B) (см. Рисунок 7). В настоящее время сервис доступен для клиентов Orange, в дальнейшем планируется предоставление услуги и в сетях сторонних провайдеров.

Unified Defense на базе оборудования Fortinet позволяет воспользоваться новыми технологиями безопасности даже компаниям с ограниченным ИТ-бюджетом. Одна из функций клиентского портала - доступ к регулярным отчетам о работе системы, в том числе к информации о нейтрализованных угрозах.

Глубокий анализ трафика позволяет идентифицировать приложения, обменивающиеся данными по сети. Учитывая современные тенденции переноса приложений в облако и развития сервисов SaaS, обеспечить попадание в корпоративную сеть только востребованных данных можно лишь при еще более высоком уровне детализации. Каждый вендор использует при создании NGFW собственные подходы. Многие выбирают сигнатурный метод.

Так, например, компания Astaro (с 2011 года входит в состав Sophos) применяет базу сигнатур приложений своего партнера Vineyard Networks. Благодаря этому, Astaro Security Gateway может различать разные приложения, работающие на одном Web-сайте, применять к ним политики QoS, приоритеты трафика и выделять пропускную способность. В новой версии Astaro Security Gateway улучшен интерфейс администрирования: по карте сети можно в реальном времени задавать правила и быстро реагировать на новые угрозы. В будущих версиях межсетевого экрана Astaro появится возможность передавать специалистам пакеты неизвестного типа для их последующего анализа.

В прошлом году Check Point на 90% обновила продуктовую линейку. Представленные модели оптимизированы для архитектуры «программных блейдов» Check Point и имеют, по данным разработчика, примерно в три раза более высокую производительность по сравнению с предыдущими поколениями. Новый модуль Security Acceleration, созданный на основе технологии SecurityCore, позволяет значительно увеличить производительность межсетевого экрана путем ускорения ключевых операций. Согласно Check Point, его пропускная способность достигает 110 Гбит/с, а задержка - менее 5 мкс. Как заявляют в компании, это самый производительный в отрасли межсетевой экран в форм-факторе 2U.

Созданная Check Point библиотека AppWiki позволяет идентифицировать более 5 тыс. приложений и 100 тыс. виджетов. Эти сигнатуры используются программными блейдами Check Point Application Control и Identity Awareness. Кроме того, для идентификации клиентских устройств и конечных пользователей, ПО интегрируется с Active Directory, а администраторы могут детально настраивать политики безопасности. Обучение сотрудников происходит в реальном времени: когда кто-либо из них нарушает политику безопасности, клиентское приложение-агент Check Point UserCheck выводит всплывающее окно, где поясняется суть нарушения и запрашивается подтверждение действия. Возможность передать запрос администратору упрощает процесс настройки политик безопасности в соответствии с потребностями пользователей.

В программную версию R74.40, предназначенную для ключевых продуктов сетевой безопасности Check Point, включено более 100 новых свойств, в том числе программный блейд Anti-Bot и обновленная версия Anti-Virus с технологией Check Point ThreatCloud: этот облачный сервис собирает информацию об угрозах и обеспечивает защиту шлюзов безопасности в режиме реального времени. Новое решение для ЦОД и частных облаков Check Point Virtual Systems позволяет объединять на одном устройстве до 250 виртуальных систем.

Компания Cisco в прошлом году выпустила собственное решение NGFW - новое поколение Adaptive Security Appliance (ASA), что стало ответом на технологию, разработанную Palo Alto Networks. ASA CX - межсетевой экран, учитывающий контекст, то есть распознающий не просто IP-адреса, а приложения, пользователей и устройства, а значит, позволяющий отслеживать, как сотрудник применяет те или иные приложения на разном оборудовании, и обеспечивать соблюдение соответствующих правил.

Функционируя на базе всех моделей Cisco ASA 5500-X (от 5512-X до 5585-X), Cisco ASA CX обеспечивает привязку правил к учетной записи пользователя в Active Directory, контроль за более чем 1100 приложениями (Facebook, LinkedIn, Skype, BitTorrent, iCloud, Dropbox, Google Drive, MS Windows Azure, Salesforce CRM, Oracle e-Business Suite, MS Lync, Tor и т. д.), учет времени и направление запроса на доступ, а также решение многих других задач. При этом Cisco ASA CX является не просто автономной мультигигабитной платформой, а тесно интегрируется с другими решениями безопасности Cisco - системой предотвращения вторжений Cisco IPS, системой авторизации и контроля сетевого доступа Cisco ISE, системой защиты Web-трафика Cisco Web Security и т. д.

Как подчеркивает Алексей Лукацкий, такой межсетевой экран учитывает и «размытость» периметра сети. Например, благодаря интеграции с Cisco ISE и всей сетевой инфраструктурой Cisco, он может распознать, что трафик поступает с личного iPad сотрудника, после чего, в зависимости от политики безопасности, динамически заблокирует его или разрешит доступ лишь к определенным внутренним ресурсам. Если же этот доступ осуществляется с корпоративного мобильного устройства, его привилегии могут быть расширены.

При этом ASA CX функционирует не только по принципу свой/чужой (личный/корпоративный), но и учитывает используемую на мобильном устройстве ОС, ее версию, наличие обновлений и иных «заплаток», а также работу антивируса и актуальность его баз и т. п. Доступ будет предоставляться не по IP-адресам отправителя и получателя, а в зависимости от целого комплекса параметров, что дает возможность реализовать гибкую политику подключения к защищаемым ресурсам вне зависимости от того, снаружи или изнутри находится пользователь и задействует ли он проводное или беспроводное соединение, личное или корпоративное устройство.

В межсетевом экране Dell SonicWALL применяется постоянно расширяемая база сигнатур, что позволяет идентифицировать более 3500 приложений и их функций. Технология SonicWALL ReassemblyFree Deep Packet Inspection (RFDPI) сканирует пакеты каждого протокола и интерфейса. Эксперты SonicWALL Research Team создают новые сигнатуры, которые автоматически доставляются в уже работающие межсетевые экраны. При необходимости заказчики могут добавлять сигнатуры самостоятельно. В окнах SonicWALL Visualization Dashboard и Real-Time Monitor администраторы могут видеть конкретные приложения в сети, а также - кто и как их использует. Эти сведения полезны для настройки политик и диагностики.

Функциональность своего продукта расширила и компания Entensys. В выпущенной в ноябре 2012 года UserGate Proxy&Firewall версии 6.0 появились полноценный сервер VPN, система IPS. Этот продукт UTM предлагается в форме ПО или программно-аппаратного комплекса. Кроме функций, непосредственно связанных с безопасностью, разработчики уделили большое внимание фильтрации контента и контролю за интернет-приложениями. В 2012 году были усовершенствованы функции морфологического анализа передаваемой информации для фильтрации входящего и исходящего трафика и выпущен производительный и функциональный сервер фильтрации контента UserGate Web Filter 3.0, который может использоваться совместно с любым сторонним решением UTM.

Компания Fortinet, которую обычно ассоциируют с UTM, в прошлом году представила FortiGate3240C - продукт, относящийся скорее к классу NGFW. В устройствах Fortinet FortiGate для идентификации приложений используются декодеры протоколов и расшифровка сетевого трафика. Разработчики ведут базу данных, куда добавляют сигнатуры новых приложений и, с выходом новых версий, обновленные сигнатуры существующих. Благодаря этой информации, продукты Fortinet различают приложения и применяют к каждому из них свои правила. В компании утверждают, что ее продукты имеют более высокий уровень производительности и интеграции по сравнению c конкурирующими решениями, поскольку все технологии разработаны ею самостоятельно. На функции NGFW обратили также внимание F5 Networks и Riverbed: совместно с McAfee (Intel) и другими поставщиками решений ИБ они встраивают их в оборудование и ПО для оптимизации трафика глобальной сети.

У Juniper Networks функции NGFW шлюзов SRX Services Gateway реализованы в пакете приложений AppSecure. Компонент AppTrack тоже использует созданную Juniper базу сигнатур приложений, дополненную сигнатурами, формируемыми администраторами заказчиков. AppTrack идентифицирует приложения, а компоненты AppFirewall и AppQoS обеспечивают соблюдение политик и контроль за трафиком приложений. Как заявляет производитель, эта платформа обладает высокой масштабируемостью и функционирует на скорости до 100 Гбит/с.

McAfee, входящая в Intel, использует для распознавания приложений в McAfee Firewall Enterprise технологию AppPrism, идентифицирующую тысячи приложений, независимо от портов и протоколов. Наряду с этим применяются сигнатуры, разработанные экспертами McAfee Global Threat Intelligence. При помощи AppPrism администраторы могут запрещать выполнение не только самих приложений, но и их «рискованных» компонентов - например, блокировать функцию обмена файлами в Skype, разрешив обмен сообщениями. Как и Juniper, к преимуществам своего решения McAfee относит собственную технологию и сигнатуры приложений.

В технологии App-ID компании Palo Alto Networks для идентификации приложений используется несколько методов: расшифровка, обнаружение, декодирование, сигнатуры, эвристика и др . В идентификаторах App-ID может применяться любая их комбинация, что позволяет выявлять все версии приложения, а также ОС, в которых оно работает. В соответствии с App-ID приложения, межсетевой экран Palo Alto применяет к его трафику то или иное правило, например, передачу файла можно заблокировать. Кроме того, App-ID можно дополнять новыми методами выявления и идентификации приложений, встраивая их в механизмы классификации.

Компания Stonesoft в 2012 году не обновляла свою линейку межсетевых экранов, но анонсировала новое решение Evasion Prevention System (EPS). Этот инструмент предназначен для обнаружения и предотвращения кибератак, где используются динамические техники обхода защиты (Advanced Evasion Technique, AET - техники, применяемые совместно с сетевыми атаками с целью обхода систем защиты) и эксплуатируются уязвимости систем защиты. Как рассказал Дмитрий Ушаков, продукт обеспечивает дополнительный уровень безопасности для уже установленных в организациях устройств NGFW, IPS и UTM, уязвимых для AET. Это новый класс устройств, предназначенных для борьбы с изощренными попытками злоумышленников проникнуть в сеть организации.

«Сегодня работодатели понимают, что их сотрудникам порой нужен доступ к запрещенным сайтам (сайты по подбору персонала, социальные сети и др.) и системам обмена сообщениями (Skype, ICQ). В связи с этим приложения из «белого» (можно) и «черного» списков (нельзя) перемещаются в область «серых» (можно при определенных условиях или в определенное время). Эти политики информационной безопасности предлагается формулировать в виде правил доступа» - рассказывает Дмитрий Ушаков.

По словам Александра Кушнарева, технического консультанта компании Rainbow Security (дистрибьютора WatchGuard Technologies), WatchGuard представила новые виртуальные версии своих продуктов XTMv и XCSv, а также аппаратные платформы нового поколения «с лучшей на рынке производительностью UTM». В программно-аппаратных комплексах WatchGuard XTM при помощи сервиса WatchGuard Reputation Enabled Defense реализована защита пользователей от вредоносных Web-сайтов при существенном уменьшении нагрузки на сеть. Этот сервис обеспечивает высокую степень защиты от Web-угроз, более быстрый Web-серфинг, гибкое управление и широкие возможности создания отчетов.

«Мы видим, что потребность в устройствах UTM растет. Аппаратные платформы WatchGuard последнего поколения могут обрабатывать трафик с включенными сервисами UTM с такой же скоростью, с которой предыдущие поколения могли выполнять лишь простую пакетную фильтрацию. Чтобы превратить межсетевые экраны WatchGuard в устройство UTM, достаточно активировать лицензию. Если же клиент нуждается только в фильтрации пакетов и организации туннелей VPN, ему подойдет межсетевой экран в классическом понимании», - говорит Александр Кушнарев.

Он подчеркивает, что функции контроля приложений в NGFW сейчас очень востребованы: компании хотят регулировать доступ сотрудников к социальным сетям и игровым сайтам. В числе актуальных средств UTM - фильтрация URL с поддержкой базы русскоязычных сайтов, а также полноценная поддержка агрегирования портов и репутации внешних ресурсов. Последняя способствует качественному обнаружению и превентивному блокированию трафика от ботнетов. Кроме того, большинство заказчиков заинтересованы в экономии средств, в использовании простых и удобных настроек конфигурации, поэтому решения «все в одном», такие как WatchGuard XTM, будут для них подходящим вариантом.

Еще два-три года назад заказчики скептически относились к NGFW, но теперь, когда конкуренция на этом рынке достаточно высока, они могут выбирать из широкого спектра высококачественных продуктов NGFW. По прогнозам аналитиков Cyber Security, вплоть до 2018 года мировой рынок межсетевых экранов корпоративного класса будет ежегодно расти более чем на 11%. Однако межсетевые экраны - не панацея. При выборе решения нужно четко определить, какие именно функции необходимы, убедиться в том, что заявленные вендором защитные свойства могут быть реализованы в конкретной рабочей среде, что в компании (или у аутсорсера) достаточно ресурсов для управления политиками безопасности.

И конечно, следует иметь в виду, что NGFW остаются устройствами защиты периметра. Они прекрасно выполняют свою функцию при доступе в Интернет, но «мобильная безопасность» требует большего. Сегодня NGFW должны усиливаться облачными и мобильными решениями безопасности и «уметь» распознавать контекст. Со временем эти решения станут доступнее, проще, функциональнее, а облачная модель внесет коррективы в способы управления ими.

Сергей Орлов - ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: