Как сделать межсетевой экран
Перейти к содержимому

Как сделать межсетевой экран

  • автор:

Межсетевой экран

Межсетевой экран (Firewall) позволяет контролировать движение трафика на уровне IP-адресов и портов, а также поддерживает NAT . Это первый и главный инструмент, защищающий сети предприятия от угроз извне и контролирующий доступ пользователей за пределы сети.

Модуль «Межсетевой экран» можно открыть двумя способами:

  • в меню Сеть >Межсетевой экран:
  • в меню Защита >Межсетевой экран:

В модуле расположены следующие вкладки:

Межсетевой экран

На данной вкладке отображаются:

  • статус службы ( запущен , остановлен , выключен , не настроен );
  • кнопка «Включить» («Выключить») — позволяет запустить или остановить службу;
  • журнал последних событий.

Внимание! Выключать межсетевой экран не рекомендуется. Выключая межсетевой экран, вы оставляете сервер без защиты от подключений извне. Кроме того, при включении ИКС именно межсетевой экран генерирует NAT для всех сетей, поэтому, если перезагрузить ИКС с выключенным межсетевым экраном, у всех пользователей пропадет доступ в сеть Интернет.

Настройки

На данной вкладке можно настроить доступ к ИКС при помощи межсетевого экрана.

  1. Если требуется, укажите:
    • адреса и подсети, с которых разрешен доступ к управлению ИКС через веб-интерфейс и к серверу ИКС по SSH ;
    • максимальное количество активных соединений — позволяет ограничить количество подключений к ИКС;
    • режим работы межсетевого экрана — позволяет задать порядок запуска служб ipfw и pf, на которых основывается работа межсетевого экрана ИКС. Вариант ipfw -> pf является рекомендованным и выставлен по умолчанию, но может препятствовать корректной работе правил, ограничивающих скорость, а также VPN. В таком случае можно изменить режим на pf -> ipfw .
  2. При необходимости установите флаг «Запретить фрагментированные пакеты».
  3. Нажмите «Сохранить».

Правила

На данной вкладке происходит основная настройка доступа.

Слева расположен список всех интерфейсов ИКС в виде дерева, справа — список правил. При нажатии на интерфейс будут показаны только те правила, которые относятся к данному интерфейсу.

Здесь можно настроить следующие правила:

  • разрешающие — разрешают доступ;
  • запрещающие — запрещают, ограничивают доступ;
  • приоритеты — определяют, какой трафик будет обрабатываться в первую очередь (например, телефония), а какой — в последнюю (например, e-mail);
  • ограничения скорости — позволяют задать максимальную скорость для определенных соединений.

По умолчанию в ИКС всегда есть общее запрещающее правило для всего трафика. Это самая популярная политика безопасности в мире: «все, что не разрешено — запрещено».

Разрешающие правила в ИКС всегда приоритетнее запрещающих и используются для того, чтобы открывать доступ только к определенным службам. При установке в ИКС автоматически создаются разрешающие правила для самых популярных служб. Программа предоставляет возможность управлять этими правилами на свое усмотрение (оставить, удалить, модифицировать).

Для того чтобы скопировать созданное правило межсетевого экрана, нажмите на него в списке, а затем — на кнопку .

Внимание! Выключение межсетевого экрана оставит работающими только правила NAT. Все правила, ограничивающие доступ извне, будут отключены, что может негативно сказаться на безопасности системы. Отключайте межсетевой экран только при крайней необходимости.

После перезагрузки системы с выключенным межсетевым экраном список правил pf, в том числе и правила NAT, будет полностью очищен и пользователи потеряют доступ во внешнюю сеть по всем протоколам, кроме HTTP.

NAT

На данной вкладке можно добавить и настроить правила NAT.

NAT — это механизм, позволяющий преобразовывать IP-адреса транзитных пакетов.

Для добавления правила NAT выполните следующие действия:

  1. Нажмите «Добавить».
  2. Введите название правила.
  3. Укажите протокол и интерфейс.
  4. Выберите источник и порт источника, назначение и порт назначения.
  5. Выберите действие, которое необходимо выполнять согласно правилу:
    • Преобразовывать в (дополнительно следует выбрать адрес, которым будет заменяться IP-адрес пакета, попавшего под данное правило NAT; если установить флаг «Статический порт», то номера портов источника останутся неизменными);
    • Не преобразовывать (будет создано правило исключения из трансляции при помощи ключевого слова no ).
  6. Выберите время действия. Это один из стандартных элементов веб-интерфейса ИКС.
  7. Нажмите «Добавить» — созданное правило NAT появится в списке.

В результате настроек, представленных в примере ниже, весь трафик, идущий из сети 10.8.0.0/24 в сеть 192.168.1.0/24, будет преобразован в адрес 192.168.1.1.

Правила NAT (кроме правил NAT для перенаправлений портов) можно перемещать в списке — они соответственно будут перемещены в конфигурационном файле межсетевого экрана.

Правила NAT применяются сверху вниз в том порядке, в котором они расположены на вкладке. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Таким образом, чем выше правило в списке, тем оно приоритетнее.

Перенаправление портов

Перенаправление портов предназначено для того, чтобы снаружи организовать доступ к компьютеру, находящемуся в локальной сети: для подключения к Windows-серверу по RDP , для подключения к локальному веб-серверу и т. д.

На данной вкладке можно управлять перенаправлениями портов (добавлять, редактировать, удалять, выключать) при помощи соответствующих функциональных кнопок.

Для добавления перенаправления выполните следующие действия:

  1. Нажмите «Добавить».
  2. Введите название перенаправления.
  3. Укажите порт перенаправления — порт, который будет открыт на сервере и к которому будут подключаться компьютеры из внешней сети.
  4. Выберите протокол.
  5. Укажите источник и порт источника.
  6. Укажите порт и хост назначения — порт и адрес компьютера, к которому необходимо организовать доступ. Внимание! IP-адрес хоста, на который организовывается проброс порта, должен быть назначен какому-либо пользователю ИКС. В программе есть возможность перенаправлять диапазоны портов. Для этого введите номера портов через дефис (например, 10000-10100 ).
  7. При необходимости можно указать интерфейс (группу интерфейсов), на котором будет реализовано перенаправление портов.
  8. Установите флаг «Использовать NAT », если для хоста, на который перенаправляется запрос, ИКС не является шлюзом по умолчанию.
  9. Установите флаг «Разрешить подключаться из локальной сети», если требуется, чтобы устройства локальной сети при обращении на перенаправленный порт попадали на хост назначения. Внимание! При этом локальные соединения будут проходить через NAT и хост назначения увидит эти подключения как инициированные ИКС.
  10. При необходимости установите флаг «Автоматически создавать разрешающее правило». Тогда в межсетевом экране автоматически будет создано правило, разрешающее подключение на данное перенаправление. Если требуется настроить доступ индивидуальным образом, добавьте вручную разрешающее правило и укажите в нем порт назначения и порт перенаправления через запятую (поле «Порт назначения»). Остальные поля заполняются в зависимости от уровня доступа, который нужно настроить.
  11. Выберите время действия. Это один из стандартных элементов веб-интерфейса ИКС.
  12. Нажмите «Добавить» — созданное перенаправление появится в списке.

Для того чтобы отключить перенаправление портов, нажмите кнопку «Выключить» и выберите период.

Блокировка по геолокации

На данной вкладке можно настроить блокировку по геолокации.

В таблице можно выбрать, какой входящий трафик блокировать. Для этого установите флаг напротив континента либо конкретных стран.

При выборе страны или части света межсетевым экраном блокируется входящий трафик с IP-адресов данной страны (стран).

Также на вкладке предусмотрена возможность указать исключения в поле «Не блокировать IP-адреса».

Внимание! Из блокировок по геолокации автоматически исключаются следующие объекты, созданные на ИКС: локальная сеть, VPN-сеть, SSTP-сеть, Wireguard-сеть, OpenVPN-сеть, внутренняя сеть. Также в исключения попадают сети из констант, прописанные в net.nat_networks.

Для применения изменений нажмите кнопку «Сохранить».

База данных блокировки по геолокации обновляется раз в месяц.

События

На данной вкладке расположен журнал событий межсетевого экрана.

Журнал является стандартным элементом веб-интерфейса ИКС.

Как сделать межсетевой экран

Вы можете создавать правила межсетевого экрана через Kaspersky Security Center 13.2 Web Console.

Пользовательские правила межсетевого экрана выполняются в заданном в Kaspersky Security Center 13.2 Web Console порядке сверху вниз, до первого совпадения.

Чтобы создать новое правило межсетевого экрана:

  1. В главном окне Web Console выберите Устройства → Управляемые устройства .
  2. Нажмите на имя устройства, на котором запущен Kaspersky IoT Secure Gateway 1000. Если имя устройства отсутствует в списке, добавьте его в группуУправляемые устройства .
  3. В открывшемся окне свойств устройства выберите закладку Программы .
  4. Нажмите Kaspersky IoT Secure Gateway . Откроется окно, содержащее информацию о Kaspersky IoT Secure Gateway 1000.
  5. Выберите закладку Параметры программы .
  6. Выберите раздел Сеть → Межсетевой экран . Отобразится таблица, содержащая пользовательские правила для межсетевого экрана.
  7. Нажмите на кнопку Добавить в верхней части таблицы правил межсетевого экрана. Справа появится панель добавления правила межсетевого экрана.
  8. В раскрывающемся списке Статус правила выберите статус правила: Включено или Выключено .
  9. В раскрывающемся списке Действие выберите действие, применяемое к проходящему через межсетевой экран трафику: Разрешить или Запретить .
  10. В раскрывающемся списке Область выберите область, к которой должно применяться правило: Внутренняя сеть или Внешняя сеть .
  11. В поле IP-адрес (источник) укажите IP-адрес источника трафика.
  12. В поле Порт (источник) укажите порт источника трафика, если этот параметр применим к протоколу.
  13. В поле IP-адрес (получатель) укажите IP-адрес получателя трафика.
  14. В поле Порт (получатель) укажите порт получателя трафика, если этот параметр применим к протоколу.
  15. В раскрывающемся списке Протокол выберите используемый протокол. Для выбора доступны следующие протоколы:
    • TCP (IPv4) .
    • UDP (IPv4) .
    • Любой .
  16. Нажмите на кнопку ОК в панели добавления правила межсетевого экрана. Панель закроется, новое правило отобразится в таблице правил для межсетевого экрана.
  17. Если требуется изменить порядок выполнения правила в таблице правил, установите флажок около правила и с помощью кнопок Вверх или Вниз повысьте или понизьте приоритет обработки правила.
  18. Нажмите на кнопку Сохранить .

Межсетевой экран: что такое и как работает

В тексте определим базовое понятие межсетевого экрана и на примерах рассмотрим его функции и виды.

Эта инструкция — часть курса «Введение в сетевую безопасность».

Смотреть весь курс

Изображение записи

В тексте определим базовое понятие межсетевого экрана и на примерах рассмотрим его функции и виды.

Что такое межсетевой экран

Межсетевой экран (МЭ, брандмауэр или Firewall) представляет собой программно-аппаратный или программный комплекс, который отслеживает сетевые пакеты, блокирует или разрешает их прохождение. В фильтрации трафика брандмауэр опирается на установленные параметры — чаще всего их называют правилами МЭ.

Современные межсетевые экраны располагаются на периферии сети, ограничивают транзит трафика, установку нежелательных соединений и подобные действия за счет средств фильтрации и аутентификации.

Принцип работы МЭ

Для чего нужен межсетевой экран и как он работает

Главная задача МЭ – это фильтрация трафика между зонами сети. Он может использоваться для разграничения прав доступа в сеть, защиты от сканирования сети компании, проведения сетевых атак. Проще говоря, межсетевой экран – это одно из устройств, при помощи которого обеспечивается сетевая безопасность компании.

Функции межсетевого экрана

  1. Остановить подмену трафика. Представим, что ваша компания обменивается данными с одним их своих подразделений, при этом ваши IP-адреса известны. Злоумышленник может попытаться замаскировать свой трафик под данные офиса, но отправить его с другого IP. Брандмауэр обнаружит подмену и не даст ему попасть внутрь вашей сети.
  2. Защитить корпоративную сеть от DDoS-атак. То есть ситуаций, когда злоумышленники пытаются вывести из строя ресурсы компании, отправляя им множество запросов с зараженных устройств. Если система умеет распознавать такие атаки, она формирует определенную закономерность и передает ее брандмауэру для дальнейшей фильтрации злонамеренного трафика.
  3. Заблокировать передачу данных на неизвестный IP-адрес. Допустим, сотрудник фирмы скачал вредоносный файл и заразил свой компьютер, что привело к утечке корпоративной информации. При попытке вируса передать информацию на неизвестный IP-адрес брандмауэр автоматически остановит это.

Правила МЭ

Сетевой трафик, проходящий через брандмауэр, сопоставляется с правилами, чтобы определить, пропускать его или нет.

Правило межсетевого экрана состоит из условия (IP-адрес, порт) и действия, которое необходимо применить к пакетам, подходящим под заданное условие. К действиям относятся команды разрешить (accept), отклонить (reject) и отбросить (drop). Эти условия указывают МЭ, что именно нужно совершить с трафиком:

  • разрешить — пропустить трафик;
  • отклонить — не пропускать трафик, а пользователю выдать сообщение-ошибку «недоступно»;
  • отбросить — заблокировать передачу и не выдавать ответного сообщения.

Для лучшего понимания рассмотрим пример. Допустим, у нас есть три правила:

  1. Разрешить доступ всем IP-адресам, которые принадлежат отделу маркетинга, на 80-й порт.
  2. Разрешить доступ всем IP-адресам, которые принадлежат отделу системного администрирования.
  3. Отклонить доступ всем остальным.

Если к сети попытается подключиться сотрудник отдела технической поддержки, он получит сообщение об ошибке соединения (см. правило 3). При этом если сотрудник отдела маркетинга попробует подключиться по SSH, то также получит сообщение об ошибке, поскольку использует 22-й порт (см. правило 1).

Правило, разрешающее доступ на 80-й порт

Типы межсетевых экранов

МЭ делятся на два основных типа: аппаратные и программные.

Аппаратный межсетевой экран

Аппаратный МЭ – это, как правило, специальное оборудование, составляющие которого (процессоры, платы и т.п.) спроектированы специально для обработки трафика.

Работает они на специальном ПО — это необходимо для увеличения производительности оборудования. Примерами аппаратного межсетевого экрана выступают такие устройства, как Cisco ASA, FortiGate, Cisco FirePower, UserGate и другие.

Аппаратные МЭ более мощные по сравнению с программными, однако это влияет на стоимость решений. Нередко она в разы выше, чем у программных аналогов.

Программный межсетевой экран

Программный МЭ – это программное обеспечение, которое устанавливается на устройство, реальное или виртуальное.

Через такой межсетевой экран перенаправляется весь трафик внутрь рабочей сети. К программным относятся брандмауэр в Windows и iptables в Linux.

Программные МЭ, как правило, дешевле и могут устанавливаться не только на границах сети, но и на рабочих станциях пользователей. Из основных недостатков — более низкая пропускная способность и сложность настройки в ряде случаев.

Контроль состояния сеансов на уровне МЭ

Межсетевой экран с контролем состояния сеансов анализирует всю активность пользователей от начала и до конца — каждой установленной пользовательской сессии. На основе этих данных он определяет типичное и нетипичное поведение пользователя. Если поведение в рамках сессии показалась ему нетипичным, МЭ может заблокировать трафик.

Получается, решение об одобрении или блокировке входящего трафика принимается не только на основании заданных администратором правил, но и с учетом контекста — сведений, полученных из предыдущих сессий. Брандмауэры с отслеживанием состояния сеансов считаются гораздо более гибкими, чем классические межсетевые экраны.

Unified threat management, или универсальный шлюз безопасности

Такие межсетевые экраны включают в себя антивирус, брандмауэр, спамфильтр, VPN и систему IDS/IPS (системы обнаружения и предотвращения вторжений), контроль сеансов.

Основное преимущество данной технологии в том, что администратор работает не с парком различных устройств, а использует единое решение. Это удобно, так как производитель предусматривает централизованный интерфейс управления службами, политиками, правилами, а также дает возможность более «тонкой» настройки оборудования.

Архитектура устройства

В UTM-устройство входят несколько видов процессоров:

  • процессор общего назначения, или центральный процессор,
  • процессор обработки данных,
  • сетевой процессор,
  • процессор обработки политик безопасности.

Процессор общего назначения похож на процессор, установленный в обычном ПК. Он выполняет основные операции на межсетевом экране. Остальные виды процессоров призваны снизить нагрузку на него.

Процессор данных отвечает за обработку подозрительного трафика и сравнения его с изученными угрозами. Он ускоряет вычисления, происходящие на уровне приложений, а также выполняет задачи антивируса и служб предотвращения вторжений.

Сетевой процессор предназначен для высокоскоростной обработки сетевых потоков. Основная задача заключается в анализе пакетов и блоков данных, трансляции сетевых адресов, маршрутизации сетевого трафика и его шифровании.

Процессор обработки политик безопасности отвечает за выполнение задач антивируса и служб предотвращения вторжений. Также он разгружает процессор общего назначения, обрабатывая сложные вычислительные задачи.

Межсетевые экраны

Защитите свои данные от кибератак и утечек.

Межсетевой экран следующего поколения (NGFW)

Next-generation firewall (NGFW) – файрвол следующего поколения. Его ключевая особенность в том, что он может производить фильтрацию не только на уровне протоколов и портов, но и на уровне приложений и их функций. Это позволяет успешнее отражать атаки и блокировать вредоносную активность.

Также, в отличие от межсетевого экрана типа Unified threat management, у NGFW есть более детальная настройка политик безопасности и решения для крупного бизнеса.

Основные функции Next-generation firewall

Расскажем про основные функции безопасности для всех NGFW.

Deep Packet Inspection (DPI) – технология, выполняющая детальный анализ пакетов. В отличие от правил классического межсетевого экрана данная технология позволяет выполнять анализ пакета на верхних уровнях модели OSI. Помимо этого, DPI выполняет поведенческий анализ трафика, что позволяет распознавать приложения, которые не используют заранее известные заголовки и структуры данных.

Intrusion Detection System/ Intrusion Prevention System (IDS/IPS) — система обнаружения и предотвращения вторжений. Межсетевой экран блокирует и фильтрует трафик, в то время как IPS/IDS обнаруживает вторжение и предупреждает системного администратора или предотвращает атаку в соответствии с конфигурацией.

Антивирус. Обеспечивает защиту от вирусов и шпионского ПО в реальном времени, определяет и нейтрализует вредоносное ПО на различных платформах.

Фильтрация по URL, или веб-фильтр, — возможность блокировки доступа к сайтам или другим веб-приложениям по ключевому слову в адресе.

Инспектирование SSL. Позволяет межсетевому экрану нового поколения устанавливать SSL-сессию с клиентом и сервером. Благодаря этому существует возможность просматривать шифрованный трафик и применять к нему политики безопасности.

Антиспам — функция, которая позволяет защитить корпоративных пользователей от фишинговых и нежелательных писем.

Application Control. Используется для ограничения доступа к приложениям, их функциям или к целым категориям приложений. Все это задействует функции отслеживания состояния приложений, запущенных пользователем, в режиме реального времени.

Web Application Firewall — совокупность правил и политик, направленных на предотвращение атак на веб-приложения.

Аутентификация пользователей — возможность настраивать индивидуальные правила под каждого пользователя или группу.

Sandboxing. Метод, при котором файл автоматически помещается в изолированную среду для тестирования, или так называемую песочницу. В ней можно инициализировать выполнение подозрительной программы или переход по URL, который злоумышленник может прикрепить к письму. Песочница создает безопасное место для установки и выполнения программы, не подвергая опасности остальную часть системы.

Изолированная защита очень эффективна в работе с так называемыми угрозами нулевого дня. Это угрозы, которые ранее не были замечены или не соответствуют ни одному известному вредоносному ПО. Несмотря на то, что обычные фильтры электронной почты могут сканировать электронные письма для обнаружения вредоносных отправителей, типов файлов и URL-адресов, угрозы нулевого дня появляются постоянно. Традиционные средства фильтрации могут их пропустить.

Использование прокси в качестве межсетевого экрана

Прокси-сервер контролирует трафик на последнем уровне стека TCP\IP, поэтому иногда его называют шлюзом приложений. Принцип работы заключается в фильтрации данных на основании полей заголовков, содержимого поля полезной нагрузки и их размеров (помимо этого, задаются дополнительные параметры фильтрации).

Прокси-серверы осуществляют фильтрацию одного или нескольких протоколов. Например, наиболее распространенным прокси-сервером является веб-прокси, предназначенный для обработки веб-трафика.

Такие серверы используются для следующих целей:

  • обеспечение безопасности — например, для защиты вашего веб-сайта или пользователей от посещения сторонних сайтов,
  • повышение производительности сети,
  • ускорение доступа к некоторым ресурсам в интернете и др.

Поскольку прокси-серверы предназначены для определенных протоколов/портов, они, как правило, имеют более глубокие и сложные средства управления, чем общие правила безопасности межсетевого экрана.

Помимо веб-прокси, существуют такие прокси-серверы, как DNS, FTP, telnet, SSH, SSL и другие протоколы.

Основной функцией классического брандмауэра является отслеживание и фильтрация трафика на сетевом и транспортном уровнях модели OSI. В отличие от него прокси-сервер устанавливает связь между клиентом и сервером, тем самым позволяя производить проверку на прикладном уровне, фильтровать запросы на подключение и так далее.

Чаще всего прокси-сервер является дополнением к стандартному межсетевому экрану, а межсетевые экраны нового поколения уже включают в себя все функции прокси-сервера.

Заключение

В данной статье мы рассмотрели, что такое межсетевой экран, для чего он используется и каких видов бывает. В современном мире в аппаратной реализации чаще всего можно встретить межсетевые экраны нового поколения. Подобные решения можно арендовать в Selectel.

IPS/IDS — системы обнаружения и предотвращения вторжений

Зарегистрируйтесь в панели управления

И уже через пару минут сможете арендовать сервер, развернуть базы данных или обеспечить быструю доставку контента.

Межсетевой экран (Firewall)

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Фаервол, или брандмауэр, — термин для обозначения технических и программных средств, которые обрабатывают входящий и исходящий сетевой трафик. Проходящие данные проверяются на соответствие набору заданных правил и могут быть заблокированы от дальнейшей передачи [1] .

Оба названия были заимствованы из иностранных языков и означают одно и то же: «противопожарный щит/стена» — в переводе с английского («firewall») и немецкого («brandmauer»), соответственно.

Как и проистекает из изначальной формулировки, фаервол предназначен для защиты внутренней информационной среды или ее отдельных частей от некоторых внешних потоков, и наоборот, предохраняет от прохождения отдельных пакетов вовне — например, в интернет. Фаерволы позволяют отфильтровывать подозрительный и вредоносный трафик, в том числе пресекать попытки взлома и компрометации данных.

При правильной настройке сетевой щит позволяет пользователям сети иметь доступ ко всем нужным ресурсам и отбрасывает нежелательные соединения от хакеров, вирусов и других вредоносных программ, которые пытаются пробиться в защищенную среду.

Межсетевой экран нового поколения был определен аналитиками Gartner как технология сетевой безопасности для крупных предприятий, включающая полный набор средств для проверки и предотвращения проникновений, проверки на уровне приложений и точного управления на основе политик. «ВК» планирует перевести учёт и казначейство с импортных решений на «1С». Бюджет проекта — 1 млрд рублей

Если организация изучает возможность использования межсетевого экрана нового поколения, то самое главное — определить, обеспечит ли такой экран возможность безопасного внедрения приложений во благо организации. На первом этапе вам потребуется получить ответы на следующие вопросы:

  • Позволит ли межсетевой экран нового поколения повысить прозрачность и понимание трафика приложений в сети?
  • Можно ли сделать политику управления трафиком более гибкой, добавив дополнительные варианты действий, кроме разрешения и запрета?
  • Будет ли ваша сеть защищена от угроз и кибератак, как известных, так и неизвестных?
  • Сможете ли вы систематически идентифицировать неизвестный трафик и управлять им?
  • Можете ли вы внедрять необходимые политики безопасности без ущерба производительности?
  • Будут ли сокращены трудозатраты вашей команды по управлению межсетевым экраном?
  • Позволит ли это упросить управление рисками и сделать данный процесс более эффективным?
  • Позволят ли внедряемые политики повысить рентабельность работы предприятия?

В случае положительного ответа на вышеприведенные вопросы можно сделать следующий шаг и обосновать переход со старых межсетевых экранов на межсетевые экраны нового поколения. После выбора поставщика или узкого круга поставщиков, выполненного с помощью заявки, последует этап оценки физических функций межсетевого экрана, выполняемой с применением трафика различных типов и комбинаций, а также объектов и политик, которые точно передают особенности бизнес-процессов организации.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Защита корпоративных сетей базируется на межсетевых экранах, которые теперь должны не только фильтровать потоки информации по портам, но и контролировать данные, передаваемые по наиболее популярным из них. По оценкам экспертов SophosLabs компании Sophos, до 80% нападений совершаются с использованием веб-браузера по протоколам HTTP или HTTPS, однако простым фильтрованием этих протоколов проблему не решить. Таким образом, к новому поколению межсетевых экранов, совмещенных с системами обнаружения вторжений, появляются новые требования.

Межсетевые экраны нового поколения рекомендуется внедрять для решения следующих задач:

  • контроля отдельных веб-приложений;
  • обнаружения вторжений по наиболее популярным протоколам, таким как HTTP, SMTP и POP3;
  • создания VPN-соединений для удаленного подключения мобильных пользователей;
  • оптимизации сетевого взаимодействия.

Следует отметить, что наличие систем обнаружения вторжений требуется также при обработке персональных данных, защите банковских и платежных систем, а также и других сложных информационных инфраструктур. Совмещение же их с межсетевыми экранами очень удобно и выгодно для пользователей.

Другие названия

Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».

Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall, эквивалентного термину межсетевой экран, в настоящее время не является официальным заимствованным словом в русском языке[источник не указан 169 дней].

История межсетевых экранов

Фаерволом может быть как программное средство, так и комплекс ПО и оборудования. И поначалу они были чисто железными, как и давшие им название противопожарные сооружения.

В контексте компьютерных технологий термин стал применяться в 1980-х годах. Интернет тогда был в самом начале своего применения в глобальных масштабах.

Есть мнение, что, прежде чем название фаервола пришло в реальную жизнь, оно прозвучало в фильме «Военные игры» 1983 г., где главный герой — хакер, проникший в сеть Пентагона. Возможно, это повлияло на заимствование и использование именно такого именования оборудования.

Первыми фаерволами можно назвать маршрутизаторы, которые защищали сети в конце 1980-х. Все передаваемые данные проходили сквозь них, поэтому логично было добавить им возможность фильтрации пакетов.

Функции сетевых экранов

Современная корпоративная сеть – не замкнутое информационное пространство. Зачастую это распределенная сеть, связанная с внешним ЦОДом, использующая облака и периферию, состоящая из множества сегментов. Современный корпоративный межсетевой экран должен обладать соответствующими функциями для ее защиты. Что именно нужно компаниям от файрвола, рассказывает инфографика [2] .

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

  • обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
  • происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
  • отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

  • традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
  • персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

  • сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
  • сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
  • уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

  • stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
  • stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Хронология событий

2023: Российский рынок межсетевых экранов веб-приложений вырос до 4,6 млрд рублей

Российский рынок межсетевых экранов веб-приложений (WAF) в 2023 году вырос до 4,6 млрд рублей. Об этом свидетельствуют данные МТС RED, опубликованные в середине февраля 2024 года.

Основными драйверами развития рынка WAF аналитики МТС RED называют постоянный рост количества разрабатываемых веб-приложений (примерно на 11% в год) и увеличение числа, интенсивности и сложности реализуемых через них атак. Так, согласно данным исследователей, в 2023 году на атаки через веб-ресурсы пришлось более 46% от общего объема атак на компании, что на 14% превышает показатели 2022 года. Наиболее частыми мишенями для таких атак становятся финансовая сфера и ритейл.

Еще в 2022 году на российском рынке доминировали иностранные производители решений WAF, но затем отечественные вендоры начали демонстрировать стремительный подъем. Так, в 2023 году совокупная выручка российских поставщиков решений этого класса выросла на 147%. Конкуренция побудила отечественных разработчиков межсетевых экранов для веб-приложений к улучшению своих продуктов, также на рынке стали появляться новые российские игроки и сильные решения, отмечают специалисты.

По прогнозам аналитиков, объем российского рынка ПО класса WAF будет расти в среднем на 22% в год и достигнет 7,2 млрд рублей к 2026 году. При этом объем всего рынка ИБ-решений будет расти на 24,6% ежегодно, ожидают в МТС RED.

2020: 53% ИБ-экспертов считают межсетевые экраны бесполезными

29 октября 2020 года стало известно, что специалисты по информационной безопасности (ИБ) стали отказываться от использования межсетевых экранов. Большинство мотивируют это тем, что в современном мире они больше не могут обеспечить требуемый уровень защиты, сообщили CNews 29 октября 2020 года.

Потерю ИБ-специалистами доверия к брандмауэрам подтвердило исследование компании Ponemon Institute, с 2002 г. работающей в сфере информационной безопасности, проведенное совместно с компанией Guardicore из той же отрасли. Ее сотрудники опросили 603 ИБ-специалиста в американских компаниях и выяснили, что подавляющее большинство респондентов негативно отзываются о межсетевых экранах, в настоящее время используемых в их компаниях. 53% из них активно ищут другие варианты защиты сетей и устройств в них, попутно частично или полностью отказываясь от фаерволлов из-за их неэффективности, высокой стоимости и высокой сложности.

Согласно результатам опроса, 60% его участников считают, что устаревших межсетевых экранов нет необходимых возможностей для предотвращения атак на критически важные бизнес-приложения. Столько же респондентов посчитали, что устаревшие межсетевые экраны демонстрируют свою неэффективность для создания сетей с нулевым доверием (zero trust).

76% специалистов, участвовавших в опросе Ponemon Institure, пожаловались на то, что при использовании устаревших фаерволлов им требуется слишком много времени для защиты новых приложений или изменения конфигурации в существующих программах.

62% опрошенных специалистов считают, что политики контроля доступа в межсетевых экранах недостаточно детализированы, что ограничивает их способность защищать наиболее ценную информацию. 48% респондентов подчеркнули также, что внедрение межсетевых экранов занимает слишком много времени, что увеличивает их итоговую стоимость и время окупаемости.

Согласно отчету, в то время как 49% респондентов в какой-то степени внедрили модель безопасности Zero Trust, 63% считают, что устаревшие межсетевые экраны их организаций не могут обеспечить нулевое доверие в корпоративной сети. 61% респондентов отметили, что межсетевые экраны их организаций не могут предотвратить взлом дата-серверов компании, в то время как 64% считают, что устаревшие межсетевые экраны неэффективны против многих современных видов атак, включая атаки при помощи программ-вымогателей. Большинство опрошенных специалистов заявили, что фаерволлы бесполезны, когда вопрос касается и облачной безопасности. 61% уверены в их неэффективности при защите данных в облаке, а 63% считают, что нет смысла пытаться использовать их для обеспечения безопасности критически важных облачных приложений.


– сказал Ларри Понемон (Larry Ponemon), основатель Ponemon Institute


– отметил Павел Гурвич (Pavel Gurvich), соучредитель и генеральный директор Guardicore

2012: Предзнаменование скорейшей кончины файрволов — растущая популярность облачных технологий

Эволюция IT-инфраструктуры и появление еще более хитроумных угроз послужили толчком для непрекращающегося беспокойства о том, что файрволы устаревают и не справляются со своими задачами. Впервые такие мнения прозвучали в конце 90-х, когда в корпоративных средах стали все чаще использоваться ноутбуки и удаленный доступ, а среди пользователей начались разговоры о растущей уязвимости сетей. Прогнозы повторились спустя несколько лет, когда стала расти популярность SSL VPN и наступил бум использования смартфонов и персональных устройств для доступа к сети. Последнее предзнаменование скорейшей кончины файрволов — растущая популярность облачных технологий [4] .

Функциональность файрволов в наши дни значительно расширилась, и теперь это не просто средства мониторинга определенных портов, IP-адресов или пакетной активности между адресами и принятия решений по разрешению и отказу. Первоначально в эти системы входили функции инспекции пакетов с учетом состояния протокола, мониторинга потоков данных, сопоставления с шаблоном и анализа. Теперь файрволы детально проверяют определенную активность приложений и пользователей. Файрволы, способные идентифицировать используемые приложения, часто называют файрволами нового поколения, однако это название не совсем правильное, так как эта функциональность используется уже более десяти лет.

В любом случае, самая злободневная проблема для файрволов сегодня — изучение проходящего через них интернет-трафика и выявление используемых корпоративных и веб-приложений, а также их пользователей. Точно определять тип трафика и тех, кто его запрашивает, — жизненно важная необходимость для организаций, поскольку это позволяет им оптимизировать использование субприложений (таких как Facebook, YouTube, Google Apps и другие приложения Web 2.0) и управлять ими. Обладая такими знаниями, IT-отделы получают возможность адаптировать использование приложений в сети в соответствии с потребностями каждого пользователя и нуждами организации.

Современные файрволы не только развиваются в отношении проверки и управления трафиком, но и предоставляют дополнительные возможности обеспечения безопасности, которые организации могут активировать для обслуживания своих потребностей. Среди этих функций — URL-фильтрация, антивирус, защита от спама и ботов, предотвращение утечек данных, контроль доступа с мобильных устройств, а также многие другие, делающие файрвол мультисервисным шлюзом безопасности. С помощью модульного подхода, управляемого программным способом, можно добавлять и развертывать эти функции, усиливая защиту сети и решая новые проблемы по мере их возникновения.

Итак, сегодня файрволы не только защищают периметр сети, как они всегда это делали, но и позволяют добавлять такие возможности обеспечения безопасности, о которых нельзя было и мечтать 20 лет назад. Несмотря на регулярные предсказания неизбежной потери популярности, сейчас файрволы находятся в самом расцвете своего развития.

Примечания

  1. ↑Что такое фаерволы и как они работают
  2. ↑Старые методы не работают: требования к межсетевым экранам изменились
  3. ↑ИБ-эксперты забраковали межсетевые экраны. 53% специалистов считают их бесполезными
  4. ↑Разговоры о смерти файрволов несколько преувеличены

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *