Фактически, современный прокси-сервер может послужить основой для организации комплексной защиты внутреннего информационного пространства компаний малого и среднего размера. Чтобы не быть голословными, рассмотрим в качестве примера прокси-сервер UserGate, в котором реализовано немало возможностей обеспечения ИБ предприятия.
Начнем с антивирусной защиты. Как известно, вирусы, черви и троянские программы являются самой распространенной угрозой для ИБ. Для защиты от них в прокси-сервер UserGate интегрированы сразу два модуля — «Антивирус Касперского» и Panda Security. Каждый из них является полноценным, регулярно обновляемым и проверенным временем продуктом. Примечательно, что антивирусные ядра этих систем могут работать как отдельно друг от друга, так и вместе. Во втором случае проверка трафика осуществляется последовательно — сначала одним, а затем другим модулем. Двойное сканирование может несколько снизить скорость передачи данных, однако его можно использовать для проверки трафика потенциально опасных, но не требовательных к производительности сервисов, например электронной почты.
В UserGate поддержка почтовых протоколов POP3 и SMTP реализована на верхнем уровне. Другими словами, антивирусные модули могут проверять пересылаемые письма и их содержимое, включая вложенные файлы. Это действительно актуально, поскольку именно электронная почта является одним из основных способов распространения вредоносного кода. Благодаря применению встроенного антивируса весь входящий трафик проверяется на уровне Internet-шлюза и только после тщательной очистки попадает на компьютеры конечных пользователей.
Естественно, полностью защититься от вирусов с помощью прокси-сервера UserGate нельзя, ведь вредоносное программное обеспечение может распространяться не только через Internet, но и по другим каналам (например, через съемные накопители). На рабочих местах сотрудников придется тоже установить антивирусы, которые сформируют второй эшелон обеспечения информационной безопасности.
Следующим важнейшим элементом защиты корпоративной сети является сетевой экран, который позволяет закрывать определенные сетевые порты. В UserGate он настраивается администратором в соответствии с потребностями информационной системы предприятия. Трафик может блокироваться по TCP- и UDP-портам, а также по определенным IP-протоколам. Впрочем, такого простого экрана недостаточно для защиты от хакерских атак, ибо последние нередко осуществляются через стандартные порты, в том числе используемые для передачи HTTP-трафика. В рассматриваемом прокси-сервере межсетевой экран дополнен системой обнаружения атак, охраняющей корпоративную сеть от вторжений злоумышленников.
Такой подход хорош тем, что при его использовании атаки останавливаются на уровне Internet-шлюза, а администратор корпоративной сети получает уведомления об инцидентах и может оперативно на них реагировать. Но и это еще не все. В последней версии UserGate появилась небольшая, но очень полезная функция — клиентский сетевой экран, который устанавливается непосредственно на компьютерах пользователей. Данный модуль позволяет организовать на предприятии единую политику работы в Internet и сформировать список разрешенного к применению программного обеспечения.
На базе рассматриваемого прокси-сервера обеспечена фильтрация входящего трафика по разным признакам. В UserGate фильтрация реализована с помощью нескольких инструментов. Самый простой из них — блокировка доступа к определенным сайтам по адресу или отрывку адреса. С точки зрения безопасности эта функция не особенно полезна. Гораздо интереснее другой инструмент — интегрированный в программу модуль BrightCloud, который предоставляет возможность фильтрации сайтов по категориям. База данных BrightCloud превышает 500 млн Web-страниц, разбитых на 70 тематических категорий. Другой тип фильтрации позволяет блокировать доставку определенных данных (видеоролики, музыка или приложения).
Еще одним средством обеспечения информационной безопасности, реализованным в UserGate, является встроенная поддержка VPN. Удаленные сотрудники смогут подключаться к серверу через Internet из любой точки земного шара и полноценно работать в локальной сети, причем весь трафик будет передаваться в зашифрованном виде.
Как мы видим, в современном прокси-сервере реализовано большое количество возможностей защиты корпоративной сети от внешних угроз. Естественно, его нельзя рассматривать как единственный гарант безопасности. К примеру, он не способен защитить компьютеры от вирусов, проникающих в систему с мобильных накопителей, а конфиденциальные данные — от несанкционированного доступа. Тем не менее прокси-сервер может стать первым эшелоном многоуровневой защитной системы. Этой возможностью нельзя пренебрегать, ведь большинство инцидентов в области ИБ связано с Internet. А по мере роста числа угроз из Глобальной сети роль прокси-сервера в защите корпоративного информационного пространства будет только расти.