Межсетевое экранирование — блокирование трафика от несанкционированных источников — одна из старейших сетевых технологий безопасности, но производители соответствующих сред продолжают разрабатывать новые подходы, которые помогают эффективнее противодействовать современным угрозам в меняющемся сетевом окружении и защищать корпоративные ИТ-ресурсы. Межсетевые экраны нового поколения позволяют создавать политики, используя более широкий спектр контекстных данных, и обеспечивать их соблюдение.
Эволюция межсетевых экранов (FW) прошла долгий путь. Впервые они были разработаны еще в конце 80-х компанией DEC и функционировали в основном на первых четырех уровнях модели OSI, перехватывая трафик и анализируя пакеты на соответствие заданным правилам. Затем Check Point предложила межсетевые экраны со специализированными микросхемами (ASIC) для глубокого анализа заголовков пакетов. Эти усовершенствованные системы могли вести таблицу активных соединений и задействовали ее в правилах (Stateful Packet Inspection, SPI). Технология SPI позволяет проверять IP-адреса отправителя и получателя и контролировать порты.
Большим шагом вперед считается создание FW, функционирующих на уровне приложений. Первый такой продукт выпустила компания SEAL еще в 1991-м, а два года спустя появилось открытое решение Firewall Toolkit (FWTK) от Trusted Information Systems. Эти межсетевые экраны проверяли пакеты на всех семи уровнях, что позволило использовать в наборах правил (политиках) расширенную информацию — не только о соединениях и их состоянии, но и об операциях с использованием протокола конкретного приложения. К середине 90-х межсетевые экраны обрели способность осуществлять мониторинг популярных протоколов прикладного уровня: FTP, Gopher, SMTP и Telnet. Эти усовершенствованные продукты (application-aware) получили название межсетевых экранов нового поколения (Next-Generation Firewall, NGFW).
TIS выпустила коммерческую версию FWTK — Gauntlet Firewall. Именно этот продукт, обладающий возможностями аутентификации пользователей, фильтрации URL, а также средствами защиты от вредоносных программ и функциями безопасности уровня приложений, считается первым межсетевым экраном «нового поколения». Таким образом, формально продуктам NGFW уже более 15 лет, хотя сегодня в этот термин вкладывают иной смысл.
СМЕНА ПОКОЛЕНИЙ
Аналитики Frost & Sullivan выделяют четыре поколения межсетевых экранов. Первое (1985–1990 годы) — это продукция DEC; второе (1996–2002 годы) — появление продуктов SPI (Check Point) и работа на уровне приложений (Gauntlet), интеграция функций IPsec VPN, использование ASIC собственной разработки для увеличения производительности (Lucent, NetScreen); третье (2003– 2006 годы) — применение функций Deep Packet Inspection и консолидация защитных функций (Fortinet); четвертое поколение (с 2007 года по настоящее время) — обеспечение безопасности трафика на основе идентификации приложений и пользователей (Palo Alto) и внедрение новых технологий крупными вендорами.
Таким образом, появление термина NGFW в его современном понимании приписывается компании Palo Alto Networks. Межсетевыми экранами следующего поколения она назвала свои продукты, позволяющие строго контролировать доступ отдельных пользователей к приложениям и Интернету. По существу, NGFW объединяет на одной платформе несколько функций — FW, IPS и Web-шлюзы безопасности. Заказчики получают возможность контроля на «входе» и «выходе» из сети. В NGFW политики задаются для приложений, а не только для портов и IP-адресов.
По сравнению с межсетевыми экранами Cisco, Check Point Software Technologies и Juniper Networks, продукты Palo Alto Networks обеспечивали более простой мониторинг и надежную защиту трафика при использовании социальных сетей, Google Gmail или Skype. Рост популярности Web-приложений в немалой степени способствовал развитию бизнеса этого вендора, вышедшего на рынок в 2005 году. В Forrester Research его основной продукт называют революционным.
Рисунок 1. Примерная сегментация мирового рынка межсетевых экранов корпоративного класса. |
Сегодня рынок межсетевых экранов (см. Рисунки 1 и 2) или брандмауэров охватывает целый ряд сегментов: SOHO, SMB, продукты для крупных предприятий и провайдеров. Новая функциональность NGFW помогает обеспечивать защиту корпоративных сетей в условиях внедрения новых технологий и моделей вычислений (облачные и мобильные вычисления). Расширение функциональности привело к созданию унифицированных платформ (Unified Threat Management, UTM), которые широко применяются в настоящее время.
Рисунок 2. Прогноз роста мирового рынка межсетевых экранов корпоративного класса от Market Info Group. |
Хотя граница сети становится размытой, защита периметра с помощью FW остается важным фактором и необходимым элементом многоуровневой системы безопасности. Появление мобильных устройств и возникновение концепции BYOD оказывает сильное влияние на безопасность, но это, скорее, увеличивает значение периметра сети, так как только в его пределах данные могут быть в относительной безопасности, считает Дмитрий Курашев, директор компании Entensys.
«Если говорить о современных и востребованных функциях, то в основном брандмауэры используются как классические межсетевые экраны, — замечает Дмитрий Ушаков, руководитель отдела по подготовке и внедрению технических решений Stonesoft Russia. — Конечно, по своим возможностям они уже отличаются от тех, что применялись в 80-е и 90-е годы, — взять хотя бы контекстную фильтрацию с учетом состояния и разбор приложений (способность отслеживать связанные соединения). Но на практике востребованы главным образом именно классические функции».
По мнению аналитиков Frost & Sullivan, хотя традиционные межсетевые экраны остаются фундаментальным средством обеспечения безопасности, они неэффективны при защите от сложных сетевых атак. Развитие технологий и приложений приводит к открытию все новых лазеек для злоумышленников, а практическая реализация системы безопасности усложняется. Чтобы противостоять меняющимся угрозам, производителям приходится активизировать разработку новых методов выявления и предотвращения атак и блокирования нежелательного сетевого трафика. По мнению экспертов Gartner, рынок межсетевых экранов вступил в период «динамичной эволюции» и в ближайшие годы высокие темпы роста сохранятся (см. Рисунок 3).
Рисунок 3. Прогноз роста мирового рынка межсетевых экранов от Frost & Sullivan. |
«НОВОЕ ПОКОЛЕНИЕ» СЕГОДНЯ
Основной технологией NGFW остается детальный и настраиваемый контроль на уровне приложений, однако «поддержка приложений» в современных межсетевых экранах существенно отличается от того, что предлагалось 20 лет назад. Технология межсетевых экранов была значительно усовершенствована — она эволюционировала до специализированных решений, выполняющих глубокий анализ трафика и идентификацию приложений. Соответствующие продукты стали работать быстрее и поддерживают более сложные наборы правил, чем их предшественники.
Аналитики Gartner отмечают, что в последние два-три года растет спрос на платформы NGFW, способные выявлять и блокировать изощренные атаки, задавать (с высокой степенью детализации) политики безопасности на уровне приложений, а не только портов и протоколов. Функционал и производительность межсетевых экранов должны отвечать требованиям более сложного взаимодействия с приложениями, а сами устройства — обладать высокой пропускной способностью и поддерживать виртуализацию. Выбор решения определяется такими факторами, как стоимость, удобство управления, простота и скорость развертывания. Конечно, список этим не исчерпывается.
«При сравнении или разработке методики выбора межсетевых экранов аналитики оперируют несколькими десятками (иногда до полутора сотен) критериев, которые следует учитывать, выбирая решение. Каждый заказчик по-своему расставляет приоритеты — универсального рецепта или сценария нет и быть не может», — подчеркивает Алексей Лукацкий, эксперт Cisco в области сетевой безопасности.
Новые угрозы и технологии Web 2.0 заставляют вендоров обновлять свои предложения — межсетевые экраны эволюционируют. Они оснащаются функциями глубокого анализа трафика и предоставляют возможность гибкой настройки политики, а их производительность увеличивается в соответствии с ростом пропускной способности сетей. NGFW способны контролировать сетевой трафик на уровне приложений и пользователей и активно блокировать угрозы. Они могут включать в себя целый ряд дополнительных средств обеспечения безопасности и поддерживать развитые сетевые функции.
Крупные предприятия и провайдеры нуждаются в высокопроизводительных решениях. Новейшие системы строятся на мощных аппаратных платформах, причем в качестве интегрированных компонентов в них используются ранее разрозненные средства и функции безопасности — IPS, глубокий анализ пакетов, аутентификация пользователей и многое другое. Однако межсетевые экраны корпоративного уровня характеризуются не специфическим набором функций, а масштабируемостью, управляемостью и надежностью, которые отвечают потребностям крупных компаний.
Межсетевые экраны ведущих вендоров, включая Check Point Software Technologies, Cisco Systems, Fortinet, Juniper Networks и Palo Alto Networks, обеспечивают детальный контекстный анализ трафика на уровне приложений. Но это не единственное свойство NGFW. Например, компания Gartner более трех лет назад предложила собственное определение, подчеркивающее связь между IPS и NGFW. Другие аналитики считают важной особенностью NGFW функции UTM. Palo Alto и Juniper придерживаются своей терминологии. Однако суть не в формулировках, а в функциях NGFW, которые организации могут задействовать для защиты своих сетей.
По словам Алексея Лукацкого, Cisco смотрит на данный вопрос чуть шире, чем принято в других компаниях: «Мы не используем понятие NGFW, заменив его на Context-Aware FW, то есть межсетевой экран, учитывающий контекст. Под контекстом понимается не только ответ на вопрос «ЧТО можно?» (то есть анализ трафика на сетевом и уровне приложений), но и ответы на вопрос «КОГДА можно?» (привязка попытки доступа ко времени), «КУДА и ОТКУДА можно?» (местоположение ресурсов и оборудования, с которого отправляется запрос), «КОМУ можно?» (привязка не только к IP-адресу, но и к учетной записи пользователя), «КАК можно?» (с какого устройства разрешено осуществлять доступ — с личного или с корпоративного, со стационарного или мобильного). Все это позволяет более гибко выстраивать политику доступа и учитывать постоянно изменяющиеся потребности современного предприятия с точки зрения информационной безопасности».
NGFW — это устройство, которое расширяет функционал традиционного межсетевого экрана в части дополнительных сервисов инспекции и контроля пользователей и приложений, считает Дмитрий Ушаков. «Соответственно, межсетевой экран следующего поколения — это, по большому счету, FW, IPS и система контроля поведения пользователей и приложений, — подчеркивает он. — И в этом смысле Stonesoft StoneGate FW уже несколько лет выполняет функции NGFW».
Межсетевые экраны не только фильтруют входящий трафик. Некоторые NGFW могут выявлять аномальную активность и в исходящем трафике, например, взаимодействие через порт 80 с несанкционированным сайтом или трафик, совпадающий с одной из сигнатур. Это помогает идентифицировать и блокировать исходящие коммуникации, в том числе инициированные вредоносными программами. «Все больше и больше возможностей, которые раньше реализовывались на выделенных межсетевых экранах, объединяются в одном программно-аппаратном комплексе. Мы вкладываем в понятие NGFW качественное сочетание таких функций, как стандартное экранирование, контроль приложений, предотвращение вторжений», — говорит Брендан Паттерсон, старший менеджер по управлению продуктами WatchGuard Technologies.
NGFW позволяют создавать политики ИБ на основе широкого набора контекстных данных, обеспечивая более высокую степень защиты, управляемости и масштабируемости. Трафик интернет-сервисов (от электронной почты до потокового видео и социальных сетей) проходит через браузер по ограниченному числу портов, и NGFW должен обладать способностью анализа сеансов (с тем или иным уровнем детализации) для принятия решений в зависимости от контекста. Еще одной особенностью NGFW является поддержка идентификации пользователей (что можно применять при создании правил), причем для этого межсетевой экран может как использовать собственную информацию, так и обращаться к Active Directory. «Умение» распознавать и анализировать трафик отдельных приложений приобрело особое значение с распространением Web-приложений, которые большинство межсетевых экранов SPI могут идентифицировать лишь как трафик HTTP через порт 80.
Покупка NGFW с намерением использовать лишь его функции фильтрации трафика по портам нецелесообразна, но и функции детального контроля приложений нужны далеко не всем. К тому же стоит подумать, располагает ли организация квалифицированными ресурсами, чтобы конфигурировать и поддерживать сложный набор правил NGFW. Нельзя забывать и о скорости. Лучше всего настроить и протестировать NGFW в рабочей среде. Пропускная способность и удобство управления остаются ключевыми критериями оценки межсетевых экранов. Отдельный сегмент — продукты управления политиками (Firewall Policy Management, FPM). Gartner рекомендует применять их, если сложность среды ИТ превосходит возможности консоли управления FW.
Аналитики Gartner считают, что традиционные межсетевые экраны SPI — уже устаревшая технология, не способная защитить от многих угроз, и теперь многие организации развертывают NGFW. По прогнозу Gartner, через три года 38% предприятий будут использовать NGFW, тогда как в 2011 году таковых насчитывалось лишь 10%. В то же время число заказчиков, развертывающих комбинированные решения (FW+IPS), снизится с 60 до 45%, а количество компаний, пользующихся исключительно межсетевым экраном, — с 25 до 10%. В России видимо, результаты будут иными.
«Как показывает практика, традиционные межсетевые экраны до сих пор пользуются огромным успехом, — напоминает Дмитрий Ушаков. — В основном это связано с ограниченным контролем за реализацией сервисов безопасности со стороны регулирующих органов и, к сожалению, с обеспечением защиты ИТ по остаточному принципу — подешевле и по минимуму. Мало кто задумывается об угрозах и последствиях. Поэтому место для традиционных экранов, безусловно, есть, однако их будут оснащать новыми функциями. Например, более востребованными становятся устройства, в которых помимо традиционного FW есть еще и средства углубленного анализа межсетевых потоков».
Между тем при решении новых сложных задач разработчикам подчас приходится идти на компромисс. По заключению лаборатории NSS, новые функции NGFW, такие как детальный контроль на уровне приложений, часто снижают производительность и эффективность защиты по сравнению с комбинацией традиционных межсетевых экранов и IPS. Только у половины протестированных систем эффективность защиты превышала 90%.
Исследование NSS показало также, что средства IPS в системах NGFW настраивают редко: обычно после развертывания применяются политики, заданные вендорами по умолчанию. Это негативно сказывается на безопасности. Да и пропускная способность не отвечает заявленной: из восьми продуктов у пяти она оказалась ниже. Кроме того, у всех протестированных NGFW максимальное число подключений не соответствовало спецификациям. Тестировщики лаборатории NSS пришли к выводу, что NGFW будут готовы к развертыванию в корпоративных средах лишь после повышения производительности, да и в целом технологии NGFW нуждаются в совершенствовании — системы должны обеспечивать более стабильную работу и высокую степень безопасности.
В то же время большинство вендоров успешно развивают свой бизнес. Например, IDC отметила Check Point как ведущего производителя межсетевых экранов/UTM: во II квартале прошлого года этот ветеран рынка межсетевых экранов лидировал в данном сегменте по объему продаж, обойдя крупнейших поставщиков сетевого оборудования. Доля Check Point на мировом рынке FW/UTM превышает 20%, а в Западной Европе приближается к 30%.
В линейке Check Point — семь моделей устройств безопасности с архитектурой «программных блейдов» (см. Рисунок 4): модели от 2200 до 61000 (последняя является самым быстрым на сегодня межсетевым экраном). Высокопроизводительные устройства Check Point объединяют функции межсетевого экрана, VPN, предотвращения вторжений, контроля приложений и мобильного доступа, предотвращения утечек данных, поддержки идентификации, фильтрации URL, антиспама, антивируса и борьбы с ботами.
В «магическом квадранте» аналитики Gartner отнесли Check Point и Palo Alto Networks к лидерам рынка межсетевых экранов, а Fortinet, Cisco, Juniper Networks и Intel (McAfee) названы претендентами. Целых семь вендоров оказались «нишевыми игроками», и ни одна компания не попала в сектор «провидцы». Впрочем, это не мешает заказчикам отдавать предпочтение продукции Cisco (см. Рисунок 5).
Рисунок 5. Согласно результатам проведенного год назад опроса зарубежных компаний, лидерами рынка межсетевых экранов были названы Cisco и Check Point. |
Сейчас на рынке продолжается переход к системам NGFW, способным выявлять и блокировать различные виды изощренных атак и обеспечивать соблюдение политик на уровне приложений. В 2012 году признанные игроки рынка стремились усовершенствовать свои решения NGFW, чтобы они не уступали по своим возможностям продуктам новичков отрасли, а разработчики инновационных систем дополняли их средствами управления, выводя на уровень известных брендов.
ДРАЙВЕРЫ РОСТА И НОВЫЕ РАЗРАБОТКИ
Хотя мировой рынок межсетевых экранов насыщен, он далек от стагнации. Практически все крупные вендоры представили продукты нового поколения с дополнительными функциями. Драйверы роста рынка межсетевых экранов — мобильность, виртуализация и облачные вычисления — стимулируют потребности в новых средствах, предлагаемых NGFW. Аналитики Gartner констатируют растущий спрос на программные версии межсетевых экранов, используемые в виртуализированных ЦОД (см. Рисунок 6). В 2012 году доля виртуальных вариантов NGFW не превышала 2% но, по прогнозам Gartner, к 2016-му она вырастет до 20%. Виртуальные версии межсетевых экранов и решений для защиты контента хорошо подходят для развертывания в облачных средах.
Рисунок 6. По данным Infonetics Research, затраты североамериканских компаний на обеспечение информационной безопасности центров обработки данных в минувшем году резко выросли. |
Для удаленных офисов и SMB привлекательным решением часто оказывается облачный межсетевой экран, установленный сервис-провайдером. По мнению некоторых экспертов, с развитием мобильного доступа и облачных архитектур потребуется менять и архитектуру безопасности: вместо NGFW компании будут чаще задействовать Web-шлюзы, находящиеся под контролем провайдера, а крупные организации — разделять функции Web-шлюзов и межсетевых экранов для улучшения производительности и управляемости, несмотря на то что некоторые продукты NGFW способны выполнять базовые функции Web-шлюзов.
Дмитрий Курашев считает, что все функции по обработке трафика лучше возложить на шлюзы, размещенные внутри компании: «Более правильным является использование облачных сервисов для администрирования и мониторинга серверных приложений, а также для сбора статистики и анализа». «Межсетевой экран должен быть установлен по умолчанию и у облачного провайдера, и на стороне заказчика облачных сервисов, — дополняет Алексей Лукацкий. — Ведь между ними находится незащищенная среда, которая может стать плацдармом для проникновения в корпоративную сеть или облако вредоносных программ либо для атак злоумышленников. Поэтому средства сетевой безопасности все равно необходимы».
Характерный пример управляемых сервисов безопасности — недавно анонсированный в России набор сервисов по защите сети клиента от основных сетевых угроз, предложенный Orange Business Services. Сервисы Unified Defense позволяют обеспечить централизованную антивирусную защиту всех устройств в сети, оградить корпоративные почтовые ящики от спама и фильтровать интернет-трафик, при необходимости ограничивая доступ сотрудников к тем или иным сетевым ресурсам на аппаратном уровне. Кроме того, в состав системы защиты включены межсетевой экран, а также средства обнаружения и предотвращения вторжений.
Unified Defense базируется на компактном устройстве UTM с функциональностью NGFW производства Fortinet, которое устанавливается в сети заказчика и поддерживается специалистами Orange. Продукт предлагается в двух версиях — для сетей, где обеспечивается поддержка до 200 пользователей, а скорость интернет-канала не превышает 20 Мбит/с (оборудование FortiGate 80C), а также для сетей, рассчитанных на 1000 пользователей и канал 100 Мбит/с (оборудование FortiGate 200B) (см. Рисунок 7). В настоящее время сервис доступен для клиентов Orange, в дальнейшем планируется предоставление услуги и в сетях сторонних провайдеров.
Unified Defense на базе оборудования Fortinet позволяет воспользоваться новыми технологиями безопасности даже компаниям с ограниченным ИТ-бюджетом. Одна из функций клиентского портала — доступ к регулярным отчетам о работе системы, в том числе к информации о нейтрализованных угрозах.
Глубокий анализ трафика позволяет идентифицировать приложения, обменивающиеся данными по сети. Учитывая современные тенденции переноса приложений в облако и развития сервисов SaaS, обеспечить попадание в корпоративную сеть только востребованных данных можно лишь при еще более высоком уровне детализации. Каждый вендор использует при создании NGFW собственные подходы. Многие выбирают сигнатурный метод.
Так, например, компания Astaro (с 2011 года входит в состав Sophos) применяет базу сигнатур приложений своего партнера Vineyard Networks. Благодаря этому, Astaro Security Gateway может различать разные приложения, работающие на одном Web-сайте, применять к ним политики QoS, приоритеты трафика и выделять пропускную способность. В новой версии Astaro Security Gateway улучшен интерфейс администрирования: по карте сети можно в реальном времени задавать правила и быстро реагировать на новые угрозы. В будущих версиях межсетевого экрана Astaro появится возможность передавать специалистам пакеты неизвестного типа для их последующего анализа.
В прошлом году Check Point на 90% обновила продуктовую линейку. Представленные модели оптимизированы для архитектуры «программных блейдов» Check Point и имеют, по данным разработчика, примерно в три раза более высокую производительность по сравнению с предыдущими поколениями. Новый модуль Security Acceleration, созданный на основе технологии SecurityCore, позволяет значительно увеличить производительность межсетевого экрана путем ускорения ключевых операций. Согласно Check Point, его пропускная способность достигает 110 Гбит/с, а задержка — менее 5 мкс. Как заявляют в компании, это самый производительный в отрасли межсетевой экран в форм-факторе 2U.
Созданная Check Point библиотека AppWiki позволяет идентифицировать более 5 тыс. приложений и 100 тыс. виджетов. Эти сигнатуры используются программными блейдами Check Point Application Control и Identity Awareness. Кроме того, для идентификации клиентских устройств и конечных пользователей, ПО интегрируется с Active Directory, а администраторы могут детально настраивать политики безопасности. Обучение сотрудников происходит в реальном времени: когда кто-либо из них нарушает политику безопасности, клиентское приложение-агент Check Point UserCheck выводит всплывающее окно, где поясняется суть нарушения и запрашивается подтверждение действия. Возможность передать запрос администратору упрощает процесс настройки политик безопасности в соответствии с потребностями пользователей.
В программную версию R74.40, предназначенную для ключевых продуктов сетевой безопасности Check Point, включено более 100 новых свойств, в том числе программный блейд Anti-Bot и обновленная версия Anti-Virus с технологией Check Point ThreatCloud: этот облачный сервис собирает информацию об угрозах и обеспечивает защиту шлюзов безопасности в режиме реального времени. Новое решение для ЦОД и частных облаков Check Point Virtual Systems позволяет объединять на одном устройстве до 250 виртуальных систем.
Компания Cisco в прошлом году выпустила собственное решение NGFW — новое поколение Adaptive Security Appliance (ASA), что стало ответом на технологию, разработанную Palo Alto Networks. ASA CX — межсетевой экран, учитывающий контекст, то есть распознающий не просто IP-адреса, а приложения, пользователей и устройства, а значит, позволяющий отслеживать, как сотрудник применяет те или иные приложения на разном оборудовании, и обеспечивать соблюдение соответствующих правил.
Функционируя на базе всех моделей Cisco ASA 5500-X (от 5512-X до 5585-X), Cisco ASA CX обеспечивает привязку правил к учетной записи пользователя в Active Directory, контроль за более чем 1100 приложениями (Facebook, LinkedIn, Skype, BitTorrent, iCloud, Dropbox, Google Drive, MS Windows Azure, Salesforce CRM, Oracle e-Business Suite, MS Lync, Tor и т. д.), учет времени и направление запроса на доступ, а также решение многих других задач. При этом Cisco ASA CX является не просто автономной мультигигабитной платформой, а тесно интегрируется с другими решениями безопасности Cisco — системой предотвращения вторжений Cisco IPS, системой авторизации и контроля сетевого доступа Cisco ISE, системой защиты Web-трафика Cisco Web Security и т. д.
Как подчеркивает Алексей Лукацкий, такой межсетевой экран учитывает и «размытость» периметра сети. Например, благодаря интеграции с Cisco ISE и всей сетевой инфраструктурой Cisco, он может распознать, что трафик поступает с личного iPad сотрудника, после чего, в зависимости от политики безопасности, динамически заблокирует его или разрешит доступ лишь к определенным внутренним ресурсам. Если же этот доступ осуществляется с корпоративного мобильного устройства, его привилегии могут быть расширены.
При этом ASA CX функционирует не только по принципу свой/чужой (личный/корпоративный), но и учитывает используемую на мобильном устройстве ОС, ее версию, наличие обновлений и иных «заплаток», а также работу антивируса и актуальность его баз и т. п. Доступ будет предоставляться не по IP-адресам отправителя и получателя, а в зависимости от целого комплекса параметров, что дает возможность реализовать гибкую политику подключения к защищаемым ресурсам вне зависимости от того, снаружи или изнутри находится пользователь и задействует ли он проводное или беспроводное соединение, личное или корпоративное устройство.
В межсетевом экране Dell SonicWALL применяется постоянно расширяемая база сигнатур, что позволяет идентифицировать более 3500 приложений и их функций. Технология SonicWALL ReassemblyFree Deep Packet Inspection (RFDPI) сканирует пакеты каждого протокола и интерфейса. Эксперты SonicWALL Research Team создают новые сигнатуры, которые автоматически доставляются в уже работающие межсетевые экраны. При необходимости заказчики могут добавлять сигнатуры самостоятельно. В окнах SonicWALL Visualization Dashboard и Real-Time Monitor администраторы могут видеть конкретные приложения в сети, а также — кто и как их использует. Эти сведения полезны для настройки политик и диагностики.
Функциональность своего продукта расширила и компания Entensys. В выпущенной в ноябре 2012 года UserGate Proxy&Firewall версии 6.0 появились полноценный сервер VPN, система IPS. Этот продукт UTM предлагается в форме ПО или программно-аппаратного комплекса. Кроме функций, непосредственно связанных с безопасностью, разработчики уделили большое внимание фильтрации контента и контролю за интернет-приложениями. В 2012 году были усовершенствованы функции морфологического анализа передаваемой информации для фильтрации входящего и исходящего трафика и выпущен производительный и функциональный сервер фильтрации контента UserGate Web Filter 3.0, который может использоваться совместно с любым сторонним решением UTM.
Компания Fortinet, которую обычно ассоциируют с UTM, в прошлом году представила FortiGate3240C — продукт, относящийся скорее к классу NGFW. В устройствах Fortinet FortiGate для идентификации приложений используются декодеры протоколов и расшифровка сетевого трафика. Разработчики ведут базу данных, куда добавляют сигнатуры новых приложений и, с выходом новых версий, обновленные сигнатуры существующих. Благодаря этой информации, продукты Fortinet различают приложения и применяют к каждому из них свои правила. В компании утверждают, что ее продукты имеют более высокий уровень производительности и интеграции по сравнению c конкурирующими решениями, поскольку все технологии разработаны ею самостоятельно. На функции NGFW обратили также внимание F5 Networks и Riverbed: совместно с McAfee (Intel) и другими поставщиками решений ИБ они встраивают их в оборудование и ПО для оптимизации трафика глобальной сети.
У Juniper Networks функции NGFW шлюзов SRX Services Gateway реализованы в пакете приложений AppSecure. Компонент AppTrack тоже использует созданную Juniper базу сигнатур приложений, дополненную сигнатурами, формируемыми администраторами заказчиков. AppTrack идентифицирует приложения, а компоненты AppFirewall и AppQoS обеспечивают соблюдение политик и контроль за трафиком приложений. Как заявляет производитель, эта платформа обладает высокой масштабируемостью и функционирует на скорости до 100 Гбит/с.
McAfee, входящая в Intel, использует для распознавания приложений в McAfee Firewall Enterprise технологию AppPrism, идентифицирующую тысячи приложений, независимо от портов и протоколов. Наряду с этим применяются сигнатуры, разработанные экспертами McAfee Global Threat Intelligence. При помощи AppPrism администраторы могут запрещать выполнение не только самих приложений, но и их «рискованных» компонентов — например, блокировать функцию обмена файлами в Skype, разрешив обмен сообщениями. Как и Juniper, к преимуществам своего решения McAfee относит собственную технологию и сигнатуры приложений.
В технологии App-ID компании Palo Alto Networks для идентификации приложений используется несколько методов: расшифровка, обнаружение, декодирование, сигнатуры, эвристика и др. В идентификаторах App-ID может применяться любая их комбинация, что позволяет выявлять все версии приложения, а также ОС, в которых оно работает. В соответствии с App-ID приложения, межсетевой экран Palo Alto применяет к его трафику то или иное правило, например, передачу файла можно заблокировать. Кроме того, App-ID можно дополнять новыми методами выявления и идентификации приложений, встраивая их в механизмы классификации.
Компания Stonesoft в 2012 году не обновляла свою линейку межсетевых экранов, но анонсировала новое решение Evasion Prevention System (EPS). Этот инструмент предназначен для обнаружения и предотвращения кибератак, где используются динамические техники обхода защиты (Advanced Evasion Technique, AET — техники, применяемые совместно с сетевыми атаками с целью обхода систем защиты) и эксплуатируются уязвимости систем защиты. Как рассказал Дмитрий Ушаков, продукт обеспечивает дополнительный уровень безопасности для уже установленных в организациях устройств NGFW, IPS и UTM, уязвимых для AET. Это новый класс устройств, предназначенных для борьбы с изощренными попытками злоумышленников проникнуть в сеть организации.
«Сегодня работодатели понимают, что их сотрудникам порой нужен доступ к запрещенным сайтам (сайты по подбору персонала, социальные сети и др.) и системам обмена сообщениями (Skype, ICQ). В связи с этим приложения из «белого» (можно) и «черного» списков (нельзя) перемещаются в область «серых» (можно при определенных условиях или в определенное время). Эти политики информационной безопасности предлагается формулировать в виде правил доступа» — рассказывает Дмитрий Ушаков.
По словам Александра Кушнарева, технического консультанта компании Rainbow Security (дистрибьютора WatchGuard Technologies), WatchGuard представила новые виртуальные версии своих продуктов XTMv и XCSv, а также аппаратные платформы нового поколения «с лучшей на рынке производительностью UTM». В программно-аппаратных комплексах WatchGuard XTM при помощи сервиса WatchGuard Reputation Enabled Defense реализована защита пользователей от вредоносных Web-сайтов при существенном уменьшении нагрузки на сеть. Этот сервис обеспечивает высокую степень защиты от Web-угроз, более быстрый Web-серфинг, гибкое управление и широкие возможности создания отчетов.
«Мы видим, что потребность в устройствах UTM растет. Аппаратные платформы WatchGuard последнего поколения могут обрабатывать трафик с включенными сервисами UTM с такой же скоростью, с которой предыдущие поколения могли выполнять лишь простую пакетную фильтрацию. Чтобы превратить межсетевые экраны WatchGuard в устройство UTM, достаточно активировать лицензию. Если же клиент нуждается только в фильтрации пакетов и организации туннелей VPN, ему подойдет межсетевой экран в классическом понимании», — говорит Александр Кушнарев.
Он подчеркивает, что функции контроля приложений в NGFW сейчас очень востребованы: компании хотят регулировать доступ сотрудников к социальным сетям и игровым сайтам. В числе актуальных средств UTM — фильтрация URL с поддержкой базы русскоязычных сайтов, а также полноценная поддержка агрегирования портов и репутации внешних ресурсов. Последняя способствует качественному обнаружению и превентивному блокированию трафика от ботнетов. Кроме того, большинство заказчиков заинтересованы в экономии средств, в использовании простых и удобных настроек конфигурации, поэтому решения «все в одном», такие как WatchGuard XTM, будут для них подходящим вариантом.
Еще два-три года назад заказчики скептически относились к NGFW, но теперь, когда конкуренция на этом рынке достаточно высока, они могут выбирать из широкого спектра высококачественных продуктов NGFW. По прогнозам аналитиков Cyber Security, вплоть до 2018 года мировой рынок межсетевых экранов корпоративного класса будет ежегодно расти более чем на 11%. Однако межсетевые экраны — не панацея. При выборе решения нужно четко определить, какие именно функции необходимы, убедиться в том, что заявленные вендором защитные свойства могут быть реализованы в конкретной рабочей среде, что в компании (или у аутсорсера) достаточно ресурсов для управления политиками безопасности.
И конечно, следует иметь в виду, что NGFW остаются устройствами защиты периметра. Они прекрасно выполняют свою функцию при доступе в Интернет, но «мобильная безопасность» требует большего. Сегодня NGFW должны усиливаться облачными и мобильными решениями безопасности и «уметь» распознавать контекст. Со временем эти решения станут доступнее, проще, функциональнее, а облачная модель внесет коррективы в способы управления ими.
Сергей Орлов — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.