Главная ﹣ Полезная информация ﹣ Гайд второй, Какой функционал есть у межсетевых экранов

Межсетевой экран (брандмауэр, файрвол) — один из самых важных элементов информационной безопасности. Он представляет собой барьер, переходную зону между компьютерной сетью клиента и глобальным интернетом. Зачастую пользователи знают о брандмауэрах только то, что они блокируют вредоносный трафик и защищают сеть от проникновения злоумышленников. Это действительно так, однако комплексный функционал этих программно-аппаратных решений значительно шире. В этой статье мы рассмотрим главные функции межсетевых экранов и объясним их суть простыми словами. В конце материала мы дадим полезный совет, как проще и быстрее всего подобрать оптимальный вариант файрвола с актуальным для вашей организации функционалом.

Фильтрация трафика (URL-filtering). Система URL-filtering сравнивает адрес сайта, на который пытается перейти пользователь сети, с базой данных опасных и нежелательных сайтов. При обнаружении соответствия доступ блокируется, и пользователь видит сообщение об ошибки. Базы данных постоянно обновляются и включают миллионы URL-адресов, которые ведут на фишинговые (поддельные) ресурсы, сайты с вредоносным ПО (вирусами, троянами и программами-вымогателями), опасным и незаконным контентом.

Системы обнаружения и предотвращения вторжений (IDS/IPS). Комплекс систем IDS/IPS (Intrusion Detection / Prevention System) проводит глубокий анализ всего сетевого трафика на уровне пакетов. Инструмент ищет любые признаки несанкционированного доступа к конфиденциальным данным и предотвращает потенциальные вторжения в сеть. Система потребляет достаточно много ресурсов, однако позволяет нейтрализовать угрозы на ранних этапах.
Защита от DDoS (DDoS Protection). DDoS-атаки представляют собой массовые ложные запросы, которые перегружают сеть и делают её недоступной для подключения. Этот инструмент обнаруживает аномальный трафик, после чего перенаправляет его на специально выделенные облачные системы провайдера. Своевременное смягчение атаки позволяет поддерживать работоспособность сети.
​
Криптографическая защита (Cryptographic Protection). Чтобы предотвратить перехват конфиденциальных данных, используются специальные средства, которые шифруют и дешифруют информацию. Системы защиты делятся на симметричные, асимметричные и гибридные. Первые используют один ключ для шифровки и дешифровки, во вторых для каждого процесса предусмотрен отдельный ключ. Гибридная система совмещает производительность симметричной защиты с высокой надёжностью асимметричной.
​
Контроль приложений (Application Control). Некоторые брандмауэры могут ограничивать сетевую активность как отдельных приложений, так и целых категорий ПО. По умолчанию инструмент блокирует уязвимые программы, запуск которых может привести к утечке данных. В зависимости от политики компании, можно также заблокировать или замедлить развлекательные сервисы или социальные сети. Снижение доли бесполезного трафика улучшает общую производительность сети.
​
Концепция нулевого доверия (Zero Trust). Эта функция также связана с контролем доступа приложений к сети, но она основана на принципе нулевого доверия. При использовании Zero Trust файрвол по умолчанию не доверяет никаким программам, считая каждую из них потенциальной угрозой. Соответственно, права доступа получает только ПО, одобренное системными администраторами. Данную модель часто используют крупные корпорации и госкомпании, для которых любая утечка может оказаться критичной.
​
Виртуальная частная сеть (VPN). В контексте межсетевых экранов VPN обеспечивает безопасное подключение удалённых пользователей. Инструмент создаёт зашифрованный канал связи, идентифицирует устройство пользователя и контролирует трафик внутри канала. Такое решение обеспечивает защиту данных, предотвращает несанкционированный доступ к сети и ограничивает нежелательную интернет-активность.
​
Кластеризация (Clustering). При большом объёме входящего и исходящего трафика возрастает нагрузка на брандмауэр, которому необходимо постоянно проводить глубокий анализ и фильтрацию. Чтобы повысить пропускную способность системы, используется метод кластеризации. Пакеты данных разбиваются на блоки (кластеры) и параллельно обрабатываются двумя или более устройствами (хостами). Кластеризация данных также повышает устойчивость к отказам системы и помогает при смягчении DDoS-атак.
Антивирус (Antivirus). Функционал некоторых межсетевых экранов включает антивирусные программы, которые параллельно анализируют параметры трафика в поисках вредоносных и шпионских файлов. Использование антивируса в масштабах компьютерной сети позволяет идентифицировать и предотвратить угрозу задолго до достижения конечной цели.
​
Антиспам (Anti-Spam). Чтобы снизить риски, связанные с утечкой данных, пересылаемых по электронной почте, в межсетевые экраны зачастую интегрируют собственные почтовые клиенты. Помимо удобного для пользователей интерфейса, их ценность заключается в наличии продвинутой системы Anti-Spam. Данный инструмент фильтрует поступающие письма, сверяя их по базам данных с чёрными и белыми списками. Иногда функционал антиспама включает анализ содержания письма, что позволяет выявить хорошо замаскированный фишинг.
​
Мобильный клиент (Mobile Client). Функция позволяет получить доступ к корпоративной сети посредством смартфона или планшета. Такие сервисы отличаются высоким уровнем безопасности благодаря использованию криптографических протоколов защиты и передаче данных по зашифрованному VPN-каналу. В рамках сервиса трафик удалённого устройства также фильтруется корпоративным межсетевым экраном, что избавляет от необходимости установки дополнительных приложений.
Продвинутая защита от угроз (ATP). Для комплексного обеспечения безопасности сети используют модуль Advanced Threat Protection. Он совмещает в себе глубокий анализ содержимого трафика (DPI), анализ контента веб-ресурсов, защиту от потенциальных угроз, которые ещё не имеют распознаваемых базами сигнатур (ZeroDay). Решение ATP защищает корпоративную систему на всех уровнях и в реальном времени, не дожидаясь обновления баз данных.
​
Файрвол веб-приложений (WAF). Программное решение Web Application Firewall предотвращает атаки злоумышленников на уровне веб-сервисов или приложений. Работая в связке с определённым ресурсом, служба сканирует все HTTP-запросы, сверяя их с чёрными списками, содержащими информацию о признаках вредоносного кода. При обнаружении опасности обмен запросами с конкретными IP-адресами полностью прекращается, а потенциально опасные данные удаляются.
​
SSL-инспектирование (SSL Inspection). Особенность этого решения в том, что оно способно анализировать зашифрованный трафик, передаваемый по зашифрованному протоколу SSL. Если передаваемые вредоносные пакеты данных зашифрованы, обнаружить угрозу стандартными методами достаточно сложно. Сервис сначала производит дешифровку проходящего трафика для анализа, а затем повторно шифрует его для обеспечения безопасной доставки.
​
Песочница (Sandbox). Так называемые песочницы в межсетевых экранах позволяют протестировать программный код в безопасной зоне, изолированной от компьютерной сети. Межсетевые экраны с поддержкой Sandbox особенно эффективны для обнаружения сложных кибер-угроз, в том числе ZeroDay. Если остальные сервисы по какой-то причине пропустили потенциально опасные данные, песочница запустит программу или откроет файл в специально выделенном месте, не подвергая риску всю сеть. При обнаружении угрозы песочница даст возможность скорректировать правила информационной безопасности.

Как вы могли убедиться, межсетевые экраны могут иметь множество самых разных функций — в этой статье мы рассмотрели только основные и самые популярные решения. Чтобы выбрать файрвол, функционал которого будет соответствовать потребностям вашей компании, рекомендуем обратиться за консультацией в компанию «Смарт Секьюрити». Специалисты подробно расскажут об особенностях межсетевых экранов различных моделей. Кроме того, компания предоставляет возможность протестировать оборудование и программное обеспечение перед покупкой.