Корпоративни защитни стени Kerio. Защитни стени или защитни стени, използвани в корпоративни мрежи

Интернет порталът е много важен елемент от информационната система на всяка компания. Днес ще разгледаме няколко прокси сървъра, популярни в нашата страна, ще оценим техните възможности и ще определим техните положителни и отрицателни аспекти на това лицензиран софтуер.

Интернет порталът е много важен елемент от информационната система на всяка компания. От една страна, той осигурява колективната работа в Интернет на всички свои служители, така че прокси сървърът, на базата на който е организиран, трябва да бъде многофункционален, лесен за използване и да предоставя възможност за създаване на гъвкави политики за използване глобална мрежа. От друга страна, интернет шлюзът стои на стража над външните граници на корпоративната информационна система и именно той трябва да посреща и отразява всички опити за въздействие върху локалната мрежа от Интернет. Следователно прокси сървърът трябва да внедри всички необходими механизми за защита срещу различни видовезаплахи.

Днес ще разгледаме няколко популярни прокси сървъра в нашата страна, ще оценим техните възможности и ще определим техните положителни и отрицателни страни.

Kerio Control

Корпоративните защитни стени (защитни стени) контролират трафика, влизащ и излизащ от локална корпоративна мрежа, и могат да бъдат както чисто софтуерни инструменти, така и хардуерни и софтуерни системи. Всеки пакет от данни, преминаващ през защитната стена, се анализира от нея (например за произход или съответствие с други правила за предаване на пакети), след което пакетът или се пропуска, или не. Обикновено защитните стени могат да действат като филтър за пакети или като прокси сървър, в който случай защитната стена действа като посредник при изпълнение на заявки, като инициира собствена заявка към ресурса и по този начин предотвратява директна връзка между локалната и външната мрежа.

В областта компютърни мрежизащитната стена е бариера, която предпазва от "виртуален" пожар - опити на нарушители да нахлуят в мрежа, за да копират, променят или изтрият информация или да се възползват от честотната лента, паметта или процесорната мощност на компютрите, работещи в тази мрежа.

Защитната стена е инсталирана на границата на две мрежи - Интернет и LAN, затова се нарича още защитна стена. Той филтрира всички входящи и изходящи данни, като позволява само разрешени пакети. по-бързо, защитната стена е подход към сигурността; помага за прилагането на политика за сигурност, която определя разрешените услуги и видовете достъп до тях, както и други мерки за сигурност, като силно удостоверяване вместо статични пароли. Основната цел на защитната стена е да контролира достъпа до защитената мрежа.Той налага политика за достъп до мрежата, като принуждава всички връзки към мрежата да преминават през защитната стена, където могат да бъдат анализирани, разрешени или отказани.

Филтрирането на пакети е един от най-старите и най-широко използвани контроли за достъп до мрежата. Всички защитни стени без изключение могат да филтрират трафика. Идея: Задайте дали даден пакет има право да влиза или излиза от мрежата.

Шлюзът на сесийния слой следи ръкостискането между оторизиран клиент и външен хост (и обратно), за да определи дали заявената сесия е валидна. Шлюзът на приложния слой е необходим за филтриране на пакети, генерирани от определени мрежови услуги според тяхното съдържание.

За жалост, защитните стени не могат да решат всички проблеми със сигурността, свързани с използването на интернет канали. В същото време някои проблеми, като защитата на информацията от подслушване, когато тя преминава през интернет канали, могат да бъдат решени чрез добавяне към софтуерзащитни стени възможност за криптиране на данни (няколко софтуерни защитни стени включват така наречената клиентска част, която ви позволява да криптирате цялата мрежов трафикмежду клиент и сървър).

Въпреки това, като развитие информационни системив посока на все по-широкото използване на интернет технологиите, създадени без да ги свързват, за да се използват заедно със защитни стени, започват да играят значителна роля. Това се отнася за използването на интернет портали, включително в CRM системи. Една от непреодолимите трудности за защитните стени с тяхната конфигурация на статичен порт е използването на KMI (отдалечено извикване на метод - сайт) в модерни системи, фокусиран върху широкото използване на Java, когато не се знае предварително кои и колко мрежови порта ще трябва да бъдат отворени за всяка конкретна заявка.

Едно решение подобен проблемможе да бъде създаването на виртуална частна мрежа с помощта на хардуер или софтуерни инструменти. В този случай целият мрежов обмен за всички мрежови портовемежду компютри, организирани във VPN (виртуална частна мрежа), се осъществява по отворени канали в криптирана форма, като по този начин се формира подобие локална мрежа„вътре“ в Интернет/Интранет. Важно е, че VPN не изисква промени в използвания софтуер - всичко изглежда като нормална работа в мрежа. Но имайте предвид, че в повечето случаи VPN не замества защитната стена. Не е възможно да инсталирате VPN клиент на всеки компютър, който има достъп до корпоративния уеб сървър. Изглежда най-добре да използвате защитни стени и VPN заедно, когато е възможно.Например eTrust Firewall може да бъде конфигуриран да допълва VPN, т.е. С помощта на eTrust Firewall към списъка с отворени портове се добавя още един порт, чрез който се извършва криптиран обмен с компютри, организирани във VPN, като портът може да бъде отворен не за всеки, а за определена група компютри .

Секторът на защитната стена съчетава няколко сегмента, по-специално включва VPN. VPN пазарът е много разнообразен – има почти толкова производители, колкото и продукти. Гледните точки на различни изследователски компании на VPN пазара открояват различни лидери с дял над 60% - Cisco Systems и Check Point. Колкото и да е странно, всички са прави. Делът на Cisco идва от собствените му продукти - този дял е подкрепен от лидерството на Cisco в цялата индустрия. Лидерството на Check Point е подкрепено от отворена технология, която работи в продукти от различни компании.

Трябва да се отбележи, че в арсенала на малките руски разработчици на софтуер има евтини и изпитани във времето програми, достойнствата на много от които са признати в много развити страни по света.

Защитна стена(наричана още защитна стена или защитна стена) е най-важното средство за защита на корпоративната мрежа от различни заплахи. През последните години защитната стена се разви значително: от специализиран инструмент за филтриране на мрежови пакети тя се превърна в универсална система за защита.

Първоначално (а тези решения се използват повече от 25 години) те наричат ​​система, която изпълнява функциите на филтриране на мрежови пакети според определени правила, за да се разграничи трафикът между мрежовите сегменти. Това е определението, дадено в стандарта RFC3511.

Необходимостта от използването на такива системи възникна, за да се предотврати проникването на нарушители в локалната корпоративна мрежа. Принципът на работа на защитната стена се основава на контрола на обменяния трафик между LAN и WAN мрежите. Използват се следните методи за контрол на трафика:

• Филтриране на пакети.Този метод се основава на набор от филтри. Ако пакетът от данни отговаря на условията, посочени във филтрите, той се предава на мрежата, ако не— блокиран. Защитната стена прилага следните основни видове филтри: по IP адрес, по име на домейн, по софтуерен порт, по тип протокол. Могат да се прилагат и други опции за филтри, в зависимост от изпълняваните в него задачи.
• Държавна проверка . Това е по-усъвършенстван метод за контрол на входящия трафик, който за първи път беше въведен и патентован от Check Point. Тази технологияви позволява да контролирате мрежовия трафик и съдържа гъвкав механизъм за проверка на потока от данни, който използва предварително съхранена таблица на състоянието. Този подход не анализира целия пакет, но сравнява някои контролни низове с предварително известни стойности от база данни с разрешени ресурси. Подобен методосигурява много по-добра производителност на защитната стена.

Основната задача на съвременните защитни стени е да блокират неразрешени мрежови комуникации (наричани по-нататък атаки), които се делят на вътрешни и външни. Сред тях: външни атаки срещу защитена система, както извършени от хакери, така и зловреден код. Освен това е забрана за неразрешени изходящи интернет връзкаинициирани от злонамерен код или приложения, мрежова активносткоето е забранено от правилата.

В момента има на пазара и софтуерни защитни стени. Софтуерната защитна стена може да се използва както за защита персонален компютъри големи корпоративни мрежи. В този случай той се изпълнява като програма, работеща на компютър или крайно мрежово устройство, като рутер. Но хардуерното устройство се използва изключително в корпоративния сегмент. В случай на хардуерна реализация, защитната стена е отделен мрежов елемент с висока производителност и разширена функционалност. Освен това наскоро се появиха така наречените виртуални защитни стени, които се използват по правило в софтуерно дефинирани мрежи.

Нови предизвикателства

С нарастването на сложността на киберзаплахите и хакерски атакифункционалността на защитната стена беше попълнена с нови инструменти. Сега защитната стена съдържа цял набор от функции за защита на корпоративната мрежа. Така че всяка пълноценна защитна стена трябва да съдържа HIPS модул (инструмент, изграден върху анализа на поведението), да осигурява защита срещу спам, вируси, смесени заплахи, шпионски софтуер, фишинг и мрежови атаки. Освен това защитните стени могат да съдържат инструменти за защита срещу изтичане на данни, облачна услуга sandboxing, сканиране за уязвимости и уеб филтриране.

С други думи, в момента продуктите, които могат да бъдат класифицирани като класически защитни стени, всъщност са изчезнали от пазара. Те бяха заменени от продукти за комплексна защита.

Преглед на пазара

Сред основните производители на модерни защитни стени, заслужава да се отбележат такива компании като, Fortinet и .

Частна компания Barracuda Networks беше през 2002 г. в Купертино, Калифорния, САЩ, а първият му продукт, хардуерно/софтуерно решение против спам, беше пуснат през 2003 г. Следващото поколение Barracuda NG Firewall адресира критични проблеми като управление на отдалечени потребители, уеб приложения 2.0, BYOD устройства в корпоративни мрежи. За разлика от много други системи, Barracuda NG Firewall предоставя широк набор от инструменти за предупреждение, контрол на трафика и честотна лента, оптимизиране на производителността и надеждността на мрежата. Важно е всички продукти на Barracuda Networks да имат интерфейс на руски език, тяхното управление не е трудно за техническите специалисти и не изисква допълнително обучение на пълен работен ден.

Check Point е главно при освобождаване софтуерни системи, въпреки че има и линия от хардуерни устройства. Софтуерните решения на този доставчик се състоят от много добавки, наречени блейдове. Check Point Софтуерна защитна стена Blade— това е популярна защитна стена, използвана от почти всяка компания от Fortune 100, за да се защити.Блейд защитната стена осигурява най-високо ниво на защита с контрол на достъпа, защита на приложенията, удостоверяване и превод на мрежови адреси. Защитната стена използва други софтуерни блейдове за управление на сигурността, за да осигури удобно дистанционно управление на сигурността с най-висока ефективност.

SonicWALL, със седалище в Сан Хосе, Калифорния, САЩ, е създадена през 1991 г. и е известна със своите защитни стени и UTM решения. Доставчикът притежава 130 патента, неговите решения за компютърна сигурност се използват от около 300 000 клиенти в 50 страни по света. Продуктите на SonicWALL са богати на функции, лесни за използване и осигуряват бърза възвръщаемост на инвестицията. През март 2012 г. SonicWALL беше придобита от Dell Corporation.

Основан през 1996г специализира в пускането на системи за унифицирано управление на заплахи (UTM). Компанията предоставя надеждни, лесни за използване устройства за сигурност на компютърни мрежи. Продуктовата линия WatchGuard включва серията устройства XTM, ново поколение UTM продукти, XCS системи за защита на имейл и уеб услуги, които помагат за предотвратяване на случайно или умишлено изтичане на данни. В допълнение, доставчикът произвежда решения, за да гарантира отдалечен достъп WatchGuard SSL VPN, както и сигурни безжични точки за достъп, управлявани от комплексите WatchGuard XTM. Всички продукти се доставят с услугата LiveSecurity— програма за поддръжка на разширени потребители.

Неразделен елемент за защита на мрежата на голяма организация от нарушители е корпоративната защитна стена. Предлагаме на вашето внимание въпросите, които трябва да бъдат разгледани, преди да вземете решение за неговото придобиване.

Много десетки компании се занимават с продажбата на защитни стени (FW) за всяка среда: от FW на настолния клас (за настолни системи) и FW SOHO клас(за малък/домашен офис) до защитни стени, предназначени за доставчици на телекомуникационни услуги (операторски клас) - изборът понякога е просто огромен. Следователно вземането на правилното решение за закупуване на DOE е немислимо без дълбоко разбиране на нуждите от мрежова сигурност.

Преди да направите такава покупка, първо трябва да се погрижите за разработването на ефективна политика за сигурност във вашата организация. Тази политика ще ви помогне да изберете типа ME, който е подходящ за вашата корпоративна среда. След това трябва да идентифицирате всички уязвимости, които са присъщи на конкретни опции за достъп до вашата мрежа. Ако, например, поддържате публичен уеб сайт, чието динамично съдържание се извлича от корпоративната база данни, тогава вие създавате "задна врата" от публичната мрежа през вашия DOE директно към корпоративната база данни. Повечето защитни стени няма да могат да ви защитят от атаки, извършвани на ниво приложение, следователно трябва да защитите всяка връзка във веригата "Уеб сървър - корпоративна база данни", а защитната стена трябва да се разглежда като единична точка за достъп. И накрая, научете всички във вашата организация на основните правила за сигурност: без неоторизирани модеми на бюра, без приложения. дистанционнои т.н.

Сигурност или производителност

На пазара на корпоративни защитни стени има два основни механизма за защитна стена: филтриране на пакети със състояние на протокола (Stateful Packet-Filter - SPF) и използване на прокси модули (прокси на приложението) за филтриране на трафика на приложението. SPF устройства като FireWall-1 NG на Check Point Software Technologies, PIX на Cisco и продуктите на NetScreen проверяват пакети до слой 4, а в някои случаи дори отиват малко по-далеч, като някои от тях могат да обработват FTP трафик. Защитни стени SPF типовете като правило имат по-висока производителност, тъй като извършват минимална обработка на потока от данни.

Прокси защитни стени на приложения като Gauntlet на Network Associates Technology, Sidewinder на Secure Computing и Enterprise Firewall на Symantec (преди известен като Raptor, продукт на Axent) инспектират всеки пакет от данни по целия път до приложния слой, осигурявайки по-пълен контрол на трафика предадени на вътрешни сървъри. Например, един HTTP прокси модул може да бъде конфигуриран да позволява команди за получаване, но не и команди за публикуване, да ограничава дължината на URL връзките, като по този начин блокира атаките за препълване на буфера или да налага ограничения върху типовете MIME, като премахване на изпълними прикачени файлове и друго опасно съдържание. FME, базирани на прокси модули, обикновено са по-бавни от SPF базирани FTE, тъй като извършват повече обработка на данни.

Всеки път, когато SPF екраните постигнаха по-висок резултат в нашите прегледи от ME, базирани на прокси модули, получихме планина от писма от възмутени читатели. Същността им обикновено се свежда до едно и също нещо: ако наистина трябва да осигурите сигурност, тогава единственият ви избор е прокси на приложението. Според нас това е и така, и не е така. Прокси модулите осигуряват по-висока степен на сигурност, разбира се, но го правят на цената на производителността. По време на нашето тестване защитните стени, базирани на прокси на приложението, бяха средно с 50% по-бавни от SPF устройствата. Ако вашата защитна стена е свързана към широкообхватна мрежа, като линия T3 или по-бавна, и не е необходимо да поддържате десетки хиляди едновременни сесии, тогава проксито на приложението за защитна стена наистина е най-добрият избор. Трябва да знаете текущото ниво на вашия трафик и неговата прогнозирана стойност, за да предоставите тази информация на вашия доставчик, след което той може да ви помогне при избора на правилното оборудване. Разбира се, винаги можете да балансирате натоварването на ME с помощта на външни балансьори на натоварването.

Ако поддържате популярен уеб сайт и задръстванията са неприемливи за вас, изберете SPF устройство. Такива защитни стени се мащабират по-добре и поддържат повече връзки, но пропускат всеки трафик, който съответства на правилата, зададени за протоколите, така че препълването на буфера и атаките на приложния слой ще бъдат отворени. Ако търсите производителността, която предоставят SPF решенията, уверете се, че вашите сървъри за уеб и база данни са добре защитени и актуализирани с най-новите пачове.

Проблемът с производителността става още по-остър, ако трябва да стартирате процеси с интензивно използване на процесора, като например при разполагане на виртуални частни мрежи (VPN). Най-много може да "постави на колене" криптирането мощен процесор, като по този начин анулира изпълнението на МЕ. Почти всички налични на пазара защитни стени поддържат VPN и понякога използването им за организиране на виртуални частни мрежи е оправдано. Въпреки това, ако подкрепяте голямо числомрежи или обширен списък от потребители, тогава VPN процесите трябва да се обслужват от оборудване, специално проектирано да увеличи максимално производителността на операциите за криптиране (крипто ускорители).

ME, които използват CPU с общо предназначение, като FireWall-1 на Check Point и PIX на Cisco, не отговарят на изискванията за поддръжка на приложения със средна честотна лента дори с крипто ускорители. Някои защитни стени, като продуктите на NetScreen, извършват по-голямата част от обработката на хардуерно ниво и по този начин не пречат на VPN процесите, но това идва с цената на известно намаляване на гъвкавостта на системата.

Висока наличност

ME с висока наличност гарантира, че трафикът преминава без забавяне дори в случай на повреда на оборудването. Има два механизма за преодоляване на провалите. В механизма за преодоляване при отказ без състояние, ако основният ME се повреди, всички комуникационни сесии се нулират. И когато резервният ME поеме, връзките за всички сесии трябва да бъдат възстановени. В механизма за възстановяване на състоянието и двата ME обменят информация за състоянието на сесиите по специална линия и ако единият ME се повреди, другият, както се казва, „поема палката“ и продължава да работи, без да прекъсва сесиите. В този случай FW в режим на готовност поема всички идентификационни характеристики на основната FW, включително IP и MAC (Media Access Control) адреси, и продължава обработката на трафика. След като резервният ME поеме функциите на основния, той, като правило, продължава да работи в това си качество до следващия отказ.

Използването на механизма за преодоляване при срив със състояние обикновено е за предпочитане и такива ME не са по-скъпи от устройствата с механизъм за преодоляване при срив без състояние. Недостатъкът на преустановяването при отказ е, че трябва да платите два пъти за решение за защитна стена, тъй като в действителност вие използвате само 50% от цялата мощност на процесора. Преодоляването на повреди обаче отнема само няколко милисекунди за такива ME и трафикът практически не се прекъсва.

Може да се постигне толерантност към грешки различни начини, в зависимост от типа мрежово устройство. Рутерите използват протоколи за маршрутизиране като RIP и OSPF, за да пренасочат трафика около точката на повреда, ако е възможно, но е малко вероятно да намерите защитна стена, която позволява на външно устройство да "диктува" информация за маршрутизиране към него.

Можете също така да използвате външни балансьори на натоварването, за да създадете ME конфигурации с приемлива толерантност към грешки. Тази конфигурация обикновено включва два разпределителя на товара и два ME. Ако един от ME се повреди, балансьорът на натоварването пренасочва трафика към останалия ME. В този вариант МЕ обикновено не обменят информация за сесията, но в същото време и двата са в работно състояние до момента на отказ.

Разбира се, отказът на устройството ME е само един от възможни причинипровал. Отказът на сървъра за управление ще има не по-малко катастрофални последици за работата на мрежата. Ако вашият сървър за управление се повреди HDDили вентилаторът на процесора изгори, няма да можете да контролирате ME или да получите регистрационни файлове, докато не отстраните проблема. Ако имате малка мрежа с минимален трафик, тогава вероятно можете да се справите с такъв срив. Но ако работите в голяма организация и управлявате много ME, тогава загубата на контролна станция може да бъде сериозен проблем.

Check Point, Lucent Technologies и няколко други доставчици предлагат станции за управление при отказ. Когато правилата на защитната стена се променят, такава контролна станция изпраща информация за промените до ME и до спомагателни контролни станции.

ME клас SOHO и десктоп

Инсталирането и поддържането на отдалечена защитна стена или защитна стена на работния плот е жизненоважно за сигурността на корпоративната мрежа. Много доставчици предлагат SOHO (малък/домашен офис) ME, поддържащ до 10 възела. SOHO-клас ME често са по-евтини (около $500) от техните по-мощни колеги, но все пак имат повечето, ако не всички, функционалностпоследното, докато управлението и наблюдението на такива ME може да се извършва с помощта на централна контролна станция.

Защитните стени от клас SOHO също осигуряват по-добра сигурност от NAT/NAPT рутерите, тъй като ви позволяват да контролирате трафика в отдалечена мрежа. Например, ако имате работещо интранет приложение, електронна пощаи приложение за поддръжка на сътрудничество, тогава можете и трябва да конфигурирате отдалечената защитна стена с възможно най-рестриктивните правила за достъп, за да сведете до минимум шанса за проникване от отдалечената мрежа. Евтините NAT/NAPT рутери не предоставят тази възможност.

Всички защитни стени за настолни компютри осигуряват дистанционна поддръжка, а SecureClient на Check Point дори предоставя конфигурируеми набори от правила за политика за сигурност. Например, в един случай вашата корпоративна среда може да е внедрила виртуална частна мрежа, в друг на вашите крайни потребители може да бъде разрешено да „сърфират“ в мрежата.

Подобно ниво на функционалност и сигурност може да бъде постигнато с помощта на настолни защитни стени на трети страни (като CyberArmor на InfoExpress или Sygate Personal Firewall Pro на Sygate, които поддържат централизирано управление) и VPN клиенти от доставчика на централната защитна стена, но може да има конфликти между тези приложения . Освен ако вашият централен доставчик на DOE не удостовери, че дадено DOE за настолни компютри на трета страна се поддържа от него, тогава би било по-добре да се придържате към продуктовата линия на един доставчик.

Ще намерите по-подробна информация за защитните стени в скорошния ни преглед (Мрежи и комуникационни системи. NN.2,3 2002).