В эпоху интернета и информационных технологий каждый бизнес должен заботиться о конфиденциальности и защите данных, составляющих коммерческую тайну. Даже один файл, оказавшийся в руках конкурента или злоумышленника, может дорого обойтись. Сохранить время, деньги и деловую репутацию поможет установленный в сеть межсетевой экран. Это удобный инструмент, с помощью которого можно контролировать трафик. Для этого системный администратор использует:
- IP-адреса. При этом блокируется поток данных, который поступает с определенного IP-адреса, системный администратор вносит IP в «белый» и «черный» списки.
- Доменные имена. Заблокировав только определенные сайты, можно улучшить рациональное использование рабочего времени сотрудниками предприятия.
- Блокировку по портам. Используется для того, чтобы заблокировать определенный сервис (приложение). Например, 80 порт отвечает за доступ к сайтам. Заблокировав этот порт во всей локальной сети, можно добиться того, что с компьютеров сети нельзя будет зайти ни на один сайт.
- Протоколы. Можно заблокировать протокол HTTP/HTTPS, FTP или любые другие.
Типы межсетевых экранов
Для фильтрации трафика в локальной сети применяют различные виды файрволов:
- программные;
- программно-аппаратные.
Первый тип имеет вид классических программ, устанавливаемых на компьютер пользователя. Иногда под него выделяют отдельный сервер.
Межсетевой экран аппаратно-программного типа может представлять собой и отдельное, самостоятельное оборудование, и быть модулем других сетевых устройств (маршрутизатора, коммутаратора и т. д.).
Использование подобных устройств для защиты информации имеет неоспоримые преимущества:
- Программно-аппаратные межсетевые экраны характеризуются высокой степенью отказоустойчивости, выдерживают DDOS-атаки.
- Самим устройством можно управлять посредством как стандартного, так и защищенного протокола.
- Высокая производительность.
К данному типу МЭ можно отнести ИКС. При установке данного ПО вы получите комплексную защиту сети, которая обеспечит необходимый уровень сохранности данных.
Приведенная выше классификация межсетевых экранов далеко не единственная — существует и другая. В ее основе лежит технология, используемая для фильтрования трафика. По данному критерию они делятся на такие виды:
- NGFW (МЭ нового поколения);
- NGFW с функцией активной защиты
- аппаратно-программные устройства со «вшитой» опцией контроля за сеансами;
- UTM решения;
- прокси-сервера.
NGFW — межсетевые экраны нового поколения
Фильтрование трафика в них выполняется не только по портам и протоколам, а на уровне приложений и их функциональности. Поэтому файрволы NGFW очень хорошо справляются и с вирусами, и с атаками хакеров.
К ним предъявляются определенные требования. Они должны:
- защитить сеть от атак с компьютеров, которые заражены вирусами;
- иметь возможность инспектирования трафика в защищенных и незащищенных соединениях;
- контролировать поток трафика на уровне приложений;
- поддерживать обновления определений IT-угроз.
Модернизацией NGFW являются межсетевые экраны с функцией активной защитой от вирусов и взломов. В их функциональности должны присутствовать:
- учет прошлых соединений и обнаружение ресурсов, которые создают повышенные риски;
- возможность самостоятельной установки политик и управления работой системы;
- возможность корреляции событий, которые происходят на отдельном компьютере и в локальной сети. Благодаря этому можно эффективно отражать даже самые сложные и сильные атаки по сети.
Как работают межсетевые экраны с функцией контроля состояния сеансов
Этот вид более популярен, чем рассмотренный выше. Его работа основана на анализе:
- протокола соединения;
- состояния порта.
Анализируя эту информацию, экран «принимает решение», что делать: заблокировать трафик или пропустить его к пользователю. Работа базируется на определенных системным администратором правилах и так называемом контексте (данных о прошлых интернет-соединениях).
Как работают UTM-решения
UTM-решения появились в 2004 году. Необходимость их внедрения была вызвана увеличившейся изощренностью хакеров и прочих киберпреступников. Межсетевые экраны UTM сочетают в себе несколько функций:
- контент-фильтрации;
- IPS (барьер против атак по сети);
- защиты от вирусов и спама;
- контроль доступа и др.
Программно-аппаратный МЭ имеет несколько процессоров . Например, процессор контента фильтрует архивные файлы и не вызывающие доверия пакеты данных.
Сетевой процессор ответственен за:
- обработку TCP-сегментов;
- алгоритмы шифрования;
- трансляцию IP-адресов.
- гарантирует пользователю анонимность: удаленный сервер «видит» IP прокси-сервера, а не IP-клиента;
- может защитить пользователя от определенных угроз (как правило, самых простых);
- видит все данные о программах и частично получает сведения об актуальном соединении.
- несовместимы с протоколом UDP;
- для любого интернет-сервиса потребуется отдельный прокси, что сокращает возможность масштабирования для всей системы в целом;
- имеет недостаточно высокую производительность;
- большая степень чувствительности к возникающим в программных платформах и отдельных приложениях сбоям.
Процессор безопасности отвечает за две ее составляющих: антивирус и сервис IPS. Программные составляющие файрвола также имеют несколько функций: обеспечение безопасности серфинга, антиспам.
Преимущества и недостатки прокси-сервера
Прокси-сервер — это шлюз, посредник между пользователем и удаленным сервером. Когда с браузера пользователя отправляется запрос, он сразу поступает на прокси-сервер. Затем шлюз перенаправляет этот запрос на требуемый сервер и получает данные, которые и пересылает пользователю (клиенту). Прокси-сервер может модифицировать ответ, который был получен от целевого сервера.
Его преимущества:
Вместе с тем, они не лишены и некоторых недостатков:
Недостаток анализа данных
Любая технология имеет ограничения. Так, МЭ могут анализировать только тот трафик, который они четко понимают, интерпретируют, ведь они работают на уровне приложений и протоколов передачи данных.
Примером не распознающего трафика может быть трафик, защищенный криптографическим шифрованием, или к которому был применен механизм туннелирования данных.
Поэтому от системного администратора требуется задать четкие правила, что должен делать межсетевой экран при «встрече» с таким подозрительным трафиком.