Для нормальной работы сайта необходимо разрешить JavaScript, включая скрипты с доменов googlesyndication.com и doubleclick.net для отображения системы поиска по сайту и прочих сервисов Google.

NGFW: фаерволы нового поколения

ngfw Почти два года назад был обнародован доклад специалистов компании Gartner под названием Defining the Next Generation Firewall. В этом докладе аналитики констатировали необходимость появления файерволов нового поколения. В мире корпоративных информационных систем файерволы уже давно стали таким же стандартом сетевой безопасности, как, например, антивирусы. Невозможно представить современный комплекс по защите корпоративной сети, который бы не включал в себя брандмауэр.

Однако сегодня мы уже не можем игнорировать одну очень серьезную проблему, связанную с межсетевыми экранами. В то время как антивирусные продукты становились все более высокотехнологичными, включали в себя эвристику, искусственный интеллект и облачные технологии, файерволы «зависли» на стадии блокирования трафика по портам или другим примитивным условиям.

Почему это является проблемой?

Все просто - условия работы на рынках с каждым днем становятся более жесткими, и сейчас способность компании сохранять конфиденциальность накопленной информации является не менее важной, чем, например, способность генерировать новые данные.

Именно этим и было обусловлено появление на Западе принципиально новой концепции - Next Generation Firewall. В рамках этой концепции межсетевые экраны становятся полноценным бизнес-инструментом, с помощью которого компания может решать гораздо более широкий спектр задач.

Что должен уметь файервол нового поколения?

Не просто пропускать потоки информации, но и сам принимать участие в их обработке, включая контроль исходящих потоков на присутствие данных, классифицированных как конфиденциальные.


Иметь гибкие возможности управления политиками для различных групп пользователей в зависимости от точки подключения, времени суток, уровней допуска или назначенных бизнес-задач. Например, доступ к любым сайтам в нерабочее время или выделение максимально широкого канала на период проведения видеоконференции.

Обеспечивать фильтрацию трафика по типу приложений, например, с возможностью блокировки любого Skype-трафика.

Иметь комплексный арсенал средств сетевой безопасности: от поддержки фильтрации по Layer-7 до встроенных антивирусных движков, системы IDS/IPS и модулей шифрования трафика современными криптоалгоритмами.

Обеспечивать пропускную способность в несколько Гбит/с. Сочетание высокоскоростной аппаратной платформы и программного обеспечения, разработанных под конкретные задачи, должны обеспечивать одновременную работу всех функций безопасности на скоростях в несколько гигабит.

Ключевые особенности файерволов нового поколения

App-ID: первая технология классификация трафика, которая использует 4 механизма для точного определения приложений, работающих в сети. Идентификация приложений – первый шаг, выполняемый файерволом после включения в сеть. Далее все политики применяются к конкретным приложениям, а не портам.

app-id

User-ID: технология интеграции с корпоративными службами каталогов, такими как MS Active Directory, LDAP, Novell eDirectory и Citrix. User-ID позволяет администратору осуществлять контроль использования приложений на основе отдельных пользователей или групп пользователей службы каталогов. Информация о пользователях доступна внутри всего функционала, включая применение политик безопасности, расследование инцидентов и создание отчетов.

user-id

Content-ID: технология сканирования, использующая сигнатурный анализ трафика для обеспечения защиты от широкого спектра сетевых угроз. Кроме того, Content-ID контролирует передачу данных по сети, предотвращая утечки конфиденциальной информации. Контроль web серфинга осуществляется при помощи обширной базы URL. Сканирование на все угрозы происходит «в одном проходе» трафика, что практически не дает задержки передачи данных и в комбинации с технологией App-ID обеспечивает ИТ департаменту полный контроль над сетевой инфраструктурой.

cont-id

Пропускная способность в несколько гигабит достигается благодаря использованию специализированной архитектуры, обеспечивающей тесную интеграцию между функциями передачи данных, безопасности, защиты от сетевых угроз и управления. 10-гигабитная шина обеспечивает скоростной обмен трафиком между процессорами. Отделение шины данных от шины управления на физическом уровне делает устройства доступными для администрирования вне зависимости от их загрузки.

Application Command Center (ACC). Стандартный интерфейс, не требующий дополнительной конфигурации. ACC графически отображает информацию о текущей активности в сети, включая запушенные приложения, категории URL, угрозы и данные, передаваемые по сети. Если в ACC появляется новое приложение, то достаточно одного клика, чтобы вывести на экран описание этого приложения, его ключевые характеристики и особенности поведения в сети, а также имя пользователя, запустившего приложение. Для удобства отображения могут быть применены дополнительные фильтры. ACC дает администратору нужную информацию, для того чтобы быстро принять решение о необходимости применении новых политик безопасности.

Среди ИТ специалистов распространены различные стили управления оборудованием. Для управления устройствами администратор может выбрать удобный для себя интерфейс. Файерволы могут управляться web интерфейсом, полнофункциональным интерфейсом командной строки (CLI), а также централизованным решением Panorama. Во всех этих интерфейсах реализовано гибкое разделение прав доступа. Для интеграции с системами управления сторонних производителей, устройства могут управляться при помощи стандартных протоколов SNMP и syslog.

Логирование и построение отчетов. Мощная система фильтров дает широкие возможности построения отчетов и проведения расследований инцидентов в реальном времени и внутри любой сессии. Набор стандартных отчетов отображает в удобном виде информацию о приложениях, пользователях и угрозах.

Вывод данных в удобном формате. Использование фильтров для настройки отображения

Настройка политик использования приложений. Немедленный доступ к информации о приложениях, пользователях и угрозах вооружает администратора, делает его способным противостоять вирусным атакам и быстро реагировать на изменение ситуации в сети. Использование технологий помогает очень тонко настроить политики безопасности и позволяет:

  • Разрешить или запретить
  • Разрешить/запретить по времени
  • Разрешить/запретить определенному пользователю или группе пользователей
  • Применить шейпинг трафика на основе QoS
  • Разрешить/запретить конкретные функции приложения
  • Разрешить, но при этом постоянно сканировать на вирусы и другие угрозы
  • Расшифровать и инспектировать
  • Применить PBR (Policy-based Routing)

Примеры политик безопасности:

  • Дать доступ к web интерфейсу 1С 8.2 только группе Active Directory «Бухгалтера» на сетевом уровне
  • Разрешить использовать протоколы SSH, telnet и RDP только группе AD «Администраторы»
  • Запретить приложения P2P, file sharing и внешние прокси сервера
  • Контролировать использование внешних почтовых серверов для предотвращения отправки через них конфиденциальной информации
  • Ограничить полосу пропускания для новостных сайтов
  • «Заворачивать» пользователей развлекательных ресурсов на более медленный канал
  • Контролировать передачу файлов через приложения, предоставляющие такую возможность
  • Идентифицировать передачу конфиденциальной информации (номера кредитных карточек, личные данные пользователей) в текстовом формате или в файлах
  • Применить фильтрацию URL: запретить доступ к игровым и не связанным с работой сайтам и контролировать доступ ко всем остальным
  • Применить политики QoS разрешения медиа-трафика и другого трафика, критичного к пропускной способности, но исключить влияние такого трафика на важные бизнес приложения
  • Запретить Skype

Файерволы нового поколения позволяют запретить «плохие» приложения, сканировать бизнес приложения и обеспечить безопасное использование пользовательских приложений.

Защита сети от различных угроз. Установление контроля над сетью – лишь часть решения проблемы безопасности, с которой сталкиваются специалисты ИТ в сегодняшнем мире интернет ориентированных приложений. Следующая задача – обезопасить разрешенный трафик. интегрирует механизм сканирования с файерволом, что позволяет произвести все проверки и применить все политики за один проход трафика.

Технологии сканирования:

  • Система предотвращения вторжений (IPS). Защита от вторжений включает большое количество функций блокирования известных и неизвестных атак уровня приложений, переполнения буфера, DOS, сканирования портов и т.д.

Механизмы IPS включают:

  • Декодирование и анализ протоколов
  • Декодирование аномалий протоколов
  • Статистическая детекция аномалий
  • Блокирование «битых» пакетов
  • Проверка протокола на соответствие шаблону поведения
  • Эвристический анализ
  • Восстановление дефрагментированных пакетов IP
  • Проверка трафика на сигнатуры угроз
  • Сетевой антивирус. Антивирусная защита (inline) определяет и блокирует большинство известных типов вредоносного ПО. Сигнатурная проверка, осуществляемая одновременно со всеми остальными операциями файервола, дает значительный выигрыш в пропускной способности устройства по сравнению с прокси антивирусами. К тому же обработка данных в одном потоке позволяет сканировать заархивированные и зашифрованные данные (дешифрование SSL).

URL фильтрация. Полностью интегрированная база из 20 миллионов URL, разделенных на 76 категорий позволяет администратору точно применять политики доступа к web ресурсам. В локальной базе URL также могут создаваться пользовательские категории. База может быть дополнена внешней динамической базой URL в 180 миллионов URL и локальным кэшем на 1 миллион адресов.

Фильтрация данных. Функция фильтрации данных позволяет администратору уменьшить риск потери закрытой информации внутри передаваемых файлов (вместо обычного просмотра расширений), а также дает возможность создать маски конфиденциальных данных (например, номер кредитной карты – 4 группы по 4 цифры).

Отображение текущей информации об активности в сети, касающейся фильтрации URL, передачи данных и сканирования на угрозы в удобно читаемом виде

Гибкость развертывания. Широкий набор функций, включающий динамическую маршрутизацию, коммутацию, отказоустойчивость, поддержку VPN, позволяет легко интегрировать файервол в любую сеть.

Функции:

  • Маршрутизация и коммутация
  • Поддержка смешенного режима работы L2/L3
  • Политики безопасности, основанные на разделении на зоны
  • Поддержка динамической маршрутизации (BGP, OSPF, RIP)
  • Поддержка технологии 802.1Q
  • Агрегирование портов (802.1ad)
  • PBR (Policy-based Forwarding). Политики маршрутизации на основе приложений, пользователей, зон, интерфейсов, IP адресов, а также возможность выбора маршрута по времени
  • Виртуальные системы. Создание нескольких виртуальных файерволов на одном устройстве. Могут использоваться различными департаментами и организациями и иметь свои собственные аккаунты, политики и настройки
  • Отказоустойчивость. Поддержка режима активный/пассивный, переключение за доли секунды
  • Поддержка IPv6 (только в режиме виртуального файервола)
  • Jumbo фреймы (только серия PA-4000). Поддержка Jumbo фреймов до 9 216 байт

Безопасное соединение

  • Site-to-site VPN. Поддержка стандартного туннелирования IPSEC в сочетании с контролем шифруемых приложений. Соединение с устройствами и оборудованием любых других производителей
  • Remote Access VPN. Установление SSL туннелей для удаленных пользователей, контроль шифруемых приложений

Контроль пропускной способности

  • Quality of Service (QoS). Возможность применять политики шейпинга и ограничения полосы пропускания (гарантированная полоса, максимальная полоса, приоритетность) к конкретным пользователям и приложениям, а также по расписанию. Поддержка DiffServ
  • Мониторинг пропускной способности в реальном времени. Отображение данных об использовании пропускной способности сессиями и приложениями в графическом виде и реальном времени. Возможность отслеживать трафик отдельного класса QoS

Логирование и создание отчетов

  • Создание отчетов. Могут использоваться стандартные или созданные пользователем отчеты, по отдельности или сгруппированные по несколько штук. Детальные отчеты показывают текущие приложения, посещаемые web сайты и категории URL, а также список посещенных интернет ресурсов за период времени или по конкретному пользователю. Все отчеты могут быть экспортированы в CSV и PDF и рассылаться на e-mail по заданному расписанию
  • Логирование. Администратор может просматривать историю данных по приложениям, пользователям и атакам. Динамические фильтры активирются простыми щелчками по интересующим ячейкам или при помощи помощника. Лог файл может экспортироваться в CSV или пересылаться на другой сервер с использованием syslog
  • Инструмент отслеживания сессий (Trace Session Tool). Помогает расследовать инциденты безопасности, отслеживать URL внутри отдельно взятой сессии

Кто они такие, файерволы нового поколения?

К брандмауэрам (файерволам) нового поколения можно отнести файерволы (брандмауэры) таких производителей как:

Но, не смотря на длительность присутствия этих компаний на IT рынке, серьезную сертификацию их продуктов, а также громогласные заявления о качестве их продукции - по данным nsslabs.com она требуется определённой доработки, а также нуждается в более регулярном и тщательном тестировании на различного рода уязвимости и сбои в работе.

К брандмауэрам (файерволам) нового поколения относятся в основном аппаратные файерволы (брандмауэры) управляемые из операционной системы при помощи дополнительного программного обеспечения.

Следует иметь ввиду тот факт, что чем более функциональный файервол, независимо от того аппаратный или программный, тем больше он будет потреблять системные ресурсы, что в свою очередь соответствующим образом скажется на общем быстродействии.

При принятии решения о использовании брандмауэра (файервола) нового поколения следует выходить из целесообразности принятия такого решения, а именно следует задать себе вопрос "А оно мне надо?", для домашнего пользователя ответ однозначно отрицательный.

Ответ на этот вопрос также зависит от сферы деятельности компании, политики ограничения пользователей, количества сотрудников и пр. производственных факторов. Но не стоит забывать, что принцип "Три в одном флаконе" не всегда работает так хорошо и безотказно как по отдельности - во всех случаях обязательным условием является наличие администратора с прямыми ручками, в трезвом уме и при ясной памяти.

Рекомендуемый контент



Добавить комментарий


Защитный код
Обновить

Рейтинг@Mail.ru 8 megabytes