Безопасность сети
Межсетевой экран - что это такое и как он работает - ICORE

Межсетевой экран – что это такое и как он работает

Брандмауэр, Файрволл или Межсетевой экран – это средство защиты сети от злоумышленников. Он работает, как фильтр 24/7, непрерывно сканируя данные, проходящие в вашу сеть и препятствуя прохождению подозрительных данных. В статье подробно разберём, как работают брандмауэры и какие виды межсетевых экранов бывают.

Если взять простой пример, то брандмауэр напоминает бдительного охранника, который знает в лицо миллионы потенциальных преступников. Он осматривает всех людей, входящих в здание, и если видит среди них одного из злоумышленников, то не впускает его внутрь. Аналогично работает брандмауэр, обеспечивая мониторинг и регулирование трафика, входящего и исходящего из вашей сети. Это достигается с помощью различных методов, включая фильтрацию пакетов, прокси-сервис и проверку с отслеживанием состояния. Помимо этого, файрволл может предотвратить использование системы злоумышленником для распространения вредоносного кода.

Что умеет межсетевой экран:

  • Прекратить подмену трафика. Если ваш компьютер обменивается данными с другим компьютером, при этом IP-адреса обоих устройств известны. Мошенники могут подделать свой траффик под данные, исходящие из одного из легитимных компьютеров, но при этом отправить его с другого IP. Межсетевой экран заметит подмену и не позволит ложному траффику проникнуть в вашу сеть.
  • Оградить сеть от DDoS-атак. Если злоумышленники отправляют на ваше устройство множественные запросы с зараженных устройств, пытаясь вывести ваши ресурсы из строя, брандмауэр может это обнаружить и отфильтровать.
  • Остановить передачу данных на незнакомый IP-адрес. Если вы скачали и установили на компьютер вредоносное ПО, оно может попытаться передать ваши данные злоумышленнику. Межсетевой экран способен автоматически остановить этот процесс.

Защита осуществляется с помощью следующих средств:

  • Пакетная фильтрация. Данные организованы в пакеты. Когда брандмауэр выполняет фильтрацию, он проверяет пакеты данных, сравнивая их с фильтрами, содержащими информацию о вредоносных данных. Если пакет данных соответствует параметрам угрозы, он блокируется, а безопасные пакеты пропускаются дальше.
  • Прокси-сервис. В данном случае брандмауэр выступает посредником между компьютером и всеми устройствами, которые пытаются к нему подключиться. Он не позволяет злоумышленникам напрямую подключаться к вашему компьютеру.
  • Контроль состояния. Межсетевой экран проверяет каждый пакет данных и сравнивает его с базой данных угроз. В процессе проверки брандмауэр проверяет, откуда поступают данные, какие порты они используют и с какими приложениями они связаны. Если пакет данных проходит проверку, ему разрешается доступ. В противном случае он не будет пропущен.

Существуют следующие разновидности файрволов:

  • Аппаратные – такой межсетевой экран работает независимо от защищаемого компьютера и фильтрует информацию, поступающую из Интернета в систему. Если у вас есть интернет-маршрутизатор, то скорее всего в нём присутствует собственный брандмауэр. Аппаратный межсетевой экран проверяет данные, поступающие из интернета, и решает, безопасны ли они. Он проверяет каждый пакет данных и выясняет, откуда он поступил и где находится. Данные, которые брандмауэр собирает о каждом пакете, затем сравниваются со списком разрешений, чтобы определить, соответствуют ли они профилю данных, которые следует отклонить. Вы можете купить межсетевой экран Cisco или FortiGate, и он сможет защитить все подключенные к нему компьютеры, что делает его легко масштабируемым решением.
  • Программные брандмауэры – в отличие от аппаратных, программный брандмауэр устанавливается на самом компьютере. Он может быть настроен пользователем в соответствии с его потребностями. Программный межсетевой экран фильтрует входящие и исходящие данные, проверяя на вредоносность, а также может отслеживать трафик, пытающийся покинуть ваш компьютер, предотвращая его использование для атак на другие сети или устройства. Программный брандмауэр должен быть установлен на каждом компьютере в сети, он может одновременно защищать только один ПК.

Файрволл способен предотвратить следующие угрозы безопасности:

  • Аппаратные – такой межсетевой экран работает независимо от защищаемого компьютера и фильтрует информацию, поступающую из Интернета в систему. Если у вас есть интернет-маршрутизатор, то скорее всего в нём присутствует собственный брандмауэр. Аппаратный межсетевой экран проверяет данные, поступающие из интернета, и решает, безопасны ли они. Он проверяет каждый пакет данных и выясняет, откуда он поступил и где находится. Данные, которые брандмауэр собирает о каждом пакете, затем сравниваются со списком разрешений, чтобы определить, соответствуют ли они профилю данных, которые следует отклонить. Вы можете купить межсетевой экран Cisco или FortiGate, и он сможет защитить все подключенные к нему компьютеры, что делает его легко масштабируемым решением.
  • Программные брандмауэры – в отличие от аппаратных, программный брандмауэр устанавливается на самом компьютере. Он может быть настроен пользователем в соответствии с его потребностями. Программный межсетевой экран фильтрует входящие и исходящие данные, проверяя на вредоносность, а также может отслеживать трафик, пытающийся покинуть ваш компьютер, предотвращая его использование для атак на другие сети или устройства. Программный брандмауэр должен быть установлен на каждом компьютере в сети, он может одновременно защищать только один ПК.

Правильная настройка межсетевого экрана позволит защитить от большинства киберугроз, однако не от всех. Поэтому рекомендуется сочетать их с другими средствами защиты.

Использование межсетевых экранов (firewall) в целях защиты инфраструктуры от внешних сетевых угроз — нормальная практика. Типичный файрволл представляет собой фильтр сетевого трафика, в котором политиками безопасности заданы разрешения на пропуск сетевых пакетов в зависимости от IP-адресов, портов источника и назначения и других критериев. Но возможностей классического решения иногда становится недостаточно. Поэтому появился межсетевой экран нового поколения: NGFW (Next-Generation Firewall).

Next-Generation Firewall — это комплексное решение, которое объединило в себе функции классического межсетевого экрана, системы защиты каналов и мониторинга вторжений, фильтра веб-трафика и электронной почты. Оно работает на базе специализированных процессоров безопасности (SPU), поддерживает настройку политик прав доступа пользователей. Помимо физического устройства существует и виртуальный NGFW, который легко масштабируется под нужды конкретной компании.

NGFW от Fortinet защищает инфраструктуру на разных уровнях сетевой модели OSI, поскольку является результатом развития популярной системы Unified Threat Management, которая была достаточно надёжной, но слишком уж медлительной. Аппаратная платформа Next-Generation Firewall использует Application Specific Integrated Circuit (ASIC) для ускорения работы встроенных функций. И благодаря такому подходу процессор избавлен от дополнительной нагрузки во время выполнения процедур сканирования на вирусы, работы IDS и IPS, антиспам-системы.

Основные преимущества NGFW FortiGate:

  • Производительность. Системы FortiGate оснащены процессорами FortiASIC, которые разгружают центральный процессор, принимая на себя самые трудоемкие задачи. Системы защиты работают быстро, бизнес-процессы не прерываются.
  • Упрощенное администрирование. Простой и понятный веб-интерфейс даёт администрирование доступным, даже если в организации нет опытных технических специалистов. FortiGate способен исследовать сеть и наглядно представлять администратору её структурную схему.
  • Синхронизация с FortiGuard. В составе решения присутствует сервис FortiGuard, который содержит все актуальные угрозы, антивирусные сигнатуры, вредоносные веб сайты и пр.

Поскольку в системах NGFW реализовано большое количество инструментов, они позволяют решать сразу несколько задач. Например, антивирус, антиспам, аутентификация пользователей, веб-фильтр, виртуальные домены (VDOM), инспектирование SSL (Secure Sockets Layer) трафика, контроль доступа к сети (Network access control, NAC), контроль приложений IM, P2P, VoIP, СУБД, контроль трафика (traffic shaping), оптимизация и кеширование WAN трафика, предотвращение утечки данных (Data Leak Prevention, DLP), преобразование сетевых адресов (NAT) и балансировка нагрузки, Система обнаружения и предотвращения вторжений в сеть (IDS/IPS).

Такие системы применяют для:

  • Изолирования устройств в случае выявления потенциально опасных инцидентов;
  • Администрирования политик NAT, управления группами пользователей и фильтрации пакетов;
  • Глубокого сканирования трафика;
  • Мониторинга сети и обнаружения вторжений;
  • VPN-концентратора (IPSec, SSL, PPTP, L2TP).

У межсетевых экранов FortiGate базовый функционал, необходимый для защиты сети, предоставляется сразу и не требует дополнительных затрат, кроме приобретения самого устройства.

В основной функционал FortiGate входит множество сетевых функций, функций безопасности и аналитики, а именно:

  • маршрутизация;
  • настройка сетевых интерфейсов, в том числе физических портов;
  • гибкая настройка политик для фильтрации трафика;
  • Traffic Shaping;
  • поддержка IPv6;
  • VPN (IPSec, SSL, PPTP, L2TP);
  • мониторинг, в том числе отправка логов на удаленные устройства, например, FortiAnalyzer;
  • балансировка нагрузки;
  • системные настройки (настройка администраторов и пользователей, загрузка сертификатов, управление устройствами);
  • отказоустойчивый кластер (high availability кластер из нескольких FortiGate);
  • создание виртуальных доменов (VDOM);
  • Antivirus и IPS с возможностью создания собственных сигнатур, но без возможности получать обновления;
  • Web Filtering без возможности обновления и использования категорий фильтров от FortiGuard для веб-контента, который может быть заблокирован в зависимости от его содержания;
  • Antispam без возможности обновления;
  • Application Control без возможности обновления списка приложений;
  • SSL-инспекция.

Next-Generation Firewall FortiGate позволяет уменьшить объём издержек компании и упростить архитектуру системы защиты путём замещения отдельных продуктов, выполняющих узкие функции безопасности. Встроенная система TLS1.3, веб-фильтр (Web Filtering), система предотвращения вторжений (IPS) обеспечивают большую прозрачность и бесшовное покрытие инфраструктуры защитными решениям. Это позволяет использовать NGFW-решения в гипермасштабируемых и гибридных ИТ-архитектурах, где особенно важны быстродействие, эффективное взаимодействие пользователей с организацией и гибкий подход к управлению рисками безопасности.

Решения FortiGate интегрируются с управляемыми ИИ-службами FortiGuard и FortiSandbox, созданных для защиты от известных угроз и угроз нулевого дня, и помогают организациям реализовать процесс цифровой трансформации. Также реализованы возможности доступа к сети с нулевым доверием (ZTNA).

Поскольку компания-разработчик Fortinet создала и регулярно обновляет большую базу сигнатур вредоносов и атак, а ещё использует платформу для аналитики на основе искусственного интеллекта и алгоритмов машинного обучения, её решения эффективно противодействуют сетевым угрозам. Например, если в сети появляется новая угроза, все программно-аппаратные устройства Fortinet обновляются в течение часа. Кроме того, не прекращаются и стандартные обновления, которые пополняют базу данных:

  • Списком вредоносных хэшей/URL/IP/доменов (раз в 15 минут);
  • Информацией по антивирусным сигнатурам (ежечасно);
  • Уязвимостями «нулевого дня» для песочницы (раз в 15 минут);
  • IPS сигнатурами (каждые 42 часа).

Важная функция решения FortiGate: виртуальные домены (VDOM). Они позволяют создавать несколько виртуальных устройств на базе одного физического устройства с независимым управлением, политиками безопасности и таблицами маршрутизации.

Next-Generation Firewall FortiGate — это решение, которое выполняет функции программно-технических продуктов, отвечающих за контроль приложений, антивирус и антиспам, систему предотвращения вторжений (IPS), веб-фильтр. Межсетевой экран нового поколения проверяет весь трафик на входе в сеть и выходе из неё. Процедура проверки очень быстрая, производительная и легко масштабируется. При этом пропускается только разрешённый трафик, снижается время простоя оборудования, обеспечивается эффективный процесс взаимодействия пользователей с организацией.

Источник:
https://blogs.cisco.com/
https://www.fortinet.com/blog
https://www.cloud4y.ru/

Автор:
Лебедев А.В.