ILYA ROSENKRANTS, pengurus produk ALTELL NEO di AltEl LLC, pakar keselamatan maklumat yang diperakui (Check Point Sales Professional, McAfee Sales Professional), mempunyai sijil Cisco (CCNA, CCNP, IPTX), [e-mel dilindungi]
Kami melindungi rangkaian di sepanjang perimeter
Gambaran keseluruhan teknologi UTM penyelesaian ALTELL NEO
Sejarah pembangunan peranti UTM (Pengurusan Ancaman Bersatu, alat perlindungan ancaman bersatu) bermula kira-kira 25 tahun yang lalu, apabila pada tahun 1988 DEC mencipta penapis paketnya, beroperasi pada tahap ketiga model OSI (Sambungan sistem terbuka) dan menganalisis hanya pengepala paket
Ia menjadi "firewall" komersial pertama (FW). Pada masa itu, pendekatan minimalis sedemikian dibenarkan sepenuhnya oleh realiti ancaman yang sedia ada, akibatnya tembok api pemeriksaan tanpa negara itu menjadi sebahagian daripada sistem keselamatan maklumat.
Hampir selari dengan peristiwa ini, pada 1989-1990, tembok api yang berfungsi dengan data lapisan 4 OSI, yang dipanggil tembok api pemeriksaan stateful, telah diperkenalkan kepada dunia. Walaupun adalah salah untuk menganggap bahawa pakar keselamatan maklumat tidak mempertimbangkan kemungkinan memantau dan menapis trafik di peringkat aplikasi, pada masa itu (awal 1990-an) pelaksanaan kaedah ini dikecualikan kerana prestasi yang tidak mencukupi sistem pengkomputeran. Hanya pada awal 2000-an bahawa prestasi platform perkakasan memungkinkan untuk mengeluarkan penyelesaian UTM komersial yang pertama.
Pada masa ini, tembok api, yang telah lama membuktikan keberkesanannya, kekal, bersama-sama dengan perisian anti-virus, salah satu cara perlindungan yang paling biasa. sistem maklumat. Walau bagaimanapun, kemunculan jenis baru serangan kompleks dan pertumbuhan trafik di peringkat aplikasi (telefoni IP, penstriman video, awan aplikasi perusahaan) sering mengurangkan keberkesanan ME tradisional kepada sifar. Untuk menangani ancaman sedemikian dengan secukupnya, syarikat IT terkemuka dunia sedang membangunkan teknologi baharu yang bertujuan untuk mengenal pasti dan mencegah serangan yang paling banyak dilakukan. tahap yang berbeza(dari serangan melalui saluran komunikasi kepada aplikasi).
Salah satu penyelesaian kepada masalah yang diterangkan ialah integrasi ke dalam tembok api fungsi peranti khusus lain, contohnya, penapis web dan gerbang kriptografi. Jenis peranti yang terhasil ditetapkan UTM. Istilah "firewall generasi baharu" (NGFW, Next Generation Firewall) juga menjadi popular, menapis trafik pada tahap ketujuh model OSI.
Pada awal era peranti UTM (2004-2005), semua komponennya telah pun dicipta: tembok api dengan mod pemeriksaan stateful, mekanisme untuk membina rangkaian selamat melalui saluran komunikasi awam (VPN - rangkaian persendirian maya), kompleks rangkaian aktif. menggunakan pengesanan dan pencegahan pencerobohan (IDS/IPS – sistem pengesanan/pencegahan pencerobohan), penapis web.
Pada masa yang sama, tempat kerja dilindungi oleh satu set alat perlindungan di peringkat aplikasi (antivirus, antispam, anti-pancingan data). Tetapi penyelesaian kepada satu masalah (memastikan tahap keselamatan maklumat yang diperlukan) membawa kepada kemunculan yang lain: keperluan untuk kelayakan kakitangan teknikal meningkat secara mendadak, penggunaan tenaga peralatan meningkat, keperluan untuk jumlah bilik pelayan meningkat, dan menjadi lebih sukar untuk menguruskan proses mengemas kini bahagian perisian dan perkakasan sistem keselamatan bersepadu.
Di samping itu, masalah dengan mengintegrasikan alat keselamatan maklumat baharu ke dalam infrastruktur sedia ada, selalunya terdiri daripada produk pemaju yang berbeza. Atas sebab ini, idea timbul untuk menggabungkan semua fungsi yang disenaraikan dalam satu peranti, terutamanya kerana pada masa itu platform perkakasan telah mencapai tahap prestasi yang mencukupi dan pada masa yang sama dapat menangani beberapa tugas.
Akibatnya, penyelesaian telah muncul di pasaran yang mengurangkan kos perlindungan maklumat dan pada masa yang sama meningkatkan tahap keselamatan maklumat, kerana "penyumbatan" UTM pada mulanya dinyahpepijat dan dioptimumkan untuk operasi serentak semua fungsi yang disertakan di dalamnya .
Permintaan dan ketepatan pendekatan ini disahkan oleh angka dari syarikat penyelidikan antarabangsa IDC, yang menurutnya pada suku pertama 2014, pertumbuhan segmen peranti UTM ialah 36.4% (berbanding tempoh yang sama tahun sebelumnya). Sebagai perbandingan, pertumbuhan keseluruhan pasaran peranti keselamatan maklumat dalam tempoh yang sama ialah 3.4%, dan peranti UTM kini menyumbang 37% daripada pasaran ini. Pada masa yang sama, penurunan hasil dalam segmen Firewall/VPN berjumlah 21.2%.
Berdasarkan arah aliran di atas dalam pasaran keselamatan maklumat, pada penghujung dekad pertama abad baru, banyak pengeluar memperkenalkan tembok api generasi seterusnya mereka. Jadi, syarikat Rusia AltEl telah mengeluarkan produk ALTELL NEO.
Pada masa yang sama, dalam penyelesaian keselamatan maklumat, penggunaan sistem bersepadu daripada pengeluar yang berbeza untuk meningkatkan tahap perlindungan semakin popular: vendor keselamatan perkakasan telah mula bekerjasama secara lebih aktif dengan pembangun perisian khusus. Contohnya, teknologi Kaspersky Lab telah diperkenalkan ke dalam produk ALTELL NEO untuk melindungi data pada peringkat aplikasi: Kaspersky Anti-Virus/Anti-Spam SDK (kit pembangunan perisian).
Pada masa ini, ramai pemain di pasaran menawarkan tembok api generasi baharu, termasuk Palo Alto, Check Point, Cisco, Intel Security. Dalam realiti semasa, apabila kadar pertukaran dolar sangat tidak menentu, ramai pelanggan, dan terutamanya agensi kerajaan, menganggap penggantian import sebagai peluang untuk memenuhi keperluan pengawal selia dan prosedur keselamatan maklumat dalaman. Dalam keadaan ini, pertimbangan Pengeluar Rusia Penyelesaian UTM kelihatan logik.
Mari kita lihat fungsi utama tembok api ALTELL NEO UTM.
Antivirus/antispam
Pada masa ini, banyak syarikat memilih peranti UTM untuk melindungi perimeter rangkaian, termasuk keupayaan untuk menapis e-mel masuk dan keluar.
Penyelesaian berciri penuh Rusia yang pertama dalam bidang ini ialah tembok api generasi baharu berprestasi tinggi ALTELL NEO. Dia mempunyai dua dalam senjatanya antivirus bebas dan penyelesaian antispam: ClamAV (produk percuma) dan Kaspersky AV, SpamAssassin dan Kaspersky AS, masing-masing.
Keupayaan dan fungsi standard peranti UTM:
- Sokongan untuk bekerja secara telus (tidak kelihatan kepada pengguna akhir) mod.
- Sokongan Senarai Hitam DNS.
- Sokongan untuk senarai hitam, putih dan kelabu.
- Menyemak kehadiran rekod DNS tentang pelayan penghantaran.
- Teknologi SPF (Rangka Kerja Dasar Pengirim) - lanjutan untuk protokol penghantaran E-mel melalui SMTP, yang membolehkan anda menentukan ketulenan domain pengirim. SPF adalah salah satu cara untuk mengenal pasti penghantar e-mel dan menyediakannya peluang tambahan Menapis aliran mel untuk kehadiran mesej spam. Menggunakan SPF, mel dibahagikan kepada "dibenarkan" dan "ditolak" berbanding dengan domain penerima atau pengirim.
- Perkhidmatan SURBL (Spam URI Realtime Blocklists) ialah perkhidmatan yang mengandungi maklumat bukan tentang alamat IP dari mana spam datang, tetapi tentang tapak yang diiklankan dalam mesej spam. Memandangkan kebanyakan e-mel spam (dan e-mel pancingan data khususnya) memanggil untuk melawat tapak web, dan terdapat lebih sedikit tapak web ini daripada alamat IP penghantar spam, SURBL boleh berfungsi dengan lebih cekap daripada RBL - menapis sehingga 80-90% spam di positif palsu tidak lebih tinggi daripada 0.001-0.05%.
- Tiada kemungkinan teknikal kehilangan mesej dalam penapis.
- Penggunaan tandatangan digital dalam surat yang dihantar menggunakan teknologi DKIM (DomainKeys Identified Mail). Teknologi ini membolehkan anda mengesahkan ketulenan (pengesahan) pengirim surat, serta mengesahkan ketiadaan perubahan dalam e-mel semasa penghantarannya daripada pengirim kepada penerima.
- Teknik penapisan lanjutan: Penapisan Bayesian, Razor.
Penggunaan teknologi anti-virus/anti-spam membolehkan syarikat, contohnya, bank, mematuhi keperluan Bank Rusia untuk melindungi daripada kod berniat jahat. Tidak seperti, katakan, STO BR IBBS dan 382-P, di mana sedikit ruang telah diperuntukkan untuk topik ini, sudah lebih setahun kami mempunyai dokumen lengkap: surat 49-T bertarikh 24 Mac 2014 "Mengenai cadangan untuk menganjurkan penggunaan perlindungan terhadap kod berniat jahat dalam aktiviti perbankan." Dokumen tersebut menerangkan kedua-dua keperluan teknikal dan organisasi.
Penggunaan penyelesaian UTM dengan antivirus akan membolehkan kedua-dua penyedia Internet menyediakan trafik yang dikosongkan dan bank untuk mematuhi cadangan pengawal selia berkenaan pembahagian dan keupayaan untuk menyetempatkan wabak kod berniat jahat.
Sistem Pengesanan dan Pencegahan Pencerobohan – IDPS
Sistem pengesanan dan pencegahan pencerobohan, IDS/IPS atau IDPS (Sistem pengesanan/pencegahan pencerobohan, istilah bahasa Rusia yang serupa - IDS/SPV), ialah pautan yang diperlukan dalam melindungi rangkaian dalaman organisasi. Tujuan utama sistem sedemikian adalah untuk mengenal pasti kes akses tanpa kebenaran kepada rangkaian korporat dan mengambil tindakan balas: memaklumkan pakar keselamatan maklumat tentang fakta pencerobohan, memutuskan sambungan, mengkonfigurasi semula tembok api untuk menyekat tindakan selanjutnya penyerang.
ALTELL NEO melaksanakan beberapa teknologi IDPS, berbeza dalam jenis peristiwa yang dikesan dan dalam metodologi yang digunakan untuk mengenal pasti insiden. Sebagai tambahan kepada fungsi memantau dan menganalisis peristiwa untuk mengenal pasti insiden, IDPS daripada AltEl melaksanakan fungsi berikut:
- Merekod maklumat tentang peristiwa. Biasanya, maklumat disimpan secara tempatan, tetapi boleh dihantar ke mana-mana sistem pengumpulan log berpusat atau sistem SIEM.
- Memberitahu pentadbir keselamatan tentang insiden keselamatan maklumat. Pemberitahuan jenis ini dipanggil amaran dan boleh dijalankan melalui beberapa saluran: e-mel, perangkap SNMP, mesej log sistem, konsol pengurusan sistem IDPS. Reaksi boleh atur cara menggunakan skrip juga mungkin.
- Menjana laporan. Laporan dibuat untuk meringkaskan semua maklumat untuk acara yang diminta.
Teknologi IPS melengkapkan teknologi IDS kerana ia membolehkan bukan sahaja untuk mengenal pasti ancaman secara bebas, tetapi juga untuk berjaya menyekatnya. Dalam senario ini, fungsi IPS yang dilaksanakan dalam ALTELL NEO jauh lebih luas daripada IDS dan termasuk ciri berikut:
- Menyekat serangan (menamatkan sesi pengguna yang melanggar dasar keselamatan, menyekat akses kepada sumber, hos, aplikasi).
- Menukar persekitaran yang dilindungi (menukar konfigurasi peranti rangkaian untuk mengelakkan serangan).
- Meneutralkan serangan (contohnya, mengalih keluar fail yang dijangkiti dan menghantarnya kepada penerima yang telah dikosongkan atau berfungsi dalam mod proksi, i.e. analisis permintaan masuk dan memotong data dalam pengepala paket).
Kelebihan mana-mana teknologi pasti datang dengan beberapa kelemahan. Sebagai contoh, sistem IDPS mungkin tidak selalu mengenal pasti insiden keselamatan maklumat dengan tepat dan kadangkala boleh tersilap kelakuan trafik/pengguna biasa sebagai insiden.
Dalam pilihan pertama adalah kebiasaan untuk bercakap tentang negatif palsu (hasil negatif palsu), dalam pilihan kedua mereka bercakap tentang positif palsu ( penggera palsu). Tiada penyelesaian yang sedia ada hari ini boleh menghapuskan sama ada acara FP atau FN sepenuhnya. Oleh itu, organisasi mesti memutuskan secara bebas dalam setiap kes yang mana antara kumpulan risiko ini menimbulkan ancaman terbesar, dan kemudian menyesuaikan penyelesaiannya dengan sewajarnya.
Terdapat pelbagai teknik untuk mengesan insiden menggunakan teknologi IDPS. Kebanyakan pelaksanaan IDPS menggunakan gabungan teknologi ini untuk menyediakan tahap pengesanan ancaman yang lebih tinggi. Perlu diingat bahawa peralatan ALTELL NEO melaksanakan semua teknologi yang diterangkan di bawah.
Pengesanan berasaskan tandatangan serangan e-mel
Tandatangan ialah corak yang, apabila dikesan dalam trafik atau mesej pos, secara unik mengenal pasti serangan tertentu. Pengesanan serangan berasaskan tandatangan ialah proses membandingkan kandungan dengan pangkalan data tandatangan yang disimpan dalam penyelesaian. Contoh tandatangan ialah:
- sambungan telnet oleh pengguna akar, yang akan menjadi pelanggaran dasar keselamatan syarikat tertentu;
- e-mel masuk dengan subjek " gambar percuma» dengan fail yang dilampirkan freepics.exe;
- log sistem pengendalian dengan kod 645, yang menunjukkan bahawa pengauditan hos dilumpuhkan.
Kaedah ini sangat berkesan untuk mengesan ancaman yang diketahui, tetapi sangat tidak berkesan terhadap serangan yang belum ada tandatangan.
Sistem anti-virus/anti-spam terbina dalam ALTELL NEO membolehkan anda menapis daripada 120 hingga 800 huruf seminit.
Mengesan serangan berdasarkan tingkah laku anomali
Kaedah ini adalah berdasarkan membandingkan aktiviti biasa elemen rangkaian dengan peristiwa yang menyimpang daripada tahap normal. IPS menggunakan kaedah ini mempunyai apa yang dipanggil. profil yang mencerminkan tingkah laku biasa pengguna, nod rangkaian, sambungan, aplikasi dan trafik. Profil ini dibuat semasa "tempoh latihan" sepanjang tempoh masa.
Sebagai contoh, profil mungkin merekodkan peningkatan 13% dalam trafik web pada hari bekerja. IDPS menggunakan lebih lanjut kaedah statistik apabila membandingkan ciri-ciri berbeza aktiviti sebenar dengan nilai ambang yang diberikan. Apabila nilai ambang ini melebihi, mesej yang sepadan dihantar ke konsol pengurusan pentadbir keselamatan. Profil boleh dibuat berdasarkan atribut yang diambil daripada analisis tingkah laku pengguna, seperti bilangan e-mel yang dihantar, bilangan percubaan log masuk yang gagal, tahap penggunaan CPU pelayan dalam tempoh masa tertentu dan banyak lagi.
Kaedah ini membolehkan anda menyekat serangan yang memintas penapisan analisis tandatangan.
IDS/IPS yang digunakan oleh syarikat kami dalam tembok api ALTELL NEO generasi baharu adalah berdasarkan teknologi Suricata terbuka, diubah suai untuk memenuhi keperluan syarikat. Tidak seperti IDS/IPS Snort terbuka yang lebih biasa, Suricata mempunyai beberapa kelebihan, contohnya, ia membolehkan anda mencapai prestasi yang lebih tinggi dengan menyelaraskan pemprosesan trafik merentas teras pemproses dan kurang positif palsu.
Perlu dipertimbangkan bahawa untuk IDS/IPS berfungsi dengan betul, ia memerlukan pangkalan data tandatangan yang terkini. ALTELL NEO menggunakan Pangkalan Data Kerentanan Nasional terbuka dan Bugtraq untuk tujuan ini. Pangkalan data dikemas kini dua hingga tiga kali sehari, yang memastikan tahap keselamatan maklumat yang optimum.
Sistem ALTELL NEO boleh beroperasi dalam dua mod: mod pengesanan pencerobohan (IDS) dan mod pencegahan pencerobohan (IPS). Mendayakan kedua-dua fungsi IDS dan IPS berlaku pada antara muka peranti yang dipilih oleh pentadbir - satu atau lebih. Ia juga mungkin untuk memanggil fungsi IPS semasa mengkonfigurasi peraturan firewall untuk jenis tertentu trafik yang perlu diperiksa. Perbezaan fungsi antara IDS dan IPS ialah dalam mod IPS, serangan rangkaian boleh disekat dalam masa nyata.
Peraturan keselamatan dibangunkan oleh komuniti Ancaman Muncul. Peraturan ini berdasarkan pengalaman bertahun-tahun bersama pakar dalam bidang keselamatan rangkaian dan sentiasa diperbaiki. Peraturan dikemas kini secara automatik (untuk ini, sambungan Internet mesti dikonfigurasikan dalam ALTELL NEO). Jika perlu, anda boleh menyediakan kemas kini manual.
Setiap peraturan diberikan keutamaan mengikut kelas serangannya berdasarkan kekerapan penggunaan dan kepentingan. Tahap keutamaan standard berjulat dari 1 hingga 3, dengan keutamaan 1 adalah tinggi, keutamaan 2 adalah sederhana, dan keutamaan 3 adalah rendah.
Berdasarkan keutamaan ini, tindakan boleh ditetapkan yang akan diambil oleh sistem IDS/IPS dalam masa nyata apabila ia mengesan trafik rangkaian yang sepadan dengan tandatangan peraturan. Tindakan itu boleh menjadi salah satu daripada yang berikut:
- Makluman (mod ID) – trafik dibenarkan dan dimajukan kepada penerima. Amaran ditulis pada log peristiwa. Tindakan ini adalah lalai untuk semua peraturan.
- Drop (mod IPS) – analisis paket berhenti, tiada perbandingan lanjut dibuat untuk pematuhan peraturan yang tinggal. Paket dibuang dan amaran ditulis pada log.
- Tolak (mod IPS) – dalam mod ini, paket dibuang dan amaran ditulis pada log. Dalam kes ini, mesej yang sepadan dihantar kepada pengirim dan penerima paket.
- Lulus (mod IDS dan IPS) – dalam mod ini, analisis paket berhenti, dan sistem tidak melakukan perbandingan selanjutnya untuk pematuhan peraturan yang tinggal. Paket dimajukan ke destinasinya dan tiada amaran dijana.
Laporan mengenai trafik yang melalui sistem pengesanan dan pencegahan pencerobohan ALTELL NEO boleh dijana dalam sistem pemantauan dan kawalan luaran (EMS) reka bentuk kami sendiri. SVMiU mengumpul data awal (makluman) daripada satu atau lebih peranti ALTELL NEO.
Sistem pengesanan dan pencegahan pencerobohan ALTELL NEO beroperasi pada kelajuan dari 80 Mbit/s
sehingga 3200 Mbit/s.
Sistem penapisan web
ALTELL NEO mempunyai modul proksi web terbina dalam (perantara) untuk menapis permintaan pengguna dan data cache yang diterima daripada World Wide Web.
Perantara boleh beroperasi dalam beberapa mod, yang boleh digabungkan untuk menyelesaikan masalah yang berbeza. Berdasarkan konteks aplikasi, mod pengendalian berikut dibezakan:
- interaksi dengan perisian pelanggan (sebagai contoh, pelayar web pengguna): "telus" dan "legap";
- pengesahan pengguna proksi: tanpa pengesahan, dengan pengesahan berasaskan LDAP, dengan pengesahan berasaskan NTLM;
- memproses permintaan pengguna (URL kandungan, alamat IP sumber, dsb.): dengan dan tanpa penapisan;
- memproses kandungan web yang diterima sebagai tindak balas kepada permintaan pengguna: dengan dan tanpa caching;
- dengan mod proksi SSL didayakan dan dilumpuhkan.
Pasaran UTM adalah besar dan berkembang, dengan kedua-dua penyelesaian perkakasan dan perisian tersedia. Yang mana satu untuk digunakan adalah perkara yang perlu dibuat oleh setiap pakar dan setiap organisasi berdasarkan pilihan dan keupayaan mereka. Perkara utama ialah mempunyai pelayan dengan parameter yang sesuai, kerana kini satu sistem akan melakukan beberapa pemeriksaan, dan beban akan meningkat dengan ketara.
Salah satu kelebihan peranti UTM moden ialah serba boleh, dan ALTELL NEO ialah contoh yang baik bagi pendekatan ini. Bergantung pada saiz syarikat, penyelesaian pelbagai kelas boleh digunakan: dari desktop ke sistem pelayan 2U dengan prestasi sehingga 18.5 Gbit/s. Teknologi Kaspersky Lab yang mendasari fungsi anti-virus ALTELL NEO membolehkan anda mengemas kini pangkalan data anti-virus daripada 10 hingga 25 kali sehari. Walau bagaimanapun, saiz kemas kini purata biasanya tidak melebihi 50 KB, yang merupakan salah satu nisbah kekerapan/saiz terbaik dalam industri.
Bersentuhan dengan
Terdapat pendapat bahawa UTM dan NGFW adalah perkara yang sama. Saya ingin menepis pendapat ini.
Apa yang datang dahulu?
Betul, mula-mula ada UTM (Unified Threat Management). Ini adalah sistem semua-dalam-satu. Seseorang yang bijak berfikir untuk memasang beberapa enjin perlindungan pada satu pelayan sekaligus. Profesional keselamatan kini berpeluang menerima kawalan dan operasi beberapa enjin keselamatan secara serentak dari satu kotak. Kini tembok api, VPN, IPS, antivirus, penapis web dan antispam berfungsi bersama. Orang lain menggunakan enjin lain, contohnya, DLP. Pada masa kini, enjin penyahsulitan SSL dan SSH serta enjin parsing dan penyekat aplikasi adalah wajib di semua 7 lapisan model ISO OSI. Sebagai peraturan, enjin diambil dari vendor yang berbeza atau bahkan percuma, contohnya, IPS dari SNORT, clamav antivirus atau firewall iptables. Memandangkan tembok api juga merupakan penghala atau suis untuk trafik, enjin penghalaan dinamik juga paling kerap daripada pengeluar tertentu. Apabila permintaan meningkat, pemain besar muncul di pasaran dan dapat membeli beberapa perkembangan yang baik untuk pengendalian enjin yang diperlukan dan menggabungkan kerja mereka dalam satu peranti UTM. Sebagai contoh, Check Point membeli IPS daripada NFR, Cisco membeli IPS daripada Sourcefire. Jenama popular boleh dilihat di dataran Gartner UTM. Pada 2017, pemimpin UTM menurut Gartner ialah Check Point, Fortinet dan Sophos.
Kelemahan seni bina UTM. Mengapa NGFW wujud?
Rajah 1. Contoh seni bina kerja UTM.
Cabaran seni bina pertama UTM ialah semua enjin di dalamnya bergilir-gilir menghantar antara satu sama lain paket rangkaian dan menunggu enjin sebelum ini menyelesaikan kerjanya sebelum menghidupkan enjin kita sendiri. Akibatnya, lebih banyak ciri yang dibina oleh vendor ke dalam peranti mereka, lebih perlahan ia berfungsi. Akibatnya, pengguna peranti sedemikian perlu melumpuhkan IPS dan antivirus atau sebahagian daripada tandatangan mereka agar trafik mengalir sama sekali. Iaitu, mereka seolah-olah membayar untuk peranti keselamatan, tetapi hanya menggunakannya sebagai penghala. Ia adalah perlu untuk menghasilkan sesuatu supaya enjin perlindungan tidak akan menunggu antara satu sama lain dan akan berfungsi secara selari.
Langkah baharu pengeluar NGFW ialah mereka menggunakan cip khusus yang melihat trafik yang sama pada masa yang sama. Ini menjadi mungkin kerana setiap pemproses mula bertanggungjawab ke atas fungsinya sendiri: tandatangan IPS dicantumkan menjadi satu, tandatangan antivirus ke yang lain, dan tandatangan URL ke tandatangan ketiga. Anda boleh mendayakan semua tandatangan dalam semua enjin - trafik dilindungi sepenuhnya tanpa mengurangkan prestasi. Cip boleh atur cara jenis ini dipanggil FPGA (litar bersepadu logik boleh atur cara) atau dalam kesusasteraan Inggeris FPGA. Perbezaan mereka daripada ASIC ialah ia boleh diprogramkan semula dengan cepat dan melaksanakan fungsi baharu, contohnya, menyemak tandatangan baharu selepas mengemas kini mikrokod atau sebarang fungsi lain. Inilah yang digunakan NGFW - semua kemas kini dipancarkan terus ke dalam cip FPGA.
Rajah 2. Contoh seni bina Palo Alto Networks NGFW.
Cabaran kedua seni bina UTM ia menjadi bahawa semua operasi fail memerlukan cakera keras untuk berfungsi. Apakah kelajuan baca dari cakera keras? 100 Megabait sesaat. Apakah yang akan dilakukan oleh UTM jika anda mempunyai kelajuan 10Gbps dalam pusat data anda? Jika 300 orang dalam syarikat anda memutuskan untuk memuat turun folder fail melalui rangkaian Microsoft (protokol SMB), maka apakah yang akan UTM lakukan? UTM yang buruk hanya akan dimuatkan pada 100% dan berhenti berfungsi. Dalam UTM lanjutan, untuk kes ini, pelbagai mekanisme dibina untuk melumpuhkan operasi enjin perlindungan secara automatik: antivirus-bypass, ips-bypass dan lain-lain, yang mematikan fungsi keselamatan apabila beban perkakasan melebihi keupayaannya. Bagaimana jika anda bukan sahaja perlu menyimpan fail, tetapi juga membongkar arkib? Kelajuan kerja semakin berkurangan. Oleh itu, UTM digunakan terutamanya dalam syarikat kecil di mana kelajuan tidak penting, atau di mana keselamatan menjadi pilihan.
Amalan menunjukkan bahawa sebaik sahaja kelajuan rangkaian meningkat, maka di UTM anda perlu mematikan semua enjin kecuali penghalaan dan tembok api paket, atau hanya memasang tembok api biasa. Iaitu, tugas telah lama untuk mempercepatkan kerja antivirus fail.
Peralihan seni bina baharu untuk pengeluar NGFW pertama, yang muncul pada tahun 2007, ialah fail tidak lagi disimpan ke cakera, iaitu, semua analisis lalu lintas, penyahkodan dan pemasangan fail untuk pengimbasan antivirus mula dilakukan dalam ingatan. Ini sangat meningkatkan prestasi peranti keselamatan dan memisahkannya daripada prestasi cakera keras. Kelajuan rangkaian berkembang lebih cepat kelajuan keras cakera. Hanya NGFW yang akan menyelamatkan pekerja keselamatan. Pada masa ini, menurut Gartner, terdapat dua pemimpin dalam NGFW: Rangkaian Palo Alto dan Check Point.
Bagaimanakah ia berfungsi dengan aplikasi lapisan 7 dalam UTM dan NGFW?
Dengan kemunculan NGFW, pelanggan mempunyai peluang baharu - mentakrifkan aplikasi Lapisan 7. Jurutera rangkaian mengkaji model tujuh lapisan interaksi rangkaian ISO OSI. Pada tahap 4 model ini mereka bekerja protokol TCP dan UDP, yang telah dianggap mencukupi untuk analisis trafik dan pengurusan trafik selama 20 tahun terakhir rangkaian IP. Iaitu, tembok api biasa hanya menunjukkan alamat IP dan port. Apa yang berlaku pada peringkat 5-7 seterusnya? Firewall generasi baharu melihat semua peringkat abstraksi dan menunjukkan aplikasi mana yang memindahkan fail mana. Ini sangat meningkatkan pemahaman IT tentang interaksi rangkaian dan meningkatkan keselamatan dengan mendedahkan terowong dalam aplikasi terbuka dan membenarkan mereka menyekat aplikasi dan bukan hanya port. Sebagai contoh, bagaimana untuk menyekat skype atau bittorent dengan tembok api generasi lama biasa? Ya, tidak mungkin.
Vendor UTM akhirnya menambah enjin definisi aplikasi. Walau bagaimanapun, mereka mempunyai dua enjin pengurusan trafik - port 4 hidup Tahap TCP, UDP dan ICMP dan pada tahap mencari kandungan aplikasi dalam trafik seperti teamviewer, tor, skype. Ternyata UTM mempunyai beberapa dasar: satu mengawal port, yang kedua mengawal aplikasi. Dan ini menimbulkan banyak kesukaran, akibatnya, tiada siapa yang menggunakan dasar pengurusan aplikasi.
Saya melampirkan pembentangan mengenai topik visualisasi peringkat aplikasi. Ia juga menyentuh topik Shadow IT. Tetapi lebih lanjut mengenai itu kemudian..
Internet moden penuh dengan banyak ancaman, jadi pentadbir menghabiskan sebahagian besar masa mereka untuk memastikan keselamatan rangkaian. Kemunculan peranti keselamatan UTM pelbagai fungsi serta-merta menarik perhatian pakar keselamatan kerana... mereka menggabungkan berbilang modul keselamatan dengan kemudahan penggunaan dan pengurusan. Hari ini anda boleh menemui banyak pelaksanaan, jadi memilih kadangkala tidak begitu mudah. Mari cuba memahami ciri penyelesaian popular.
Apa itu UTM?
Memandangkan pertumbuhan rangkaian dan serangan virus, spam, keperluan untuk mengatur pertukaran selamat data, perniagaan memerlukan keselamatan yang boleh dipercayai dan mudah diurus. Isu ini amat meruncing dalam rangkaian perniagaan kecil dan sederhana, yang selalunya tiada keupayaan teknikal dan kewangan untuk menggunakan sistem keselamatan heterogen. Dan biasanya tidak cukup pakar terlatih dalam organisasi tersebut. Ia adalah untuk keadaan ini peranti rangkaian pelbagai peringkat pelbagai fungsi dibangunkan, dipanggil UTM (Pengurusan Ancaman Bersatu, peranti keselamatan bersatu). Setelah berkembang daripada firewall, UTM hari ini menggabungkan fungsi beberapa penyelesaian - firewall dengan DPI (Deep Packet Inspection), sistem perlindungan pencerobohan (IDS/IPS), antispam, antivirus dan penapisan kandungan. Selalunya peranti sedemikian mempunyai keupayaan untuk mengatur VPN, pengesahan pengguna, pengimbangan beban, perakaunan trafik, dll. Peranti kelas semua-dalam-satu dengan konsol tunggal tetapan membolehkan anda menggunakannya dengan cepat, dan seterusnya ia juga mudah untuk mengemas kini semua fungsi atau menambah yang baharu. Apa yang diperlukan daripada pakar adalah pemahaman tentang apa dan bagaimana untuk melindungi. Kos UTM lazimnya lebih rendah daripada membeli berbilang aplikasi/peranti, jadi jumlah kos adalah lebih rendah.
Istilah UTM dicipta oleh Charles Kolodgy dari syarikat analitik IDC (InternationalData Corporation) dalam dokumen “ Seluruh dunia Perkakas Keselamatan Pengurusan Ancaman 2004-2008 Ramalan,” yang diterbitkan pada September 2004, untuk mengenal pasti peralatan keselamatan serba boleh yang boleh mengendalikan jumlah serangan rangkaian yang semakin meningkat. Pada mulanya, diandaikan hanya terdapat tiga fungsi (firewall, DPI dan antivirus), tetapi kini keupayaan yang disediakan oleh peranti UTM adalah lebih luas.
Pasaran UTM agak besar dan menunjukkan pertumbuhan tahunan sebanyak 25-30% (secara beransur-ansur menggantikan tembok api "tulen"), dan oleh itu hampir semua pemain utama telah membentangkan penyelesaian mereka, kedua-dua perkakasan dan perisian. Yang mana satu untuk digunakan selalunya adalah soal rasa dan kepercayaan kepada pembangun, serta ketersediaan sokongan yang mencukupi dan, tentu saja, syarat tertentu. Satu-satunya perkara ialah anda harus memilih pelayan yang boleh dipercayai dan produktif dengan mengambil kira beban yang dirancang, kerana kini satu sistem akan melakukan beberapa pemeriksaan, dan ini memerlukan sumber tambahan. Dalam kes ini, anda perlu berhati-hati, ciri-ciri penyelesaian UTM biasanya menunjukkan daya pemprosesan firewall, dan keupayaan IPS, VPN dan komponen lain selalunya adalah susunan magnitud yang lebih rendah. Pelayan UTM adalah titik akses tunggal, kegagalan yang pada dasarnya akan meninggalkan organisasi tanpa Internet, jadi pelbagai pilihan pemulihan juga tidak akan berlebihan. Pelaksanaan perkakasan selalunya mempunyai coprocessor tambahan yang digunakan untuk memproses jenis data tertentu, seperti penyulitan atau analisis konteks, untuk melegakan beban pada CPU utama. Tetapi pelaksanaan perisian boleh dipasang pada mana-mana PC, dengan kemungkinan peningkatan tanpa masalah selanjutnya bagi mana-mana komponen. Dalam hal ini, penyelesaian OpenSource (Untangle, pfSense, Endian dan lain-lain) adalah menarik, membolehkan penjimatan ketara pada perisian. Kebanyakan projek ini juga menawarkan versi komersial dengan ciri lanjutan dan sokongan teknikal.
Platform: FortiGate
Laman web projek: fortinet-russia.ru
Lesen: dibayar
Perlaksanaan: perkakasan
Syarikat California Fortinet, yang diasaskan pada tahun 2000, kini merupakan salah satu pembekal terbesar peranti UTM yang bertujuan untuk beban kerja yang berbeza daripada pejabat kecil (FortiGate-30) ke pusat data (FortiGate-5000). Peranti FortiGate ialah platform perkakasan yang menyediakan perlindungan terhadap ancaman rangkaian. Platform ini dilengkapi dengan tembok api, IDS/IPS, pengimbasan trafik anti-virus, anti-spam, penapis web dan kawalan aplikasi. Sesetengah model menyokong DLP, VoIP, pembentukan trafik, pengoptimuman WAN, toleransi kesalahan, pengesahan pengguna untuk mengakses perkhidmatan rangkaian, PKI dan lain-lain. Mekanisme profil aktif membolehkan anda mengesan trafik atipikal dan mengautomasikan respons kepada peristiwa sedemikian. Antivirus boleh mengimbas fail dalam sebarang saiz, termasuk arkib, sambil mengekalkan tahap prestasi yang tinggi. Mekanisme penapisan web membolehkan anda menetapkan akses kepada lebih daripada 75 kategori tapak web dan menentukan kuota, termasuk bergantung pada masa dalam sehari. Sebagai contoh, akses kepada portal hiburan hanya boleh dibenarkan semasa waktu tidak bekerja. Modul kawalan aplikasi mengesan trafik biasa (Skype, P2p, IM, dll.) tanpa mengira port, peraturan membentuk trafik ditentukan untuk aplikasi individu dan kategori. Zon keselamatan dan domain maya membolehkan anda membahagikan rangkaian kepada subnet logik. Sesetengah model mempunyai antara muka suis LAN kedua tahap dan antara muka WAN, penghalaan melalui protokol RIP, OSPF dan BGP disokong. Gerbang boleh dikonfigurasikan dalam salah satu daripada tiga pilihan: mod telus, NAT statik dan dinamik, yang membolehkan anda melaksanakan FortiGate tanpa rasa sakit ke dalam mana-mana rangkaian. Untuk melindungi titik akses, pengubahsuaian khas dengan WiFi digunakan - FortiWiFi.
Untuk meliputi sistem (PC di bawah Kawalan Windows, telefon pintar Android) yang beroperasi di luar rangkaian yang dilindungi, program ejen FortiClient boleh dipasang padanya, yang termasuk set penuh(firewall, antivirus, SSL dan IPsec VPN, IPS, penapis web, antispam dan banyak lagi). FortiManager dan FortiAnalyzer digunakan untuk mengurus berbilang peranti Fortinet secara berpusat dan menganalisis log peristiwa.
Selain antara muka web dan CLI, untuk konfigurasi asas FortiGate/FortiWiFi, anda boleh menggunakan program FortiExplorer (tersedia dalam Win dan Mac OS X), yang menawarkan akses kepada GUI dan CLI (perintah menyerupai Cisco).
Salah satu ciri FortiGate ialah set khusus cip FortiASIC yang menyediakan analisis kandungan dan pemprosesan trafik rangkaian dan membenarkan pengesanan masa nyata ancaman rangkaian tanpa menjejaskan prestasi rangkaian. Semua peranti menggunakan OS khusus - FortiOS.
Platform: Check Point UTM-1
Tapak web projek: rus.checkpoint.com
Lesen: dibayar
Perlaksanaan: perkakasan
Check Point menawarkan 3 baris peranti kelas UTM: UTM-1, UTM-1 Edge (pejabat jauh) dan Safe@Office (syarikat kecil). Penyelesaian ini mengandungi semua yang anda perlukan untuk melindungi rangkaian anda - tembok api, IPS, get laluan anti-virus, anti-spam, SSL VPN dan alatan akses jauh. Firewall boleh membezakan trafik yang wujud dalam kebanyakan aplikasi dan perkhidmatan (lebih daripada 200 protokol); pentadbir boleh menyekat akses kepada IM, rangkaian P2P atau Skype dengan mudah. Perlindungan aplikasi web dan penapisan URL disediakan, dan pangkalan data Check Point mengandungi beberapa juta tapak yang boleh disekat dengan mudah. Antivirus mengimbas aliran HTTP/FTP/SMTP/POP3/IMAP, tidak mempunyai sekatan pada saiz fail dan boleh berfungsi dengan arkib. Model UTM-1 dengan huruf W tersedia dengan titik akses WiFi terbina dalam.
IPS menggunakan pelbagai kaedah pengesanan dan analisis: tandatangan kelemahan, analisis protokol dan tingkah laku objek, dan pengesanan anomali. Mekanisme analisis dapat mengira data penting, jadi 10% daripada trafik diperiksa dengan teliti, selebihnya berlalu tanpa pemeriksaan tambahan. Ini mengurangkan beban pada sistem dan meningkatkan kecekapan UTM. Sistem anti-spam menggunakan beberapa teknologi - reputasi IP, analisis kandungan, hitam dan putih senarai putih. Menyokong penghalaan dinamik OSPF, BGP dan RIP, beberapa kaedah pengesahan pengguna (kata laluan, RADUIS, SecureID, dll.), pelayan DHCP dilaksanakan.
Penyelesaiannya menggunakan seni bina modular, yang dipanggil Software Blades, yang membenarkan, jika perlu, untuk mengembangkan fungsi ke tahap yang dikehendaki, menyediakan tahap keselamatan dan kos yang diperlukan. Dengan cara ini anda boleh memasang semula pintu masuk dengan bilah Keselamatan Web(penemuan dan perlindungan infrastruktur web), VoIP ( Perlindungan VoIP), Rangkaian Lanjutan, Pecutan & Pengelompokan (prestasi maksimum dan ketersediaan dalam persekitaran bercabang). Contohnya, teknologi Web Application Firewall dan Advanced Streaming Inspection yang digunakan dalam Web Security membolehkan anda memproses konteks dalam masa nyata, walaupun ia dipecahkan kepada beberapa paket TCP, menggantikan pengepala, menyembunyikan data tentang aplikasi yang digunakan dan mengubah hala pengguna. ke halaman dengan Penerangan terperinci kesilapan.
Kawalan jauh boleh dilakukan menggunakan web dan Telnet/SSH. Untuk tetapan terpusat beberapa peranti, Check Point SmartCenter yang digunakan di dalamnya boleh digunakan Teknologi keselamatan Seni Bina Pengurusan (SMART) membolehkan anda mengurus semua elemen Check Point yang disertakan dalam dasar keselamatan. Keupayaan SmartCenter dikembangkan dengan modul tambahan yang menyediakan visualisasi dasar, penyepaduan LDAP, kemas kini, laporan, dll. Semua kemas kini UTM diterima secara berpusat menggunakan Perkhidmatan Kemas Kini Check Point.
Platform: ZyWALL 1000
Tapak web projek: zyxel.ru
Lesen: dibayar
Perlaksanaan: perkakasan
Kebanyakan gerbang keselamatan yang dihasilkan oleh ZyXEL dengan selamat boleh diklasifikasikan sebagai UTM dalam keupayaannya, walaupun menurut pengelas rasmi, hari ini barisan ini termasuk lima model ZyWALL USG 50/100/300/1000/2000, bertujuan untuk saiz kecil dan sederhana rangkaian (sehingga 500 pengguna). Dalam terminologi ZyXEL, peranti sedemikian dipanggil "Pusat Keselamatan Rangkaian". Sebagai contoh, ZyWALL 1000 ialah gerbang akses berkelajuan tinggi yang direka untuk menyelesaikan masalah keselamatan rangkaian dan pengurusan trafik. Termasuk anti-virus penstriman Kaspersky, IDS/IPS, penapisan kandungan dan perlindungan anti-spam (Blue Coat dan Commtouch), kawalan lebar jalur dan VPN (IPSec, SSL dan L2TP melalui IPSec VPN). Dengan cara ini, apabila membeli, anda harus memberi perhatian kepada firmware - antarabangsa atau untuk Rusia. Dalam yang terakhir, disebabkan oleh sekatan kesatuan kastam, kunci DES 56-bit digunakan untuk terowong VPN IPsec dan SSL VPN.
Dasar capaian adalah berdasarkan beberapa kriteria (IP, pengguna dan masa). Alat penapisan kandungan memudahkan untuk menyekat akses ke tapak pada topik tertentu dan pengendalian program tertentu IM, P2P, VoIP, mel, dll. Sistem IDS menggunakan tandatangan dan melindungi daripada cecacing rangkaian, Trojan, pintu belakang, DDoS dan eksploitasi. Teknologi Pengesanan dan Pencegahan Anomali menganalisis paket yang melalui pintu masuk pada lapisan OSI 2 dan 3, mengenal pasti ketidakkonsistenan, mengenal pasti dan menyekat 32 jenis serangan rangkaian. Keupayaan Keselamatan Titik Akhir membolehkan anda menyemak jenis OS secara automatik, kehadiran antivirus dan tembok api yang aktif, kehadiran kemas kini yang dipasang, menjalankan proses, tetapan pendaftaran dan lain-lain. Pentadbir boleh melarang akses kepada Rangkaian untuk sistem yang tidak memenuhi parameter tertentu.
Melaksanakan pelbagai tempahan akses Internet dan pengimbangan beban. Penghantaran VoIP melalui protokol SIP dan H.323 adalah mungkin pada tahap firewall dan NAT, dan dalam terowong VPN. Organisasi VLAN mudah dan penciptaan antara muka alias maya disediakan. Pengesahan menggunakan LDAP, AD, RADIUS disokong, yang membolehkan anda mengkonfigurasi dasar keselamatan berdasarkan peraturan yang telah diterima pakai dalam organisasi.
Kemas kini kepada asas komponen utama dan pengaktifan beberapa fungsi (anti-spam Commtouch, meningkatkan bilangan terowong VPN) dijalankan menggunakan kad sambungan. Konfigurasi dilakukan menggunakan CLI dan antara muka web. Juruteknik akan membantu anda membuat pemasangan awal.
OS: Untangle Server 9.2.1 Cruiser
Laman web projek: untangle.com
Lesen: GPL
Perlaksanaan: perisian
Platform perkakasan: x86, x64
Keperluan sistem: Pentium 4 atau AMD yang serupa, 1 GB RAM, cakera 80 GB, 2 NIC.
Sebarang pengedaran *nix boleh dikonfigurasikan sebagai penyelesaian UTM sepenuhnya; semua yang diperlukan untuk ini tersedia dalam repositori pakej. Tetapi terdapat juga kelemahan: semua komponen perlu dipasang dan dikonfigurasikan secara bebas (dan ini sudah memerlukan sedikit pengalaman), dan, yang penting, kami kehilangan satu antara muka pengurusan. Oleh itu, dalam konteks ini, penyelesaian siap sedia dibina berdasarkan sistem OpenSource adalah sangat menarik.
Pengedaran Untangle, yang dihasilkan oleh syarikat dengan nama yang sama, muncul pada tahun 2008 dan segera menarik perhatian masyarakat dengan pendekatannya. Ia berdasarkan Debian, semua tetapan dibuat menggunakan antara muka yang mudah dan intuitif. Pada mulanya, pengedaran itu dipanggil Untangle Gateway dan bertujuan untuk digunakan dalam organisasi kecil (sehingga 300 pengguna) sebagai pengganti sepenuhnya untuk Forefront TMG proprietari untuk menyediakan akses Internet yang selamat dan melindungi rangkaian dalaman daripada beberapa ancaman. Dari masa ke masa, fungsi dan keupayaan pengedaran menjadi lebih luas dan namanya ditukar kepada Untangle Server, dan pengedaran itu sudah mampu menyokong bilangan pengguna yang lebih besar (sehingga 5000 atau lebih, bergantung pada kuasa pelayan).
Pada mulanya, fungsi keselamatan Untangle dilaksanakan dalam bentuk modul. Selepas pemasangan sistem asas Tiada modul perlindungan; pentadbir memilih secara bebas apa yang dia perlukan. Untuk kemudahan, modul dibahagikan kepada 5 pakej (Premium, Standard, Education Premium Education Standard dan Lite), ketersediaannya ditentukan oleh lesen, dan pakej itu sendiri dibahagikan kepada dua kumpulan mengikut tujuan: Penapis dan Perkhidmatan. Semua aplikasi OpenSource dikumpulkan dalam Lite percuma, yang mengandungi 13 aplikasi yang menyediakan pengimbasan trafik untuk virus dan perisian intip, penapis kandungan, sepanduk dan sekatan spam, firewall, kawalan protokol, IDS/IPS, OpenVPN, dasar akses (Portal Captive). Modul Laporan, termasuk dalam pakej Ringkas, membenarkan pentadbir menerima laporan tentang semua situasi yang mungkin - aktiviti rangkaian, protokol, spam dan virus yang dikesan, aktiviti pengguna dengan keupayaan untuk menghantar hasil melalui e-mel dan mengeksport ke PDF, HTML, XLS, CSV dan XML. Ia berdasarkan aplikasi OpenSource yang popular seperti Snort, ClamAV, SpamAssasin, Squid, dll. Di samping itu, pelayan Untangle menyediakan segala-galanya fungsi rangkaian- penghalaan, NAT, DMZ, QoS, mempunyai pelayan DHCP dan DNS.
Tersedia dalam pakej komersial: pengimbangan beban dan Failover, saluran dan kawalan lebar jalur aplikasi, modul untuk bekerja dengannya Direktori Aktif, tempahan tetapan dan beberapa fungsi lain. Sokongan juga tersedia dengan bayaran, walaupun jawapan kepada banyak soalan boleh didapati di forum rasmi. Di samping itu, projek ini menawarkan pelayan sedia dengan Untangle diprapasang.
Antara muka yang mudah ditulis dalam Java ditawarkan untuk konfigurasi; semua perubahan dan statistik operasi dipaparkan dalam masa nyata. Apabila bekerja dengan Untangle, pentadbir tidak perlu mempunyai pengetahuan mendalam tentang *nix; ia sudah cukup untuk memahami apa yang perlu diperolehi sebagai hasilnya. Memasang pengedaran agak mudah, anda hanya perlu mengikut gesaan wizard; wizard lain akan membantu anda mengkonfigurasi get laluan.
Tembok Api Endian
OS: Endian Firewall Community 2.5.1
Tapak web projek: endian.com/en/community
Lesen: GPL
Platform perkakasan: x86
Keperluan sistem: CPU 500 MHz, 512 MB RAM, 2 GB
Pembangun Endian Firewall menawarkan beberapa versi produk mereka, dilaksanakan sebagai platform perkakasan dan perisian. Terdapat juga versi untuk mesin maya. Semua keluaran dilesenkan di bawah GPL, tetapi hanya tersedia untuk muat turun percuma imej ISO Edisi Komuniti dan sumber. Sistem pengendalian dibina di atas berasaskan CentOS dan mengandungi semua khusus aplikasi Linux, menyediakan fungsi firewall, IDS/IPS, pengimbasan anti-virus trafik HTTP/FTP/POP3/SMTP, perlindungan anti-spam, penapis kandungan, modul anti-spoofing dan anti-phishing, sistem pelaporan. Anda boleh membuat VPN menggunakan OpenVPN dan IPsec dengan kunci atau pengesahan sijil. Penapis kandungan mengandungi tetapan sedia untuk lebih daripada 20 kategori dan subkategori tapak, terdapat senarai hitam dan fungsi penapisan kontekstual. Menggunakan ACL, anda boleh menentukan parameter akses untuk pengguna individu, kumpulan, IP, masa dan pelayar. Statistik disimpan pada sambungan, trafik dan pengalaman pengguna. Apabila peristiwa tertentu berlaku, mesej dihantar ke e-mel pentadbir. Pengesahan pengguna tempatan, Active Directory, LDAP dan RADIUS disediakan. Antara muka memudahkan untuk mencipta VLAN, mengurus QoS dan menyokong SNMP. Pada mulanya, kit pengedaran dilengkapi dengan Antivirus ClamAV, ia adalah pilihan untuk menggunakan enjin antivirus Sophos.
Untuk tetapan, antara muka web dan baris arahan digunakan. Pemasangan awal dibuat menggunakan wizard yang membolehkan anda menetapkan jenis sambungan Internet dan menetapkan antara muka (LAN, WiFi, DMZ). Berbilang alamat IP boleh diberikan kepada antara muka luaran; MultiWAN disokong. Untuk kemudahan tetapan, antara muka rangkaian dibahagikan kepada zon - MERAH, OREN, BIRU dan HIJAU; peraturan firewall sudah mengandungi tetapan yang menentukan pertukaran antara mereka. Tetapan dibahagikan kepada kumpulan, nama yang bercakap untuk diri mereka sendiri; dengan berhati-hati, mereka sangat mudah difahami.
Kesimpulan
Sistem UTM yang kompleks secara beransur-ansur menggantikan penyelesaian tradisional seperti tembok api, jadi anda patut melihatnya dengan lebih dekat. Bergantung pada keadaan tertentu, pilihan yang berbeza adalah sesuai. OpenSource Endian Firewall dan Untangle cukup mampu melindungi rangkaian kecil dan sederhana. Sudah tentu, UTM tidak menggantikan, tetapi melengkapkan langkah keselamatan yang dipasang pada PC individu, mewujudkan barisan perlindungan tambahan di pintu masuk ke LAN.
Berdasarkan keputusan 2015 Makmal Kaspersky memetik statistik yang mengecewakan: kira-kira 58% daripada PC korporat telah diserang oleh perisian hasad sekurang-kurangnya sekali. Dan ini hanyalah yang berjaya dicerminkan. Daripada jumlah ini, satu pertiga (29%) diserang melalui Internet. Telah diperhatikan bahawa tiga kali lebih kerap bukan komputer rumah yang terdedah kepada ancaman, tetapi korporat, jadi perniagaan berada dalam bahaya kehilangan atau memusnahkan data.
Pada tahun 2017, keadaan tidak menjadi lebih selamat: mari kita ingat kekecohan baru-baru ini daripada virus Petya, WannaCry dan BadRabbit yang terkenal. Namun begitu, kira-kira 80% syarikat tidak mengemas kini sistem keselamatan mereka, dan kira-kira 30% mempunyai kelemahan yang boleh dilihat dengan jelas.
Keselamatan rangkaian dalam teori dan amalan
Tidak lama dahulu, tembok api yang mudah sudah cukup untuk pengguna Internet. Walau bagaimanapun, masa telah berubah, dan kini penyelesaian yang lebih serius diperlukan - peranti UTM yang menggabungkan semua fungsi yang direka untuk melindungi rangkaian korporat daripada pencerobohan. Dengan menggunakan sistem pengurusan ancaman yang komprehensif, syarikat akan menerima antivirus, firewall, sistem pencegahan ancaman, perlindungan anti-spam dan banyak lagi "dalam satu pakej."
Tidak seperti kaedah klasik, yang melibatkan pembelian beberapa peranti berasingan dan penyepaduan mereka ke dalam satu sistem, ini adalah pilihan yang lebih menjimatkan dan produktif, pada asasnya berdasarkan tiga tiang:
- Perlindungan pelbagai peringkat dalam masa nyata.
- Penapis universal yang tidak membenarkan perisian pengintip dan virus.
- Perlindungan terhadap spam dan kandungan yang tidak diingini.
Pendekatan ini menghapuskan keperluan untuk meningkatkan perbelanjaan perkakasan, mengupah pakar IT yang boleh menjadikan keseluruhan sistem ini berfungsi dengan betul dan menyelamatkan anda daripada masalah dengan penurunan kelajuan trafik yang kerap.
Dalam amalan, perusahaan besar dan kecil akan mengutamakan fungsi yang berbeza. Dengan beralih kepada sistem yang kompleks, organisasi kecil berharap, pertama sekali, untuk menyelesaikan masalah akses rangkaian selamat untuk pekerja dan pelanggan. Untuk rangkaian korporat sederhana kompleks, saluran komunikasi yang stabil diperlukan. Syarikat-syarikat besar mengambil berat tentang menyimpan rahsia. Setiap tugas akhirnya mempunyai penyelesaian individu yang ketat.
Amalan syarikat besar
Sebagai contoh, untuk syarikat Gazprom dan organisasi serupa yang memberi keutamaan kepada perisian Rusia, ini bermakna mengurangkan risiko yang timbul apabila menggunakan perisian asing. Di samping itu, ergonomik menentukan keperluan untuk menggunakan peralatan yang diseragamkan dengan struktur perkakasan yang telah digunakan.
Masalah yang dihadapi oleh perniagaan besar adalah disebabkan oleh saiz organisasi. UTM di sini membantu dalam menyelesaikan isu yang berkaitan dengan sejumlah besar pekerja, jumlah yang besar data yang dihantar melalui rangkaian dalaman, dan keperluan untuk memanipulasi kelompok individu dengan akses Internet.
Fungsi yang dituntut oleh perniagaan besar:
- Kawalan lanjutan ke atas kerja pengguna PC, akses mereka kepada Rangkaian dan sumber individu.
- Lindungi rangkaian dalaman anda daripada ancaman, termasuk penapisan URL dan pengesahan pengguna dua faktor.
- Menapis kandungan yang dihantar melalui rangkaian dalaman, mengurus rangkaian Wi-Fi.
Satu lagi contoh dari amalan kita. Dalam direktorat stesen kereta api syarikat "KERETAPI RUSIA"(contoh klasik projek perniagaan yang besar dengan trafik terhad), penyelesaian itu menyelesaikan beberapa masalah keselamatan, menghalang kebocoran data, dan juga mencetuskan peningkatan yang diramalkan dalam kecekapan buruh akibat pemasangan penyekatan dalaman.
Untuk perusahaan sektor perbankan, dalam pengalaman kami, adalah amat penting untuk memastikan trafik Internet yang stabil, berkelajuan tinggi dan tidak terganggu, yang dicapai melalui keupayaan untuk mengimbangi dan mengagihkan semula beban. Perlindungan terhadap kebocoran maklumat dan kawalan keselamatannya juga penting.
Kompleks membeli-belah, khususnya Kolomna "Rio", juga secara berkala terdedah kepada ancaman serangan luar pada rangkaian mereka. Walau bagaimanapun, selalunya pengurusan pusat membeli-belah berminat dengan kemungkinan memperkenalkan kawalan dalaman ke atas pekerja yang mempunyai sekatan untuk bekerja dengan Internet bergantung pada tugas mereka. Di samping itu, Internet diedarkan secara aktif di seluruh kawasan pusat membeli-belah, yang meningkatkan risiko pelanggaran perimeter. Dan untuk berjaya mencegah situasi sedemikian, penyelesaian UTM mencadangkan penggunaan pengurusan aplikasi.
Pada masa ini, kompleks beli-belah Rio secara aktif menggunakan penapis, penyekatan berbilang peringkat dan penyingkiran program dan aplikasi yang disenaraihitamkan. Hasil utama dalam dalam kes ini– peningkatan kecekapan buruh dan penjimatan masa disebabkan oleh fakta bahawa pekerja tidak lagi terganggu oleh rangkaian sosial dan kedai dalam talian pihak ketiga.
Keperluan industri perkhidmatan
Kafe, restoran dan hotel berhadapan dengan keperluan untuk mengedarkan Wi-Fi secara bebas, yang dihidupkan masa ini, menurut ulasan pelawat, salah satu perkhidmatan yang paling popular. Antara masalah yang memerlukan penyelesaian segera ialah: akses Internet berkualiti tinggi dan pematuhan kepada undang-undang Persekutuan Rusia. Selain itu, rangkaian hotel mempunyai beberapa ciri khusus yang dikaitkan dengan peningkatan beban. media sosial, menyiarkan foto dan video dari percutian dan hanya melayari tidak seharusnya menyebabkan ranap dan penutupan keseluruhan sistem.
Semua masalah ini boleh diselesaikan dengan sistem UTM yang dikonfigurasikan dengan betul. Sebagai penyelesaian, adalah dicadangkan untuk memperkenalkan pengenalan peranti melalui SMS, menapis kandungan dan trafik, dan aliran berasingan yang digunakan oleh pelanggan dan pekerja mengikut penapisan dan penunjuk umur. Ia juga perlu memasang perlindungan untuk peranti yang disambungkan ke rangkaian.
Hospital, klinik dan institusi perubatan lain memerlukan sistem keselamatan bersatu yang diuruskan daripada pusat tunggal mengambil kira struktur cawangan. Penyelesaian UTM Rusia adalah keutamaan bagi agensi kerajaan tersebut berkaitan dengan dasar penggantian import dan pematuhan undang-undang mengenai perlindungan data peribadi.
Faedah penyelesaian UTM
Perkara utama adalah jelas: satu peranti menggantikan beberapa sekali gus, melaksanakan fungsi masing-masing dengan sempurna. Di samping itu, menyambung dan menyediakan peranti sedemikian adalah lebih mudah, dan sesiapa sahaja boleh bekerja dengannya. Kelebihan penyelesaian yang menyeluruh beberapa:
- Kewangan. Membeli alatan keselamatan berkualiti tinggi secara berasingan (sistem keselamatan, unit anti-virus, VPN dan pelayan proksi, tembok api, dll.) adalah berkali-kali ganda daripada kos peralatan. Terutama apabila ia datang kepada pilihan yang diimport. Peranti UTM jauh lebih berpatutan, dan produk domestik berkualiti tinggi lebih-lebih lagi.
- Berfungsi. Ancaman dihalang pada peringkat gerbang rangkaian, yang tidak mengganggu aliran kerja atau menjejaskan kualiti trafik. Kelajuan adalah stabil dan malar, aplikasi yang sensitif terhadap ini sentiasa tersedia dan berfungsi dengan baik.
- Kesederhanaan dan kebolehcapaian. Sistem berasaskan UTM bukan sahaja dipasang dengan cepat, tetapi juga diurus dengan mudah, yang memudahkan pentadbiran. Dan penyelesaian domestik dibuat dalam bahasa Rusia, yang memudahkan untuk memahami bahagian teknikal tanpa mengutak-atik istilah tertentu yang tidak perlu.
- Pemantauan dan pengurusan berpusat. Penyelesaian UTM membolehkan anda mengurus rangkaian jauh dari satu pusat tanpa kos tambahan untuk peralatan dan kakitangan.
Secara umumnya, peranti UTM menjadi elemen pusat keselamatan maklumat bagi mana-mana syarikat dengan rangkaian daripada beberapa komputer kepada puluhan ribu titik capaian, berkesan mencegah masalah dan membantu mengelakkan proses membersihkan akibat jangkitan dan penggodaman.
Walau bagaimanapun, perlu diambil kira bahawa UTM tidak menyelesaikan semua masalah, kerana ia tidak menguruskan peranti akhir yang tidak berdaya melawan pengguna yang tidak bertanggungjawab. Ancaman virus tempatan memerlukan kehadiran program anti-virus, sebagai tambahan kepada gerbang anti-virus, dan untuk menjamin pencegahan kebocoran maklumat, pemasangan sistem DLP adalah perlu. Kisah terkini mengenai lapangan terbang adalah petunjuk dalam hal ini. Heathrow, di mana penyiasatan dilancarkan selepas pemacu kilat dengan data berkaitan langkah keselamatan dan anti-keganasan di lapangan terbang itu ditemui di salah satu jalan di London.
Kriteria untuk memilih sistem UTM
Sistem mesti memenuhi beberapa parameter. Ini adalah kemudahan maksimum, kebolehpercayaan, kemudahan persediaan, kawalan yang jelas, sokongan teknikal berterusan daripada pengilang dan secara relatifnya kos rendah. Di samping itu, terdapat keperluan ketat untuk pensijilan mandatori oleh FSTEC (FZ-149, FZ-152, FZ-188). Ia terpakai kepada institusi pendidikan dan kerajaan, perniagaan yang bekerja dengan maklumat peribadi, institusi penjagaan kesihatan dan perusahaan sektor awam. Sekatan ketat disediakan untuk penggunaan sistem yang tidak disahkan: denda sehingga 50 ribu rubel, dalam beberapa kes - rampasan subjek kesalahan dan penggantungan aktiviti sehingga 90 hari.
Jaga diri anda dan data anda, gunakan sistem moden keselamatan maklumat dan jangan lupa memasang kemas kini vendor.
). Kami akan memulakan blog kami dengan pengenalan ringkas kepada teknologi Check Point.
Kami berfikir untuk masa yang lama sama ada patut menulis artikel ini, kerana... tiada perkara baru di dalamnya yang tidak dapat ditemui di Internet. Walau bagaimanapun, walaupun begitu banyak maklumat, apabila bekerja dengan pelanggan dan rakan kongsi, kami sering mendengar soalan yang sama. Oleh itu, ia telah memutuskan untuk menulis beberapa jenis pengenalan kepada dunia teknologi Check Point dan mendedahkan intipati seni bina penyelesaian mereka. Dan semua ini adalah dalam rangka satu jawatan "kecil", lawatan pantas, boleh dikatakan. Lebih-lebih lagi, kami akan cuba untuk tidak terlibat dalam peperangan pemasaran, kerana... Kami bukan vendor, tetapi hanya penyepadu sistem (walaupun kami sangat menyukai Check Point) dan hanya akan melihat perkara utama tanpa membandingkannya dengan pengeluar lain (seperti Palo Alto, Cisco, Fortinet, dll.). Artikel itu ternyata agak panjang, tetapi ia merangkumi kebanyakan soalan pada peringkat membiasakan diri dengan Check Point. Jika anda berminat, selamat datang ke kucing...
UTM/NGFW
Apabila memulakan perbualan tentang Check Point, tempat pertama untuk bermula ialah dengan penjelasan tentang apa itu UTM dan NGFW dan bagaimana ia berbeza. Kami akan melakukan ini dengan sangat ringkas supaya siaran tidak menjadi terlalu panjang (mungkin pada masa akan datang kami akan mempertimbangkan isu ini dengan lebih terperinci)
UTM - Pengurusan Ancaman Bersatu
Ringkasnya, intipati UTM ialah penyatuan beberapa alat keselamatan dalam satu penyelesaian. Itu. semuanya dalam satu kotak atau sejenis semua termasuk. Apakah yang dimaksudkan dengan "pelbagai remedi"? Pilihan yang paling biasa ialah: Firewall, IPS, Proxy (penapisan URL), penstriman Antivirus, Anti-Spam, VPN dan sebagainya. Semua ini bersatu di bawah satu penyelesaian UTM, yang lebih mudah dari sudut integrasi, konfigurasi, pentadbiran dan pemantauan, dan ini seterusnya memberi kesan positif ke atas keselamatan keseluruhan rangkaian. Apabila penyelesaian UTM mula-mula muncul, ia dianggap eksklusif untuk syarikat kecil, kerana... UTM tidak dapat mengendalikan jumlah lalu lintas yang besar. Ini kerana dua sebab:
- Kaedah pemprosesan paket. Versi pertama penyelesaian UTM memproses paket secara berurutan, setiap "modul". Contoh: pertama paket diproses oleh firewall, kemudian IPS, kemudian diimbas oleh Anti-Virus, dan seterusnya. Sememangnya, mekanisme sedemikian memperkenalkan kelewatan yang serius dalam lalu lintas dan banyak menggunakan sumber sistem (pemproses, memori).
- Perkakasan yang lemah. Seperti yang dinyatakan di atas, pemprosesan berurutan paket banyak menggunakan sumber dan perkakasan pada masa itu (1995-2005) tidak dapat menampung lalu lintas yang besar.
Di bawah ialah Gartner Magic Quadrant yang terkenal untuk penyelesaian UTM untuk Ogos 2016:
Saya tidak akan mengulas banyak mengenai gambar ini, saya hanya akan mengatakan bahawa pemimpin berada di sudut kanan atas.
NGFW - Firewall Generasi Seterusnya
Nama itu bercakap untuk dirinya sendiri - tembok api generasi akan datang. Konsep ini muncul lebih lewat daripada UTM. Idea utama NGFW ialah analisis paket mendalam (DPI) menggunakan IPS terbina dalam dan kawalan akses pada peringkat aplikasi (Kawalan Aplikasi). Dalam kes ini, IPS ialah apa yang diperlukan untuk mengenal pasti aplikasi ini atau itu dalam aliran paket, yang membolehkan anda membenarkan atau menafikannya. Contoh: Kita boleh benarkan Kerja Skype, tetapi melarang pemindahan fail. Kami boleh melarang penggunaan Torrent atau RDP. Aplikasi web juga disokong: Anda boleh membenarkan akses kepada VK.com, tetapi melarang permainan, mesej atau menonton video. Pada asasnya, kualiti NGFW bergantung pada bilangan aplikasi yang boleh dikesan. Ramai yang percaya bahawa kemunculan konsep NGFW adalah perkara biasa muslihat pemasaran berlatarbelakangkan syarikat Palo Alto memulakan pertumbuhan pesatnya.
Kuadran Ajaib Gartner untuk NGFW untuk Mei 2016:
UTM lwn NGFW
Soalan yang sangat biasa ialah, yang mana lebih baik? Tiada jawapan yang pasti di sini dan tidak boleh. Terutama memandangkan hakikat bahawa hampir semua penyelesaian UTM moden mengandungi fungsi NGFW dan kebanyakan NGFW mengandungi fungsi yang wujud kepada UTM (Antivirus, VPN, Anti-Bot, dll.). Seperti biasa, "syaitan ada dalam butirannya," jadi pertama sekali anda perlu memutuskan perkara yang anda perlukan secara khusus dan memutuskan belanjawan anda. Berdasarkan keputusan ini, beberapa pilihan boleh dipilih. Dan segala-galanya perlu diuji dengan jelas, tanpa mempercayai bahan pemasaran.
Kami, seterusnya, dalam rangka beberapa artikel, akan cuba memberitahu tentang Check Point, bagaimana anda boleh mencubanya dan apa, pada dasarnya, anda boleh cuba (hampir semua fungsi).
Tiga Entiti Check Point
Apabila bekerja dengan Check Point, anda pasti akan menemui tiga komponen produk ini:
Sistem Operasi Check Point
Bercakap tentang sistem pengendalian Check Point, kita boleh mengingati tiga sekali gus: IPSO, SPLAT dan GAIA.
- IPSO- sistem pengendalian Ipsilon Networks, yang dimiliki oleh Nokia. Pada tahun 2009, Check Point membeli perniagaan ini. Tidak berkembang lagi.
- SPLAT - pembangunan sendiri Check Point, berdasarkan kernel RedHat. Tidak berkembang lagi.
- Gaia- sistem pengendalian semasa dari Check Point, yang muncul sebagai hasil penggabungan IPSO dan SPLAT, menggabungkan semua yang terbaik. Ia muncul pada tahun 2012 dan terus berkembang secara aktif.
Pilihan pelaksanaan (Check Point Appliance, Mesin Maya, OpenServer)
Tiada apa yang mengejutkan di sini, seperti kebanyakan vendor, Check Point mempunyai beberapa pilihan produk:
Pilihan pelaksanaan (Diedarkan atau Kendiri)
Sedikit lebih tinggi kita telah membincangkan apa itu gerbang (SG) dan pelayan pengurusan (SMS). Sekarang mari kita bincangkan pilihan untuk pelaksanaannya. Terdapat dua cara utama:
Seperti yang saya katakan di atas, Check Point mempunyai sistem SIEM sendiri - Acara Pintar. Anda boleh menggunakannya hanya dalam kes pemasangan Diedarkan.
Mod pengendalian (Jambatan, Dihalakan)
Gerbang Keselamatan (SG) boleh beroperasi dalam dua mod utama:
- Dihalakan- pilihan yang paling biasa. Dalam kes ini, get laluan digunakan sebagai peranti L3 dan laluan trafik melalui dirinya sendiri, i.e. Check Point ialah pintu masuk lalai untuk rangkaian yang dilindungi.
- Jambatan- mod telus. Dalam kes ini, pintu masuk dipasang sebagai "jambatan" biasa dan melalui lalu lintas di peringkat kedua (OSI). Pilihan ini biasanya digunakan apabila tiada kemungkinan (atau keinginan) untuk menukar infrastruktur sedia ada. Anda boleh dikatakan tidak perlu menukar topologi rangkaian dan tidak perlu berfikir tentang menukar pengalamatan IP.
Bilah Perisian Check Point
Kami hampir mencapai topik Check Point yang paling penting, yang menimbulkan paling banyak soalan dalam kalangan pelanggan. Apakah "bilah perisian" ini? Bilah merujuk kepada fungsi Check Point tertentu.
Fungsi ini boleh dihidupkan atau dimatikan bergantung pada keperluan anda. Pada masa yang sama, terdapat bilah yang diaktifkan secara eksklusif pada pintu masuk (Keselamatan Rangkaian) dan hanya pada pelayan pengurusan. Gambar di bawah menunjukkan contoh untuk kedua-dua kes:
1) Untuk Keselamatan Rangkaian(fungsi pintu masuk)
Mari kita huraikan secara ringkas, kerana... setiap bilah layak artikelnya sendiri.
- Firewall - fungsi firewall;
- IPSec VPN - membina rangkaian maya peribadi;
- Akses Mudah Alih - capaian jauh dari peranti mudah alih;
- IPS - sistem pencegahan pencerobohan;
- Anti-Bot - perlindungan terhadap rangkaian botnet;
- AntiVirus - penstriman antivirus;
- AntiSpam & Keselamatan E-mel - perlindungan e-mel korporat;
- Kesedaran Identiti - integrasi dengan Perkhidmatan aktif Direktori;
- Pemantauan - pemantauan hampir semua parameter get laluan (beban, lebar jalur, status VPN, dll.)
- Kawalan Aplikasi - firewall peringkat aplikasi (fungsi NGFW);
- Penapisan URL - Keselamatan web(+fungsi proksi);
- Pencegahan Kehilangan Data - perlindungan terhadap kebocoran maklumat (DLP);
- Emulasi Ancaman - teknologi kotak pasir (Kotak Pasir);
- Pengekstrakan Ancaman - teknologi pembersihan fail;
- QoS - keutamaan trafik.
2) Untuk Pengurusan(kawal fungsi pelayan)
- Pengurusan Dasar Rangkaian - pengurusan dasar berpusat;
- Pengurusan Dasar Titik Akhir - pengurusan berpusat ejen Check Point (ya, Check Point menghasilkan penyelesaian bukan sahaja untuk perlindungan rangkaian, tetapi juga untuk melindungi stesen kerja (PC) dan telefon pintar);
- Pembalakan & Status - pengumpulan dan pemprosesan log berpusat;
- Portal Pengurusan - pengurusan keselamatan daripada pelayar;
- Aliran kerja - kawalan ke atas perubahan dasar, audit perubahan, dsb.;
- Direktori Pengguna - penyepaduan dengan LDAP;
- Peruntukan - automasi pengurusan pintu masuk;
- Wartawan Pintar - sistem pelaporan;
- Acara Pintar - analisis dan korelasi peristiwa (SIEM);
- pematuhan- pemeriksaan automatik tetapan dan mengeluarkan cadangan.
Seni bina bilah membolehkan anda menggunakan hanya fungsi yang anda perlukan, yang mempengaruhi belanjawan penyelesaian dan prestasi keseluruhan peranti. Adalah logik bahawa semakin banyak bilah yang anda aktifkan, semakin sedikit trafik yang anda boleh "melalui". Itulah sebabnya jadual prestasi berikut dilampirkan pada setiap model Check Point (kami mengambil ciri model 5400 sebagai contoh):
Seperti yang anda lihat, terdapat dua kategori ujian di sini: pada trafik sintetik dan pada sebenar - campuran. Secara umumnya, Check Point hanya dipaksa untuk menerbitkan ujian sintetik, kerana... sesetengah vendor menggunakan ujian sedemikian sebagai penanda aras, tanpa memeriksa prestasi penyelesaian mereka pada trafik sebenar (atau sengaja menyembunyikan data sedemikian kerana sifatnya yang tidak memuaskan).
Dalam setiap jenis ujian, anda boleh melihat beberapa pilihan:
- ujian hanya untuk Firewall;
- Ujian Firewall+IPS;
- Ujian Firewall+IPS+NGFW (Kawalan aplikasi);
- uji Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (kotak pasir)
Saya rasa di sinilah kita boleh menyelesaikan artikel pengenalan tentang teknologi Check Point. Seterusnya, kami akan melihat bagaimana anda boleh menguji Check Point dan cara menangani ancaman keselamatan maklumat moden (virus, pancingan data, perisian tebusan, zero-day).
P.S. Perkara penting. Walaupun asalnya asing (Israel), penyelesaian itu diperakui di Persekutuan Rusia oleh pihak berkuasa kawal selia, yang secara automatik menghalalkan kehadirannya dalam institusi kerajaan (komen oleh).
