Sa pagsasalita tungkol sa software at hardware na bahagi ng sistema ng seguridad ng impormasyon, dapat itong kilalanin na ang pinaka mabisang paraan pagprotekta sa mga bagay ng lokal na network (segment ng network) mula sa mga impluwensya mula sa mga bukas na network (halimbawa, ang Internet), ay nagsasangkot ng paglalagay ng isang partikular na elemento na kumokontrol at nagsasala sa mga dumadaan dito mga packet ng network alinsunod sa ibinigay na mga tuntunin. Ang elementong ito ay tinatawag sa pagitan firewall(firewall) o firewall, firewall.

Firewall, firewall, firewall, firewall– nabuo sa pamamagitan ng transliterasyon ng terminong Ingles na firewall.

Firewall (Aleman: Brandmauer)- hiniram sa wikang Aleman isang termino na kahalintulad sa Ingles na "firewall" sa orihinal nitong kahulugan (isang pader na naghihiwalay sa mga katabing gusali, na nagpoprotekta laban sa pagkalat ng apoy).

Network/Firewall (Firewall)– isang set ng hardware o software na sinusubaybayan at sinasala ang mga network packet na dumadaan dito gamit ang iba't ibang protocol alinsunod sa tinukoy na mga panuntunan.

Ang pangunahing gawain ng isang firewall ay protektahan ang mga network ng computer at/o mga indibidwal na node mula sa hindi awtorisadong pag-access. Minsan tinatawag ang mga firewall mga filter, dahil ang kanilang pangunahing gawain ay hindi ipasok (filter) ang mga packet na hindi nakakatugon sa pamantayang tinukoy sa pagsasaayos.

Upang epektibong ma-secure ang isang network, sinusubaybayan at pinamamahalaan ng isang firewall ang lahat ng data na dumadaloy dito. Upang gumawa ng mga desisyon sa pagkontrol para sa mga serbisyo ng TCP/IP (iyon ay, pasulong, harangan, o pagtatangka ng koneksyon sa log), ang firewall ay dapat tumanggap, mag-imbak, pumili, at magproseso ng impormasyong natanggap mula sa lahat ng mga layer ng komunikasyon at mula sa iba pang mga application.

Ang firewall ay pumasa sa lahat ng trapiko sa pamamagitan ng sarili nito, na gumagawa ng isang desisyon para sa bawat pumasa na packet: upang payagan itong pumasa o hindi. Upang maisagawa ng firewall ang operasyong ito, kailangan nitong tukuyin ang isang hanay ng mga panuntunan sa pag-filter. Ang desisyon kung gagamit ng firewall upang i-filter ang mga data packet na nauugnay sa mga partikular na protocol at address ay nakasalalay sa patakaran sa seguridad na pinagtibay ng network na pinoprotektahan. Sa pangkalahatan, ang firewall ay isang hanay ng mga bahagi na na-configure upang ipatupad ang napili mga patakaran sa seguridad. Ang patakaran sa seguridad ng network ng bawat organisasyon ay dapat magsama (bukod sa iba pang mga bagay) ng dalawang bahagi: isang patakaran para sa pag-access sa mga serbisyo ng network at isang patakaran para sa pagpapatupad ng mga firewall.

Gayunpaman, hindi sapat na suriin lamang ang mga pakete nang paisa-isa. Ang impormasyon sa status ng koneksyon na nakuha mula sa nakaraang inspeksyon ng koneksyon at iba pang mga application ay isang pangunahing salik sa desisyon ng kontrol kapag sinusubukang magtatag ng bagong koneksyon. Ang parehong estado ng koneksyon (nagmula sa nakaraang daloy ng data) at estado ng aplikasyon (nagmula sa iba pang mga application) ay maaaring isaalang-alang upang makagawa ng desisyon.

Samakatuwid, ang mga desisyon sa pamamahala ay nangangailangan na ang firewall ay may access sa, pagsusuri at paggamit ng mga sumusunod na salik:

• impormasyon ng koneksyon - impormasyon mula sa lahat ng pitong layer (mga modelo ng OSI) sa packet;
• kasaysayan ng koneksyon - impormasyon na natanggap mula sa mga nakaraang koneksyon;
• estado ng antas ng aplikasyon - impormasyon ng estado ng koneksyon na natanggap mula sa iba pang mga aplikasyon;
• pagmamanipula ng impormasyon - pagkalkula ng iba't ibang mga expression batay sa lahat ng mga kadahilanan sa itaas.

Mga Uri ng Firewall

Mayroong ilang mga uri ng mga firewall depende sa mga sumusunod na katangian:

• kung ang kalasag ay nagbibigay ng koneksyon sa pagitan ng isang node at isang network o sa pagitan ng dalawa o higit pang magkakaibang network;
• nangyayari ba ang kontrol sa daloy ng data sa antas ng network o mas mataas na antas ng modelo ng OSI;
• kung ang mga estado ng aktibong koneksyon ay sinusubaybayan o hindi.

Depende sa saklaw ng mga kontroladong daloy ng data, nahahati ang mga firewall sa:

• tradisyonal na network (o firewall) na pader– isang programa (o isang mahalagang bahagi ng operating system) sa isang gateway (isang aparato na nagpapadala ng trapiko sa pagitan ng mga network) o isang solusyon sa hardware na kumokontrol sa mga papasok at papalabas na daloy ng data sa pagitan ng mga konektadong network (mga bagay na ipinamahagi sa network);
• personal na firewall– isang program na naka-install sa computer ng isang user at idinisenyo upang protektahan lamang ang computer na ito mula sa hindi awtorisadong pag-access.

Depende sa Antas ng OSI, kung saan nangyayari ang kontrol sa pag-access, maaaring gumana ang mga firewall sa:

• antas ng network, kapag nangyayari ang pag-filter batay sa mga address ng nagpadala at tatanggap ng mga packet, mga numero ng port ng layer ng transportasyon ng modelo ng OSI at mga static na panuntunan na tinukoy ng administrator;
• antas ng session(kilala rin bilang stateful), kapag ang mga session sa pagitan ng mga application ay sinusubaybayan at ang mga packet na lumalabag sa mga detalye ng TCP/IP ay hindi naipasa, kadalasang ginagamit sa mga malisyosong operasyon - pag-scan ng mapagkukunan, pag-hack sa pamamagitan ng maling pagpapatupad ng TCP/IP, mga bumaba/mabagal na koneksyon, pag-iniksyon ng data;
• antas ng aplikasyon(o antas ng aplikasyon), kapag isinagawa ang pagsasala batay sa pagsusuri ng data ng aplikasyon na ipinadala sa loob ng packet. Nagbibigay-daan sa iyo ang mga uri ng screen na ito na harangan ang pagpapadala ng hindi kanais-nais at posibleng mapaminsalang impormasyon batay sa mga patakaran at setting.

Pag-filter sa antas ng network

Isinasagawa ang pag-filter ng mga papasok at papalabas na packet batay sa impormasyong nakapaloob sa mga sumusunod na field ng TCP at IP header ng mga packet: IP address ng nagpadala; IP address ng tatanggap; port ng nagpadala; port ng tatanggap.

Maaaring ipatupad ang pagsasala sa iba't ibang paraan upang harangan ang mga koneksyon sa mga partikular na computer o port. Halimbawa, maaari mong harangan ang mga koneksyon na nagmumula sa mga partikular na address ng mga computer at network na iyon na itinuturing na hindi mapagkakatiwalaan.

• medyo mababang gastos;
• kakayahang umangkop sa pagtukoy ng mga panuntunan sa pag-filter;
• isang bahagyang pagkaantala sa pagpasa ng mga packet.

Mga kapintasan:

• hindi nangongolekta ng mga pira-pirasong packet;
• walang paraan upang subaybayan ang mga relasyon (koneksyon) sa pagitan ng mga pakete.?

Pag-filter sa antas ng session

Depende sa pagsubaybay sa mga aktibong koneksyon, ang mga firewall ay maaaring:

• walang estado(simpleng pag-filter), na hindi sinusubaybayan ang mga kasalukuyang koneksyon (halimbawa, TCP), ngunit sinasala ang stream ng data batay lamang sa mga static na panuntunan;
• stateful, stateful packet inspection (SPI)(pag-filter na may kamalayan sa konteksto), na may pagsubaybay kasalukuyang mga koneksyon at pagpasa lamang ng mga packet na nakakatugon sa lohika at mga algorithm ng mga kaukulang protocol at application.

Ginagawang posible ng mga firewall na may SPI na mas epektibong labanan ang iba't ibang uri ng pag-atake ng DoS at mga kahinaan ng ilang protocol ng network. Bilang karagdagan, nagbibigay sila ng functionality ng mga protocol tulad ng H.323, SIP, FTP, atbp., na gumagamit ng kumplikadong mga circuit paglilipat ng data sa pagitan ng mga tatanggap, mahirap ilarawan sa pamamagitan ng mga static na panuntunan, at kadalasang hindi tugma sa mga standard, stateless na firewall.

Ang mga pakinabang ng naturang pagsasala ay kinabibilangan ng:

• pagsusuri ng nilalaman ng pakete;
• walang impormasyon tungkol sa pagpapatakbo ng layer 7 na mga protocol ay kinakailangan.

Mga kapintasan:

• mahirap suriin ang data ng antas ng aplikasyon (maaaring gamit ang ALG - gateway sa antas ng aplikasyon).

Application level gateway, ALG (application level gateway)– isang bahagi ng isang NAT router na nauunawaan ang ilang application protocol, at kapag dumaan dito ang mga packet ng protocol na ito, binabago nito ang mga ito sa paraang magagamit ng mga user sa likod ng NAT ang protocol.

Ang serbisyo ng ALG ay nagbibigay ng suporta para sa mga protocol sa antas ng aplikasyon (tulad ng SIP, H.323, FTP, atbp.) kung saan ang Network Address Translation ay hindi pinapayagan. Tinutukoy ng serbisyong ito ang uri ng application sa mga packet na nagmumula sa interface panloob na network at naaayon sa pagsasagawa ng pagsasalin ng address/port para sa kanila sa pamamagitan ng panlabas na interface.

teknolohiya ng SPI(Stateful Packet Inspection) o teknolohiya ng packet inspection na isinasaalang-alang ang estado ng protocol ay isa na ngayong advanced na paraan ng kontrol sa trapiko. Binibigyang-daan ka ng teknolohiyang ito na kontrolin ang data hanggang sa antas ng aplikasyon nang hindi nangangailangan ng hiwalay na middleman o proxy na application para sa bawat protektadong protocol o serbisyo ng network.

Sa kasaysayan, ang ebolusyon ng mga firewall ay nagmula sa mga packet filter pangkalahatang layunin, pagkatapos ay nagsimulang lumitaw ang mga intermediary program para sa mga indibidwal na protocol, at sa wakas ay binuo ang stateful inspection technology. Ang mga nakaraang teknolohiya ay umakma lamang sa isa't isa, ngunit hindi nagbigay ng komprehensibong kontrol sa mga koneksyon. Ang mga packet filter ay walang access sa koneksyon at impormasyon ng estado ng aplikasyon na kinakailangan para sa sistema ng seguridad upang makagawa ng pangwakas na desisyon. Pinoproseso lang ng mga Middleware program ang data sa antas ng aplikasyon, na kadalasang lumilikha ng iba't ibang pagkakataon para sa pag-hack ng system. Ang stateful inspection architecture ay natatangi dahil pinapayagan ka nitong pangasiwaan ang lahat ng posibleng impormasyong dumadaan sa gateway machine: packet data, connection state data, data na kailangan ng application.

Isang halimbawa kung paano gumagana ang mekanismo ng Stateful Inspection. Sinusubaybayan ng firewall ang FTP session sa pamamagitan ng pagsisiyasat ng data sa antas ng aplikasyon. Kapag hiniling ng kliyente sa server na magbukas ng reverse connection (FTP PORT command), kinukuha ng firewall ang port number mula sa kahilingang iyon. Ang listahan ay nag-iimbak ng mga address ng kliyente at server at mga numero ng port. Kapag may nakitang pagtatangkang magtatag ng FTP-data na koneksyon, ini-scan ng firewall ang listahan at susuriin kung ang koneksyon ay talagang tugon sa isang wastong kahilingan ng kliyente. Ang listahan ng koneksyon ay dynamic na pinananatili upang ang mga kinakailangang FTP port lamang ang bukas. Kapag ang session ay sarado, ang mga port ay naharang, na tinitiyak mataas na antas seguridad.

Pag-filter sa antas ng aplikasyon

Upang maprotektahan ang ilang mga kahinaan na likas sa packet filtering, dapat gamitin ng mga firewall mga programa sa aplikasyon upang i-filter ang mga koneksyon sa mga serbisyo tulad ng Telnet, HTTP, FTP. Ang ganitong uri ng aplikasyon ay tinatawag serbisyo ng proxy, at ang host kung saan tumatakbo ang serbisyo ng proxy ay isang gateway sa antas ng aplikasyon. Ang ganitong gateway ay nag-aalis ng direktang pakikipag-ugnayan sa pagitan ng isang awtorisadong kliyente at isang panlabas na host. Sinasala ng gateway ang lahat ng papasok at papalabas na packet sa antas ng aplikasyon (antas ng aplikasyon - pinakamataas na antas modelo ng network) at maaaring suriin ang nilalaman ng data, hal. URL address, na nilalaman sa isang HTTP na mensahe, o isang utos na nakapaloob sa isang FTP na mensahe. Minsan mas epektibong i-filter ang mga packet batay sa impormasyong nakapaloob sa data mismo. Hindi ginagamit ng mga packet filter at link-level na filter ang mga nilalaman ng stream ng impormasyon kapag gumagawa ng mga desisyon sa pag-filter, ngunit magagawa ito ng pag-filter sa antas ng application. Maaaring gumamit ang mga filter ng layer ng application ng impormasyon mula sa packet header pati na rin ang nilalaman ng data at impormasyon ng user. Maaaring gumamit ang mga administrator ng pag-filter sa antas ng application upang kontrolin ang pag-access batay sa pagkakakilanlan ng user at/o tiyak na gawain na sinusubukang gawin ng gumagamit. Sa mga filter sa antas ng application, maaari kang magtakda ng mga panuntunan batay sa mga utos na ibinigay ng application. Halimbawa, maaaring ipagbawal ng isang administrator tiyak na gumagamit mag-download ng mga file sa isang partikular na computer mula sa gamit ang FTP o payagan ang user na mag-host ng mga file sa pamamagitan ng FTP sa parehong computer.

Paghahambing ng mga firewall ng hardware at software

Upang ihambing ang mga firewall, hahatiin namin ang mga ito sa dalawang uri: 1st – hardware at software-hardware at 2nd – software.

Kasama sa mga hardware at software firewall ang mga device na naka-install sa gilid ng network. Ang mga firewall ng software ay ang mga naka-install sa mga end host.

Ang mga pangunahing direksyon na likas sa una at pangalawang uri:

• pagtiyak ng seguridad ng papasok at papalabas na trapiko;
• isang makabuluhang pagtaas sa seguridad ng network at isang pagbawas sa panganib para sa mga subnet host kapag sinasala ang mga kilalang hindi protektadong serbisyo;
• ang kakayahang kontrolin ang pag-access sa mga sistema ng network;
• abiso ng kaganapan sa pamamagitan ng naaangkop na mga alarma na nati-trigger kapag may anumang kahina-hinalang aktibidad (mga pagtatangka o pag-atake ng pagsisiyasat);
• pagbibigay ng murang solusyon sa seguridad na madaling ipatupad at pamahalaan.

Sinusuportahan din ng mga firewall ng hardware at software ang functionality na nagbibigay-daan sa:

• pigilan ang anumang mahihinang serbisyo mula sa pagkuha ng impormasyon mula sa o pag-iniksyon ng impormasyon sa protektadong subnet;
• itala ang mga pagtatangka sa pag-access at ibigay ang mga kinakailangang istatistika sa paggamit ng Internet;
• magbigay ng paraan ng pagsasaayos ng pagkakasunud-sunod ng pag-access sa network;
• magbigay ng sentralisadong pamamahala sa trapiko.

Ang mga firewall ng software, bilang karagdagan sa mga pangunahing lugar, ay nagbibigay-daan sa:

• kontrolin ang paglulunsad ng mga application sa host kung saan sila naka-install;
• protektahan ang bagay mula sa pagtagos sa pamamagitan ng "mga hatch" (mga pintuan sa likod);
• magbigay ng proteksyon laban sa mga panloob na banta.

Ang firewall ay hindi simetriko na aparato. Nakikilala niya ang mga konseptong "labas" at "loob". Pinoprotektahan ng isang firewall ang panloob na lugar mula sa hindi makontrol at potensyal na pagalit panlabas na kapaligiran. Kasabay nito, pinapayagan ka ng firewall na limitahan ang pag-access sa mga pampublikong bagay sa network mula sa mga paksa ng protektadong network. Kung ang awtoridad ay nilabag, ang gawain ng paksa ng pag-access ay naharang, at ang lahat ng kinakailangang impormasyon ay naitala sa log.

Magagamit din ang mga firewall sa loob ng mga secure na corporate network. Kung ang lokal na network ay may mga subnet na may iba't ibang antas ng pagiging kumpidensyal ng impormasyon, ipinapayong paghiwalayin ang mga naturang fragment gamit ang mga firewall. Sa kasong ito, ang mga screen ay tinatawag na panloob.

Ang firewall - pagharang sa trapiko mula sa mga hindi awtorisadong mapagkukunan - ay isa sa pinakaluma mga teknolohiya ng network seguridad, ngunit ang mga tagagawa ng mga nauugnay na kapaligiran ay patuloy na gumagawa ng mga bagong diskarte na makakatulong sa mas epektibong pagkontra modernong pagbabanta sa isang nagbabagong kapaligiran sa network at protektahan ang corporate IT resources. Nagbibigay-daan sa iyo ang mga susunod na henerasyong firewall na gumawa at magpatupad ng mga patakaran gamit ang mas malawak na hanay ng data sa konteksto.

Malayo na ang narating ng ebolusyon ng mga firewall (FW). Ang mga ito ay unang binuo noong huling bahagi ng 80s ng DEC at pinaandar pangunahin sa unang apat na layer ng modelo ng OSI, humarang sa trapiko at nagsusuri ng mga packet para sa pagsunod sa mga tinukoy na panuntunan. Pagkatapos ay gumawa ang Check Point ng mga firewall ng application-specific chip (ASIC) para sa malalim na pagsusuri ng header ng packet. Ang mga advanced na system na ito ay maaaring magpanatili ng talahanayan ng mga aktibong koneksyon at paganahin ito sa mga panuntunan ng Stateful Packet Inspection (SPI). Binibigyang-daan ka ng teknolohiya ng SPI na i-verify ang pinagmulan at patutunguhang mga IP address at subaybayan ang mga port.

Ang isang malaking hakbang pasulong ay ang paglikha ng mga FW na gumagana sa antas ng aplikasyon. Ang unang naturang produkto ay inilabas ng kumpanya ng SEAL noong 1991, at makalipas ang dalawang taon ay isang open source Solusyon sa firewall Toolkit (FWTK) mula sa Trusted Information Systems. Sinuri ng mga firewall na ito ang mga packet sa lahat ng pitong layer, na nagpapahintulot sa paggamit ng advanced na impormasyon sa mga hanay ng mga patakaran (mga patakaran) - hindi lamang tungkol sa mga koneksyon at kanilang estado, kundi pati na rin tungkol sa mga operasyon gamit ang isang partikular na protocol ng application. Noong kalagitnaan ng 90s, nagkaroon ng kakayahan ang mga firewall na subaybayan ang mga sikat na protocol sa antas ng aplikasyon: FTP, Gopher, SMTP at Telnet. Ang mga advanced na produkto na ito (may kaalaman sa aplikasyon) ay tinatawag na next-generation firewalls (NGFW).

Inilabas ang TIS komersyal na bersyon FWTK - Gauntlet Firewall. Sa pagpapatunay ng user, pag-filter ng URL, anti-malware at mga kakayahan sa seguridad sa antas ng application, ang produktong ito ay itinuturing na una firewall"bagong henerasyon" Kaya, ang pormal na mga produkto ng NGFW ay higit sa 15 taong gulang na, bagaman ngayon ang terminong ito ay may ibang kahulugan.

PAGBABAGO NG MGA HENERASYON

Tinutukoy ng mga analyst ng Frost at Sullivan ang apat na henerasyon ng mga firewall. Ang una (1985–1990) ay isang produkto ng DEC; pangalawa (1996–2002) - ang paglitaw ng mga produkto ng SPI (Check Point) at gumagana sa antas ng aplikasyon (Gauntlet), pagsasama ng mga function ng IPsec VPN, paggamit ng mga proprietary ASIC upang mapataas ang pagganap (Lucent, NetScreen); pangatlo (2003–2006) - application ng Deep Packet Inspection function at consolidation proteksiyon na mga function(Fortinet); ikaapat na henerasyon (mula 2007 hanggang sa kasalukuyan) - tinitiyak ang seguridad ng trapiko batay sa pagkakakilanlan ng mga application at user (Palo Alto) at ang pagpapakilala ng mga bagong teknolohiya ng malalaking vendor.

Kaya, ang pinagmulan ng terminong NGFW sa modernong kahulugan nito ay iniuugnay sa Palo Alto Networks. Tinawag nito ang mga produkto nito na "mga susunod na henerasyong firewall" na nagpapahintulot sa mahigpit na kontrol sa pag-access mga indibidwal na gumagamit sa mga application at sa Internet. Sa esensya, pinagsasama ng NGFW ang ilang mga function - FW, IPS at Web security gateway - sa isang platform. Nagkakaroon ng pagkakataon ang mga customer na kontrolin ang “entry” at “exit” ng network. Sa NGFW, ang mga patakaran ay itinakda sa bawat aplikasyon, hindi lamang sa bawat port at IP address.

Kung ikukumpara sa mga firewall mula sa Cisco, Check Point Software Technologies at Juniper Networks, ang mga produkto ng Palo Alto Networks ay nagbigay ng mas madaling pagsubaybay at maaasahang proteksyon trapiko kapag gumagamit ng mga social network, Google Gmail o Skype. Ang lumalagong katanyagan ng mga Web application ay malaki ang naiambag sa pag-unlad ng negosyo ng vendor na ito, na pumasok sa merkado noong 2005. Tinatawag ng Forrester Research ang pangunahing produkto nito na rebolusyonaryo.

Sa ngayon, ang firewall market (tingnan ang Mga Figure 1 at 2) o mga firewall ay sumasaklaw sa isang hanay ng mga segment: SOHO, SMB, enterprise at ISP na mga produkto. Nakakatulong ang bagong functionality ng NGFW na protektahan ang mga corporate network habang ipinakilala ang mga bagong teknolohiya at modelo ng computing (cloud at mobile computing). Ang pagpapalawak ng pag-andar ay humantong sa paglikha ng mga pinag-isang platform (Unified Pamamahala ng Banta, UTM), na malawakang ginagamit sa kasalukuyan.

Kahit na ang hangganan ng network ay nagiging malabo, ang pagprotekta sa perimeter gamit ang FW ay nananatiling mahalagang salik at kinakailangang elemento multi-level na sistema seguridad. Ang paglitaw ng mga mobile device at ang paglitaw ng konsepto ng BYOD ay may malakas na epekto sa seguridad, ngunit sa halip ay pinapataas nito ang kahalagahan ng perimeter ng network, dahil sa loob lamang ng mga hangganan nito ay maaaring maging ligtas ang data, sabi ni Dmitry Kurashev, direktor ng Entensys.

"Kung pinag-uusapan natin ang tungkol sa moderno at tanyag na mga pag-andar, ang mga firewall ay pangunahing ginagamit bilang mga klasikong firewall," sabi ni Dmitry Ushakov, pinuno ng departamento ng paghahanda at pagpapatupad. mga teknikal na solusyon Stonesoft Russia. - Siyempre, iba na ang kanilang mga kakayahan sa mga ginamit noong 80s at 90s, halimbawa stateful contextual filtering at application parsing (ang kakayahang subaybayan ang mga nauugnay na koneksyon). Ngunit sa pagsasagawa, higit sa lahat ang mga klasikal na pag-andar ang hinihiling."

Ayon sa mga analyst sa Frost & Sullivan, Habang ang mga tradisyunal na firewall ay nananatiling isang pangunahing tool sa seguridad, ang mga ito ay hindi epektibo sa pagprotekta laban sa mga sopistikadong pag-atake sa network.. Ang pag-unlad ng mga teknolohiya at aplikasyon ay humahantong sa pagbubukas ng higit at higit pang mga butas para sa mga umaatake, at praktikal na pagpapatupad nagiging mas kumplikado ang mga sistema ng seguridad. Upang labanan ang mga umuusbong na pagbabanta, dapat na bilisan ng mga tagagawa ang pagbuo ng mga bagong pamamaraan upang matukoy at maiwasan ang mga pag-atake at harangan ang hindi gustong trapiko sa network. Ayon sa mga eksperto sa Gartner, ang merkado ng firewall ay pumasok sa isang panahon ng "dynamic na ebolusyon" at ang mataas na rate ng paglago ay magpapatuloy sa mga darating na taon (tingnan ang Larawan 3).

Larawan 3. Pagtataya ng paglago ng pandaigdigang merkado ng firewall mula sa Frost & Sullivan.

"BAGONG HENERASYON" NGAYON

Ang pangunahing teknolohiya ng NGFW ay nananatiling butil-butil at nako-configure na kontrol sa antas ng aplikasyon, ngunit ang "suporta sa aplikasyon" sa mga firewall ngayon ay makabuluhang naiiba kaysa sa kung ano ang inaalok 20 taon na ang nakakaraan. Ang teknolohiya ng firewall ay nagbago nang malaki upang isama ang mga espesyal na solusyon na nagsasagawa ng malalim na pagsusuri sa trapiko at pagkakakilanlan ng aplikasyon. Ang mga produkto ay mas mabilis at sumusuporta sa mas kumplikadong mga hanay ng panuntunan kaysa sa kanilang mga nauna.

Pansinin ng mga analyst ng Gartner na sa nakalipas na dalawa hanggang tatlong taon ay tumataas ang pangangailangan para sa mga NGFW platform na may kakayahang tukuyin at harangan ang mga sopistikadong pag-atake, pagtatakda (na may mataas na antas ng detalye) ng mga patakaran sa seguridad sa antas ng aplikasyon, at hindi lamang mga port at protocol. . Dapat matugunan ng functionality at performance ng mga firewall ang mga hinihingi ng mas kumplikadong mga pakikipag-ugnayan ng application, at ang mga device mismo ay dapat na may mataas na throughput at sumusuporta sa virtualization. Ang pagpili ng solusyon ay tinutukoy ng mga kadahilanan tulad ng gastos, kadalian ng pamamahala, kadalian at bilis ng pag-deploy. Siyempre, ang listahan ay hindi nagtatapos doon.

"Kapag naghahambing o bumubuo ng isang pamamaraan para sa pagpili ng mga firewall, ang mga analyst ay nagpapatakbo ng ilang dosenang (minsan hanggang isa at kalahating daan) na pamantayan na dapat isaalang-alang kapag pumipili ng solusyon. Ang bawat customer ay nagtatakda ng mga priyoridad sa kanyang sariling paraan - walang at hindi maaaring maging isang unibersal na recipe o senaryo," binibigyang-diin ni Alexey Lukatsky, eksperto sa Cisco sa larangan ng seguridad ng network.

Mga bagong banta at Mga teknolohiya sa web Pinipilit ng 2.0 ang mga vendor na i-update ang kanilang mga alok - umuunlad ang mga firewall. Nilagyan ang mga ito ng malalim na pag-andar ng pagsusuri sa trapiko at nagbibigay ng mga flexible na setting ng patakaran, at tumataas ang kanilang pagganap alinsunod sa paglaki ng throughput ng network. Ang mga NGFW ay may kakayahang subaybayan ang trapiko ng network sa antas ng aplikasyon at user at aktibong hinaharangan ang mga pagbabanta. Maaari silang magsama ng isang saklaw karagdagang pondo tiyakin ang seguridad at suportahan ang mga advanced na function ng network.

Ang mga malalaking negosyo at tagapagbigay ng serbisyo ay nangangailangan ng mga solusyon na may mataas na pagganap. Ang pinakabagong mga sistema ay binuo sa makapangyarihang mga platform ng hardware, at dati nang magkakaibang mga tool at function ng seguridad - IPS, malalim na pagsusuri ng packet, pagpapatunay ng user at marami pang iba - ay ginagamit bilang pinagsamang mga bahagi. Gayunpaman, ang mga enterprise-grade firewall ay nailalarawan hindi sa pamamagitan ng isang partikular na hanay ng mga function, ngunit sa pamamagitan ng scalability, pamamahala at pagiging maaasahan na nakakatugon sa mga pangangailangan ng malalaking kumpanya.

Ang mga firewall mula sa mga nangungunang vendor, kabilang ang Check Point Software Technologies, Cisco Systems, Fortinet, Juniper Networks at Palo Alto Networks, ay nagbibigay ng detalyadong pagsusuri ng konteksto trapiko sa antas ng aplikasyon. Ngunit hindi lamang ito ang pag-aari ng NGFW. Halimbawa, nagmungkahi si Gartner mahigit tatlong taon na ang nakalipas sariling kahulugan, na itinatampok ang koneksyon sa pagitan ng IPS at NGFW. Naniniwala ang ibang mga analyst mahalagang katangian Mga function ng NGFW UTM. Ang Palo Alto at Juniper ay nananatili sa kanilang sariling terminolohiya. Gayunpaman, ang punto ay wala sa wika, ngunit sa mga function ng NGFW na maaaring gamitin ng mga organisasyon upang protektahan ang kanilang mga network.

Ayon kay Alexey Lukatsky, ang Cisco ay tumitingin sa isyung ito nang mas malawak kaysa sa kaugalian sa ibang mga kumpanya: "Hindi namin ginagamit ang konsepto ng NGFW, pinapalitan ito ng Context-Aware FW, iyon ay, isang firewall na isinasaalang-alang ang konteksto . Ang konteksto ay nauunawaan hindi lamang bilang isang sagot sa tanong na "ANO ang posible?" (iyon ay, pagsusuri ng trapiko sa mga antas ng network at aplikasyon), ngunit sumasagot din sa tanong na "KAILAN posible?" (pag-uugnay ng pagtatangka sa pag-access sa oras), "WHERE and FROM?" (lokasyon ng mga mapagkukunan at kagamitan kung saan ipinadala ang kahilingan), "SINO ako?" (nagbubuklod hindi lamang sa IP address, kundi pati na rin sa account user), “PAANO posible?” (kung saan pinapayagan ang pag-access sa device - personal o corporate, desktop o mobile). Ang lahat ng ito ay nagbibigay-daan sa iyo na mas flexible na bumuo ng isang patakaran sa pag-access at isaalang-alang ang patuloy na pagbabago ng mga pangangailangan ng isang modernong negosyo mula sa punto ng view ng seguridad ng impormasyon."

Ang NGFW ay isang device na nagpapalawak ng functionality ng isang tradisyunal na firewall sa mga tuntunin ng mga karagdagang serbisyo para sa inspeksyon at kontrol ng mga user at application, sabi ni Dmitry Ushakov. "Alinsunod dito, ang susunod na henerasyon ng firewall ay, sa pangkalahatan, FW, IPS at isang sistema para sa pagsubaybay sa pag-uugali ng gumagamit at application," binibigyang-diin niya. "At sa ganitong kahulugan, ang Stonesoft StoneGate FW ay gumaganap ng mga function ng isang NGFW sa loob ng ilang taon na ngayon."

Ang mga firewall ay gumagawa ng higit pa sa pagsala ng papasok na trapiko. Ang ilang NGFW ay maaaring makakita ng maanomalyang aktibidad sa papalabas na trapiko., halimbawa, pakikipag-ugnayan sa pamamagitan ng port 80 sa isang hindi awtorisadong site o trapiko na tumutugma sa isa sa mga lagda. Nakakatulong ito na matukoy at harangan ang mga papalabas na komunikasyon, kabilang ang mga pinasimulan ng malware. “Parami nang parami ang mga kakayahan na dati nang ipinatupad sa mga nakalaang firewall ay pinagsama-sama sa iisang hardware at software package. Naiisip namin ang NGFW bilang isang kalidad na kumbinasyon ng karaniwang kalasag, kontrol sa aplikasyon, at pag-iwas sa panghihimasok," sabi ni Brendan Patterson, senior manager ng pamamahala ng produkto sa WatchGuard Technologies.

Binibigyang-daan ka ng mga NGFW na lumikha ng mga patakaran sa seguridad ng impormasyon batay sa malawak na hanay ng data sa konteksto, na nagbibigay ng mas mataas na antas ng proteksyon, kakayahang pamahalaan at scalability. Trapiko ng mga serbisyo sa Internet (mula sa email hanggang streaming video at mga social network) ay dumadaan sa browser sa pamamagitan ng limitadong bilang port, at ang NGFW ay dapat na makapagsuri ng mga session (sa iba't ibang antas ng detalye) upang makagawa ng mga desisyon depende sa konteksto. Ang isa pang tampok ng NGFW ay suporta para sa pagkakakilanlan ng gumagamit (na maaaring magamit kapag lumilikha ng mga panuntunan), at para dito ang firewall ay maaaring gumamit ng sarili nitong impormasyon o ma-access ang Active Directory. "Kakayahang" makilala at suriin ang trapiko mga indibidwal na aplikasyon ay naging lalong mahalaga sa pagtaas ng mga Web application, na ang karamihan sa mga firewall ng SPI ay makikilala lamang bilang trapiko ng HTTP sa port 80.

Ang pagbili ng NGFW na may layuning gamitin lamang ang mga function ng pag-filter ng trapiko nito sa pamamagitan ng port ay hindi praktikal, ngunit hindi lahat ay nangangailangan ng butil-butil na application control function. Bilang karagdagan, ito ay nagkakahalaga ng pagsasaalang-alang kung ang organisasyon ay may mga kwalipikadong mapagkukunan upang i-configure at mapanatili ang kumplikadong hanay ng mga panuntunan ng NGFW. Hindi natin dapat kalimutan ang tungkol sa bilis. Pinakamabuting i-configure at subukan ang NGFW sa kapaligiran sa trabaho. Ang throughput at kadalian ng pamamahala ay nananatiling pangunahing pamantayan para sa pagsusuri ng mga firewall. Ang isang hiwalay na segment ay ang mga produkto sa pamamahala ng patakaran (Firewall Policy Management, FPM). Inirerekomenda ni Gartner na gamitin ang mga ito kapag ang pagiging kumplikado ng iyong IT environment ay lumampas sa mga kakayahan ng FW management console.

Naniniwala ang mga analyst ng Gartner na ang mga tradisyonal na SPI firewall ay mayroon na hindi napapanahong teknolohiya, hindi makapagprotekta laban sa maraming banta, at maraming organisasyon ang nagde-deploy ngayon ng NGFW. Hinuhulaan ni Gartner na sa loob ng tatlong taon, 38% ng mga negosyo ang gagamit ng NGFW, mula sa 10% lamang noong 2011. Kasabay nito, ang bilang ng mga customer na nagde-deploy ng pinagsamang solusyon (FW+IPS) ay bababa mula 60 hanggang 45%, at ang bilang ng mga kumpanyang gumagamit ng firewall na eksklusibo ay bababa mula 25 hanggang 10%. Sa Russia, tila, ang mga resulta ay magkakaiba.

"Bilang mga palabas sa pagsasanay, ang mga tradisyonal na firewall ay isang malaking tagumpay pa rin," paggunita ni Dmitry Ushakov. - Ito ay higit sa lahat dahil sa limitadong kontrol sa pagpapatupad ng mga serbisyong panseguridad ng mga awtoridad sa regulasyon at, sa kasamaang-palad, sa pagtiyak ng proteksyon ng IT sa isang natitirang batayan - mas mura at sa pinakamababa. Ilang tao ang nag-iisip tungkol sa mga banta at kahihinatnan. Samakatuwid, tiyak na mayroong isang lugar para sa tradisyonal na mga screen, ngunit magkakaroon sila ng mga bagong pag-andar. Halimbawa, ang mga device na, bilang karagdagan sa tradisyonal na FW, ay mayroon ding mga tool para sa malalim na pagsusuri ng mga daloy ng internetwork, ay nagiging higit na hinihiling."

Samantala, kapag nilulutas ang mga bagong kumplikadong problema, kung minsan ang mga developer ay kailangang gumawa ng mga kompromiso. Napagpasyahan ng NSS Lab na ang mga bagong feature ng NGFW, tulad ng butil na kontrol sa antas ng aplikasyon, ay kadalasang nagpapababa sa pagganap at pagiging epektibo ng seguridad kumpara sa kumbinasyon ng mga tradisyonal na firewall at IPS. Kalahati lamang ng mga nasubok na sistema ang may kahusayan sa proteksyon na higit sa 90%.

Nalaman din ng pag-aaral ng NSS na ang IPS ay bihirang naka-configure sa mga NGFW system na ang mga default na patakaran ng vendor ay karaniwang inilalapat pagkatapos ng pag-deploy. Ito ay may negatibong epekto sa kaligtasan. At ang throughput ay hindi nakakatugon sa idineklara: sa walong produkto, lima ang mas mababa. Bilang karagdagan, ang lahat ng nasubok na NGFW ay may pinakamataas na koneksyon na wala sa mga detalye. Ang mga pagsubok sa laboratoryo ng NSS ay dumating sa konklusyon na ang mga NGFW ay magiging handa para sa pag-deploy sa mga kapaligiran ng korporasyon pagkatapos lamang ng pagtaas ng produktibo, at sa pangkalahatan, ang mga teknolohiya ng NGFW ay kailangang mapabuti - ang mga system ay dapat magbigay ng higit pa matatag na trabaho at isang mataas na antas ng seguridad.

Kasabay nito, karamihan sa mga vendor ay matagumpay na nagpapaunlad ng kanilang negosyo. Halimbawa, binanggit ng IDC ang Check Point bilang isang nangungunang vendor ng firewall/UTM: noong ikalawang quarter ng nakaraang taon, ang beterano ng firewall market na ito ang nangunguna sa segment na ito sa mga tuntunin ng mga benta, na tinalo ang pinakamalalaking vendor. kagamitan sa network. Ang bahagi ng Check Point sa pandaigdigang merkado ng FW/UTM ay lumampas sa 20%, at sa Kanlurang Europa ito ay malapit sa 30%.

Kasama sa linya ng Check Point ang pitong modelo ng mga security device na may "software blade" na arkitektura (tingnan ang Figure 4): mga modelo mula 2200 hanggang 61000 (ang huli ay ang pinakamabilis na firewall na magagamit ngayon). Ang mga high-performance na appliances ng Check Point ay nagsasama ng firewall, VPN, pag-iwas sa panghihimasok, aplikasyon at kontrol sa pag-access sa mobile, pag-iwas sa pagkawala ng data, suporta sa pagkakakilanlan, pag-filter ng URL, anti-spam, anti-virus at anti-bot functionality.

Sa Magic Quadrant, niraranggo ng mga analyst ng Gartner ang Check Point at Palo Alto Networks bilang market leaders sa firewall market, habang ang Fortinet, Cisco, Juniper Networks at Intel (McAfee) ay pinangalanang contenders. Aabot sa pitong vendor ang naging "niche player", at walang isang kumpanya ang nahulog sa sektor ng "visionaries". Gayunpaman, hindi nito pinipigilan ang mga customer na magbigay ng kagustuhan sa mga produkto ng Cisco (tingnan ang Larawan 5).

Ang merkado ay patuloy na lumilipat patungo sa mga sistema ng NGFW na maaaring makakita at harangan ang iba't ibang mga sopistikadong pag-atake at ipatupad ang mga patakaran sa antas ng aplikasyon. Noong 2012, hinangad ng mga matatag na manlalaro ng merkado na pahusayin ang kanilang mga solusyon sa NGFW upang hindi sila mababa sa kanilang mga kakayahan sa mga produkto ng mga bagong dating sa industriya, at dinagdagan sila ng mga makabagong developer ng system ng mga kontrol, na dinadala sila sa antas ng mga naitatag na tatak.

MGA DRIVER NG PAGLAGO AT MGA BAGONG DEVELOPMENT

Kahit na ang pandaigdigang merkado ng firewall ay puspos, ito ay malayo sa walang pag-unlad. Halos lahat ng malalaking vendor ay nagpakilala ng mga bagong henerasyong produkto na may mga karagdagang feature. Ang mga driver ng paglago ng firewall market - kadaliang mapakilos, virtualization at cloud computing - ay nagtutulak ng pangangailangan para sa mga bagong kakayahan na inaalok ng NGFW. Napansin ng mga analyst ng Gartner ang lumalaking demand para sa mga bersyon ng software ng mga firewall na ginagamit sa mga virtualized na data center (tingnan ang Figure 6). Noong 2012 ang bahagi virtual na mga pagpipilian Ang NGFW ay hindi lalampas sa 2% ngunit, ayon sa mga pagtataya ng Gartner, sa 2016 ito ay lalago sa 20%. Ang mga virtual na bersyon ng mga firewall at mga solusyon sa proteksyon ng nilalaman ay angkop para sa pag-deploy sa mga cloud environment.

Larawan 6. Ayon sa Infonetics Research, ang mga gastos ng mga kumpanya ng North American upang matiyak ang seguridad ng impormasyon para sa mga data center ay tumaas nang husto noong nakaraang taon.

Para sa mga malalayong opisina at SMB, ang cloud firewall na naka-install ng isang service provider ay kadalasang isang kaakit-akit na solusyon. Ayon sa ilang eksperto, sa pagbuo ng mobile access at cloud architecture, kakailanganin ding baguhin ang security architecture: sa halip na NGFW, mas madalas na gagamit ng mga Web gateway ang mga kumpanya sa ilalim ng kontrol ng provider, at paghihiwalayin ng malalaking organisasyon ang mga function ng Mga gateway sa web at firewall upang mapabuti ang pagganap at pamamahala , bagama't ang ilang mga produkto ng NGFW ay may kakayahang magsagawa ng mga pangunahing function ng Web gateway.

Naniniwala si Dmitry Kurashev na mas mahusay na italaga ang lahat ng mga pag-andar sa pagproseso ng trapiko sa mga gateway na matatagpuan sa loob ng kumpanya: "Mas tama na gumamit ng mga serbisyo ng ulap para sa pangangasiwa at pagsubaybay mga application ng server, pati na rin para sa pagkolekta ng mga istatistika at pagsusuri." "Dapat na naka-install ang firewall bilang default at tagapagbigay ng ulap, at sa panig ng customer ng mga serbisyo sa cloud,” dagdag ni Alexey Lukatsky. "Pagkatapos ng lahat, sa pagitan nila ay may isang hindi protektadong kapaligiran, na maaaring maging isang pambuwelo para sa pagtagos sa corporate network o ulap ng malware o para sa mga pag-atake ng mga nanghihimasok. Samakatuwid, kailangan pa rin ang mga hakbang sa seguridad ng network.”

Ang karaniwang halimbawa ng mga pinamamahalaang serbisyo sa seguridad ay ang kamakailang inanunsyo sa Russia na hanay ng mga serbisyo upang protektahan ang network ng kliyente mula sa mga pangunahing banta sa network, na inaalok ng Orange Business Services. Binibigyang-daan ka ng mga serbisyo ng Unified Defense na magbigay ng sentralisadong proteksyon ng anti-virus para sa lahat ng device sa network, protektahan ang mga mailbox ng korporasyon mula sa spam at i-filter ang trapiko sa Internet, kung kinakailangan, nililimitahan ang access ng empleyado sa ilang mga mapagkukunan ng network sa antas ng hardware. Bilang karagdagan, ang sistema ng seguridad ay may kasamang firewall, pati na rin ang mga intrusion detection at mga tool sa pag-iwas.

Ang Unified Defense ay batay sa isang compact na UTM device na may NGFW functionality mula sa Fortinet, na naka-install sa network ng customer at sinusuportahan ng mga Orange specialist. Ang produkto ay inaalok sa dalawang bersyon - para sa mga network na sumusuporta hanggang sa 200 mga gumagamit at ang bilis ng channel ng Internet ay hindi hihigit sa 20 Mbit/s (FortiGate 80C equipment), pati na rin para sa mga network na idinisenyo para sa 1000 user at isang channel na 100 Mbit/ s (kagamitang FortiGate 200B) (tingnan ang Larawan 7). Sa kasalukuyan, ang serbisyo ay magagamit sa mga customer ng Orange sa hinaharap, ito ay binalak na magbigay ng serbisyo sa mga network ng mga third-party na provider.

Binibigyang-daan ng Unified Defense na pinapagana ng Fortinet hardware kahit na ang mga kumpanyang may limitadong badyet sa IT na samantalahin ang mga bagong teknolohiya sa seguridad. Ang isa sa mga pag-andar ng portal ng kliyente ay ang pag-access sa mga regular na ulat sa pagpapatakbo ng system, kabilang ang impormasyon sa mga neutralisadong pagbabanta.

Ang malalim na pagsusuri sa trapiko ay nagbibigay-daan sa iyo upang matukoy ang mga application na nagpapalitan ng data sa network. Isinasaalang-alang ang mga modernong uso sa paglilipat ng mga application sa cloud at pagbuo ng mga serbisyo ng SaaS, posible lamang na matiyak na ang mga nauugnay na data lamang ang nakakaabot sa corporate network na may mas mataas na antas ng detalye. Gumagamit ang bawat vendor ng sarili nitong mga diskarte kapag gumagawa ng NGFW. Pinipili ng maraming tao ang paraan ng lagda.

Halimbawa, ginagamit ng Astaro (bahagi ng Sophos mula noong 2011) ang application signature database ng partner nitong Vineyard Networks. Dahil dito, maaaring makilala ng Astaro Security Gateway iba't ibang mga aplikasyon tumatakbo sa parehong Web site, ilapat ang mga patakaran ng QoS, mga prayoridad sa trapiko, at maglaan ng bandwidth sa kanila. Pinahusay ng bagong bersyon ng Astaro Security Gateway ang interface ng administrasyon: gamit ang mapa ng network, maaari kang magtakda ng mga panuntunan sa real time at mabilis na tumugon sa mga bagong banta. Sa mga hinaharap na bersyon ng Astaro firewall, posibleng maglipat ng mga packet sa mga espesyalista hindi kilalang uri para sa kanilang kasunod na pagsusuri.

Noong nakaraang taon, na-update ng Check Point ang linya ng produkto nito ng 90%. Ang mga ipinakitang modelo ay na-optimize para sa Check Point software blade architecture at, ayon sa developer, ay may humigit-kumulang tatlong beses na mas mataas na performance kumpara sa mga nakaraang henerasyon. Bagong module Ang Security Acceleration, na pinapagana ng SecurityCore na teknolohiya, ay makabuluhang pinapataas ang pagganap ng firewall sa pamamagitan ng pagpapabilis ng mga pangunahing operasyon. Ayon sa Check Point, umaabot sa 110 Gbps ang throughput nito at mas mababa sa 5 microseconds ang latency. Ayon sa kumpanya, ito ang pinakamalakas na firewall ng industriya sa isang 2U form factor.

Ang AppWiki library na nilikha ng Check Point ay nagbibigay-daan sa iyo upang matukoy ang higit sa 5 libong mga aplikasyon at 100 libong mga widget. Ang mga lagda na ito ay ginagamit ng Check Point Application Control at Identity Awareness software blades. Bilang karagdagan, ang software ay sumasama sa Active Directory upang matukoy ang mga device ng kliyente at mga end user, at maaaring ayusin ng mga administrator ang mga patakaran sa seguridad. Ang mga empleyado ay sinanay sa real time: kapag may lumabag sa isang patakaran sa seguridad, ang Check Point UserCheck client agent application ay nagpapakita ng pop-up window na nagpapaliwanag sa paglabag at humihingi ng kumpirmasyon ng aksyon. Ang kakayahang magpasa ng kahilingan sa isang administrator ay pinapasimple ang proseso ng pag-customize ng mga patakaran sa seguridad upang matugunan ang mga pangangailangan ng user.

Ang bersyon ng software na R74.40, na idinisenyo para sa mga pangunahing produkto ng seguridad ng Check Point ng network, ay may kasamang higit sa 100 bagong feature, kabilang ang Anti-Bot Software Blade at isang updated na bersyon ng Anti-Virus na may Check Point ThreatCloud na teknolohiya: ang cloud service na ito ay nangongolekta ng impormasyon tungkol sa mga banta. at nagbibigay ng real-time na proteksyon sa gateway ng seguridad. Ang Check Point Virtual Systems, isang bagong solusyon para sa mga data center at pribadong cloud, ay nagbibigay-daan sa iyong pagsamahin ang hanggang 250 virtual system sa isang device.

Ang Cisco noong nakaraang taon ay inilabas sariling solusyon Ang NGFW ay ang susunod na henerasyon ng Adaptive Security Appliance (ASA), na isang tugon sa teknolohiyang binuo ng Palo Alto Networks. Ang ASA CX ay isang context-aware na firewall, ibig sabihin, kinikilala nito hindi lamang ang mga IP address, ngunit ang mga application, user at device, at samakatuwid ay nagbibigay-daan sa iyong subaybayan kung paano gumagamit ang isang empleyado ng ilang mga application sa iba't ibang kagamitan at matiyak ang pagsunod sa mga nauugnay na patakaran.

Gumagana sa lahat ng mga modelo ng Cisco ASA 5500-X (mula 5512-X hanggang 5585-X), ang Cisco ASA CX ay nagbibigay ng mga panuntunang nagbubuklod sa user account sa Active Directory, kontrol sa higit sa 1100 application (Facebook, LinkedIn, Skype, BitTorrent, iCloud , Dropbox, Google Drive, MS Windows Azure, Salesforce CRM, Oracle e-Business Suite, MS Lync, Tor, atbp.), pagsubaybay sa oras at pagpapadala ng kahilingan sa pag-access, pati na rin ang paglutas ng maraming iba pang mga problema. Kasabay nito Ang Cisco ASA CX ay hindi lamang isang standalone na multi-gigabit na platform, ngunit mahigpit na isinasama sa iba pang mga solusyon sa seguridad ng Cisco- Cisco IPS intrusion prevention system, Cisco ISE network access authorization and control system, Cisco Web Security web traffic protection system, atbp.

Tulad ng binibigyang diin ni Alexey Lukatsky, isinasaalang-alang din ng naturang firewall ang "malabo" na katangian ng perimeter ng network. Halimbawa, salamat sa pagsasama sa Cisco ISE at sa buong imprastraktura ng network ng Cisco, malalaman nito na ang trapiko ay nagmumula sa personal na iPad ng isang empleyado, at pagkatapos, depende sa patakaran sa seguridad, dynamic na hinaharangan ito o pinapayagan ang pag-access lamang sa ilang mga panloob na mapagkukunan. Kung ang pag-access na ito ay isinasagawa mula sa isang pangkumpanyang mobile device, ang mga pribilehiyo nito ay maaaring palawakin.

Kasabay nito, ang ASA CX ay gumagana hindi lamang sa prinsipyo ng kaibigan/kaaway (personal/corporate), ngunit isinasaalang-alang din ang OS na ginamit sa mobile device, ang bersyon nito, ang pagkakaroon ng mga update at iba pang "mga patch", bilang pati na rin ang pagpapatakbo ng antivirus at ang kaugnayan ng mga database nito, atbp. Ang pag-access ay hindi ibibigay ng mga IP address ng nagpadala at tatanggap, ngunit depende sa isang buong hanay ng mga parameter, na ginagawang posible na ipatupad ang isang nababaluktot na patakaran. para sa pagkonekta sa mga protektadong mapagkukunan, hindi alintana kung ang user ay nasa labas o loob at kung siya ay gumagamit ng wired o wireless na koneksyon, personal o corporate na device.

Gumagamit ang Dell SonicWALL firewall ng patuloy na lumalawak na signature database upang matukoy ang higit sa 3,500 application at ang kanilang mga function. Sinusuri ng teknolohiyang ReassemblyFree Deep Packet Inspection (RFDPI) ng SonicWALL ang mga packet sa bawat protocol at interface. Ang mga eksperto sa SonicWALL Research Team ay gumagawa ng mga bagong lagda na awtomatikong inihahatid sa mga umiiral nang firewall. Kung kinakailangan, ang mga customer ay maaaring magdagdag ng mga pirma mismo. Sa SonicWALL Visualization Dashboard at Real-Time Monitor windows, makikita ng mga administrator mga partikular na aplikasyon online, pati na rin kung sino ang gumagamit ng mga ito at kung paano. Ang impormasyong ito ay kapaki-pakinabang para sa pag-configure ng mga patakaran at diagnostic.

Pinalawak din ng Entensys ang functionality ng produkto nito. Ang UserGate Proxy&Firewall na bersyon 6.0, na inilabas noong Nobyembre 2012, ay nagpakilala ng isang ganap na VPN server at IPS system. Ang produktong UTM na ito ay inaalok sa anyo ng software o hardware. Bilang karagdagan sa mga function na direktang nauugnay sa seguridad, ang mga developer ay nagbigay ng malaking pansin sa pagsala ng nilalaman at pagsubaybay sa mga aplikasyon sa Internet. Noong 2012, ang mga function ng morphological analysis ng ipinadalang impormasyon para sa pag-filter ng papasok at papalabas na trapiko ay napabuti at isang produktibo at functional na content filtering server na UserGate Web Filter 3.0 ay inilabas, na maaaring magamit kasabay ng anumang solusyon ng ikatlong partido UTM.

Ipinakilala ng Fortinet, na karaniwang nauugnay sa UTM, noong nakaraang taon ang FortiGate3240C, isang produkto na mas malamang na kabilang sa klase ng NGFW. Gumagamit ang mga Fortinet FortiGate na device ng mga protocol decoder at network traffic decryption upang matukoy ang mga application. Ang mga developer ay nagpapanatili ng isang database kung saan nagdaragdag sila ng mga lagda ng mga bagong application at, sa paglabas ng mga bagong bersyon, na-update na mga lagda ng mga umiiral na. Sa impormasyong ito, ang mga produkto ng Fortinet ay nag-iiba sa pagitan ng mga application at naglalapat ng iba't ibang mga panuntunan sa bawat isa. Sinasabi ng kumpanya na ang mga produkto nito ay may mas mataas na antas ng pagganap at pagsasama kumpara sa mga nakikipagkumpitensyang solusyon, dahil ang lahat ng mga teknolohiya ay binuo nang nakapag-iisa. Ang F5 Networks at Riverbed ay nagtawag din ng pansin sa mga function ng NGFW: kasama ng McAfee (Intel) at iba pang mga nagbibigay ng solusyon sa seguridad ng impormasyon, ginagawa nila ang mga ito sa kagamitan at software upang ma-optimize ang trapiko sa buong mundo.

Sa Juniper Networks, ang NGFW function ng SRX Services Gateway ay ipinatupad sa AppSecure application suite. Gumagamit din ang bahagi ng AppTrack ng database ng mga lagda ng application na nilikha ng Juniper, na dinagdagan ng mga lagda na nabuo ng mga administrator ng customer. Tinutukoy ng AppTrack ang mga application, at ang mga bahagi ng AppFirewall at AppQoS ay nagbibigay ng pagpapatupad ng patakaran at kontrol sa trapiko ng application. Ayon sa tagagawa, ang platform na ito ay lubos na nasusukat at gumagana sa bilis na hanggang 100 Gbit/s.

Ang McAfee, isang kumpanya ng Intel, ay gumagamit ng teknolohiya ng AppPrism para sa pagkilala ng application sa McAfee Firewall Enterprise, na kinikilala ang libu-libong mga application anuman ang port at protocol. Kasabay nito, ginagamit ang mga lagda na binuo ng mga eksperto sa McAfee Global Threat Intelligence. Gamit ang AppPrism, maaaring ipagbawal ng mga administrator ang pagpapatupad hindi lamang ng mga application mismo, kundi pati na rin ng kanilang mga "peligroso" na bahagi- halimbawa, harangan ang function ng pagbabahagi ng file sa Skype, na nagpapahintulot sa pagmemensahe. Tulad ng Juniper, iniuugnay ng McAfee ang pagmamay-ari nitong teknolohiya at mga lagda ng aplikasyon sa mga benepisyo ng solusyon nito.

Gumagamit ang teknolohiya ng App-ID ng Palo Alto Networks ng ilang mga paraan upang matukoy ang mga application: decryption, pagtuklas, pag-decode, mga lagda, heuristics, atbp.. Maaaring gumamit ang mga App-ID ng anumang kumbinasyon ng mga ito, na nagbibigay-daan sa iyong tukuyin ang lahat ng bersyon ng application, pati na rin ang OS kung saan ito tumatakbo. Alinsunod sa App-ID ng application, ang Palo Alto firewall ay naglalapat ng isa o ibang panuntunan sa trapiko nito, halimbawa, ang paglilipat ng file ay maaaring ma-block. Bilang karagdagan, ang App-ID ay maaaring dagdagan ng mga bagong pamamaraan para sa pag-detect at pagtukoy ng mga application sa pamamagitan ng pag-embed sa mga ito sa mga mekanismo ng pag-uuri.

Hindi na-update ng Stonesoft ang linya ng mga firewall nito noong 2012, ngunit inihayag ang isang bagong solusyon, ang Evasion Prevention System (EPS). Ang tool na ito ay idinisenyo upang makita at maiwasan ang mga cyberattack na gumagamit ng mga dynamic na diskarte sa pag-iwas(Advanced Evasion Technique, AET - mga diskarteng ginagamit kasabay ng mga pag-atake sa network upang i-bypass ang mga sistema ng seguridad) at pagsamantalahan ang mga kahinaan sa mga sistema ng seguridad. Tulad ng sinabi ni Dmitry Ushakov, ang produkto ay nagbibigay ng karagdagang antas ng seguridad para sa NGFW, IPS at UTM na mga device na naka-install na sa mga organisasyong mahina laban sa AET. Ito ay isang bagong klase ng mga device na idinisenyo upang labanan ang mga sopistikadong pagtatangka ng mga umaatake na tumagos sa network ng isang organisasyon.

“Ngayon, nauunawaan ng mga tagapag-empleyo na kung minsan ang kanilang mga empleyado ay nangangailangan ng access sa mga ipinagbabawal na site (mga site sa pangangalap, mga social network, atbp.) at mga sistema ng pagmemensahe (Skype, ICQ). Sa pagsasaalang-alang na ito, ang mga aplikasyon mula sa "puti" (posible) at "itim" na listahan (imposible) ay inilipat sa lugar na "kulay abo" (posible sa ilalim ng ilang mga kundisyon o sa ilang mga oras). Iminungkahi na bumalangkas sa mga patakarang ito sa seguridad ng impormasyon sa anyo ng mga panuntunan sa pag-access," sabi ni Dmitry Ushakov.

Ayon kay Alexander Kushnarev, teknikal na consultant para sa Rainbow Security (isang distributor ng WatchGuard Technologies), ipinakilala ng WatchGuard ang mga bagong virtual na bersyon ng mga produktong XTMv at XCSv nito, pati na rin ang mga susunod na henerasyong hardware platform "na may nangunguna sa merkado na pagganap ng UTM." Ang WatchGuard XTM hardware at software system, gamit ang serbisyo ng WatchGuard Reputation Enabled Defense, ay nagpoprotekta sa mga user mula sa mga nakakahamak na Web site habang makabuluhang binabawasan ang load sa network. Nagbibigay ang serbisyong ito ng mataas na antas ng proteksyon laban sa mga banta sa Web, mas mabilis na pag-surf sa Web, kakayahang umangkop sa pamamahala at malawak na kakayahan sa pag-uulat.

"Nakikita namin ang pangangailangan para sa mga aparatong UTM na lumalaki. Ang pinakabagong henerasyon ng mga platform ng hardware ng WatchGuard ay maaaring magproseso ng trapiko gamit ang mga serbisyo ng UTM na pinagana sa parehong bilis na ang mga nakaraang henerasyon ay maaari lamang magsagawa ng simpleng packet filtering. Upang gawing UTM device ang mga firewall ng WatchGuard, i-activate lang ang lisensya. Kung kailangan lang ng kliyente ng packet filtering at ang organisasyon ng VPN tunnels, isang firewall sa klasikal na kahulugan ang babagay sa kanya,” sabi ni Alexander Kushnarev.

Binibigyang-diin niya na ang application control function sa NGFW ay kailangan na ngayon: gusto ng mga kumpanya na i-regulate ang access ng empleyado sa mga social network at gaming site. Kasama sa mga kasalukuyang tool ng UTM ang pag-filter ng URL na may suporta para sa isang database ng mga site sa wikang Ruso, pati na rin buong suporta pagsasama-sama ng port at reputasyon ng mga panlabas na mapagkukunan. Pinapadali ng huli ang mataas na kalidad na pagtuklas at pagpigil sa pag-block ng trapiko mula sa mga botnet. Bilang karagdagan, ang karamihan sa mga customer ay interesado sa pag-save ng pera, gamit ang simple at maginhawang mga setting mga configuration, kaya ang mga all-in-one na solusyon tulad ng WatchGuard XTM ay isang angkop na opsyon para sa kanila.

Dalawa o tatlong taon lamang ang nakalipas, ang mga customer ay nag-aalinlangan tungkol sa mga NGFW, ngunit ngayon na ang merkado ay lubos na mapagkumpitensya, maaari silang pumili mula sa isang malawak na hanay ng mga de-kalidad na produkto ng NGFW. Ayon sa mga analyst ng Cyber ​​​​Security, hanggang 2018 ang pandaigdigang merkado ng firewall ay klase ng korporasyon lalago ng higit sa 11% taun-taon. Gayunpaman, ang mga firewall ay hindi isang panlunas sa lahat. Kapag pumipili ng solusyon, kailangan mong malinaw na tukuyin kung aling mga pag-andar ang kailangan, siguraduhin na ang mga idineklara ng vendor proteksiyon na mga katangian maaaring ipatupad sa isang partikular na kapaligiran sa trabaho kung saan ang kumpanya (o outsourcer) ay may sapat na mapagkukunan upang pamahalaan ang mga patakaran sa seguridad.

At siyempre, tandaan na ang mga NGFW ay nananatiling mga perimeter security device. Ginagawa nila ang kanilang function nang perpekto kapag nag-access sa Internet, ngunit " seguridad sa mobile"nangangailangan ng higit pa. Ngayon ang NGFW ay dapat pagandahin ng ulap at mga solusyon sa mobile seguridad at "magagawa" na makilala ang konteksto. Sa paglipas ng panahon, magiging mas naa-access, mas simple, mas gumagana ang mga solusyong ito, at gagawa ang modelo ng cloud ng mga pagsasaayos sa paraan ng pamamahala sa mga ito.

Sergey Orlov- Nangungunang editor ng Journal of Network Solutions/LAN. Maaari siyang makontak sa:

Bakit kailangan mo ng firewall sa isang router?

Ang isang wireless network ay nangangailangan ng maingat na proteksyon, dahil ang pinaka-kanais-nais na mga pagkakataon para sa pagharang ng impormasyon ay nilikha dito. Samakatuwid, kung ang ilang mga computer ay konektado sa isang network gamit ang isang router, ang isang firewall ay dapat na mai-install at gamitin hindi lamang sa bawat computer, kundi pati na rin sa router. Halimbawa, ang function ng firewall sa isang DI-XXX series na router ay ginagawa ng SPI, na nagsasagawa ng karagdagang packet checking. Ang paksa ng tseke ay kung ang mga packet ay nabibilang sa itinatag na koneksyon.

Sa panahon ng isang session ng koneksyon, ang isang port ay bubukas, na maaaring atakehin ng mga extraneous na packet ang isang partikular na kanais-nais na sandali para dito ay kapag ang session ay nakumpleto at ang port ay nananatiling bukas para sa ilang minuto. Samakatuwid, naaalala ng SPI ang kasalukuyang estado ng session at sinusuri ang lahat ng mga papasok na packet. Dapat silang tumutugma sa kung ano ang inaasahan - nanggaling sa address kung saan ipinadala ang kahilingan, may ilang mga numero. Kung ang packet ay hindi tumutugma sa session, iyon ay, ito ay hindi tama, ito ay naharang at ang kaganapang ito ay naitala sa log. Ang isa pang firewall sa router ay nagpapahintulot sa iyo na harangan ang mga papalabas na koneksyon mula sa isang nahawaang computer.

Ang D-Link ay isang kilalang developer at supplier ng mga solusyon sa hardware para sa pagbuo ng mga network ng computer sa anumang sukat. Kasama rin sa linya ng produkto ang mga device para protektahan ang network mula sa mga panlabas na banta: mga firewall at intrusion detection system. Hiniling namin sa isang kinatawan ng D-Link na sabihin sa amin kung anong mga teknolohiya ang ginagamit sa mga solusyon sa hardware upang matiyak ang seguridad ng IT, kung paano naiiba ang mga solusyon sa hardware mula sa kanilang mga katapat na software at sa anong mga kaso, anong klase ng mga produkto ang pinakamainam. Ang isang tiyak na bahagi ng panayam ay nakatuon din sa mga detalye ng merkado ng Russia para sa mga solusyon sa seguridad ng IT, pati na rin ang mga uso at prospect nito. Sinasagot ni Ivan Martynyuk, consultant ng proyekto sa D-Link, ang aming mga tanong.

Ivan Martynyuk, consultant ng proyekto sa D-Link

Alexey Dolya: Maaari mo bang sabihin sa amin ang kaunti tungkol sa iyong kumpanya?

Ivan Martynyuk: Sa pamamagitan ng mga pamantayan ng industriya ng IT, ang D-Link ay medyo lumang kumpanya. Ito ay inorganisa noong Marso 1986. Ang 87 rehiyonal na tanggapan ng kumpanya ay nagbebenta at sumusuporta sa mga kagamitan sa higit sa 100 mga bansa. Ang kumpanya ay gumagamit ng higit sa tatlong libong empleyado. Kung pinag-uusapan natin ang larangan ng aktibidad ng kumpanya, ang D-Link ay ang pinakamalaking tagagawa ng kagamitan sa network para sa maliliit at katamtamang mga segment ng negosyo, kaya, ayon sa isang bilang ng mga pag-aaral ng sektor ng consumer ng merkado ng kagamitan sa network na isinasagawa ng analytical na kumpanya Ang Synergy Research Group, ang D-Link ay una sa mundo sa mga tuntunin ng dami ng mga benta ng kagamitan sa sektor na ito. Ayon sa Synergy Research Group, ang D-Link ay nagbebenta ng higit sa 8 milyong network device sa unang quarter ng 2004, halos doble ang bilang ng mga device na ibinebenta ng pinakamalapit na katunggali nito. At ayon sa mga pagtatantya ng IDC, ang D-Link ay nangunguna sa mga benta ng mga switch at wireless na kagamitan sa mga bansa sa rehiyon ng Asia-Pacific.


Alexey Dolya: Gaano katagal ka na bumuo ng mga produkto ng seguridad sa network? Ano ang mga produktong ito?

Ivan Martynyuk: Ang mga unang espesyal na produkto para sa proteksyon ng network ay lumitaw mula sa aming kumpanya hindi pa gaanong katagal - noong 2002. Ang medyo huli na hitsura ng kumpanya sa segment na ito ay dahil sa patakaran ng pagtatrabaho sa merkado. Ang D-Link ay gumagawa lamang ng mass-produce na "established" na mga produkto na may mataas na demand sa merkado. Hindi umuunlad ang kumpanya pinakabagong teknolohiya at mga protocol, ngunit gumagamit na ng maayos na mga standardized na detalye sa mga produkto nito. Ang isa pang pagkakaiba sa pagitan ng aming kumpanya at ng iba pa ay hindi lang kami mismo ang gumagawa ng mga device, kabilang ang pagbuo ng ilang microcircuits, at sumulat para sa kanila. software, at ginagawa rin namin ang mga ito sa aming sariling mga pabrika. Ang kumpanya ay may ilang mga development center at pabrika na matatagpuan sa iba't ibang bansa sa buong mundo. Ang mga produkto ng seguridad sa network ay idinisenyo at ginawa sa Taiwan. Ngayon, ang linya ng produkto na ito ay medyo malawak at may kasamang: mga router at switch na may mga function ng seguridad sa network, mga firewall at intrusion detection system, pati na rin ang mga espesyal na device, tulad ng mga wireless gateway, na mayroong ilang functional feature na partikular na idinisenyo para gamitin sa mga wireless network, ang mga ito. ay mga tool sa seguridad na partikular sa mga wireless network, paraan ng pagpapatunay at pagsingil ng user, atbp.


Alexey Dolya: Maaari mo bang sabihin sa amin nang detalyado ang tungkol sa functionality ng iyong mga firewall at intrusion detection tool, at anong mga pag-atake ang pinoprotektahan nila?

Ivan Martynyuk: Ngayon ay may tatlong henerasyon ng mga firewall. Ang unang henerasyon ay packet filtering firewalls. Ang mga device na ito ay maaaring magsagawa ng packet analysis sa network at transport level, iyon ay, pag-aralan ang mga IP address, pati na rin ang TCP at Mga port ng UDP pinagmulan at patutunguhan, at batay sa impormasyong ito, magpasya kung ano ang susunod na gagawin sa packet na ito: hayaan itong pumasa, tanggihan ito, baguhin ang priyoridad, atbp. Ang ikalawang henerasyon ng mga device ay mga intermediary firewall (Proxies). Maaaring suriin ng mga device na ito ang impormasyon sa lahat ng pitong antas, hanggang sa antas ng aplikasyon, at naaayon ay nagbibigay ng napakataas na antas ng proteksyon. Gayunpaman, ang mga naturang device ay hindi direktang nagpapadala ng mga packet sa labas ng mundo, ngunit kumilos bilang isang ahente ng tagapamagitan sa pagitan ng mga panloob na aplikasyon at mga panlabas na serbisyo, na kung sakaling magkaroon ng pagtatangka sa pag-hack ay hahantong sa kompromiso ng firewall, at hindi ang panloob na host. Alinsunod dito, ang mga naturang device upang magbigay mataas na pagganap nangangailangan ng mga high-speed hardware platform at may pinakamataas na halaga. Ang ikatlong henerasyon ay ang Stateful Packet Inspections (SPI) na mga firewall. Gumagana ang mga device na ito na katulad ng mga screen ng packet filtering, ngunit sinusuri nila ang higit pang mga field sa mga packet, tulad ng mga flag at mga numero ng sequence ng packet, at nag-iimbak din ng impormasyon tungkol sa mga naunang naipasa na packet at samakatuwid ay nagbibigay ng mas mataas na antas ng proteksyon. Maaaring ipagbawal ng mga naturang device ang pagpasa ng mga packet mula sa isang interface patungo sa isa pa kung hindi sila bahagi ng isang paunang naitatag na session sa baligtad na direksyon, o wakasan ang session kung may napansing anumang paglabag. Ang mga device na ito ay nangangailangan ng halos kaparehong computing resources gaya ng packet filtering firewalls at hindi gaanong naiiba sa presyo, ngunit nagbibigay ng mas mataas na antas ng proteksyon.
Ang Intrusion Detection Systems (IDS) ay mas matalinong mga aparato na hindi lamang gumagana sa lahat ng pitong antas, ngunit naglalaman din ng mga tool na nagbibigay-daan sa iyong pag-aralan ang mga nilalaman ng mga packet nang mas detalyado at makita ang mga disguised na Trojan at virus o iba pa. malisyosong pagkilos. Upang gawin ito, ang mga naturang sistema ay naglalaman ng mga paunang inihanda na database ng pag-atake at mga pirma ng virus, at mayroon ding mga sistema ng pagsusuri ng heuristic na, sa ilang mga kaso, pinapayagan ang pagharang ng mga pag-atake na ang mga lagda ay hindi nakapaloob sa database.
Kung pinag-uusapan natin ang tungkol sa aming mga device, depende sa modelo na mayroon silang isa o ibang pag-andar.


Alexey Dolya: Anong mga partikular na teknolohiya at algorithm ang ginagamit upang protektahan ang mga network, ibig sabihin, paano eksaktong gumagana ang iyong mga firewall?

Ivan Martynyuk: Ang lahat ng aming mga firewall: DFL-100, DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100, DFL-1500 ay stateful packet inspection (SPI) na mga firewall, suporta sa paggana ng pagsasalin ng address ( Network Address Translation - NAT), na nagbibigay-daan sa iyo upang itago ang panloob na istraktura ng network, pinoprotektahan laban sa pagtanggi ng mga pag-atake ng serbisyo (Ang DoS ay isang hiwalay na grupo ng mga pag-atake na naglalayong dalhin ang isang host o serbisyo sa labas ng gumaganang kaayusan), ay nagbibigay-daan sa iyo na limitahan ang pag-access ng lokal mga user sa ilang panlabas na mapagkukunan ng web at mga tool sa suporta para sa pagbuo ng mga virtual na pribadong network (Virtual Private Network - VPN) gamit ang mga sumusunod na protocol: IPSec, PPTP at L2TP. Bukod dito, ang lahat ng mga function ng seguridad sa itaas ay sinusuportahan hindi lamang sa mga dalubhasang device - mga firewall, kundi pati na rin sa mga mas mura - Mga gateway sa Internet ng seryeng DI-8xx (DI-804HV, DI-808HV, DI-824VUP+). Ang retail na presyo ng pinakabatang device (DI-804HV) ay $99 lamang, na ginagawang abot-kaya para sa halos lahat ng kumpanya at maging ang mga user sa bahay.
Sinusuportahan din ng mga lumang modelo ng device ang iba pang mas kumplikadong mekanismo ng seguridad. Halimbawa, ang mga device: DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100 at DFL-1500 ay nagbibigay-daan sa pagpapatunay ng user gamit ang built-in o external na paraan. Hinahayaan ka ng DFL-600, DFL-700, DFL-900, DFL-1100 at DFL-1500 na kontrolin ang bandwidth ng channel. Ang DFL-200, DFL-700, DFL-900, DFL-1100 at DFL-1500 ay may built-in na intrusion detection system (IDS) module na may na-update na signature database. Ang DFL-900 at DFL-1500 ay may mga built-in na proxy module (Proxy) para sa mga sumusunod na protocol: HTTP, FTP, SMTP at POP3, i.e. ay mga intermediary firewall, at kapag nagtatrabaho sa mga protocol na ito ay nagbibigay sila ng hindi lamang mas mataas na antas ng seguridad, ngunit nagbibigay-daan din para sa kontrol ng nilalaman. Halimbawa, pinapayagan ka nitong limitahan ang pag-access ng user sa ilang partikular na mapagkukunan sa web, at, hindi tulad ng iba pang mga modelo kung saan kailangang manu-manong ipasok ng administrator ang mga mapagkukunang ito, ang DFL-900 at DFL-1500 ay may built-in na nakategorya na database na awtomatikong ina-update, at ang tanging bagay na Ang kailangan ng administrator ay pumili ng mga kategorya ng mga website na pinapayagan o tinanggihan ng pag-access. Maaari ding limitahan ang pag-access batay sa nilalaman ng isang web page o sa isang partikular na mapagkukunan na manu-manong ipinasok ng administrator. Maaaring ma-block Java execution o mga ActiveX applet at script, naglo-load ng Cookies. Maaaring harangan ng FTP, SMTP at POP3 na mga protocol ang pag-download ng ilang uri ng file. Mga Device: DFL-1100 at DFL-1500 na suporta mataas na kakayahang magamit, iyon ay, pinapayagan ka nilang mag-install ng dalawang device nang magkatulad at awtomatikong lumipat sa backup kung nabigo ang pangunahing isa.
Bilang karagdagan, ang lahat ng mga aparato ay naiiba sa bawat isa sa pagganap, bilang ng mga interface, ang pagkakaroon ng ilang karagdagang pag-andar at, siyempre, gastos.


Alexey Dolya: Paano gumagana ang iyong mga intrusion detection system?

Ivan Martynyuk: Ang aming mga intrusion detection system (DFL-2100 at DFL-2400) ay klasikong Transparent Network based Intrusion Detection System (TNIDS). Iyon ay, ito ay mga dedikadong hardware device na naka-install sa network gap at sinusuri ang lahat ng trapikong dumadaan sa kanila. Maaaring isagawa ang pagsusuri batay sa isang signature database, na pana-panahong ina-update, o batay sa heuristic analysis, na ginagawang posible na makakita ng mga bagong pag-atake na wala sa listahan ng mga lagda. Kung may nakitang pag-atake, ang system ay nagsusulat ng impormasyon sa isang log file, maaaring abisuhan ang system administrator, harangan ang pagpasa ng mga packet, o wakasan ang session. Ang mga system ay may espesyal na software - Policy Server, na nagbibigay-daan sa kakayahang umangkop sa pamamahala ng mga intrusion detection system, pagtanggap ng mga ulat ng mga pag-atake, pag-update ng mga signature database, paglikha ng sariling mga lagda ng system administrator, pagbuo ng iba't ibang ulat at pagsubaybay sa trapiko sa real time. Ang DFL-2100 at DFL-2400 ay naiiba sa bawat isa lamang sa pagganap.


Alexey Dolya: Maaari mo bang ihambing ang mga konsepto ng paggamit ng mga tool sa seguridad ng network ng hardware at software (mga firewall at intrusion detection system)? Ano ang mga kalamangan at kahinaan ng dalawang kategorya ng produkto na ito na nauugnay sa isa't isa?

Ivan Martynyuk: Sa panahon ng pag-unlad mga solusyon sa software Mayroong mas kaunting iba't ibang mga teknolohikal na paghihigpit at, bilang isang panuntunan, mas kaunting mga developer ang kasangkot sa prosesong ito nang naaayon, ang partikular na halaga ng mga naturang solusyon ay kadalasang mas mababa. Totoo rin ito para sa mga firewall. Ang halaga ng mga firewall ng software ay mas mababa kumpara sa mga solusyon sa hardware na may katulad na pag-andar. Kasabay nito, ang mga solusyon sa software ay mas nababaluktot. Mas madaling magdagdag ng karagdagang pag-andar sa kanila sa hinaharap o iwasto ang mga naunang nagawang error. Mula sa sinabi ko, lumalabas na ang mga solusyon sa hardware ay hindi kailangan - ang mga solusyon sa software ay parehong mas functional at mas mura. Ngunit hindi ito ganoon kasimple. Una, para sa end user, ang isang software solution ay maaaring maging mas mahal kaysa sa isang hardware na solusyon, dahil kasama sa kumpletong solusyon hindi lamang ang gastos ng firewall software, kundi pati na rin ang gastos ng operating system sa tuktok ng firewall. tumatakbo, pati na rin ang halaga ng hardware platform na ang pagganap ay dapat na mas mataas kaysa sa kaso solusyon sa hardware. Ang mga libreng firewall na malayang ipinamamahagi ay halos hindi ginagamit ng mga kumpanya. Ayon sa mga pagsusuri ng iba't ibang ahensya, ang naturang software ay ginagamit ng mga 3-5% ng mga kumpanya. Ang mababang porsyento ng paggamit ay higit sa lahat dahil sa mga problema sa suporta, na lubhang kritikal para sa klase ng kagamitang ito, at sa ilang mga kaso sa kalidad ng naturang software. Pangalawa, ang mga solusyon sa software ay mayroon pa ring ilang mga kawalan, at ang pangunahing isa ay maaari silang ma-hack o ma-bypass nang hindi direkta, ngunit sa pamamagitan ng mga kahinaan ng operating system kung saan sila gumagana. At ang bilang ng mga kahinaan na nakapaloob sa mga operating system ay mas mataas kaysa sa espesyal na software ng firewall o kanilang mga hardware analogues. Bilang karagdagan, ang pagiging maaasahan ng mga solusyon sa software ay mas mababa, dahil gumagana ang mga ito sa mga unibersal na platform ng hardware na naglalaman ng isang malaking bilang ng mga bahagi (mas kaunting mga bahagi ang nilalaman ng system, mas mataas ang pagiging maaasahan nito). Bukod dito, ang ilan sa mga sangkap na ito ay naglalaman ng: gumagalaw na mga elemento ng mekanikal (hard drive, mga tagahanga), na may mas mababang oras ng pagkabigo kaysa sa mga electronic; magnetic elements (hard drives), na may mababang resistensya sa pinsala at madaling kapitan sa electromagnetic radiation; isang malaking bilang ng mga contact group, i.e. may mataas na posibilidad ng mga problemang nauugnay sa sirang kontak. Ang mga firewall ng software ay nangangailangan ng mas mataas na antas ng mga kwalipikasyon mula sa mga tauhan na nagpapatakbo sa kanila, dahil kinakailangan na wastong i-configure hindi lamang ang screen mismo, kundi pati na rin ang operating system, na hindi kasing simple ng iniisip ng maraming tao. Ang ilang mga firewall ng software ay hindi ibinebenta nang hindi nagbibigay mga bayad na serbisyo sa pamamagitan ng pag-set up sa kanila. Ang mga firewall ng software ay mas mahal upang mapanatili, dahil kinakailangan na patuloy na subaybayan hindi lamang ang mga nakitang kahinaan sa dalubhasang software at pag-install ng mga patch, kundi pati na rin ang mga kahinaan sa operating system, kung saan, tulad ng nasabi ko na, marami pa. Bilang karagdagan, maaaring may ilang isyu sa compatibility sa pagitan ng software, lalo na pagkatapos mag-install ng mga karagdagang patch. Kinakailangan din na patuloy na subaybayan ang kondisyon ng mga mekanikal at magnetic na bahagi para sa pinsala. Ang silid kung saan matatagpuan ang software firewall ay dapat magkaroon ng mas mahigpit na mga panuntunan para sa pag-access ng mga tauhan, dahil pinapayagan ng unibersal na platform ng hardware ang mga koneksyon dito sa iba't ibang paraan. Ito ay mga panlabas na port (USB, LPT, RS-232), at mga built-in na drive (CD, Floppy), at sa pamamagitan ng pagbubukas ng platform maaari kang kumonekta sa pamamagitan ng IDE o interface ng SCSI. Kasabay nito operating system nagbibigay-daan sa iyo na mag-install ng iba't ibang malware. At sa wakas, ang unibersal na platform ng hardware ay may mataas na pagkonsumo ng kuryente, na negatibong nakakaapekto sa oras ng pagpapatakbo nito mula sa isang walang patid na supply ng kuryente kung sakaling mawalan ng kuryente. Ang debate tungkol sa kung aling mga solusyon, sa huli ay software o hardware, ay mas mahusay na nangyayari sa mahabang panahon, ngunit nais kong tandaan na anumang teknikal na paraan- ito ay isang kasangkapan lamang sa mga kamay ng mga taong nagsasamantala sa kanila. At sa karamihan ng mga kaso, ang mga problema sa seguridad ay nangyayari dahil sa kawalan ng pansin o mababang kwalipikasyon ng mga tauhan na responsable para dito, at hindi ang pagpili ng isang partikular na platform.


Alexey Dolya: Sa anong mga kaso mo itinuturing na angkop na gumamit ng mga solusyon sa hardware upang protektahan ang mga network, at sa anong mga kaso - software? Mas mabuti ang isang pares ng mga halimbawa ng mga sitwasyon sa paggamit ng produkto.

Ivan Martynyuk: Ang paggamit ng mga firewall ng software ay makatwiran kung kinakailangan na gumamit ng ilang partikular na pag-andar na wala sa mga solusyon sa hardware, halimbawa, kailangan mo ng intermediary module para sa ilang kakaibang protocol, o kabaliktaran, kailangan mong makakuha ng napakamurang solusyon , at mula sa kumpanya o Ang user ay mayroon nang hardware platform at isang operating system. Sa anumang kaso, kailangan mong isaalang-alang ang lahat ng mga disadvantages at pakinabang ng parehong mga solusyon at pumili ng isang kompromiso.


Alexey Dolya: Naiintindihan ko ba nang tama na ang mga gumagamit ng bahay ay hindi kailangan ng mga firewall ng hardware?

Ivan Martynyuk: Hindi ko sasabihin iyon. Ang paggamit ng ilang partikular na hakbang sa seguridad ay hindi nakadepende sa kung sino ang gumagamit: tahanan o korporasyon, ito man ay malaki o maliit na kumpanya, ngunit sa halaga ng impormasyong kailangang protektahan, i.e. mula sa mga pagkalugi na natamo ng gumagamit sa kaganapan ng isang paglabag sa isa o higit pang mga function ng seguridad - isang paglabag sa pagiging kompidensiyal, integridad o pagkakaroon ng impormasyon. Bilang isang tuntunin, sa katunayan, mas malaki ang kumpanya, mas maraming impormasyon ang mayroon ito na kumpidensyal at mas mataas ang pagkalugi ng kumpanya sa kasong ito. Ngunit din regular na gumagamit Halimbawa, ang isang executive sa parehong kumpanya ay maaaring may impormasyon sa kanyang computer sa bahay na maaaring napakamahal na mawala. Alinsunod dito, ang kanyang computer ay dapat na protektado nang hindi mas masahol kaysa sa corporate network. Ang pagpili ng paraan ng proteksyon at ang kanilang gastos, bilang panuntunan, ay tinutukoy ng halaga ng impormasyong pinoprotektahan. Sa madaling salita, walang saysay na gumastos ng higit sa mga hakbang sa seguridad kaysa sa halaga ng impormasyon mismo. Ang problema ay nasa ibang lugar - sa pagtukoy sa halaga ng impormasyon. Pagdating sa pagprotekta sa impormasyong pagmamay-ari ng estado, magkakabisa ang mga batas na pambatasan na kumokontrol kinakailangang antas proteksyon.


Alexey Dolya: Sa paghusga sa iyong karanasan sa pagnenegosyo sa Russia, masusubaybayan mo ba ang rate ng paglago ng network security hardware market sa nakalipas na ilang taon?

Ivan Martynyuk: Nasabi ko na na ang kumpanya ay may tatlong taong karanasan sa segment na ito ng merkado. At para sa amin, ang 2004 ay nagpapahiwatig sa bagay na ito. Tumaas ng higit sa 170% ang dami ng benta ng device sa mga tuntunin sa pananalapi kumpara sa nakaraang taon. Sa paghusga sa pamamagitan ng mga ulat ng mga ahensya ng analytical, sa nakaraang taon ang makabuluhang paglago sa segment na ito ay naobserbahan hindi lamang sa amin, kundi pati na rin ng iba pang mga kumpanya na gumagawa ng naturang kagamitan. Ang merkado ng mga sistema ng seguridad sa anyo kung saan ito umiiral ay nabuo noong 1997, ngunit simula pa lamang noong nakaraang taon maaari itong ituring na napakalaking.


Alexey Dolya: Mayroon bang anumang mga detalye sa paggawa ng negosyo sa Russian segment ng security hardware market kumpara sa ibang mga bansa?

Ivan Martynyuk: Oo, sa katunayan ang merkado ng Russia ay bahagyang naiiba mula sa merkado ng mundo. Ito ay malamang dahil sa kalagayang pang-ekonomiya ng bansa at kaisipan. Una, ang istraktura ng merkado ng mga sistema ng seguridad mismo ay iba. Kung sa isang pandaigdigang sukat ang merkado ng hardware ay higit sa dalawang beses na mas malaki kaysa sa merkado ng software, kung gayon sa Russia ang kanilang mga pagbabahagi ay halos pareho. Ito ay sanhi ng ilang mga problema sa ekonomiya at, nang naaayon, ang mataas na antas ng pamamahagi ng pirated software. Sa Russia, halos walang merkado para sa mga serbisyo ng outsourcing sa larangan ng seguridad, na napakapopular sa ibang mga bansa. Ang negosyong ito ay hindi binuo, dahil itinuturing ng maraming tagapamahala na hindi ligtas na i-outsource ang solusyon ng mga problema sa seguridad ng impormasyon sa mga ikatlong partido, at mas kumikita sa ekonomiya ang paglutas ng mga problema gamit ang kanilang sariling mga espesyalista, na ang antas ng kwalipikasyon ay madalas na hindi nakakatugon sa mga minimum na kinakailangan. Ang katotohanan na ang mga network ng Russia ay mas mahusay na protektado at mayroon kaming mas mataas na antas ng mga tauhan ay ang parehong gawa-gawa bilang ang katotohanan na ang malayang ipinamamahagi na software ay mas maaasahan kaysa sa mga komersyal. Samakatuwid, ang paraan ng paggawa ng negosyo sa Russia ay bahagyang naiiba. Kailangan nating magbayad ng espesyal na pansin hindi sa pakikipagtulungan sa mga system integrator at outsourcing na kumpanya, ngunit sa mga end user, mga mamimili ng mga produkto.


Alexey Dolya: Maaari ka bang gumawa ng pagtataya para sa hinaharap, kung paano bubuo ang industriya ng seguridad ng impormasyon sa susunod na ilang taon?

Ivan Martynyuk: SA kani-kanina lang Ang mga pag-atake na ipinatupad sa antas ng application, pati na rin ang mga virus, Spyware at spam, ay nagdudulot ng higit pang pinsala at abala sa mga user. Alinsunod dito, mas bibigyan ng pansin ng mga developer ang mga system na tumatakbo sa antas na ito - kabilang dito ang iba't ibang mga intermediary firewall, Content Management system, at intrusion detection at prevention system. Ang iba't ibang mga distributed system ay magiging mas laganap at bubuo sa mga functional na termino, na magbibigay-daan sa mga desisyon na gawin tungkol sa isang pag-atake at kung paano ito maitaboy batay sa impormasyong natanggap mula sa iba't ibang mga mapagkukunan, sistema at probe.


Alexey Dolya: Maaari mo bang ibunyag ang ideya ng mga espesyalista mula sa kilalang kumpanya na The Yankee Group na sa mga darating na taon ang diin sa pagbuo ng mga sistema ng seguridad ay maayos na lilipat - mula sa pagkontra sa "panlabas" na pag-atake ng hacker hanggang sa pagprotekta laban sa mga pag-atake "mula sa loob"?

Ivan Martynyuk: Kung titingnan mo ang mga ulat ng iba't ibang ahensya ng pagsusuri, mapapansin mo ang isang kabalintunaan. Sa isang banda, mas maraming kumpanya ang gumagamit ng mga hakbang sa seguridad na nagsisiguro ng seguridad sa perimeter ng network kaysa sa mga nagpoprotekta sa kanilang sarili mula sa mga pag-atake mula sa loob, at sa kabilang banda, ang mga pagkalugi ng kumpanya mula sa ipinatupad na "panloob" na pag-atake ay mas mataas. kaysa sa mga "panlabas". Ang mga eksperto sa larangang ito ay natural na umaasa na balang araw ay mauunawaan ang mga tauhan ng seguridad ng kumpanya at bigyang pansin ang mga panloob na banta gaya ng panlabas.


Alexey Dolya: Anong uri ng teknikal na suporta ang ibinibigay mo sa mga customer ng iyong mga produkto? Batay sa impormasyong ibinigay sa iyong website, ang D-Link ay nagbibigay ng karagdagang mga serbisyo, FAQ, Knowledge Base, HELPER at marami pang iba. Posible bang maging mas tiyak?

Ivan Martynyuk: Bagama't ang D-Link ay dalubhasa sa paggawa ng mga kagamitan para sa maliliit at katamtamang laki ng mga segment ng negosyo, ang aming arsenal ay may kasamang lubos na gumagana at kumplikadong mga produkto, na hindi madaling makabisado kahit isang mataas na kwalipikadong espesyalista. Kung pupunta ka sa aming website, makikita mo na ang kumpanya ay may napakaraming bilang ng mga panrehiyong tanggapan na nagbibigay ng lokal na suporta. Kung mas malapit ka sa isang tao, mas naiintindihan mo siya at magagawa mong mag-alok sa kanya ng isang mas mahusay na teknikal na solusyon o mas mabilis na malutas ang kanyang problema. Sa kasong ito, mas madali para sa isang tao na tawagan ka o magmaneho, o ikaw mismo ay maaaring magmaneho papunta sa gumagamit at lutasin ang problema sa lugar. Ang kumpanya ay nagpapanatili din ng isang Russian-language na website kung saan mo mahahanap detalyadong impormasyon tungkol sa mga produkto, alamin kung saan ito mabibili, magbasa ng balita. Ang isa sa pinakamalaking seksyon ng site ay ang seksyon ng teknikal na suporta, na naglalaman ng mga sagot sa mga madalas itanong (FAQ), isang base ng kaalaman ( Base ng Kaalaman), na naglalaman ng mga sagot sa maraming teknikal na tanong, isang Helper na magiging kapaki-pakinabang para sa mga baguhan na user kapag gumagawa ng network, mga emulator ng interface ng device, isang forum kung saan maaari mong talakayin ang iba't ibang teknikal na aspeto ng paggamit ng kagamitan, kapwa sa ibang mga user at empleyado ng D-Link , pati na rin ang maraming iba pang kapaki-pakinabang na teknikal na impormasyon. Bilang karagdagan sa website, sinusuportahan din ang isang FTP site, kung saan maaari kang mag-download ng kumpletong mga manwal ng gumagamit para sa mga device, marami sa kanila ang isinalin sa Russian, pati na rin ang firmware, mga driver at iba pang software, at dokumentasyon para sa kagamitan.


Alexey Dolya: Bilang karagdagan sa teknikal na suporta, nagbibigay ka ba ng pagsasanay? Mga seminar, mga kurso?

Ivan Martynyuk: Ang lahat ng aming mga tanggapan sa rehiyon ay regular na nagho-host ng mga libreng teknikal na seminar na nagbibigay-daan sa iyong makipag-ugnayan nang interactive sa mga user at ihatid sa kanila ang impormasyong hindi maibibigay sa pamamagitan ng media o website. Ang pagtaas ng teknikal na antas ng mga espesyalista sa IT bilang resulta ay may positibong epekto sa antas ng mga teknikal na solusyon na kanilang ipinapatupad at ang dami ng benta ng aming kagamitan. Ang mga seminar ay binubuo ng dalawang bahagi: teoretikal, na pinag-uusapan ang mga prinsipyo ng pagbuo ng mga network, mga protocol ng network, mga teknolohiya at aming mga produkto at isang praktikal, na nagpapakita kung paano i-customize ang mga produktong ito para sa mga partikular na gawain.


Alexey Dolya: Anumang huling salita na sasabihin sa aming mga mambabasa?

Ivan Martynyuk: Gusto kong tandaan na ang mga firewall at intrusion detection system ay kailangan, ngunit hindi sapat na paraan ng pagprotekta ng impormasyon. Ang isyung ito ay kailangang lapitan sa isang malaking sukat at ang tinatawag na "Komprehensibong Sistema ng Seguridad ng Impormasyon" ay ipinakilala, na isang kumplikadong mga hakbang sa organisasyon, legal at teknikal. Ang paglutas ng problema ng seguridad ng impormasyon ay palaging nagsisimula sa pagsusuri ng impormasyon na nagpapalipat-lipat sa negosyo, pag-uuri at pagpapasiya ng halaga nito, pagkatapos ay pagkilala sa maraming potensyal na banta, na marami sa mga ito ay maaaring natural, halimbawa, pagkabigo ng kagamitan, natural na sakuna, error sa tauhan, atbp. at pagkatapos lamang nito piliin ang kinakailangang modelo at paraan ng proteksyon. Bilang karagdagan, kahit na ang isang maayos na idinisenyo at binuo na sistema ng seguridad ay hindi palaging epektibong maprotektahan ang iyong network, dahil ang lohikal at pisikal na istraktura nito ay patuloy na nagbabago, ang istraktura ng organisasyon ng negosyo ay patuloy na nagbabago, at ang mga bagong uri ng pagbabanta ay lumilitaw. Ang sistema ng proteksyon ay patuloy na kailangang suriin at iakma sa pagbabago ng mga pangyayari. Ang seguridad ay isang proseso.


Alexey Dolya: Maraming salamat sa pagsang-ayon na sagutin ang aming mga katanungan. Patuloy naming susundan ang tagumpay ng iyong kumpanya at mga produkto nito!