Межсетевой экран: как работает и защищает корпоративные сети

Хищение персональных данных и иной информации считается наиболее существенной угрозой для коммерческих, общественных и государственных организаций. Поэтому бизнесы и организации, которые обрабатывают чувствительную информацию, применяют так называемые МСЭ, или межсетевые экраны (файрволы, брандмауэры). Технически они представляют собой либо специализированные программы, либо аппаратно-программные системы.

Независимо от технической реализации или дополнительных настроек в задачи МСЭ входит ограничение поступления «нежелательного» трафика. Открытие/закрытие доступа во внутреннюю сеть определяет системный администратор организации. Чтобы упростить эту задачу, применяют правила, которые буквально за пару кликов определяют перечень разрешенных действий с конкретным ресурсом и позволяют быстро менять настройки.

Популярные варианты блокировки:

1. IP-адрес. Закрывают доступ или, наоборот, принудительно открывают его для конкретной группы IP-адресов, одного указанного в настройках адреса.
2. Домен. Вместо IP указывают доменное имя, если оно назначено для сервера, сайта и иного удаленного ресурса.
3. Порт. Возможность указания номеров портов позволяет ограничивать подключение к указанным сервисам. Например, блокировка порта 80 запрещает открывать сайты компании (применяют в сочетании с фильтрацией по IP).
4. Протокол. Межсетевой экран дает возможность блокировать трафик, передаваемый по одному или нескольким протоколам, например по UDP.

Перечисленные выше функции межсетевого экрана доступны и на облачных сервисах провайдера Timeweb Cloud.

Типы межсетевых экранов

Помимо набора правил и индивидуальных настроек, защиту корпоративных сетей организуют при помощи разных типов межсетевых экранов, аппаратных и программных. Их отличает способ блокировок-фильтрации, управления функционалом. Программный МСЭ – специализированный софт, устанавливаемый «поверх» операционки или встроенный в нее разработчиком на этапе сборки дистрибутива.

Решение отличается удобством и относительной дешевизной, поэтому его используют в частных компьютерах, локальных сетях, развернутых в домашних условиях или небольших офисах. Также оно актуально для корпоративной техники, используемой вне внутренней сети. Но в крупных сетях производительности таких МСЭ недостаточно, поэтому там под развертывание межсетевого экрана выделяют отдельную машину с мощным «железом».

Но второй вариант тоже имеет ограничения, если на отдельном сервере производят иные операции, требующие вычислительных мощностей. Использовать отдельный компьютер исключительно для блокировки трафика нерационально. Поэтому на крупных предприятиях более актуальны МСЭ для специализированного оборудования с установленной на них FreeBSD и Linux.

Назначение оборудования обычно ограничено возможностями межсетевого экрана, поэтому все их ресурсы нацелены на решение задач по блокировке трафика. Поэтому они экономически оправданы. На рынке представлены устройства в виде независимого блока или функционального модуля для маршрутизаторов, иных сетевых устройств. Преимущества программно-аппаратного варианта:

1. Высокое быстродействие за счет выполнения только одной функции. Ресурсы комплекса не расходуются на запуск других приложений и «посторонние» расчеты.
2. Простота управления и контроля по протоколу SNMP (Teleport, без шифрования) или SSH (с шифрованием).
3. Хорошая надежность благодаря наличию специализированных аппаратных решений с программной поддержкой управления настройками.

Выпускают межсетевые экраны со специфическими задачами. Например, для организации прокси-серверов, МСЭ с контролирующей функцией, UTM, NGFW, включая типы с активной защитой. Рассмотрим базовые различия перечисленных категорий файрволов, функции и применяемых технологий межсетевых экранов.

Прокси-сервер

Один из распространенных вариантов МСЭ – прокси-сервер. Он представляет собой шлюз, через который прогоняют пакеты между внутренней сетью и внешними ресурсами. При подключении к любому ресурсу пользователь всегда обращается к прокси-серверу. И уже от него происходит запрос на соединение с внешним ресурсом. Ответ передается по обратной схеме – сначала на прокси и только затем на компьютер пользователя.

В зависимости от задач на уровне прокси-сервера возможно изменение запроса-ответа. Например, он гарантирует анонимность пользователя, защиту от ряда сетевых угроз. Последнее несколько ограничивает распространение технологии в корпоративном секторе. Все-таки современный бизнес требует максимальной, а не частичной защиты. Технология обладает следующим перечнем минусов в качестве эффективного файрвола:

1. Не позволяет организовать прокси для протокола UDP.
2. Каждый сервис требует развертывания отдельного proxy, а это усложняет масштабирование.
3. Относительно низкая производительность МСЭ такого типа.

Также отмечают чувствительность системы к зависаниям операционки, отдельных приложений. Иногда они распространяются на «нижние» уровни сетевых протоколов.

Межсетевой экран с контролем состояния сеансов

Интерактивный тип МСЭ – система непрерывно анализирует поступающие на указанные порты данные с учетом используемого порта. И по результату дает сигнал либо о блокировании пакетов, либо об их пропуске через экран. Работа таких систем основывается на политиках, установленных специалистами предприятия. Но есть модели оборудования, поддерживающие анализ контекста, информации, взятой из прежних соединений.

Межсетевой экран UTM

Категория межсетевых экранов Unified Threat Management (UTM) появилась в результате апгрейда технологий блокировки сетевых атак. МСЭ такого типа начали использоваться в 2004 году, это позволило избавиться от проблем нового типа, появившихся вслед за возросшей популярностью интернета. Из наиболее ярких плюсов отмечают функционал:

1. Контент-фильтр.
2. Служба IPS.
3. Антивирус.

Такой подход упрощает администрирование, т.к. позволяет управлять только одним устройством вместо двух и более, как, например, при использовании прокси-сервера. МСЭ реализуется двумя способами: программным или программно-аппаратным. В первом случае будет задействован только центральный процессор компьютера. Во втором – еще и дополнительные чипы с архитектурой, учитывающей специфику задач.

Так, выделяют отдельные модули на обработку контента, анализа сетевых пакетов, архивированных файлов с «подозрительным» содержимым. Независимый процессор в режиме реального времени обрабатывает TCP-сегменты, занимается шифрованием пакетов, трансляцией сетевых адресов. Для службы IPS, антивирусов и защиты от утраты информации также выделен отдельный чип. В случае программного решения возможно расширение функционала:

1. Фильтрация URL.
2. Кластеризация.
3. Антиспам и пр.

Межсетевой экран нового поколения (NGFW)

Решения нового класса Next-Generation Firewall (NGFW) появилось из-за непрерывного роста профессионализма злоумышленников. Это вынуждает разработчиков дополнять типовой перечень функций межсетевого экрана новыми возможностями. К стандартным относят фильтр сетевых пакетов, поддержку виртуальной приватной сети, инспекцию трафика, преобразование IP-адресов и портов. Более современные модели оборудования научились работать даже на уровне приложений.

Такое развитие технологии создает эффективный заслон для вредоносной активности. Новые МСЭ типа NGFW поддерживают функции:

1. Непрерывно защищают сеть от хакерских атак, проникновения вредоносного ПО.
2. Обладают всем функционалом, присущим первому поколению межсетевых экранов.
3. Распознают приложения для последующего анализа на базе IPS.
4. Инспектируют сетевой трафик с выделением пакетов отдельных приложений.
5. Настраивают контроль трафика для ускорения обработки пакетов.
6. Читают трафик, зашифрованный по методике SSL (в режиме реального времени).
7. Обновляют базы, содержащие описание угроз, уязвимостей.

Перечисленные функции повышают уровень защищенности корпоративной сети от вредоносных программ нового типа и других типов онлайн-угроз.

NGFW с активной защитой от угроз

Более совершенным механизмом считается NGFW с активной защитой от угроз. Фактически такое оборудование является лишь модернизированным вариантом предыдущего поколения. Но оно дает возможность блокировать наиболее сложные хакерские атаки, которые не способны распознать МСЭ старого типа. Здесь также поддерживается:

1. Система учитывает контекст, обнаруживает его на базе ресурсов, повышающих риски.
2. Функции безопасности максимально автоматизированы, есть возможность самостоятельной установки правил, что заметно повышает производительность при блокировании атак.
3. Корреляция событий на ПК и в сетевом окружении, повышающая эффективность в направлении выявления потенциально вредоносных приложений.

Файрволы NGFW с активной защитой имеют довольно простое управление благодаря внедрению унифицированного перечня политик.

Для чего нужен межсетевой экран

Ключевая задача МСЭ – блокировать трафик, которого не должно быть внутри корпоративной сети. Минимальный уровень защиты фирмы представляет собой исключение возможности сканирования сетевых ресурсов, инъекций вредоносного ПО, несанкционированного доступа к данным, в том числе персональным данным клиентов и персонала.

Типовые сценарии работы межсетевого экрана:

1. Система предотвращает попадание во внутреннюю сеть «поддельного» трафика, который имитирует данные, например, от удаленного филиала.
2. Происходит блокировка внешних ресурсов, от которых исходят атаки типа DDoS. Система препятствует зависанию, торможению внутренних сервисов.
3. Контроль отправляемых данных из внутренней сети. Речь может идти о воспрепятствовании слива коммерческой информации, нежелательных рекламных рассылок, распространения вирусов, если одна из рабочих станций оказалась заражена.

Межсетевой экран иногда ставят внутри корпоративной сети, на ее отдельные сегменты, если они принадлежат подразделению, работающему с особо секретными данными. На связке с внешними ресурсами возможна установка дополнительного оборудования, выполняющего общие функции вроде перечисленных выше.

Ограниченность анализа межсетевого экрана

Несмотря на разнообразие типов межсетевых экранов, важно учитывать, что любой из них обладает относительно узкими возможностями работы с сетевым трафиком. Оценка возможна только для тех пакетов, которые реально идентифицировать. Если данные не получается распознать, система не способна действовать на основании заданных политик и теряет эффективность.

Например, при использовании протоколов, защищенных криптографией: IPsec, SSH, TLS, SRTP. Они исключают возможность фильтрации трафика с учетом правил, касающихся содержимого, на прикладном уровне. Есть риски ограниченного применения МСЭ, если конкретная модель системы «не понимает» применяемый механизм создания туннеля. Такие нюансы требуется учитывать при развертывании сетевых сервисов, предназначенных для защиты.

Выводы

Перед внедрением программно-аппаратного комплекса или программного решения рекомендуется сначала разобраться, для чего нужен межсетевой экран. Как только будет готов перечень политик, которые желательно иметь в системе защиты, определяют наиболее подходящий вариант МСЭ. Если нет возможности самостоятельно разбираться во внедрении и настройке комплекса, воспользуйтесь одним из готовых решений провайдера Timeweb Cloud.

Кстати, в официальном канале Timeweb Cloud собрали комьюнити из специалистов, которые говорят про IT-тренды, делятся полезными инструкциями и даже приглашают к себе работать.