Terdapat beberapa jenis firewall bergantung pada ciri-ciri berikut:

sama ada perisai menyediakan sambungan antara satu nod dan rangkaian atau antara dua atau lebih rangkaian yang berbeza;

adakah kawalan aliran data berlaku pada tahap rangkaian atau tahap model OSI yang lebih tinggi;

sama ada keadaan sambungan aktif dipantau atau tidak.

Bergantung pada liputan aliran data terkawal, firewall dibahagikan kepada:

rangkaian tradisional (atau tembok api) - program (atau bahagian penting sistem pengendalian) pada get laluan (peranti yang menghantar trafik antara rangkaian) atau penyelesaian perkakasan yang mengawal aliran data masuk dan keluar antara rangkaian yang disambungkan (objek rangkaian teragih) ;

tembok api peribadi ialah program yang dipasang pada komputer pengguna dan direka bentuk untuk melindungi komputer ini sahaja daripada capaian yang tidak dibenarkan.

Bergantung pada tahap OSI di mana kawalan akses berlaku, firewall boleh beroperasi pada:

tahap rangkaian, apabila penapisan berlaku berdasarkan alamat pengirim dan penerima paket, nombor port lapisan pengangkutan model OSI dan peraturan statik yang ditentukan oleh pentadbir;

peringkat sesi(juga dikenali sebagai bernegara), apabila sesi antara aplikasi dipantau dan paket yang melanggar spesifikasi TCP/IP tidak diluluskan, selalunya digunakan dalam operasi berniat jahat - pengimbasan sumber, penggodaman melalui pelaksanaan TCP/IP yang salah, sambungan terputus/lambat, suntikan data;

peringkat permohonan(atau tahap aplikasi), apabila penapisan dilakukan berdasarkan analisis data aplikasi yang dihantar dalam paket. Jenis skrin ini membolehkan anda menyekat penghantaran maklumat yang tidak diingini dan berkemungkinan berbahaya berdasarkan dasar dan tetapan.

Penapisan di peringkat rangkaian

Penapisan paket masuk dan keluar dijalankan berdasarkan maklumat yang terkandung dalam medan berikut pengepala TCP dan IP paket: alamat IP penghantar; Alamat IP penerima; pelabuhan penghantar; pelabuhan penerima.

Penapisan boleh dilaksanakan dalam pelbagai cara untuk menyekat sambungan ke komputer atau port tertentu. Sebagai contoh, anda boleh menyekat sambungan yang datang daripada alamat khusus komputer dan rangkaian tersebut yang dianggap tidak boleh dipercayai.

kos yang agak rendah;

fleksibiliti dalam menentukan peraturan penapisan;

kelewatan sedikit dalam laluan paket.

Kelemahan:

tidak mengumpul paket berpecah-belah;

tidak ada cara untuk menjejaki hubungan (sambungan) antara pakej.?

Penapisan peringkat sesi

Bergantung pada pemantauan sambungan aktif, firewall boleh:

tidak bernegara(penapisan mudah), yang tidak memantau sambungan semasa (contohnya, TCP), tetapi menapis aliran data semata-mata berdasarkan peraturan statik;

stateful, stateful packet inspection (SPI)(penapisan sedar konteks), memantau sambungan semasa dan menghantar hanya paket yang memenuhi logik dan algoritma protokol dan aplikasi yang sepadan.

Firewall dengan SPI memungkinkan untuk memerangi pelbagai jenis serangan DoS dan kelemahan beberapa protokol rangkaian dengan lebih berkesan. Di samping itu, mereka memastikan fungsi protokol seperti H.323, SIP, FTP, dsb., yang menggunakan skema pemindahan data yang kompleks antara penerima, sukar untuk diterangkan mengikut peraturan statik, dan selalunya tidak serasi dengan tembok api standard tanpa negara.

Kelebihan penapisan tersebut termasuk:

analisis kandungan paket;

tiada maklumat tentang operasi protokol lapisan 7 diperlukan.

Kelemahan:

adalah sukar untuk menganalisis data peringkat aplikasi (mungkin menggunakan ALG - Gerbang peringkat aplikasi).

Gerbang peringkat aplikasi, ALG (gerbang peringkat aplikasi) ialah komponen penghala NAT yang memahami protokol aplikasi, dan apabila paket protokol ini melaluinya, ia mengubah suainya dengan cara yang pengguna di belakang NAT boleh menggunakan protokol tersebut.

Perkhidmatan ALG menyediakan sokongan untuk protokol peringkat aplikasi (seperti SIP, H.323, FTP, dll.) yang Terjemahan Alamat Rangkaian tidak dibenarkan. Perkhidmatan ini menentukan jenis aplikasi dalam paket yang datang dari antara muka rangkaian dalaman dan sewajarnya melaksanakan terjemahan alamat/port untuk mereka melalui antara muka luaran.

Teknologi SPI (Stateful Packet Inspection) atau teknologi pemeriksaan paket dengan mengambil kira keadaan protokol hari ini merupakan kaedah kawalan trafik yang termaju. Teknologi ini membolehkan anda mengawal data ke peringkat aplikasi tanpa memerlukan orang tengah atau aplikasi proksi yang berasingan untuk setiap protokol atau perkhidmatan rangkaian yang dilindungi.

Dari segi sejarah, tembok api telah berkembang daripada penapis paket tujuan umum kepada perisian tengah khusus protokol kepada pemeriksaan stateful. Teknologi terdahulu hanya saling melengkapi, tetapi tidak memberikan kawalan menyeluruh ke atas sambungan. Penapis paket tidak mempunyai akses kepada sambungan dan maklumat keadaan aplikasi yang diperlukan untuk sistem keselamatan membuat keputusan muktamad. Program perisian tengah hanya memproses data peringkat aplikasi, yang sering mencipta pelbagai peluang untuk menggodam sistem. Seni bina pemeriksaan stateful adalah unik kerana ia membolehkan anda mengendalikan semua maklumat yang mungkin melalui mesin get laluan: data daripada paket, data tentang keadaan sambungan, data yang diperlukan oleh aplikasi.

Contoh mekanismeStatefulPemeriksaan. Firewall memantau sesi FTP dengan memeriksa data pada peringkat aplikasi. Apabila pelanggan meminta pelayan untuk membuka sambungan terbalik (arahan FTP PORT), tembok api mengeluarkan nombor port daripada permintaan itu. Senarai ini menyimpan alamat klien dan pelayan serta nombor port. Apabila percubaan untuk mewujudkan sambungan data FTP dikesan, tembok api mengimbas senarai dan menyemak sama ada sambungan itu sememangnya tindak balas kepada permintaan pelanggan yang sah. Senarai sambungan dikekalkan secara dinamik supaya hanya port FTP yang diperlukan dibuka. Sebaik sahaja sesi ditutup, pelabuhan disekat, memberikan tahap keselamatan yang tinggi.

nasi. 2.12. Contoh mekanisme Pemeriksaan Stateful yang berfungsi dengan protokol FTP

Penapisan peringkat aplikasi

Untuk melindungi beberapa kelemahan yang wujud dalam penapisan paket, tembok api mesti menggunakan program aplikasi untuk menapis sambungan kepada perkhidmatan seperti Telnet, HTTP, FTP. Aplikasi sedemikian dipanggil perkhidmatan proksi, dan hos di mana perkhidmatan proksi dijalankan dipanggil gerbang peringkat aplikasi. Gerbang sedemikian menghapuskan interaksi langsung antara pelanggan yang dibenarkan dan hos luaran. Gerbang menapis semua paket masuk dan keluar pada lapisan aplikasi (lapisan aplikasi - lapisan atas model rangkaian) dan boleh menganalisis kandungan data, seperti URL yang terkandung dalam mesej HTTP atau arahan yang terkandung dalam mesej FTP. Kadangkala lebih berkesan untuk menapis paket berdasarkan maklumat yang terkandung dalam data itu sendiri. Penapis paket dan penapis peringkat pautan tidak menggunakan kandungan aliran maklumat semasa membuat keputusan penapisan, tetapi penapisan peringkat aplikasi boleh berbuat demikian. Penapis peringkat aplikasi boleh menggunakan maklumat daripada pengepala paket, serta kandungan data dan maklumat pengguna. Pentadbir boleh menggunakan penapisan peringkat aplikasi untuk mengawal akses berdasarkan identiti pengguna dan/atau berdasarkan tugas khusus yang cuba dilakukan oleh pengguna. Dalam penapis peringkat aplikasi, anda boleh menetapkan peraturan berdasarkan arahan yang dikeluarkan oleh aplikasi. Sebagai contoh, pentadbir boleh menghalang pengguna tertentu daripada memuat turun fail ke komputer tertentu menggunakan FTP, atau membenarkan pengguna mengehos fail melalui FTP pada komputer yang sama.

Kelebihan penapisan tersebut termasuk:

peraturan penapisan mudah;

kemungkinan menganjurkan sejumlah besar pemeriksaan. Perlindungan peringkat aplikasi membolehkan sejumlah besar pemeriksaan tambahan, yang mengurangkan kemungkinan penggodaman menggunakan lubang dalam perisian;

keupayaan untuk menganalisis data aplikasi.

Kelemahan:

prestasi yang agak rendah berbanding dengan penapisan paket;

proksi mesti memahami protokolnya (kemustahilan penggunaan dengan protokol yang tidak diketahui)?;

Sebagai peraturan, ia berjalan di bawah sistem pengendalian yang kompleks.

D-Link ialah pembangun dan pembekal penyelesaian perkakasan yang terkenal untuk membina rangkaian komputer dalam sebarang skala. Barisan produk juga termasuk peranti untuk melindungi rangkaian daripada ancaman luar: tembok api dan sistem pengesanan pencerobohan. Kami meminta wakil D-Link untuk memberitahu kami teknologi yang digunakan dalam penyelesaian perkakasan untuk memastikan keselamatan IT, cara penyelesaian perkakasan berbeza daripada rakan perisian mereka dan dalam kes apakah, kelas produk yang paling optimum. Sebahagian daripada temu bual itu juga ditumpukan kepada spesifik pasaran Rusia untuk penyelesaian keselamatan IT, serta arah aliran dan prospeknya. Ivan Martynyuk, perunding projek di D-Link, menjawab soalan kami.

Ivan Martynyuk, perunding projek di D-Link

Alexey Dolya: Bolehkah anda memberitahu kami sedikit tentang syarikat anda?

Ivan Martynyuk: Mengikut piawaian industri IT, D-Link adalah sebuah syarikat yang agak lama. Ia telah dianjurkan pada Mac 1986. 87 pejabat serantau syarikat menjual dan menyokong peralatan di lebih 100 negara. Syarikat itu menggaji lebih daripada tiga ribu pekerja. Jika kita bercakap tentang bidang aktiviti syarikat, D-Link adalah pengeluar terbesar peralatan rangkaian untuk segmen perniagaan kecil dan sederhana, jadi, menurut beberapa kajian sektor pengguna pasaran peralatan rangkaian yang dijalankan oleh syarikat analisis Synergy Research Group, D-Link menduduki tempat pertama di dunia dari segi jumlah jualan peralatan dalam sektor ini. Menurut Synergy Research Group, D-Link menjual lebih daripada 8 juta peranti rangkaian pada suku pertama 2004, hampir dua kali ganda bilangan peranti yang dijual oleh pesaing terdekatnya. Dan menurut anggaran IDC, D-Link menduduki tempat pertama dalam jualan suis dan peralatan tanpa wayar di negara-negara rantau Asia-Pasifik.


Alexey Dolya: Berapa lama anda telah membangunkan produk keselamatan rangkaian? Apakah produk ini?

Ivan Martynyuk: Produk khusus pertama untuk perlindungan rangkaian muncul daripada syarikat kami tidak lama dahulu - pada tahun 2002. Kemunculan syarikat yang agak lewat dalam segmen ini adalah disebabkan oleh dasar bekerja di pasaran. D-Link hanya menghasilkan produk "diwujudkan" yang dihasilkan secara besar-besaran yang mempunyai permintaan pasaran yang tinggi. Syarikat tidak berkembang Teknologi terkini dan protokol, tetapi menggunakan spesifikasi piawai yang sudah mantap dalam produknya. Satu lagi perbezaan antara syarikat kami dan syarikat lain ialah kami bukan sahaja membangunkan peranti sendiri, termasuk pembangunan beberapa litar mikro dan menulis perisian untuk mereka, tetapi juga menghasilkannya sendiri di kilang kami sendiri. Syarikat ini mempunyai beberapa pusat pembangunan dan kilang yang terletak di negara berbeza kedamaian. Produk keselamatan rangkaian direka dan dikilangkan di Taiwan. Hari ini, barisan produk ini agak luas dan termasuk: penghala dan suis dengan fungsi keselamatan rangkaian, tembok api dan sistem pengesanan pencerobohan, serta peranti khusus, seperti get laluan wayarles, yang mempunyai beberapa ciri berfungsi yang direka khusus untuk digunakan dalam rangkaian wayarles, adalah khusus kepada rangkaian tanpa wayar alat keselamatan, pengesahan pengguna dan alat pengecasan, dsb.


Alexey Dolya: Bolehkah anda memberitahu kami secara terperinci tentang kefungsian tembok api dan alat pengesan pencerobohan anda, dan apakah serangan yang mereka lindungi?

Ivan Martynyuk: Hari ini terdapat tiga generasi tembok api. Generasi pertama ialah tembok api penapisan paket. Peranti ini boleh melakukan analisis paket pada tahap rangkaian dan pengangkutan, iaitu, menganalisis alamat IP, serta sumber TCP dan UDP dan port destinasi, dan berdasarkan maklumat ini, tentukan perkara yang perlu dilakukan seterusnya dengan paket ini: benarkan ia lulus , melarang, menukar keutamaan, dsb. Peranti generasi kedua ialah tembok api perantara (Proksi). Peranti ini boleh menganalisis maklumat di semua tujuh peringkat, sehingga ke peringkat aplikasi, dan dengan itu memberikan tahap perlindungan yang sangat tinggi. Selain itu, peranti sedemikian tidak menghantar paket secara langsung ke dunia luar, tetapi bertindak sebagai ejen perantara antara aplikasi dalaman dan perkhidmatan luaran, yang, sekiranya berlaku percubaan penggodaman, membawa kepada penggodaman tembok api, dan bukan hos dalaman . Sehubungan itu, peranti sedemikian memerlukan platform perkakasan berkelajuan tinggi untuk memastikan prestasi tinggi dan mempunyai kos tertinggi. Generasi ketiga ialah tembok api Stateful Packet Inspections (SPI). Peranti ini beroperasi serupa dengan skrin penapisan paket, tetapi mereka menganalisis bilangan yang lebih besar medan dalam paket, seperti bendera dan nombor urutan paket, dan juga menyimpan maklumat tentang paket yang diluluskan sebelum ini dan, dengan itu, menyediakan tahap perlindungan yang lebih tinggi. Peranti sedemikian boleh melarang laluan paket dari satu antara muka ke antara muka yang lain jika ia bukan sebahagian daripada sesi yang telah ditetapkan dalam arah yang bertentangan, atau menamatkan sesi jika sebarang pelanggaran diperhatikan di dalamnya. Peranti ini memerlukan sumber pengkomputeran yang hampir sama seperti tembok api penapisan paket dan harganya tidak jauh berbeza, tetapi memberikan tahap perlindungan yang lebih tinggi.
Sistem pengesanan pencerobohan Sistem Pengesanan- IDS) - ini lebih banyak lagi peranti pintar, yang bukan sahaja berfungsi pada semua tujuh peringkat, tetapi juga mengandungi alat yang membolehkan anda menganalisis kandungan paket dengan lebih terperinci dan mengesan penyamaran Trojan dan virus atau aktiviti berbahaya yang lain. Untuk melakukan ini, sistem sedemikian mengandungi pangkalan data serangan dan tandatangan virus yang telah disediakan terlebih dahulu, dan juga mempunyai sistem analisis heuristik yang, dalam beberapa kes, membenarkan serangan menyekat yang tandatangannya tidak terkandung dalam pangkalan data.
Jika kita bercakap tentang peranti kami, maka bergantung pada model mereka mempunyai satu atau fungsi lain.


Alexey Dolya: Apakah teknologi dan algoritma khusus yang digunakan untuk melindungi rangkaian, iaitu, bagaimana sebenarnya tembok api anda berfungsi?

Ivan Martynyuk: Semua firewall kami: DFL-100, DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100, DFL-1500 adalah firewall pemeriksaan paket stateful (SPI), fungsi terjemahan alamat sokongan ( Terjemahan Alamat Rangkaian - NAT), yang membolehkan anda menyembunyikan struktur dalaman rangkaian, melindungi daripada serangan penafian perkhidmatan (DoS ialah kumpulan serangan berasingan yang bertujuan untuk membawa hos atau perkhidmatan tidak berfungsi), membolehkan anda mengehadkan akses tempatan pengguna kepada sumber web luaran tertentu dan alatan sokongan untuk membina rangkaian peribadi maya (Rangkaian Persendirian Maya - VPN) menggunakan protokol berikut: IPSec, PPTP dan L2TP. Selain itu, semua fungsi keselamatan di atas disokong bukan sahaja dalam peranti khusus - tembok api, tetapi juga dalam yang lebih murah - Gerbang Internet siri DI-8xx (DI-804HV, DI-808HV, DI-824VUP+). Harga runcit peranti termuda (DI-804HV) hanya $99, menjadikannya mampu milik untuk hampir setiap syarikat dan juga pengguna rumah.
Model peranti lama juga menyokong mekanisme keselamatan lain yang lebih kompleks. Contohnya, peranti: DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100 dan DFL-1500 membenarkan pengesahan pengguna menggunakan cara terbina dalam atau luaran. DFL-600, DFL-700, DFL-900, DFL-1100 dan DFL-1500 membolehkan anda mengawal lebar jalur saluran. DFL-200, DFL-700, DFL-900, DFL-1100 dan DFL-1500 mempunyai modul sistem pengesanan pencerobohan (IDS) terbina dalam dengan pangkalan data tandatangan yang dikemas kini. DFL-900 dan DFL-1500 mempunyai modul proksi terbina dalam (Proksi) untuk protokol berikut: HTTP, FTP, SMTP dan POP3, i.e. adalah tembok api perantara, dan apabila bekerja pada protokol ini ia menyediakan bukan sahaja tahap keselamatan yang lebih tinggi, tetapi juga membenarkan kawalan kandungan. Sebagai contoh, mereka membenarkan anda mengehadkan akses pengguna kepada sumber web tertentu, dan, tidak seperti model lain di mana pentadbir perlu memasukkan sumber ini secara manual, DFL-900 dan DFL-1500 mempunyai pangkalan data berkategori terbina dalam yang dikemas kini secara automatik, dan satu-satunya perkara yang diperlukan oleh pentadbir ialah memilih kategori tapak web yang dibenarkan atau dinafikan akses. Akses juga mungkin terhad berdasarkan kandungan halaman web atau sumber tertentu, yang dimasukkan oleh pentadbir secara manual. Pelaksanaan applet dan skrip Java atau ActiveX dan pemuatan Kuki mungkin disekat. hidup Protokol FTP, SMTP dan POP3 mungkin disekat daripada memuat turun jenis fail tertentu. Peranti: Sokongan DFL-1100 dan DFL-1500 ketersediaan yang tinggi, iaitu, mereka membenarkan anda memasang dua peranti secara selari dan secara automatik beralih kepada sandaran jika yang utama gagal.
Di samping itu, semua peranti berbeza antara satu sama lain dalam prestasi, bilangan antara muka, kehadiran beberapa fungsi tambahan dan, sudah tentu, kos.


Alexey Dolya: Bagaimanakah sistem pengesanan pencerobohan anda berfungsi?

Ivan Martynyuk: Sistem pengesanan pencerobohan kami (DFL-2100 dan DFL-2400) ialah Sistem Pengesan Pencerobohan berasaskan Rangkaian Telus (TNIDS) klasik. Iaitu, ini adalah peranti perkakasan khusus yang dipasang dalam jurang rangkaian dan menganalisis semua lalu lintas yang melaluinya. Analisis boleh dijalankan berdasarkan pangkalan data tandatangan, yang dikemas kini secara berkala, atau berdasarkan analisis heuristik, yang memungkinkan untuk mengesan serangan baharu yang tiada dalam senarai tandatangan. Jika serangan dikesan, sistem menulis maklumat ke fail log, boleh memberitahu pentadbir sistem, menyekat laluan paket, atau menamatkan sesi. Sistem datang dengan perisian khas - Pelayan Dasar, yang membolehkan anda melakukan pengurusan yang fleksibel sistem pengesanan pencerobohan, menerima laporan serangan, mengemas kini pangkalan data tandatangan, mencipta tandatangan anda sendiri untuk pentadbir sistem, membina pelbagai laporan dan memantau trafik dalam masa nyata. DFL-2100 dan DFL-2400 berbeza antara satu sama lain hanya dalam prestasi.


Alexey Dolya: Bolehkah anda membandingkan konsep menggunakan alatan keselamatan rangkaian perkakasan dan perisian (tembok api dan sistem pengesanan pencerobohan)? Apakah kebaikan dan keburukan kedua-dua kategori produk ini berbanding satu sama lain?

Ivan Martynyuk: Semasa pembangunan penyelesaian perisian Terdapat lebih sedikit pelbagai sekatan teknologi dan, sebagai peraturan, lebih sedikit pembangun yang terlibat dalam proses ini; oleh itu, kos unit penyelesaian sedemikian selalunya lebih rendah. Ini juga berlaku untuk tembok api. Kos tembok api perisian adalah lebih rendah berbanding dengan penyelesaian perkakasan dengan fungsi yang serupa. Pada masa yang sama, penyelesaian perisian lebih fleksibel. Lebih mudah untuk menambah fungsi tambahan kepada mereka pada masa hadapan atau membetulkan ralat yang dibuat sebelum ini. Daripada apa yang saya katakan, ternyata penyelesaian perkakasan tidak diperlukan - penyelesaian perisian lebih berfungsi dan lebih murah. Tetapi ia tidak semudah itu. Pertama, untuk pengguna akhir, penyelesaian perisian mungkin menjadi lebih mahal daripada penyelesaian perkakasan, kerana penyelesaian lengkap termasuk bukan sahaja kos perisian tembok api, tetapi juga kos sistem pengendalian di atasnya tembok api. berjalan, serta kos platform perkakasan yang prestasinya sepatutnya jauh lebih tinggi daripada dalam kes penyelesaian perkakasan. Tembok api percuma yang diedarkan secara bebas praktikalnya tidak digunakan oleh syarikat. Menurut analisis pelbagai agensi, perisian tersebut digunakan oleh kira-kira 3-5% syarikat. Peratusan rendah penggunaan terutamanya disebabkan oleh masalah dengan sokongan, yang sangat kritikal untuk kelas peralatan ini, dan dalam beberapa kes dengan kualiti perisian tersebut. Kedua, penyelesaian perisian juga mempunyai beberapa kelemahan, dan yang utama ialah ia boleh digodam atau dipintas bukan secara langsung, tetapi melalui kelemahan sistem pengendalian di mana ia berfungsi. Dan bilangan kelemahan yang terkandung dalam sistem pengendalian jauh lebih tinggi daripada perisian tembok api khusus atau analog perkakasannya. Di samping itu, kebolehpercayaan penyelesaian perisian adalah lebih rendah, kerana ia beroperasi pada platform perkakasan sejagat yang mengandungi sejumlah besar komponen (semakin sedikit komponen yang terkandung dalam sistem, semakin tinggi kebolehpercayaannya). Selain itu, beberapa komponen ini mengandungi: elemen mekanikal bergerak (pemacu keras, kipas), yang mempunyai masa kegagalan yang jauh lebih rendah daripada elektronik; unsur magnet (pemacu keras), yang mempunyai rintangan yang rendah terhadap kerosakan dan terdedah kepada radiasi elektromagnetik; sebilangan besar kumpulan kenalan, i.e. terdapat kebarangkalian tinggi masalah yang berkaitan dengan sentuhan putus. Firewall perisian memerlukan tahap kelayakan yang lebih tinggi daripada kakitangan yang mengendalikannya, kerana ia perlu untuk mengkonfigurasi dengan betul bukan sahaja skrin itu sendiri, tetapi juga sistem pengendalian, yang tidak semudah yang difikirkan oleh ramai orang. Sesetengah tembok api perisian tidak dijual tanpa menyediakan perkhidmatan berbayar untuk mengkonfigurasinya. Firewall perisian lebih mahal untuk diselenggara, kerana perlu sentiasa memantau bukan sahaja kelemahan yang dikesan dalam perisian khusus dan memasang patch, tetapi juga kelemahan sistem pengendalian, yang mana, seperti yang telah saya katakan, terdapat banyak lagi. Di samping itu, mungkin terdapat beberapa isu keserasian antara perisian, terutamanya selepas memasang tampung tambahan. Ia juga perlu sentiasa memantau keadaan komponen mekanikal dan magnetik untuk kerosakan. Bilik di mana tembok api perisian terletak mesti mempunyai peraturan yang lebih ketat untuk akses kakitangan, kerana platform perkakasan universal membenarkan sambungan kepadanya dalam pelbagai cara. Ini dan pelabuhan luar(USB, LPT, RS-232), dan pemacu terbina dalam (CD, Floppy), dan dengan membuka platform anda boleh menyambung melalui antara muka IDE atau SCSI. Di mana sistem operasi membolehkan anda memasang pelbagai program berniat jahat. Dan akhirnya, platform perkakasan sejagat mempunyai penggunaan kuasa yang tinggi, yang menjejaskan masa operasinya secara negatif daripada bekalan kuasa yang tidak terganggu sekiranya berlaku kegagalan kuasa. Perdebatan tentang penyelesaian yang mana, akhirnya perisian atau perkakasan, adalah lebih baik telah berlaku sejak sekian lama, tetapi saya ingin ambil perhatian bahawa sebarang cara teknikal hanyalah alat di tangan mereka yang mengendalikannya. Dan dalam kebanyakan kes, masalah keselamatan berlaku disebabkan oleh kekurangan perhatian atau kelayakan rendah kakitangan yang bertanggungjawab untuk ini, dan bukan pilihan platform tertentu.


Alexey Dolya: Dalam kes apakah yang anda anggap sesuai untuk menggunakan penyelesaian perkakasan untuk melindungi rangkaian, dan dalam kes apakah - perisian? Sebaik-baiknya beberapa contoh senario penggunaan produk.

Ivan Martynyuk: Penggunaan tembok api perisian adalah wajar jika perlu menggunakan beberapa fungsi yang sangat khusus yang penyelesaian perkakasan tidak mempunyai, sebagai contoh, modul perantara diperlukan untuk beberapa protokol eksotik, atau sebaliknya, adalah perlu untuk mendapatkan sangat penyelesaian yang murah, manakala syarikat atau pengguna sudah mempunyai platform perkakasan dan sistem pengendalian. Walau apa pun, anda perlu mengambil kira semua kelemahan dan kelebihan kedua-dua penyelesaian dan memilih kompromi.


Alexey Dolya: Adakah saya faham dengan betul bahawa pengguna rumah tidak memerlukan tembok api perkakasan?

Ivan Martynyuk: Saya tidak akan berkata begitu. Penggunaan langkah keselamatan tertentu tidak bergantung pada siapa pengguna: rumah atau korporat, sama ada syarikat besar atau kecil, tetapi pada kos maklumat yang perlu dilindungi, i.e. daripada kerugian yang ditanggung oleh pengguna sekiranya berlaku pelanggaran satu atau lebih fungsi perlindungan - pelanggaran kerahsiaan, integriti atau ketersediaan maklumat. Sebagai peraturan, sememangnya, semakin besar syarikat, semakin banyak maklumat yang dimilikinya yang sulit dan kerugian syarikat dalam kes ini lebih tinggi. Tetapi pengguna biasa, sebagai contoh, ketua syarikat yang sama, pada komputer rumahnya boleh mengandungi maklumat, kehilangan yang boleh menjadi sangat mahal. Oleh itu, komputernya mesti dilindungi tidak lebih buruk daripada rangkaian korporat. Pilihan cara perlindungan dan kosnya, sebagai peraturan, ditentukan oleh kos maklumat yang dilindungi. Dalam erti kata lain, tidak masuk akal untuk membelanjakan lebih banyak untuk langkah keselamatan daripada nilai maklumat itu sendiri. Masalahnya terletak di tempat lain - dalam menentukan kos maklumat. Apabila ia datang untuk melindungi maklumat milik negara, maka akta perundangan mula berkuat kuasa yang mengawal tahap perlindungan yang diperlukan.


Alexey Dolya: Berdasarkan pengalaman anda menjalankan perniagaan di Rusia, bolehkah anda mengesan kadar pertumbuhan pasaran perkakasan keselamatan rangkaian sejak beberapa tahun kebelakangan ini?

Ivan Martynyuk: Saya sudah mengatakan bahawa syarikat itu mempunyai tiga tahun pengalaman dalam segmen pasaran ini. Dan bagi kami, 2004 adalah petunjuk dalam hal ini. Jumlah jualan peranti dari segi monetari meningkat lebih daripada 170% berbanding tahun sebelumnya. Berdasarkan laporan agensi analisis, pada tahun lalu pertumbuhan yang ketara dalam segmen ini diperhatikan bukan sahaja oleh kami, tetapi juga oleh syarikat lain yang mengeluarkan peralatan tersebut. Pasaran sistem keselamatan dalam bentuk di mana ia wujud telah dibentuk sekitar tahun 1997, tetapi hanya bermula tahun lepas ia boleh dianggap besar-besaran.


Alexey Dolya: Adakah terdapat apa-apa khusus untuk menjalankan perniagaan dalam segmen Rusia pasaran perkakasan keselamatan berbanding negara lain?

Ivan Martynyuk: Ya, memang pasaran Rusia berbeza sedikit daripada pasaran dunia. Ini berkemungkinan besar disebabkan oleh keadaan ekonomi dan mentaliti negara. Pertama, struktur pasaran sistem keselamatan itu sendiri adalah berbeza. Jika pada skala global pasaran perkakasan adalah lebih daripada dua kali lebih besar daripada pasaran perisian, maka di Rusia bahagian mereka adalah lebih kurang sama. Ini disebabkan oleh masalah ekonomi tertentu dan, oleh itu, tahap pengedaran perisian cetak rompak yang tinggi. Di Rusia, hampir tidak ada pasaran untuk perkhidmatan penyumberan luar dalam bidang keselamatan, yang sangat popular di negara lain. perniagaan ini tidak dibangunkan, kerana ramai pengurus menganggap tidak selamat untuk menyumber luar penyelesaian masalah keselamatan maklumat kepada pihak ketiga, dan lebih menguntungkan dari segi ekonomi untuk menyelesaikan masalah menggunakan pakar mereka sendiri, yang tahap kelayakannya sering tidak memenuhi keperluan minimum. Apa rangkaian Rusia dilindungi dengan lebih baik, dan kami mempunyai tahap kakitangan yang lebih tinggi - ini adalah mitos yang sama dengan idea bahawa perisian percuma lebih dipercayai daripada perisian komersial. Oleh itu, cara menjalankan perniagaan di Rusia sedikit berbeza. Kita perlu memberi perhatian khusus bukan untuk bekerja dengan penyepadu sistem dan syarikat penyumberan luar, tetapi kepada pengguna akhir, pengguna produk.


Alexey Dolya: Bolehkah anda membuat ramalan untuk masa depan, bagaimana industri keselamatan maklumat akan berkembang dalam beberapa tahun akan datang?

Ivan Martynyuk: Baru-baru ini, serangan yang dilaksanakan di peringkat aplikasi, serta virus, Perisian Pengintip dan spam, telah menyebabkan lebih banyak kerosakan dan kesulitan kepada pengguna. Sehubungan itu, pembangun akan memberi lebih perhatian kepada sistem yang beroperasi pada tahap ini - ini termasuk pelbagai tembok api perantara, sistem Pengurusan Kandungan dan sistem pengesanan dan pencegahan pencerobohan. Pelbagai sistem yang diedarkan akan menjadi lebih meluas dan akan berkembang dari segi fungsi, membolehkan keputusan dibuat tentang serangan dan cara menangkisnya berdasarkan maklumat yang diterima daripada pelbagai sumber, sistem dan probe.


Alexey Dolya: Bolehkah anda mendedahkan idea pakar dari syarikat terkenal The Yankee Group bahawa pada tahun-tahun akan datang penekanan dalam membina sistem keselamatan akan bergerak dengan lancar - daripada menentang serangan penggodam "luaran" kepada melindungi daripada serangan "dari dalam"?

Ivan Martynyuk: Jika anda melihat laporan pelbagai agensi analisis, anda akan melihat satu paradoks. Di satu pihak, terdapat lebih banyak syarikat yang menggunakan langkah keselamatan yang memastikan keselamatan di sepanjang perimeter rangkaian berbanding yang melindungi diri mereka daripada serangan dari dalam, dan sebaliknya, kerugian syarikat daripada serangan "dalaman" yang dilaksanakan adalah lebih tinggi. daripada yang "luaran". . Pakar dalam bidang ini sememangnya berharap suatu hari nanti kakitangan keselamatan syarikat akan sedar dan memberi perhatian yang sama terhadap ancaman dalaman berbanding ancaman luaran.


Alexey Dolya: Apakah jenis sokongan teknikal yang anda berikan kepada pelanggan produk anda? Berdasarkan maklumat yang diberikan di tapak web anda, D-Link menyediakan perkhidmatan tambahan, Soalan Lazim, Pangkalan Pengetahuan, PEMBANTU dan banyak lagi. Adakah mungkin untuk menjadi lebih spesifik?

Ivan Martynyuk: Walaupun D-Link mengkhususkan diri dalam pengeluaran peralatan untuk segmen perniagaan kecil dan sederhana, senjata kami termasuk produk yang sangat berfungsi dan kompleks, yang tidak mudah untuk dikuasai walaupun pakar yang berkelayakan tinggi. Jika anda pergi ke laman web kami, anda akan melihat bahawa syarikat itu mempunyai bilangan pejabat serantau yang sangat besar yang menyediakan sokongan tempatan. Lebih dekat anda dengan seseorang, lebih baik anda memahaminya dan akan dapat menawarkan penyelesaian teknikal yang lebih baik atau menyelesaikan masalahnya dengan lebih cepat. Dalam kes ini, lebih mudah bagi seseorang untuk menghubungi anda atau memandu, atau anda sendiri boleh memandu ke pengguna dan menyelesaikan masalah di tempat kejadian. Syarikat itu juga mengekalkan tapak web berbahasa Rusia yang boleh anda temui maklumat terperinci tentang produk, ketahui di mana ia boleh dibeli, baca berita. Salah satu bahagian terbesar tapak ialah bahagian sokongan teknikal, yang mengandungi jawapan kepada soalan lazim (FAQ), pangkalan pengetahuan ( Asas pengetahuan), yang mempunyai jawapan kepada banyak isu teknikal, Pembantu, yang berguna untuk pengguna baru apabila membina rangkaian, emulator antara muka peranti, forum di mana anda boleh membincangkan pelbagai aspek teknikal menggunakan peralatan, kedua-duanya dengan pengguna lain dan pekerja D-Link, serta banyak lagi yang berguna informasi teknikal. Selain tapak web, tapak FTP juga disokong, dari mana anda boleh memuat turun manual lengkap pengguna untuk peranti, kebanyakannya diterjemahkan ke dalam bahasa Rusia, serta perisian tegar, pemacu dan perisian lain, dan dokumentasi untuk peralatan.


Alexey Dolya: Selain sokongan teknikal, adakah anda menyediakan latihan? Seminar, kursus?

Ivan Martynyuk: Semua pejabat wilayah kami kerap menganjurkan seminar teknikal percuma yang membolehkan anda berinteraksi secara interaktif dengan pengguna dan menyampaikan kepada mereka maklumat yang tidak boleh diberikan melalui media atau tapak web. Meningkatkan tahap teknikal pakar IT akibatnya mempunyai kesan positif pada tahap penyelesaian teknikal yang mereka laksanakan dan volum jualan peralatan kami. Seminar ini terdiri daripada dua bahagian: teori, yang membincangkan tentang prinsip membina rangkaian, protokol rangkaian, teknologi dan produk kami, dan praktikal, yang menunjukkan cara mengkonfigurasi produk ini untuk tugas tertentu.


Alexey Dolya: Sebarang perkataan terakhir untuk diucapkan kepada pembaca kami?

Ivan Martynyuk: Saya ingin ambil perhatian bahawa tembok api dan sistem pengesanan pencerobohan adalah perlu, tetapi bukan cara yang mencukupi untuk melindungi maklumat. Isu ini perlu didekati secara besar-besaran dan kononnya " Sistem bersepadu perlindungan maklumat", yang merupakan kompleks langkah-langkah organisasi, undang-undang dan teknikal. Penyelesaian masalah keselamatan maklumat sentiasa bermula dengan analisis maklumat yang beredar dalam perusahaan, klasifikasi dan penentuan nilainya, kemudian mengenal pasti banyak ancaman yang berpotensi, kebanyakannya mungkin bersifat semula jadi , contohnya, kegagalan peralatan, bencana alam, kesilapan kakitangan, dsb., dan hanya selepas itu pilih model yang diperlukan dan peralatan perlindungan. Di samping itu, walaupun sistem keselamatan yang direka dan dibina dengan betul tidak akan sentiasa melindungi rangkaian anda dengan berkesan, kerana struktur logik dan fizikalnya sentiasa berubah, struktur organisasi perusahaan sentiasa berubah, dan jenis ancaman baharu muncul. Sistem perlindungan sentiasa perlu dianalisis dan disesuaikan dengan keadaan yang berubah-ubah. Keselamatan adalah satu proses.


Alexey Dolya: Terima kasih banyak kerana sudi menjawab soalan kami. Kami akan terus mengikuti kejayaan syarikat anda dan produknya!

Mengapa anda memerlukan tembok api dalam penghala?

Rangkaian wayarles memerlukan perlindungan yang teliti, kerana peluang yang paling baik untuk memintas maklumat dicipta di sini. Oleh itu, jika beberapa komputer disambungkan ke rangkaian menggunakan penghala, tembok api mesti dipasang dan digunakan bukan sahaja pada setiap komputer, tetapi juga pada penghala. Sebagai contoh, fungsi tembok api dalam penghala siri DI-XXX dilakukan oleh SPI, yang menyediakan cek tambahan pakej. Subjek semakan adalah sama ada paket itu tergolong dalam sambungan yang telah ditetapkan.

Semasa sesi penyambungan, port terbuka, yang boleh diserang oleh paket luar; saat yang sangat baik untuk ini ialah apabila sesi selesai dan port kekal terbuka selama beberapa minit. Oleh itu, SPI mengingati keadaan sesi semasa dan menganalisis semua paket masuk. Mereka mesti sesuai dengan apa yang diharapkan - datang dari alamat yang permintaan itu dihantar, ada nombor tertentu. Jika paket tidak sepadan dengan sesi, iaitu, ia tidak betul, ia disekat dan peristiwa ini direkodkan dalam log. Firewall pada penghala juga membolehkan anda menyekat sambungan keluar dari komputer yang dijangkiti.

Firewall - menyekat trafik daripada sumber yang tidak dibenarkan - ialah salah satu teknologi keselamatan rangkaian tertua, tetapi pengeluar persekitaran yang berkaitan terus membangunkan pendekatan baharu yang membantu mengatasi dengan lebih berkesan ancaman moden dalam perubahan persekitaran rangkaian dan melindungi sumber IT korporat. Firewall generasi seterusnya membolehkan anda membuat dan menguatkuasakan dasar menggunakan julat data kontekstual yang lebih luas.

Evolusi firewall (FW) telah berjalan jauh. Ia pertama kali dibangunkan kembali pada akhir 80-an oleh DEC dan beroperasi terutamanya pada empat lapisan pertama model OSI, memintas trafik dan menganalisis paket untuk pematuhan peraturan tertentu. Check Point kemudiannya menghasilkan tembok api cip khusus aplikasi (ASIC) untuk analisis pengepala paket dalam. Sistem lanjutan ini boleh mengekalkan jadual sambungan aktif dan mendayakannya dalam peraturan Pemeriksaan Paket Stateful (SPI). Teknologi SPI membolehkan anda mengesahkan alamat IP sumber dan destinasi serta memantau port.

Satu langkah besar ke hadapan ialah penciptaan FW yang beroperasi di peringkat aplikasi. Produk pertama sedemikian dikeluarkan oleh syarikat SEAL pada tahun 1991, dan dua tahun kemudian sumber terbuka Penyelesaian firewall Toolkit (FWTK) daripada Sistem Maklumat Dipercayai. Firewall ini memeriksa paket di semua tujuh lapisan, yang membenarkan penggunaan maklumat lanjutan dalam set peraturan (dasar) - bukan sahaja mengenai sambungan dan keadaannya, tetapi juga mengenai operasi menggunakan protokol aplikasi tertentu. Menjelang pertengahan 90-an, tembok api memperoleh keupayaan untuk memantau protokol peringkat aplikasi yang popular: FTP, Gopher, SMTP dan Telnet. Produk lanjutan ini (menyedari aplikasi) dipanggil tembok api generasi akan datang (NGFW).

TIS telah mengeluarkan versi komersial FWTK - Gauntlet Firewall. Dengan pengesahan pengguna, penapisan URL, anti-perisian hasad dan keupayaan keselamatan peringkat aplikasi, produk ini dianggap sebagai tembok api "generasi seterusnya" pertama. Oleh itu, secara rasmi produk NGFW sudah berusia lebih daripada 15 tahun, walaupun hari ini istilah ini mempunyai makna yang berbeza.

PERUBAHAN GENERASI

Penganalisis Frost & Sullivan membezakan empat generasi tembok api. Yang pertama (1985–1990) ialah produk DEC; kedua (1996–2002) - kemunculan produk SPI (Check Point) dan berfungsi di peringkat aplikasi (Gauntlet), penyepaduan fungsi IPsec VPN, penggunaan ASIC pembangunan sendiri untuk meningkatkan produktiviti (Lucent, NetScreen); ketiga (2003–2006) - penggunaan fungsi Pemeriksaan Paket Dalam dan penyatuan fungsi perlindungan (Fortinet); generasi keempat (dari 2007 hingga sekarang) - memastikan keselamatan trafik berdasarkan pengenalpastian aplikasi dan pengguna (Palo Alto) dan pengenalan teknologi baharu oleh vendor besar.

Oleh itu, asal usul istilah NGFW dalam erti kata modennya dikaitkan dengan Rangkaian Palo Alto. Ia menamakan produknya sebagai "tembok api generasi akan datang" yang membenarkan kawalan akses yang ketat pengguna individu kepada aplikasi dan Internet. Pada asasnya, NGFW menggabungkan beberapa fungsi - gerbang keselamatan FW, IPS dan Web - ke dalam satu platform. Pelanggan mendapat peluang untuk mengawal "masuk" dan "keluar" rangkaian. Dalam NGFW, dasar ditetapkan setiap aplikasi, bukan hanya setiap port dan alamat IP.

Berbanding dengan tembok api daripada Cisco, Check Point Software Technologies dan Juniper Networks, produk Palo Alto Networks menyediakan pemantauan yang lebih mudah dan perlindungan yang lebih kukuh untuk trafik menggunakan rangkaian sosial, Google Gmail atau Skype. Populariti aplikasi Web yang semakin meningkat telah banyak menyumbang kepada perkembangan perniagaan vendor ini, yang memasuki pasaran pada tahun 2005. Forrester Research memanggil produk utamanya sebagai revolusioner.

Hari ini, pasaran firewall (lihat Rajah 1 dan 2) atau firewall meliputi pelbagai segmen: SOHO, SMB, perusahaan dan produk ISP. Fungsi NGFW baharu membantu melindungi rangkaian korporat apabila teknologi baharu dan model pengkomputeran (pengkomputeran awan dan mudah alih) diperkenalkan. Peluasan kefungsian membawa kepada penciptaan platform bersatu (Unified Pengurusan Ancaman, UTM), yang digunakan secara meluas pada masa kini.

Walaupun sempadan rangkaian semakin kabur, melindungi perimeter dengan FW kekal sebagai faktor penting dan elemen yang diperlukan sistem pelbagai peringkat keselamatan. Kemunculan peranti mudah alih dan kemunculan konsep BYOD mempunyai kesan yang kuat terhadap keselamatan, tetapi ini meningkatkan kepentingan perimeter rangkaian, kerana hanya dalam sempadannya data boleh menjadi agak selamat, kata Dmitry Kurashev, pengarah Entensys.

"Jika kita bercakap tentang fungsi moden dan popular, tembok api digunakan terutamanya sebagai tembok api klasik," kata Dmitry Ushakov, ketua jabatan untuk penyediaan dan pelaksanaan penyelesaian teknikal di Stonesoft Russia. - Sudah tentu, keupayaan mereka sudah berbeza daripada yang digunakan pada tahun 80-an dan 90-an, contohnya penapisan kontekstual stateful dan penghuraian aplikasi (keupayaan untuk menjejaki sambungan yang berkaitan). Tetapi dalam amalan, ia adalah terutamanya fungsi klasik yang dalam permintaan.

Menurut penganalisis di Frost & Sullivan, Walaupun tembok api tradisional kekal sebagai alat keselamatan asas, ia tidak berkesan untuk melindungi daripada serangan rangkaian yang canggih. Perkembangan teknologi dan aplikasi membawa kepada pembukaan semakin banyak kelemahan untuk penyerang, dan pelaksanaan praktikal sistem keselamatan menjadi lebih kompleks. Untuk memerangi ancaman yang semakin berkembang, pengeluar mesti mempercepatkan pembangunan kaedah baharu untuk mengesan dan mencegah serangan serta menyekat yang tidak diingini. trafik rangkaian. Menurut pakar Gartner, pasaran firewall telah memasuki tempoh "evolusi dinamik" dan kadar pertumbuhan yang tinggi akan berterusan pada tahun-tahun akan datang (lihat Rajah 3).

Rajah 3. Ramalan pertumbuhan pasaran firewall global daripada Frost & Sullivan.

"GENERASI BARU" HARI INI

Teknologi teras NGFW kekal sebagai kawalan peringkat aplikasi berbutir dan boleh dikonfigurasikan, tetapi "sokongan aplikasi" dalam tembok api hari ini jauh berbeza daripada yang ditawarkan 20 tahun lalu. Teknologi firewall telah berkembang dengan ketara untuk memasukkan penyelesaian khusus yang melaksanakan analisis trafik yang mendalam dan pengenalpastian aplikasi. Produk ini lebih pantas dan menyokong set peraturan yang lebih kompleks daripada yang terdahulu.

Penganalisis Gartner menyatakan bahawa dalam dua hingga tiga tahun kebelakangan ini, terdapat permintaan yang semakin meningkat untuk platform NGFW yang mampu mengenal pasti dan menyekat serangan canggih, menetapkan (dengan tahap perincian tinggi) dasar keselamatan pada peringkat aplikasi, dan bukan hanya port dan protokol. Kefungsian dan prestasi tembok api mesti memenuhi permintaan interaksi aplikasi yang lebih kompleks, dan peranti itu sendiri mesti mempunyai daya pemprosesan yang tinggi dan menyokong virtualisasi. Pilihan penyelesaian ditentukan oleh faktor seperti kos, kemudahan pengurusan, kemudahan dan kelajuan penggunaan. Sudah tentu, senarai itu tidak berakhir di sana.

“Apabila membandingkan atau membangunkan metodologi untuk memilih tembok api, penganalisis beroperasi dengan beberapa dozen (kadang-kadang sehingga satu setengah ratus) kriteria yang perlu diambil kira semasa memilih penyelesaian. Setiap pelanggan menetapkan keutamaan dengan caranya sendiri - tidak ada dan tidak boleh menjadi resipi atau senario universal,” menekankan Alexey Lukatsky, pakar Cisco dalam bidang keselamatan rangkaian.

Ancaman baharu dan teknologi Web 2.0 memaksa vendor mengemas kini tawaran mereka - tembok api sedang berkembang. Ia dilengkapi dengan fungsi analisis trafik yang mendalam dan menyediakan tetapan dasar yang fleksibel, dan prestasinya meningkat selaras dengan pertumbuhan daya pemprosesan rangkaian. NGFW mampu memantau trafik rangkaian di peringkat aplikasi dan pengguna serta menyekat ancaman secara aktif. Mereka boleh memasukkan pelbagai ciri keselamatan tambahan dan menyokong ciri rangkaian lanjutan.

Perusahaan besar dan penyedia perkhidmatan memerlukan penyelesaian berprestasi tinggi. Sistem terkini dibina di atas platform perkakasan yang berkuasa, dan alat dan fungsi keselamatan yang berbeza sebelum ini digunakan sebagai komponen bersepadu - IPS, analisis paket mendalam, pengesahan pengguna dan banyak lagi. Walau bagaimanapun, tembok api gred perusahaan dicirikan bukan oleh set fungsi tertentu, tetapi oleh kebolehskalaan, kebolehurusan dan kebolehpercayaan yang memenuhi keperluan syarikat besar.

Firewall daripada vendor terkemuka, termasuk Check Point Software Technologies, Cisco Systems, Fortinet, Juniper Networks dan Palo Alto Networks, menyediakan butiran terperinci analisis konteks trafik di peringkat aplikasi. Tetapi ini bukan satu-satunya harta NGFW. Sebagai contoh, Gartner lebih daripada tiga tahun yang lalu mencadangkan definisi sendiri, menonjolkan hubungan antara IPS dan NGFW. Penganalisis lain percaya ciri penting Fungsi NGFW UTM. Palo Alto dan Juniper berpegang pada terminologi mereka sendiri. Walau bagaimanapun, intinya bukan dalam bahasa, tetapi dalam fungsi NGFW yang boleh dimanfaatkan oleh organisasi untuk melindungi rangkaian mereka.

Menurut Alexey Lukatsky, Cisco melihat isu ini sedikit lebih luas daripada kebiasaan di syarikat lain: “Kami tidak menggunakan konsep NGFW, menggantikannya dengan Context-Aware FW, iaitu firewall yang mengambil kira konteks . Konteks difahami bukan sahaja sebagai jawapan kepada soalan "APA yang mungkin?" (iaitu, analisis trafik di peringkat rangkaian dan aplikasi), tetapi juga menjawab soalan "BILA mungkin?" (menghubungkan percubaan akses ke masa), "DI MANA dan DARI?" (lokasi sumber dan peralatan dari mana permintaan dihantar), "SIAPA saya boleh?" (mengikat bukan sahaja pada alamat IP, tetapi juga pada akaun pengguna), "BAGAIMANAKAH mungkin?" (daripada mana akses peranti dibenarkan - peribadi atau korporat, desktop atau mudah alih). Semua ini membolehkan anda membina dasar akses dengan lebih fleksibel dan mengambil kira keperluan perusahaan moden yang sentiasa berubah dari sudut keselamatan maklumat.”

NGFW ialah peranti yang mengembangkan fungsi tembok api tradisional dari segi perkhidmatan tambahan untuk pemeriksaan dan kawalan pengguna dan aplikasi, kata Dmitry Ushakov. "Oleh itu, tembok api generasi akan datang, pada umumnya, FW, IPS dan sistem untuk memantau tingkah laku pengguna dan aplikasi," tegasnya. "Dan dalam pengertian ini, Stonesoft StoneGate FW telah melaksanakan fungsi NGFW selama beberapa tahun sekarang."

Firewall melakukan lebih daripada sekadar menapis trafik masuk. Sesetengah NGFW boleh mengesan aktiviti anomali dalam trafik keluar juga., sebagai contoh, interaksi melalui port 80 dengan tapak yang tidak dibenarkan atau trafik yang sepadan dengan salah satu tandatangan. Ini membantu mengenal pasti dan menyekat komunikasi keluar, termasuk yang dimulakan oleh perisian hasad. “Lebih banyak lagi keupayaan yang sebelum ini dilaksanakan pada firewall khusus sedang digabungkan menjadi satu pakej perkakasan dan perisian. Kami membayangkan NGFW sebagai gabungan kualiti perisai standard, kawalan aplikasi dan pencegahan pencerobohan,” kata Brendan Patterson, pengurus kanan pengurusan produk di WatchGuard Technologies.

NGFW membolehkan anda mencipta dasar keselamatan maklumat berdasarkan pelbagai data kontekstual, memberikan tahap perlindungan, kebolehurusan dan kebolehskalaan yang lebih tinggi. Trafik dari perkhidmatan Internet (dari e-mel ke penstriman video dan rangkaian sosial) melalui pelayar melalui bilangan terhad port, dan NGFW mesti boleh menganalisis sesi (pada tahap perincian yang berbeza-beza) untuk membuat keputusan bergantung pada konteks. Satu lagi ciri NGFW ialah sokongan untuk pengenalan pengguna (yang boleh digunakan semasa membuat peraturan), dan untuk ini firewall boleh sama ada menggunakan maklumatnya sendiri atau mengakses Active Directory. Keupayaan untuk mengenali dan menganalisis trafik aplikasi individu menjadi sangat penting dengan peningkatan aplikasi Web, yang kebanyakan tembok api SPI hanya boleh mengenal pasti sebagai trafik HTTP pada port 80.

Membeli NGFW dengan niat untuk menggunakan hanya fungsi penapisan trafik mengikut port adalah tidak praktikal, tetapi bukan semua orang memerlukan fungsi kawalan aplikasi berbutir. Di samping itu, perlu dipertimbangkan sama ada organisasi mempunyai sumber yang layak untuk mengkonfigurasi dan mengekalkan set peraturan NGFW yang kompleks. Kita tidak boleh lupa tentang kelajuan. Adalah lebih baik untuk mengkonfigurasi dan menguji NGFW dalam persekitaran kerja. Kapasiti dan kemudahan pengurusan kekal sebagai kriteria utama untuk menilai tembok api. Segmen yang berasingan ialah produk pengurusan dasar (Pengurusan Dasar Firewall, FPM). Gartner mengesyorkan menggunakannya apabila kerumitan persekitaran IT anda melebihi keupayaan konsol pengurusan FW.

Penganalisis Gartner percaya bahawa tembok api SPI tradisional sudah ada teknologi ketinggalan zaman, tidak dapat melindungi daripada banyak ancaman, dan banyak organisasi kini menggunakan NGFW. Gartner meramalkan bahawa dalam tiga tahun, 38% daripada perusahaan akan menggunakan NGFW, meningkat daripada hanya 10% pada 2011. Pada masa yang sama, bilangan pelanggan yang menggunakan penyelesaian gabungan (FW+IPS) akan berkurangan daripada 60 kepada 45%, dan bilangan syarikat yang menggunakan tembok api secara eksklusif akan berkurangan daripada 25 kepada 10%. Di Rusia, nampaknya, hasilnya akan berbeza.

"Seperti yang ditunjukkan oleh amalan, tembok api tradisional masih merupakan kejayaan besar," ingat Dmitry Ushakov. - Ini disebabkan terutamanya oleh kawalan terhad ke atas pelaksanaan perkhidmatan keselamatan oleh pihak berkuasa kawal selia dan, malangnya, untuk memastikan perlindungan IT pada asas baki - lebih murah dan minimum. Sedikit orang berfikir tentang ancaman dan akibatnya. Oleh itu, sudah tentu terdapat tempat untuk skrin tradisional, tetapi ia akan dilengkapi dengan fungsi baharu. Sebagai contoh, peranti yang, sebagai tambahan kepada FW tradisional, juga mempunyai alat untuk analisis mendalam aliran kerja internet, semakin mendapat permintaan.”

Sementara itu, apabila menyelesaikan masalah kompleks baharu, pemaju kadangkala terpaksa membuat kompromi. Makmal NSS membuat kesimpulan bahawa ciri NGFW baharu, seperti kawalan peringkat aplikasi yang terperinci, sering mengurangkan prestasi dan keberkesanan keselamatan berbanding gabungan tembok api tradisional dan IPS. Hanya separuh daripada sistem yang diuji mempunyai kecekapan perlindungan melebihi 90%.

Kajian NSS juga mendapati bahawa IPS jarang dikonfigurasikan pada sistem NGFW; dasar lalai vendor biasanya digunakan selepas penggunaan. Ini memberi kesan negatif terhadap keselamatan. Dan daya pengeluaran tidak memenuhi yang diisytiharkan: daripada lapan produk, lima lebih rendah. Selain itu, semua NGFW yang diuji mempunyai sambungan maksimum yang tidak dalam spesifikasi. Penguji makmal NSS membuat kesimpulan bahawa NGFW akan bersedia untuk digunakan dalam persekitaran korporat hanya selepas meningkatkan produktiviti, dan secara amnya teknologi NGFW perlu dipertingkatkan - sistem mesti menyediakan operasi yang lebih stabil dan tahap keselamatan yang tinggi.

Pada masa yang sama, kebanyakan vendor berjaya membangunkan perniagaan mereka. Sebagai contoh, IDC menyatakan Check Point sebagai vendor firewall/UTM terkemuka: pada suku kedua tahun lepas, veteran pasaran firewall ini adalah peneraju dalam segmen ini dari segi jualan, mengatasi vendor peralatan rangkaian terbesar. Bahagian Check Point dalam pasaran FW/UTM global melebihi 20%, dan di Eropah Barat ia menghampiri 30%.

Garisan Check Point merangkumi tujuh model peranti keselamatan dengan seni bina "bilah perisian" (lihat Rajah 4): model dari 2200 hingga 61000 (yang terakhir ialah tembok api terpantas yang tersedia hari ini). Perkakas berprestasi tinggi Check Point menyepadukan firewall, VPN, pencegahan pencerobohan, aplikasi dan kawalan akses mudah alih, pencegahan kehilangan data, sokongan identiti, penapisan URL, fungsi anti-spam, anti-virus dan anti-bot.

Dalam Magic Quadrant, penganalisis Gartner meletakkan Check Point dan Palo Alto Networks sebagai peneraju pasaran dalam pasaran firewall, manakala Fortinet, Cisco, Juniper Networks dan Intel (McAfee) dinamakan pesaing. Sebanyak tujuh vendor ternyata menjadi "pemain khusus", dan tidak satu syarikat pun jatuh ke dalam sektor "berwawasan". Walau bagaimanapun, ini tidak menghalang pelanggan daripada memberi keutamaan kepada produk Cisco (lihat Rajah 5).

Pasaran terus bergerak ke arah sistem NGFW yang boleh mengesan dan menyekat pelbagai serangan canggih dan menguatkuasakan dasar peringkat aplikasi. Pada tahun 2012, pemain pasaran yang mantap berusaha untuk menambah baik penyelesaian NGFW mereka supaya mereka tidak kalah dalam keupayaan mereka berbanding produk pendatang baharu industri, dan pembangun sistem yang inovatif menambah kawalan mereka, membawa mereka ke tahap jenama yang mantap.

PEMACU PERTUMBUHAN DAN PERKEMBANGAN BARU

Walaupun pasaran firewall global adalah tepu, ia jauh daripada stagnan. Hampir semua vendor utama telah memperkenalkan produk generasi baharu dengan ciri tambahan. Pemacu pertumbuhan pasaran firewall - mobiliti, virtualisasi dan pengkomputeran awan- merangsang permintaan untuk alatan baharu yang ditawarkan oleh NGFW. Penganalisis Gartner mendapati permintaan yang semakin meningkat untuk versi perisian tembok api yang digunakan dalam pusat data maya (lihat Rajah 6). Pada tahun 2012 bahagian pilihan maya NGFW tidak melebihi 2% tetapi, menurut ramalan Gartner, menjelang 2016 ia akan meningkat kepada 20%. Versi maya firewall dan penyelesaian perlindungan kandungan sangat sesuai untuk penggunaan dalam persekitaran awan.

Rajah 6. Menurut Penyelidikan Infonetik, kos syarikat Amerika Utara untuk memastikan keselamatan maklumat untuk pusat data meningkat secara mendadak tahun lepas.

Untuk pejabat terpencil dan SMB, tembok api awan yang dipasang oleh pembekal perkhidmatan selalunya merupakan penyelesaian yang menarik. Menurut beberapa pakar, dengan pembangunan akses mudah alih dan seni bina awan, seni bina keselamatan juga perlu diubah: bukannya NGFW, syarikat akan lebih kerap menggunakan gerbang Web di bawah kawalan pembekal, dan organisasi besar akan memisahkan fungsi Gerbang web dan tembok api untuk meningkatkan prestasi dan kebolehurusan, walaupun sesetengah produk NGFW mampu melaksanakan fungsi gerbang Web asas.

Dmitry Kurashev percaya bahawa adalah lebih baik untuk mewakilkan semua fungsi pemprosesan trafik kepada pintu masuk yang terletak di dalam syarikat: "Adalah lebih tepat untuk menggunakan perkhidmatan awan untuk pentadbiran dan pemantauan aplikasi pelayan, serta untuk mengumpul statistik dan analisis.” "Tembok api harus dipasang secara lalai di penyedia awan dan di sisi pelanggan perkhidmatan awan," tambah Alexey Lukatsky. “Lagipun, di antara mereka terdapat persekitaran yang tidak dilindungi, yang boleh menjadi batu loncatan untuk penembusan ke dalam rangkaian korporat atau awan perisian hasad atau untuk serangan oleh penceroboh. Oleh itu, langkah keselamatan rangkaian masih diperlukan.”

Contoh tipikal perkhidmatan keselamatan terurus ialah set perkhidmatan yang diumumkan baru-baru ini di Rusia untuk melindungi rangkaian pelanggan daripada ancaman rangkaian utama, yang ditawarkan oleh Orange Business Services. Perkhidmatan Pertahanan Bersatu membolehkan anda menyediakan perlindungan anti-virus terpusat untuk semua peranti pada rangkaian, melindungi korporat peti mel daripada spam dan menapis trafik Internet, jika perlu, mengehadkan akses pekerja kepada tertentu sumber rangkaian pada tahap perkakasan. Di samping itu, sistem keselamatan termasuk tembok api, serta alat pengesanan dan pencegahan pencerobohan.

Pertahanan Bersatu adalah berdasarkan peranti padat UTM dengan fungsi NGFW daripada Fortinet, yang dipasang pada rangkaian pelanggan dan disokong oleh pakar Orange. Produk ini ditawarkan dalam dua versi - untuk rangkaian yang menyokong sehingga 200 pengguna dan kelajuan saluran Internet tidak melebihi 20 Mbit/s (peralatan FortiGate 80C), serta untuk rangkaian yang direka untuk 1000 pengguna dan saluran 100 Mbit/ s (peralatan FortiGate 200B) (lihat Rajah 7). Pada masa ini, perkhidmatan itu tersedia untuk pelanggan Orange; pada masa hadapan, ia dirancang untuk menyediakan perkhidmatan dalam rangkaian pembekal pihak ketiga.

Pertahanan Bersatu yang dikuasakan oleh perkakasan Fortinet membolehkan syarikat yang mempunyai belanjawan IT terhad untuk memanfaatkan teknologi keselamatan baharu. Salah satu fungsi portal pelanggan ialah akses kepada laporan tetap mengenai operasi sistem, termasuk maklumat mengenai ancaman yang dinetralkan.

Analisis trafik mendalam membolehkan anda mengenal pasti aplikasi yang bertukar-tukar data melalui rangkaian. Memandangkan trend moden dalam memindahkan aplikasi ke awan dan membangunkan perkhidmatan SaaS, hanya mungkin untuk memastikan bahawa hanya data yang berkaitan mencapai rangkaian korporat dengan tahap perincian yang lebih tinggi. Setiap vendor menggunakan pendekatan tersendiri apabila mencipta NGFW. Ramai orang memilih kaedah tandatangan.

Contohnya, Astaro (sebahagian daripada Sophos sejak 2011) menggunakan pangkalan data tandatangan aplikasi rakan kongsi Vineyard Networks. Terima kasih kepada ini, Astaro Security Gateway boleh membezakan antara aplikasi berbeza yang berjalan pada tapak Web yang sama, menggunakan dasar QoS, keutamaan trafik dan memperuntukkan lebar jalur kepada mereka. Versi baharu Astaro Security Gateway telah menambah baik antara muka pentadbiran: menggunakan peta rangkaian, anda boleh menetapkan peraturan dalam masa nyata dan bertindak balas dengan pantas kepada ancaman baharu. Dalam versi dinding api Astaro yang akan datang adalah mungkin untuk memindahkan paket kepada pakar jenis yang tidak diketahui untuk analisis mereka seterusnya.

Tahun lepas, Check Point mengemas kini barisan produknya sebanyak 90%. Model yang dibentangkan dioptimumkan untuk seni bina bilah perisian Check Point dan, menurut pembangun, mempunyai prestasi kira-kira tiga kali lebih tinggi berbanding generasi sebelumnya. Modul Pecutan Keselamatan baharu, berdasarkan teknologi SecurityCore, boleh meningkatkan prestasi tembok api dengan ketara dengan mempercepatkan operasi utama. Menurut Check Point, daya pemprosesannya mencapai 110 Gbps dan kependaman kurang daripada 5 mikrosaat. Menurut syarikat itu, ini adalah tembok api industri yang paling berkuasa dalam faktor bentuk 2U.

Pustaka AppWiki yang dicipta oleh Check Point membolehkan anda mengenal pasti lebih daripada 5 ribu aplikasi dan 100 ribu widget. Tandatangan ini digunakan oleh bilah perisian Kawalan Aplikasi Check Point dan Kesedaran Identiti. Selain itu, perisian ini disepadukan dengan Active Directory untuk mengenal pasti peranti klien dan pengguna akhir, dan pentadbir boleh memperhalusi dasar keselamatan. Pekerja dilatih dalam masa nyata: apabila seseorang melanggar dasar keselamatan, aplikasi ejen klien Check Point UserCheck memaparkan tetingkap pop timbul yang menerangkan pelanggaran dan meminta pengesahan tindakan. Keupayaan untuk menghantar permintaan kepada pentadbir memudahkan proses menyesuaikan dasar keselamatan untuk memenuhi keperluan pengguna.

Keluaran perisian R74.40, direka untuk produk keselamatan rangkaian Check Point utama, termasuk lebih daripada 100 ciri baharu, termasuk Anti-Bot Software Blade dan versi dikemas kini Anti-Virus dengan Check Point ThreatCloud: Perkhidmatan berasaskan awan ini mengumpul risikan ancaman dan menyediakan perlindungan gerbang keselamatan masa nyata. Penyelesaian baharu untuk pusat data dan peribadi awan Semak Sistem Maya Titik membolehkan anda menggabungkan sehingga 250 sistem maya pada satu peranti.

Cisco tahun lepas mengeluarkan penyelesaian NGFWnya sendiri - generasi baharu Adaptive Security Appliance (ASA), yang merupakan tindak balas kepada teknologi yang dibangunkan oleh Palo Alto Networks. ASA CX ialah tembok api yang menyedari konteks, iaitu, ia mengiktiraf bukan sahaja alamat IP, tetapi aplikasi, pengguna dan peranti, dan oleh itu membolehkan anda memantau cara pekerja menggunakan aplikasi tertentu pada peralatan yang berbeza dan memastikan pematuhan dengan peraturan yang berkaitan.

Beroperasi pada semua model Cisco ASA 5500-X (dari 5512-X hingga 5585-X), Cisco ASA CX menyediakan peraturan yang mengikat akaun pengguna dalam Active Directory, mengawal lebih daripada 1100 aplikasi (Facebook, LinkedIn, Skype, BitTorrent, iCloud , Dropbox, Google Drive, MS Windows Azure, Salesforce CRM, Oracle e-Business Suite, MS Lync, Tor, dll.), penjejakan masa dan menghantar permintaan akses, serta menyelesaikan banyak masalah lain. Di mana Cisco ASA CX bukan hanya platform berbilang gigabit yang berdiri sendiri, tetapi terintegrasi rapat dengan penyelesaian keselamatan Cisco yang lain- Sistem pencegahan pencerobohan Cisco IPS, sistem kebenaran dan kawalan capaian rangkaian Cisco ISE, Cisco Web Security, dsb.

Seperti yang ditekankan oleh Alexey Lukatsky, tembok api sedemikian juga mengambil kira sifat "kabur" perimeter rangkaian. Sebagai contoh, terima kasih kepada penyepaduan dengan Cisco ISE dan semua infrastruktur rangkaian Cisco, ia dapat mengenali bahawa trafik datang daripada iPad peribadi pekerja, dan kemudian, bergantung pada dasar keselamatan, ia akan menyekatnya secara dinamik atau membenarkan akses hanya kepada sumber dalaman tertentu. Jika akses ini dijalankan daripada peranti mudah alih korporat, keistimewaannya boleh diperluaskan.

Pada masa yang sama, ASA CX berfungsi bukan sahaja berdasarkan prinsip rakan/musuh (peribadi/korporat), tetapi juga mengambil kira OS yang digunakan pada peranti mudah alih, versinya, kehadiran kemas kini dan "tampalan" lain, sebagai serta pengendalian antivirus dan perkaitan pangkalan datanya, dsb. Akses tidak akan disediakan oleh alamat IP pengirim dan penerima, tetapi bergantung pada keseluruhan set parameter, yang memungkinkan untuk melaksanakan dasar yang fleksibel untuk menyambung kepada sumber yang dilindungi, tidak kira sama ada pengguna berada di luar atau di dalam dan sama ada dia menggunakan sambungan berwayar atau wayarles, peranti peribadi atau korporat.

Tembok api Dell SonicWALL menggunakan pangkalan data tandatangan yang sentiasa berkembang untuk mengenal pasti lebih daripada 3,500 aplikasi dan fungsinya. Teknologi ReassemblyFree Deep Packet Inspection (RFDPI) SonicWALL mengimbas paket pada setiap protokol dan antara muka. Pakar Pasukan Penyelidik SonicWALL mencipta tandatangan baharu yang dihantar secara automatik ke tembok api sedia ada. Jika perlu, pelanggan boleh menambah sendiri tandatangan. Dalam tetingkap Papan Pemuka Visualisasi SonicWALL dan Monitor Masa Nyata, pentadbir boleh melihat aplikasi tertentu pada rangkaian, serta siapa yang menggunakannya dan caranya. Maklumat ini berguna untuk mengkonfigurasi dasar dan diagnostik.

Entensys juga telah mengembangkan fungsi produknya. UserGate Proxy&Firewall versi 6.0, dikeluarkan pada November 2012, diperkenalkan pelayan penuh VPN, sistem IPS. Produk UTM ini ditawarkan dalam bentuk perisian atau perkakasan. Sebagai tambahan kepada fungsi yang berkaitan secara langsung dengan keselamatan, pembangun memberi perhatian yang besar kepada penapisan kandungan dan pemantauan aplikasi Internet. Pada tahun 2012, fungsi analisis morfologi maklumat yang dihantar untuk menapis trafik masuk dan keluar telah dipertingkatkan dan pelayan penapisan kandungan yang produktif dan berfungsi UserGate Web Filter 3.0 dikeluarkan, yang boleh digunakan bersama dengan mana-mana penyelesaian UTM pihak ketiga.

Fortinet, yang biasanya dikaitkan dengan UTM, tahun lepas memperkenalkan FortiGate3240C, produk yang lebih berkemungkinan tergolong dalam kelas NGFW. Peranti Fortinet FortiGate menggunakan penyahkod protokol dan penyahsulitan trafik rangkaian untuk mengenal pasti aplikasi. Pembangun mengekalkan pangkalan data di mana mereka menambah tandatangan aplikasi baharu dan, dengan keluaran versi baharu, tandatangan dikemas kini bagi aplikasi sedia ada. Dengan maklumat ini, produk Fortinet membezakan antara aplikasi dan menggunakan peraturan yang berbeza untuk setiap satu. Syarikat itu mendakwa bahawa produknya mempunyai tahap prestasi dan integrasi yang lebih tinggi berbanding dengan penyelesaian bersaing, kerana semua teknologi dibangunkan secara bebas. F5 Networks dan Riverbed juga menarik perhatian kepada fungsi NGFW: bersama-sama dengan McAfee (Intel) dan penyedia penyelesaian keselamatan maklumat lain, mereka membinanya menjadi peralatan dan perisian untuk mengoptimumkan trafik rangkaian global.

Di Juniper Networks, fungsi NGFW SRX Services Gateway dilaksanakan dalam suite aplikasi AppSecure. Komponen AppTrack juga menggunakan pangkalan data tandatangan aplikasi yang dibuat oleh Juniper, ditambah dengan tandatangan yang dijana oleh pentadbir pelanggan. AppTrack mengenal pasti aplikasi, dan komponen AppFirewall dan AppQoS menyediakan penguatkuasaan dasar dan kawalan trafik aplikasi. Menurut pengilang, platform ini sangat berskala dan beroperasi pada kelajuan sehingga 100 Gbit/s.

McAfee, sebuah syarikat Intel, menggunakan teknologi AppPrism untuk pengecaman aplikasi dalam McAfee Firewall Enterprise, yang mengenal pasti beribu-ribu aplikasi tanpa mengira port dan protokol. Bersama-sama dengan ini, tandatangan yang dibangunkan oleh pakar Perisikan Ancaman Global McAfee digunakan. Menggunakan AppPrism, pentadbir boleh melarang pelaksanaan bukan sahaja aplikasi itu sendiri, tetapi juga komponen "berisiko" mereka- contohnya, sekat fungsi perkongsian fail dalam Skype, membenarkan pemesejan. Seperti Juniper, McAfee mengaitkan teknologi proprietari dan tandatangan aplikasinya kepada faedah penyelesaiannya.

Teknologi App-ID Palo Alto Networks menggunakan beberapa kaedah untuk mengenal pasti aplikasi: penyahsulitan, penemuan, penyahkodan, tandatangan, heuristik, dsb.. App-ID boleh menggunakan mana-mana gabungan mereka, yang membolehkan anda mengenal pasti semua versi aplikasi, serta OS yang ia dijalankan. Selaras dengan App-ID aplikasi, tembok api Palo Alto menggunakan satu atau peraturan lain pada trafiknya, sebagai contoh, pemindahan fail boleh disekat. Selain itu, App-ID boleh dilengkapkan dengan kaedah baharu untuk mengesan dan mengenal pasti aplikasi dengan membenamkannya ke dalam mekanisme klasifikasi.

Stonesoft tidak mengemas kini barisan tembok apinya pada tahun 2012, tetapi mengumumkan penyelesaian baharu, Sistem Pencegahan Pengelakan (EPS). Alat ini direka bentuk untuk mengesan dan mencegah serangan siber yang menggunakan teknik pengelakan dinamik(Advanced Evasion Technique, AET - teknik yang digunakan bersama dengan serangan rangkaian untuk memintas sistem keselamatan) dan mengeksploitasi kelemahan dalam sistem keselamatan. Seperti yang dikatakan Dmitry Ushakov, produk itu menyediakan tahap keselamatan tambahan untuk peranti NGFW, IPS dan UTM yang telah dipasang dalam organisasi yang terdedah kepada AET. ini kelas baru peranti yang direka untuk memerangi percubaan canggih oleh penceroboh untuk menembusi rangkaian organisasi.

“Hari ini, majikan memahami bahawa pekerja mereka kadangkala memerlukan akses kepada tapak terlarang (tapak pengambilan, rangkaian sosial, dll.) dan sistem pemesejan (Skype, ICQ). Dalam hal ini, aplikasi daripada senarai "putih" (mungkin) dan "hitam" (mustahil) dialihkan ke kawasan "kelabu" (mungkin dalam keadaan tertentu atau pada masa tertentu). Adalah dicadangkan untuk merumuskan dasar keselamatan maklumat ini dalam bentuk peraturan capaian,” kata Dmitry Ushakov.

Menurut Alexander Kushnarev, perunding teknikal untuk Rainbow Security (pengedar WatchGuard Technologies), WatchGuard memperkenalkan versi maya baharu produk XTMv dan XCSvnya, serta platform perkakasan generasi seterusnya "dengan prestasi UTM yang menerajui pasaran." Sistem perkakasan dan perisian WatchGuard XTM, menggunakan perkhidmatan WatchGuard Reputation Enabled Defense, melindungi pengguna daripada tapak Web berniat jahat sambil mengurangkan beban pada rangkaian dengan ketara. Perkhidmatan ini menyediakan tahap perlindungan yang tinggi terhadap ancaman Web, melayari Web yang lebih pantas, pengurusan yang fleksibel dan peluang yang banyak membuat laporan.

“Kami melihat keperluan untuk peranti UTM semakin meningkat. Platform perkakasan WatchGuard generasi terkini boleh memproses trafik dengan perkhidmatan UTM didayakan pada kelajuan yang sama yang generasi sebelumnya hanya boleh melakukan penapisan paket mudah. Untuk menjadikan tembok api WatchGuard sebagai peranti UTM, hanya aktifkan lesen. Jika pelanggan hanya memerlukan penapisan paket dan organisasi terowong VPN, tembok api dalam erti kata klasik akan sesuai dengannya, "kata Alexander Kushnarev.

Beliau menekankan bahawa fungsi kawalan aplikasi dalam NGFW kini mendapat permintaan yang tinggi: syarikat ingin mengawal selia akses pekerja ke rangkaian sosial dan tapak permainan. Alat UTM semasa termasuk penapisan URL dengan sokongan untuk pangkalan data tapak berbahasa Rusia, serta sokongan penuh pengagregatan dan reputasi pelabuhan sumber luar. Yang terakhir memudahkan pengesanan berkualiti tinggi dan penyekatan pencegahan trafik daripada botnet. Selain itu, kebanyakan pelanggan berminat dengan penjimatan kos dan tetapan konfigurasi yang ringkas dan mudah, jadi penyelesaian semua-dalam-satu seperti WatchGuard XTM ialah pilihan yang sesuai untuk mereka.

Hanya dua atau tiga tahun yang lalu, pelanggan ragu-ragu tentang NGFW, tetapi kini pasaran sangat kompetitif, mereka boleh memilih daripada pelbagai jenis produk NGFW berkualiti tinggi. Menurut penganalisis Cyber ​​​​Security, sehingga 2018, pasaran global untuk tembok api kelas perusahaan akan berkembang lebih daripada 11% setiap tahun. Walau bagaimanapun, tembok api bukanlah ubat penawar. Apabila memilih penyelesaian, anda perlu mentakrifkan dengan jelas fungsi yang diperlukan, pastikan sifat keselamatan yang diisytiharkan oleh vendor boleh dilaksanakan dalam persekitaran kerja tertentu dan syarikat (atau penyumber luar) mempunyai sumber yang mencukupi untuk mengurus dasar keselamatan.

Dan sudah tentu, perlu diingat bahawa NGFW kekal sebagai peranti keselamatan perimeter. Mereka melaksanakan fungsi mereka dengan sempurna apabila mengakses Internet, tetapi "keselamatan mudah alih" memerlukan lebih. Hari ini, NGFW mesti dipertingkatkan dengan penyelesaian keselamatan awan dan mudah alih serta dapat mengenali konteks. Dari masa ke masa, penyelesaian ini akan menjadi lebih mudah diakses, lebih mudah, lebih berfungsi dan model awan akan membuat pelarasan pada cara ia diuruskan.

Sergey Orlov- Editor terkemuka Jurnal Penyelesaian Rangkaian/LAN. Beliau boleh dihubungi di:

Dengan pelbagai jenis alat perisian profesional untuk melindungi daripada pelbagai jenis serangan pada rangkaian tempatan dari luar (iaitu, dari Internet), semuanya mempunyai satu kelemahan yang serius - kos yang tinggi. Dan jika kita bercakap tentang rangkaian kelas SOHO kecil, maka membeli pakej pepejal adalah kemewahan yang tidak mampu dimiliki. Pada masa yang sama, perlu diperhatikan bahawa untuk rangkaian kecil keupayaan pakej tersebut mungkin berlebihan. Oleh itu, untuk melindungi rangkaian kecil kelas SOHO, penyelesaian perkakasan yang murah - tembok api - telah digunakan secara meluas. Dengan reka bentuk, tembok api boleh sama ada dilaksanakan sebagai penyelesaian yang berasingan, atau menjadi sebahagian daripada penghala kelas SOHO, khususnya penghala wayarles, yang membolehkan anda menggabungkan segmen berwayar dan wayarles rangkaian tempatan berdasarkannya.
Dalam artikel ini kita akan melihat fungsi utama tembok api perkakasan moden yang dibina ke dalam penghala kelas SOHO dan digunakan untuk memberikan perlindungan kepada rangkaian tempatan yang kecil.

Firewall sebagai sebahagian daripada penghala

Memandangkan penghala ialah peranti rangkaian yang dipasang pada sempadan antara rangkaian dalaman dan luaran, dan melaksanakan fungsi get laluan rangkaian, dari segi reka bentuk ia mesti mempunyai sekurang-kurangnya dua port. LAN disambungkan ke salah satu port ini, dan port ini menjadi port LAN dalaman. Rangkaian luaran (Internet) disambungkan ke port kedua, mengubahnya menjadi port WAN luaran. Sebagai peraturan, penghala kelas SOHO mempunyai satu port WAN dan beberapa (dari satu hingga empat) port LAN, yang digabungkan menjadi suis. Dalam kebanyakan kes, port WAN suis mempunyai antara muka 10/100Base-TX, dan sama ada modem xDSL dengan antara muka yang sesuai atau kabel rangkaian Ethernet boleh disambungkan kepadanya.

Di samping itu, penggunaan rangkaian wayarles yang meluas telah membawa kepada kemunculan keseluruhan kelas penghala wayarles yang dipanggil. Peranti ini, sebagai tambahan kepada penghala klasik dengan port WAN dan LAN, mengandungi pusat akses wayarles bersepadu yang menyokong protokol IEEE 802.11a/b/g. Segmen wayarles rangkaian, yang membolehkan anda mengatur titik akses, dari sudut pandangan penghala merujuk kepada rangkaian dalaman, dan dalam pengertian ini, komputer yang disambungkan ke penghala secara wayarles tidak berbeza daripada yang disambungkan ke LAN pelabuhan.

Mana-mana penghala, sebagai peranti lapisan rangkaian, mempunyai alamat IPnya sendiri. Sebagai tambahan kepada penghala, port WAN juga mempunyai alamat IPnya sendiri.

Komputer yang disambungkan ke port LAN penghala mesti mempunyai alamat IP pada subnet yang sama dengan penghala itu sendiri. Di samping itu, dalam tetapan rangkaian PC ini, anda mesti menetapkan alamat get laluan lalai agar sepadan dengan alamat IP penghala. Dan akhirnya, peranti disambungkan ke port WAN dari rangkaian luaran, mesti mempunyai alamat IP daripada subnet yang sama dengan port WAN penghala.

Memandangkan penghala bertindak sebagai pintu masuk antara rangkaian tempatan dan Internet, adalah logik untuk mengharapkan fungsi seperti melindungi rangkaian dalaman daripada capaian yang tidak dibenarkan. Oleh itu, hampir semua penghala kelas SOHO moden mempunyai tembok api perkakasan terbina dalam, yang juga dipanggil tembok api.

Ciri Firewall

Tujuan utama mana-mana tembok api akhirnya datang untuk memastikan keselamatan rangkaian dalaman. Untuk menyelesaikan masalah ini, tembok api mesti boleh menutup rangkaian yang dilindungi, menyekat semua jenis serangan penggodam yang diketahui, menyekat kebocoran maklumat daripada rangkaian dalaman dan mengawal aplikasi yang mengakses rangkaian luaran.

Untuk melaksanakan fungsi ini, tembok api menganalisis semua trafik antara rangkaian luaran dan dalaman untuk pematuhan dengan kriteria atau peraturan tertentu yang ditetapkan yang menentukan syarat untuk laluan trafik dari satu rangkaian ke rangkaian yang lain. Jika trafik memenuhi kriteria yang ditentukan, tembok api membenarkannya melaluinya. Jika tidak, iaitu, jika kriteria yang ditetapkan tidak dipenuhi, lalu lintas disekat oleh tembok api. Firewall menapis kedua-dua trafik masuk dan keluar, dan juga membenarkan anda mengawal akses kepada sumber rangkaian atau aplikasi tertentu. Mereka boleh merekodkan semua percubaan akses tanpa kebenaran kepada sumber rangkaian tempatan dan mengeluarkan amaran tentang percubaan pencerobohan.

Dari segi tujuannya, tembok api adalah paling mengingatkan kepada pusat pemeriksaan (titik pemeriksaan) kemudahan yang dilindungi, di mana dokumen semua orang yang memasuki wilayah kemudahan dan semua orang yang meninggalkannya diperiksa. Jika pas adalah teratur, akses ke wilayah dibenarkan. Firewall beroperasi dengan cara yang sama, hanya peranan orang yang melalui pusat pemeriksaan ialah paket rangkaian, dan pasnya ialah pengepala paket ini mematuhi set peraturan yang telah ditetapkan.

Adakah firewall benar-benar boleh dipercayai?

Adakah mungkin untuk mengatakan bahawa tembok api menyediakan 100% keselamatan untuk rangkaian pengguna atau PC peribadi? Sudah tentu tidak. Jika hanya kerana tiada sistem sama sekali memberikan jaminan keselamatan 100%. Firewall harus dianggap sebagai alat yang, jika dikonfigurasikan dengan betul, boleh merumitkan tugas penyerang untuk menembusi Komputer peribadi pengguna. Mari kita tekankan: ia hanya merumitkan perkara, tetapi tidak sama sekali menjamin keselamatan mutlak. Dengan cara ini, jika kita bercakap bukan tentang melindungi rangkaian tempatan, tetapi tentang melindungi PC individu dengan akses Internet, maka firewall ICF berjaya mengatasi dengan memastikan keselamatan peribadinya ( Sambungan internet Firewall), dibina ke dalam sistem pengendalian Windows XP. Oleh itu, pada masa hadapan kita hanya akan bercakap tentang tembok api perkakasan korporat yang bertujuan untuk melindungi rangkaian kecil.

Jika tembok api yang dipasang di pintu masuk ke rangkaian tempatan diaktifkan sepenuhnya (sebagai peraturan, ini sepadan dengan tetapan lalai), maka rangkaian yang dilindunginya tidak dapat ditembusi sepenuhnya dan tidak boleh diakses dari luar. Walau bagaimanapun, rangkaian dalaman yang tidak dapat ditembusi sepenuhnya juga mempunyai kelemahannya. Hakikatnya ialah dalam kes ini menjadi mustahil untuk menggunakan perkhidmatan Internet (contohnya, ICQ dan program serupa) yang dipasang pada PC. Oleh itu, tugas untuk menyediakan tembok api adalah untuk membuat tetingkap di dinding kosong pada mulanya yang diwakili oleh tembok api untuk penyerang, membolehkan program pengguna bertindak balas kepada permintaan dari luar dan akhirnya melaksanakan interaksi terkawal antara rangkaian dalaman dan dunia luar. Walau bagaimanapun, semakin banyak tingkap sedemikian muncul di dinding sedemikian, semakin terdedah rangkaian itu sendiri. Oleh itu, mari kita tekankan sekali lagi: tiada tembok api boleh menjamin keselamatan mutlak rangkaian tempatan yang dilindunginya.

Klasifikasi tembok api

Keupayaan dan kecerdasan tembok api bergantung pada lapisan model rujukan OSI di mana ia beroperasi. Semakin tinggi tahap OSI di mana tembok api dibina, semakin tinggi tahap perlindungan yang diberikannya.

Ingat bahawa model OSI (Open System Interconnection) merangkumi tujuh lapisan seni bina rangkaian. Yang pertama, paling rendah, ialah tahap fizikal. Ini diikuti oleh pautan data, rangkaian, pengangkutan, sesi, pembentangan dan lapisan aplikasi atau aplikasi. Untuk menyediakan penapisan trafik, tembok api mesti beroperasi sekurang-kurangnya pada lapisan ketiga model OSI, iaitu pada lapisan rangkaian, di mana paket dihalakan berdasarkan terjemahan alamat MAC kepada alamat rangkaian. Dari sudut pandangan protokol TCP/IP, lapisan ini sepadan dengan lapisan IP (Internet Protocol). Dengan menerima maklumat lapisan rangkaian, tembok api dapat menentukan sumber dan alamat destinasi paket dan menyemak sama ada trafik dibenarkan antara destinasi ini. Walau bagaimanapun, maklumat lapisan rangkaian tidak mencukupi untuk menganalisis kandungan paket. Firewall yang beroperasi pada lapisan pengangkutan model OSI menerima lebih sedikit maklumat tentang paket dan, dalam pengertian ini, boleh menyediakan skim perlindungan rangkaian yang lebih pintar. Bagi tembok api yang beroperasi pada peringkat aplikasi, mereka mempunyai akses untuk melengkapkan maklumat tentang paket rangkaian, yang bermaksud bahawa tembok api tersebut menyediakan perlindungan rangkaian yang paling boleh dipercayai.

Bergantung pada tahap model OSI di mana tembok api beroperasi, mengikut sejarah klasifikasi peranti ini telah dibangunkan:

• penapis paket;
• gerbang peringkat sesi (pintu masuk peringkat litar);
• gerbang peringkat aplikasi;
• Stateful Packet Inspection (SPI).

Perhatikan bahawa klasifikasi ini hanya mempunyai kepentingan sejarah, kerana semua tembok api moden tergolong dalam kategori tembok api SPI yang paling maju (dari segi perlindungan rangkaian).

Penapis kelompok

Firewall jenis penapis paket adalah yang paling asas (paling pintar). Firewall ini beroperasi pada lapisan rangkaian model OSI atau pada lapisan IP susunan protokol TCP/IP. Firewall sedemikian diperlukan dalam setiap penghala, kerana mana-mana penghala beroperasi sekurang-kurangnya pada lapisan ketiga model OSI.

Tugas penapis paket adalah untuk menapis paket berdasarkan maklumat tentang sumber atau alamat IP destinasi dan nombor port.

Dalam dinding api jenis penapis paket, setiap paket dianalisis untuk menentukan sama ada ia memenuhi kriteria penghantaran atau sama ada penghantaran disekat sebelum ia dihantar. Bergantung pada paket dan kriteria penghantaran yang dihasilkan, tembok api boleh menghantar paket, menolaknya atau menghantar pemberitahuan kepada pemula penghantaran.

Penapis paket mudah dilaksanakan dan hampir tidak mempunyai kesan ke atas kelajuan penghalaan.

Gerbang Sesi

Gerbang lapisan sesi ialah tembok api yang beroperasi pada lapisan sesi model OSI atau pada lapisan TCP (Transport Control Protocol) susunan protokol TCP/IP. Firewall ini memantau proses mewujudkan sambungan TCP (organisasi sesi pertukaran data antara mesin akhir) dan membolehkan anda menentukan sama ada sesi komunikasi yang diberikan adalah sah. Data yang dihantar ke komputer jauh pada rangkaian luaran melalui gerbang peringkat sesi tidak mengandungi maklumat tentang sumber penghantaran, iaitu, semuanya kelihatan seolah-olah data dihantar oleh tembok api itu sendiri, dan bukan oleh komputer pada rangkaian dalaman (dilindungi). Semua tembok api berasaskan protokol NAT ialah gerbang lapisan sesi (protokol NAT akan diterangkan di bawah).

Gerbang peringkat sesi juga tidak mempunyai kesan yang ketara pada kelajuan penghalaan. Pada masa yang sama, gerbang ini tidak mampu menapis paket individu.

Gerbang Aplikasi

Gerbang lapisan aplikasi, atau pelayan proksi, beroperasi pada lapisan aplikasi model OSI. Lapisan aplikasi bertanggungjawab untuk akses aplikasi ke rangkaian. Tugas pada tahap ini termasuk pemindahan fail, pertukaran melalui surat dan pengurusan rangkaian. Dengan menerima maklumat tentang paket di peringkat aplikasi, gerbang peringkat aplikasi boleh melaksanakan penyekatan akses kepada perkhidmatan tertentu. Sebagai contoh, jika gerbang peringkat aplikasi dikonfigurasikan sebagai proksi Web, maka sebarang trafik yang berkaitan dengan protokol Telnet, FTP, Gopher akan disekat. Oleh kerana tembok api ini menganalisis paket pada lapisan aplikasi, ia dapat menapis arahan tertentu, seperti http:post, get, dsb. Ciri ini tidak tersedia untuk penapis paket atau get laluan lapisan sesi. Gerbang peringkat aplikasi juga boleh digunakan untuk log aktiviti pengguna individu dan untuk mewujudkan sesi komunikasi antara mereka. Firewall ini menawarkan lebih banyak lagi cara yang boleh dipercayai perlindungan rangkaian berbanding get laluan peringkat sesi dan penapis paket.

Tembok api SPI

Jenis tembok api terbaharu, Stateful Packet Inspection (SPI), menggabungkan faedah penapis paket, gerbang lapisan sesi dan gerbang lapisan aplikasi. Iaitu, sebenarnya, kita bercakap tentang tembok api berbilang peringkat yang beroperasi secara serentak pada peringkat rangkaian, sesi dan aplikasi.

Tembok api SPI menapis paket pada lapisan rangkaian, menentukan kesahihan sesi komunikasi berdasarkan data lapisan sesi dan menganalisis kandungan paket berdasarkan data lapisan aplikasi.

Firewall ini menyediakan cara yang paling boleh dipercayai untuk melindungi rangkaian dan kini merupakan standard de facto.

Menyediakan tembok api

Metodologi dan keupayaan untuk mengkonfigurasi tembok api bergantung pada model tertentu. Malangnya, tiada peraturan konfigurasi seragam, lebih kurang antara muka seragam. Kita hanya boleh bercakap tentang beberapa peraturan am yang perlu dipatuhi. Sebenarnya, peraturan asasnya agak mudah: adalah perlu untuk melarang semua yang tidak diperlukan untuk berfungsi normal rangkaian.

Selalunya, keupayaan untuk mengkonfigurasi tembok api bergantung kepada mengaktifkan beberapa peraturan yang telah ditetapkan dan mencipta peraturan statik dalam bentuk jadual.

Mari kita ambil, sebagai contoh, pilihan untuk mengkonfigurasi tembok api yang disertakan dalam penghala Gigabyte GN-B49G. Penghala ini mempunyai beberapa peraturan yang telah ditetapkan yang membolehkan anda melaksanakan tahap keselamatan rangkaian dalaman yang berbeza. Peraturan ini termasuk yang berikut:

• Akses kepada konfigurasi dan pentadbiran Penghala dari bahagian WAN adalah dilarang. Mengaktifkan fungsi ini melarang akses kepada tetapan penghala daripada rangkaian luaran;
• Akses daripada Global-IP ke Private-IP adalah dilarang di dalam LAN. Fungsi ini membolehkan anda menyekat akses dalam rangkaian tempatan daripada alamat IP global (jika ada) kepada alamat IP yang dikhaskan untuk kegunaan peribadi;
• Halang perkongsian fail dan pencetak dari luar rangkaian penghala. Fungsi ini menghalang penggunaan akses dikongsi kepada pencetak dan fail pada rangkaian dalaman dari luar;
• Kewujudan penghala tidak dapat dikesan dari sisi WAN. Fungsi ini menjadikan penghala tidak kelihatan dari rangkaian luaran;
• Serangan jenis Penafian Perkhidmatan (DoS) dihalang. Apabila fungsi ini diaktifkan, perlindungan terhadap serangan DoS (Penolakan Perkhidmatan) dilaksanakan. Serangan DoS ialah sejenis serangan rangkaian yang melibatkan penghantaran berbilang permintaan kepada pelayan yang menuntut perkhidmatan yang disediakan oleh sistem. Pelayan membelanjakan sumbernya untuk mewujudkan sambungan dan melayannya dan, memandangkan aliran permintaan tertentu, tidak dapat mengatasinya. Perlindungan terhadap serangan jenis ini adalah berdasarkan analisis sumber trafik yang berlebihan berbanding trafik biasa dan melarang penghantarannya.

Seperti yang telah kami nyatakan, banyak tembok api mempunyai peraturan yang telah ditetapkan, yang pada asasnya sama dengan yang disenaraikan di atas, tetapi mungkin mempunyai nama yang berbeza.

Satu lagi cara untuk mengkonfigurasi tembok api adalah untuk mencipta peraturan statik yang membolehkan anda bukan sahaja untuk melindungi rangkaian dari luar, tetapi juga untuk menyekat pengguna rangkaian tempatan daripada mengakses rangkaian luaran. Kemungkinan untuk membuat peraturan agak fleksibel dan membolehkan anda melaksanakan hampir semua keadaan. Untuk membuat peraturan, anda menentukan alamat IP sumber (atau julat alamat), port sumber, alamat dan port IP destinasi, jenis protokol, arah penghantaran paket (dari rangkaian dalaman ke rangkaian luaran atau sebaliknya), dan tindakan yang perlu diambil apabila paket dikesan dengan sifat yang ditunjukkan (jatuhkan atau langkau paket). Sebagai contoh, jika anda ingin melarang pengguna rangkaian dalaman (julat alamat IP: 192.168.1.1-192.168.1.100) daripada mengakses pelayan FTP (port 21) yang terletak di alamat IP luaran 64.233.183.104, maka peraturannya boleh dirumuskan seperti berikut:

• arah penghantaran paket: LAN-ke-WAN;
• Alamat IP sumber: 192.168.1.1-192.168.1.100;
• port sumber: 1-65535;
• pelabuhan destinasi: 21;
• protokol: TCP;
• tindakan: jatuhkan.

Konfigurasi statik peraturan firewall untuk contoh yang dibincangkan di atas ditunjukkan dalam Rajah. 1.

Protokol NAT sebagai sebahagian daripada tembok api

Semua penghala moden dengan tembok api terbina dalam menyokong protokol NAT (Network Address Translation).

Protokol NAT bukan sebahagian daripada tembok api, tetapi pada masa yang sama membantu meningkatkan keselamatan rangkaian. Tugas utama protokol NAT adalah untuk menyelesaikan masalah kekurangan alamat IP, yang menjadi semakin mendesak apabila bilangan komputer bertambah.

Hakikatnya ialah dalam versi semasa protokol IPv4, empat bait diperuntukkan untuk menentukan alamat IP, yang memungkinkan untuk menjana lebih daripada empat bilion alamat komputer rangkaian. Sudah tentu, pada masa itu apabila Internet baru sahaja muncul, sukar untuk membayangkan bahawa suatu hari nanti bilangan alamat IP ini mungkin tidak mencukupi. Untuk menyelesaikan sebahagian masalah kekurangan alamat IP, protokol terjemahan alamat rangkaian NAT pernah dicadangkan.

Protokol NAT ditakrifkan oleh standard RFC 1631, yang mentakrifkan cara terjemahan alamat rangkaian berlaku.

Dalam kebanyakan kes, peranti NAT menukar alamat IP yang dikhaskan untuk kegunaan peribadi pada rangkaian tempatan kepada alamat IP awam.

Ruang alamat peribadi dikawal oleh RFC 1918. Alamat ini termasuk julat IP berikut: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.5.68

Menurut RFC 1918, alamat IP peribadi tidak boleh digunakan di World Wide Web, jadi ia hanya boleh digunakan secara bebas untuk tujuan dalaman.

Sebelum beralih kepada spesifik protokol NAT, mari kita lihat bagaimana sambungan rangkaian berlaku antara dua PC.

Apabila satu komputer pada rangkaian mewujudkan sambungan dengan komputer lain, soket dibuka, ditentukan oleh alamat IP sumber, port sumber, alamat IP destinasi, port destinasi dan protokol rangkaian. Format paket IP menyediakan medan dua bait untuk nombor port. Ini membolehkan anda menentukan 65,535 port, yang memainkan peranan saluran komunikasi yang unik. Daripada 65,535 port, 1,023 yang pertama dikhaskan untuk perkhidmatan pelayan terkenal seperti Web, FTP, Telnet, dll. Semua port lain boleh digunakan untuk tujuan lain.

Jika, sebagai contoh, satu komputer rangkaian mengakses pelayan FTP (port 21), maka apabila soket dibuka, sistem pengendalian menetapkan sesi mana-mana port di atas 1023. Contohnya, ia boleh menjadi port 2153. Kemudian paket IP dihantar daripada PC ke FTP -server, akan mengandungi alamat IP penghantar, port penghantar (2153), alamat IP penerima dan port destinasi (21). Alamat IP sumber dan port akan digunakan untuk respons pelayan kepada klien. Menggunakan port yang berbeza untuk sesi rangkaian yang berbeza membolehkan pelanggan rangkaian mewujudkan berbilang sesi secara serentak pelayan yang berbeza atau dengan perkhidmatan satu pelayan.

Sekarang mari kita lihat proses mewujudkan sesi apabila menggunakan penghala NAT di sempadan rangkaian dalaman dan Internet.

Apabila pelanggan rangkaian dalaman mewujudkan sambungan dengan pelayan rangkaian luaran, maka, seperti dalam hal mewujudkan sambungan antara dua PC, soket dibuka, ditentukan oleh alamat IP sumber, port sumber, alamat IP destinasi, port destinasi, dan protokol rangkaian. Apabila aplikasi menghantar data melalui soket ini, alamat IP sumber dan port sumber dimasukkan ke dalam paket dalam medan pilihan sumber. Medan pilihan destinasi akan mengandungi alamat IP pelayan dan port pelayan. Sebagai contoh, komputer pada rangkaian dalaman dengan alamat IP 192.168.0.1 boleh mengakses pelayan Web WAN dengan alamat IP 64.233.188.104. Dalam kes ini, sistem pengendalian pelanggan boleh menetapkan port 1251 (port sumber) kepada sesi yang ditetapkan, dan port destinasi ialah port perkhidmatan Web, iaitu, 80. Kemudian atribut berikut akan ditunjukkan dalam pengepala paket yang dihantar (Gamb. 2):

• port sumber: 1251;
• Alamat IP penerima: 64.233.183.104;
• pelabuhan destinasi: 80;
• protokol: TCP.

Peranti NAT (penghala) memintas paket yang datang dari rangkaian dalaman dan memasukkan ke dalam jadual dalamannya pemetaan sumber dan port destinasi paket menggunakan alamat IP destinasi, port destinasi, alamat IP luaran peranti NAT, port luaran , protokol rangkaian dan IP dalaman - alamat dan port klien.

Mari kita anggap bahawa dalam contoh yang dibincangkan di atas, penghala NAT mempunyai alamat IP luaran 195.2.91.103 (alamat port WAN), dan untuk sesi yang ditetapkan, port luaran peranti NAT ialah 3210. Dalam kes ini, jadual dalaman untuk memetakan port sumber dan destinasi paket mengandungi maklumat berikut:

• IP Sumber: 192.168.0.1;
• port sumber: 1251;
• alamat IP luaran

Peranti NAT: 195.2.91.103;

• port peranti NAT luaran: 3210;
• Alamat IP penerima: 64.233.183.104;
• pelabuhan destinasi: 80;
• protokol: TCP.

Peranti NAT kemudian "menyiarkan" paket dengan mengubah medan sumber dalam paket: alamat IP dalaman dan port pelanggan digantikan dengan alamat IP luaran dan port peranti NAT. Dalam contoh ini, pakej yang ditukar akan mengandungi maklumat berikut:

• IP Sumber: 195.2.91.103;
• port sumber: 3210;
• Alamat IP penerima: 64.233.183.104;
• pelabuhan destinasi: 80;
• protokol: TCP.

Paket yang ditukar dihantar melalui rangkaian luaran dan akhirnya sampai ke pelayan yang ditentukan.

Setelah menerima paket, pelayan akan memajukan paket tindak balas ke alamat IP luaran dan port peranti NAT (penghala), menunjukkan alamat IP dan portnya sendiri dalam medan sumber (Gamb. 3). Dalam contoh yang dipertimbangkan, paket respons daripada pelayan akan mengandungi maklumat berikut dalam pengepala:

• port sumber: 80;
• Alamat IP penerima: 195.2.91.103;
• pelabuhan destinasi: 3210;
• protokol: TCP.

nasi. 3. Prinsip pengendalian peranti NAT apabila menghantar paket dari rangkaian luaran kepada rangkaian dalaman

Peranti NAT menerima paket ini daripada pelayan dan menghuraikan kandungannya berdasarkan jadual pemetaan portnya. Jika pemetaan port ditemui dalam jadual yang alamat IP sumber, port sumber, port destinasi dan protokol rangkaian daripada paket masuk sepadan dengan alamat IP hos jauh, port jauh dan protokol rangkaian yang dinyatakan dalam pemetaan port, maka NAT akan melakukan terjemahan terbalik: menggantikan alamat IP luaran dan port luaran dalam medan destinasi paket dengan alamat IP dan port dalaman klien rangkaian dalaman. Oleh itu, paket yang dihantar ke rangkaian dalaman untuk contoh yang dibincangkan di atas akan mempunyai atribut berikut:

• IP Sumber: 64.233.183.104;
• port sumber: 80;
• Alamat IP penerima: 192.168.0.1;
• pelabuhan destinasi: 1251;
• protokol: TCP.

Walau bagaimanapun, jika tiada padanan dalam jadual pemetaan port, maka pakej masuk ditolak dan sambungan ditamatkan.

Terima kasih kepada penghala NAT, mana-mana PC pada rangkaian dalaman dapat memindahkan data ke Rangkaian Global menggunakan alamat IP luaran dan port penghala. Dalam kes ini, alamat IP rangkaian dalaman, sebagai port yang diberikan kepada sesi, kekal tidak kelihatan daripada rangkaian luaran.

Walau bagaimanapun, penghala NAT membenarkan pertukaran data antara komputer pada rangkaian dalaman dan luaran hanya jika pertukaran ini dimulakan oleh komputer pada rangkaian dalaman. Jika komputer pada rangkaian luaran cuba mengakses komputer pada rangkaian dalaman atas inisiatifnya sendiri, sambungan ditolak oleh peranti NAT. Oleh itu, selain menyelesaikan masalah kekurangan alamat IP, protokol NAT juga membantu meningkatkan keselamatan rangkaian dalaman.

Isu yang berkaitan dengan peranti NAT

Walaupun kesederhanaan jelas peranti NAT, ia dikaitkan dengan beberapa masalah yang sering merumitkan organisasi interaksi antara komputer rangkaian atau secara amnya menghalang penubuhannya. Sebagai contoh, jika rangkaian tempatan dilindungi oleh peranti NAT, maka mana-mana pelanggan pada rangkaian dalaman boleh mewujudkan sambungan ke pelayan WAN, tetapi bukan sebaliknya. Iaitu, anda tidak boleh memulakan sambungan dari rangkaian luaran ke pelayan yang terletak pada rangkaian dalaman di belakang peranti NAT. Tetapi bagaimana jika terdapat perkhidmatan pada rangkaian dalaman (contohnya, FTP atau pelayan Web) yang pengguna pada rangkaian luaran mesti mempunyai akses kepadanya? Untuk menyelesaikan masalah ini, penghala NAT menggunakan zon demilitarized dan teknologi penghantaran port, yang akan diterangkan secara terperinci di bawah.

Satu lagi masalah dengan peranti NAT ialah beberapa aplikasi rangkaian termasuk alamat IP dan port dalam bahagian data paket. Adalah jelas bahawa peranti NAT tidak mampu melakukan terjemahan alamat tersebut. Akibatnya, jika aplikasi rangkaian memasukkan alamat IP atau port ke dalam bahagian muatan paket, pelayan yang bertindak balas kepada paket itu akan menggunakan alamat IP bersarang dan port yang tiada kemasukan pemetaan yang sepadan dalam jadual dalaman peranti NAT. . Akibatnya, paket sedemikian akan dibuang oleh peranti NAT, dan oleh itu aplikasi yang menggunakan teknologi ini tidak akan dapat berfungsi dengan kehadiran peranti NAT.

Terdapat aplikasi rangkaian yang menggunakan satu port (sebagai port sumber) untuk menghantar data, tetapi tunggu respons pada port lain. Peranti NAT menganalisis trafik keluar dan memadankan port sumber. Walau bagaimanapun, peranti NAT tidak mengetahui bahawa tindak balas dijangkakan pada port yang berbeza dan tidak dapat melakukan pemetaan yang sepadan. Akibatnya, paket respons yang dialamatkan ke port yang tidak mempunyai pemetaan dalam jadual dalaman peranti NAT akan digugurkan.

Masalah lain dengan peranti NAT ialah berbilang akses ke port yang sama. Mari kita pertimbangkan situasi di mana beberapa pelanggan pada rangkaian tempatan, dipisahkan daripada rangkaian luaran oleh peranti NAT, mengakses port standard yang sama. Sebagai contoh, ini mungkin port 80, yang dikhaskan untuk perkhidmatan Web. Memandangkan semua pelanggan rangkaian dalaman menggunakan alamat IP yang sama, persoalan timbul: bagaimanakah peranti NAT boleh menentukan klien rangkaian dalaman mana yang merupakan permintaan luaran? Untuk menyelesaikan masalah ini, hanya satu pelanggan rangkaian dalaman mempunyai akses kepada port standard pada bila-bila masa.

Pemajuan port statik (Pemetaan port)

Untuk menjadikan aplikasi tertentu berjalan pada pelayan pada rangkaian dalaman (seperti pelayan Web atau pelayan FTP) boleh diakses daripada rangkaian luaran, peranti NAT mesti dikonfigurasikan untuk memetakan port yang digunakan oleh aplikasi tertentu kepada alamat IP. pelayan rangkaian dalaman tersebut di mana aplikasi ini dijalankan. Dalam kes ini, mereka bercakap tentang teknologi pengalihan port (Pemetaan port), dan pelayan rangkaian dalaman itu sendiri dipanggil pelayan maya. Akibatnya, sebarang permintaan daripada rangkaian luaran ke alamat IP luaran peranti NAT (penghala) pada port yang ditentukan akan diubah hala secara automatik ke pelayan maya yang ditentukan bagi rangkaian dalaman.

Sebagai contoh, jika pelayan FTP maya dikonfigurasikan pada rangkaian dalaman, yang berjalan pada PC dengan alamat IP 192.168.0.10, maka apabila menyediakan pelayan maya, alamat IP pelayan maya (192.168.0.10), protokol yang digunakan (TCP) dan port aplikasi ditentukan (21). Dalam kes sedemikian, apabila mengakses alamat luaran peranti NAT (port WAN penghala) pada port 21, pengguna pada rangkaian luaran boleh mengakses pelayan FTP pada rangkaian dalaman, walaupun menggunakan protokol NAT. Contoh mengkonfigurasi pelayan maya pada penghala NAT sebenar ditunjukkan dalam Rajah. 4.

Biasanya, penghala NAT membenarkan anda membuat pelbagai penghantaran port statik. Jadi, pada satu pelayan maya anda boleh membuka beberapa port sekaligus atau mencipta beberapa pelayan maya dengan alamat IP yang berbeza. Walau bagaimanapun, dengan pemajuan port statik, anda tidak boleh memajukan satu port ke beberapa alamat IP, bermakna port boleh sepadan dengan satu alamat IP. Adalah mustahil, sebagai contoh, untuk mengkonfigurasi beberapa pelayan Web dengan alamat IP yang berbeza; untuk melakukan ini, anda perlu menukar port pelayan Web lalai dan apabila mengakses port 80 dalam konfigurasi penghala sebagai pelabuhan dalaman(Private Port) tentukan port pelayan Web yang diubah.

Kebanyakan model penghala juga membenarkan anda menetapkan pengalihan statik sekumpulan port, iaitu, menetapkan keseluruhan kumpulan port sekaligus kepada alamat IP pelayan maya. Ciri ini berguna jika anda perlu menyokong aplikasi yang menggunakan sejumlah besar port, seperti permainan atau persidangan audio/video. Bilangan kumpulan port yang dimajukan berbeza-beza antara model penghala yang berbeza, tetapi biasanya terdapat sekurang-kurangnya sepuluh.

Pemajuan Port Dinamik (Aplikasi Khas)

Pemajuan port statik boleh menyelesaikan sebahagian masalah akses daripada rangkaian luaran kepada perkhidmatan rangkaian tempatan yang dilindungi oleh peranti NAT. Walau bagaimanapun, terdapat juga tugas yang bertentangan - keperluan untuk menyediakan pengguna rangkaian tempatan dengan akses kepada rangkaian luaran melalui peranti NAT. Hakikatnya ialah beberapa aplikasi (contohnya, permainan Internet, persidangan video, telefon Internet dan aplikasi lain yang memerlukan penubuhan berbilang sesi serentak) tidak serasi dengan teknologi NAT. Untuk menyelesaikan masalah ini, apa yang dipanggil pengalihan port dinamik (kadangkala dipanggil Aplikasi Khas) digunakan, apabila pengalihan port ditetapkan pada tahap aplikasi rangkaian individu.

Jika penghala menyokong fungsi ini, anda mesti menentukan nombor port dalaman (atau selang port) yang dikaitkan dengan aplikasi tertentu(biasanya dirujuk sebagai Trigger Port), dan nyatakan nombor port luaran peranti NAT (Public Port), yang akan dipetakan ke port dalaman.

Apabila pemajuan port dinamik didayakan, penghala memantau trafik keluar dari rangkaian dalaman dan mengingati alamat IP komputer dari mana trafik itu berasal. Apabila data tiba kembali ke segmen tempatan, pemajuan port didayakan dan data dihantar ke dalam. Selepas pemindahan selesai, ubah hala dilumpuhkan, dan kemudian mana-mana komputer lain boleh membuat ubah hala baharu ke alamat IPnya.

Pemajuan port dinamik digunakan terutamanya untuk perkhidmatan yang melibatkan permintaan jangka pendek dan pemindahan data, kerana jika satu komputer menggunakan pemajuan port tertentu, komputer lain tidak boleh melakukan perkara yang sama pada masa yang sama. Jika anda perlu mengkonfigurasi aplikasi yang memerlukan aliran data yang berterusan yang menduduki port untuk masa yang lama, maka pengalihan semula dinamik tidak berkesan. Walau bagaimanapun, dalam kes ini, terdapat penyelesaian kepada masalah itu - ia terletak pada penggunaan zon demiliterisasi.

zon DMZ

Zon Demilitarisasi (DMZ) ialah satu lagi cara untuk memintas sekatan protokol NAT. Semua penghala moden menyediakan ciri ini. Apabila komputer pada rangkaian tempatan dalaman diletakkan dalam zon DMZ, ia menjadi telus kepada protokol NAT. Ini pada asasnya bermakna bahawa komputer rangkaian dalaman hampir terletak di hadapan tembok api. Untuk PC yang terletak di zon DMZ, semua port dihalakan semula ke satu alamat IP dalaman, yang membolehkan anda mengatur pemindahan data dari rangkaian luaran ke dalaman.

Jika, sebagai contoh, pelayan dengan alamat IP 192.168.1.10, terletak pada rangkaian tempatan dalaman, terletak di zon DMZ, dan rangkaian tempatan itu sendiri dilindungi oleh peranti NAT, maka apabila permintaan tiba pada mana-mana port daripada rangkaian luaran ke alamat port WAN Untuk peranti NAT, permintaan ini akan dimajukan ke alamat IP 192.168.1.10, iaitu, ke alamat pelayan maya dalam zon DMZ.

Sebagai peraturan, penghala NAT kelas SOHO membenarkan hanya satu komputer diletakkan di zon DMZ. Contoh mengkonfigurasi komputer dalam zon DMZ ditunjukkan dalam Rajah. 5.

nasi. 5. Contoh konfigurasi komputer dalam zon DMZ

Memandangkan komputer yang terletak di zon DMZ boleh diakses daripada rangkaian luaran dan tidak dilindungi oleh tembok api dalam apa jua cara, ia menjadi titik terdedah rangkaian. Anda harus meletakkan komputer dalam zon demilitarisasi hanya sebagai pilihan terakhir, apabila tiada kaedah lain untuk memintas sekatan protokol NAT sesuai untuk satu sebab atau yang lain.

Teknologi NAT Traversal

Kaedah yang telah kami senaraikan untuk memintas sekatan protokol NAT mungkin menimbulkan beberapa kesukaran untuk pengguna baru. Untuk memudahkan pentadbiran, teknologi automatik untuk mengkonfigurasi peranti NAT telah dicadangkan. Teknologi NAT Traversal (NAT passage) membenarkan aplikasi rangkaian tentukan bahawa ia dilindungi oleh peranti NAT, ketahui alamat IP luaran dan lakukan pemajuan port secara automatik. Oleh itu, kelebihan teknologi NAT Traversal ialah pengguna tidak perlu mengkonfigurasi pemetaan port secara manual.

Teknologi NAT Traversal bergantung kepada protokol UPnP(Sejagat Palam dan Play) oleh itu, selalunya perlu menyemak pilihan UPnP&NAT dalam penghala untuk mengaktifkan teknologi ini.