Надёжность

Межсетевые экраны (МСЭ)

  • 05.07.2023
  • 800

Автор
Сергей Калашников, CCIE
Технический директор


Оглавление

Задачи межсетевых экранов

Основная задача МСЭ – фильтрация трафика. МСЭ работает как пропускной пункт: на основе правил МСЭ разрешает или блокирует тот или иной трафик между своими интерфейсами.

Один из вариантов использования МСЭ – установка его на границу сети при подключении к интернет. В этом случае основная задача МСЭ - защита внутренней сети от проникновений извне. МСЭ разрешает обращения из внутренней сети в сеть интернет. Но блокирует обращения извне.

Функции межсетевых экранов

Со временем функциональность МСЭ повышалась. Кроме обычной фильтрации трафика на МСЭ появилось множество других функций, основная цель которых защитить сеть от различного рода угроз безопасности.

Основные функции МСЭ можно разделить на два основных класса: функции безопасности и транспортные функции.

В плане безопасности современные МСЭ могут выполнять:

  • глубокую инспекцию пакетов – корректность сессий, заголовков, размеров пакетов и пр.;
  • функции предотвращения вторжений (IPS) – на основе сигнатур и различных алгоритмов выявлять в сетевом трафике попытки атак, передачу зловредного трафика, аномалий и прочих событий, которые могут привести к инцидентам безопасности в сети;
  • антивирусную проверку всех передаваемы файлов – используется как сигнатурный анализ, так и анализ файлов в песочнице;
  • фильтрацию трафика на основе URL, категорий сайтов, приложений, пользователей и пр.
  • защиту от DoS и DDoS атак, анализ репутаций сайтов и хостов и пр.

С точки зрения транспортной составляющей МСЭ могут поддерживать:

  • различные схемы работы: прозрачный режим работы (L2), режим работы в качестве шлюза (L3), прокси,
  • Site-to-site VPN’ы (в том числе в формате SD-WAN) для связи удалённых офисов и площадок,
  • Remote-access VPN для организации удалённого доступа ко внутренним ресурсам сети,
  • различные схемы обеспечения отказоустойчивости: HA-пара (Актив-Пассив и Актив-Актив), кластер,
  • функции NAT и reverse-прокси для публикации наружу внутренних ресурсов,
  • различные варианты маршрутизации трафика (статическая, динамическая, на основе политик),
  • и пр.

Виды и типы межсетевых экранов

В зависимости от выполняемых функций МСЭ делаться на классические и МСЭ следующего поколения (NGFW).

Классический МСЭ – оперирует в основном на транспортном уровне модели OSI: в правилах указывают IP-адреса, порты TCP/UDP.

NGFW (Next-Generation Firewall) – межсетевой экран (МСЭ), который обеспечивает глубокую инспекцию пакетов, предотвращение вторжений (IPS), и проверку трафика на уровне приложений. Большинство NGFW также поддерживают фильтрацию веб-сайтов, антивирусную проверку, проверку зашифрованного трафика TLS/SSL, интеграцию со сторонними системами управления идентификацией (LDAP, RADIUS и Active Directory).

В линейке оборудования Cisco классический МСЭ – это решение Cisco ASA. NGFW – решение FTD.

Что касается формы исполнения, МСЭ бывают программные или аппаратные. В плане функциональности зачастую они ничем не отличаются. При этом у каждого варианта есть свои сильные и слабые стороны.

Программные МСЭ

Программные МСЭ чаще всего выполнены в виде виртуальной машины (ВМ), которая может работать на базе какого-то стандартного гипервизора (например, VMware).

Основные преимущества программных МСЭ:

  • скорость развёртывания, не нужно ждать поставки аппаратного устройства;
  • возможность быстрого масштабирования – легко развернуть дополнительные ВМ;
  • возможность запуска в облачных средах (например, на базе IaaS).

Основные недостатки программных МСЭ:

  • более низкая производительность для специфичных функций, например, дешифрации трафика; обусловлено это тем, что ВМ запускается на стандартной серверной платформе, где нет специализированных чипов (например, крипто акселераторов);
  • Зависимость от платформы виртуализации (не гарантированная производительность, разделение сфер ответственности, проблем на стыке технологий/вендоров).

Аппаратные МСЭ

Аппаратные МСЭ – аплайнсы, где мы сразу получаем программную и аппаратную часть от одного вендора.

Основные преимущества аппаратных МСЭ:

  • высокая производительность,
  • нет разделения зон ответственности между персоналом, который отвечает за решение,
  • вендор отвечает за всё: и за программную часть, и за аппаратную.

Основные недостатки аппаратных МСЭ:

  • сроки поставки могут сильно колебаться в зависимости от наличия оборудования и ситуации на рынке,
  • не подходит для «облаков».

В плане стоимости, очень часто аппаратные и программный МСЭ со схожей производительностью имеют схожую цену.

Настройка межсетевого экрана

Существует два основных подхода к управлению МСЭ:

  1. Каждое устройство настраивается отдельно.
  2. Есть централизованная система, которая управляем всеми устройствами.

Зачастую вендор обеспечивает возможность использования обоих вариантов: устройство настрагивается как самостоятельно, так и через централизованную консоль.

Основной способ настройки – Web-интерфейс. Также достаточно часто есть командная строка (CLI), как минимум для проведения диагностических мероприятий (различные show-команды, отладчики, трассировки и пр.).

Сертификация

МСЭ могут быть сертифицированы по различным направлениям. Данный процесс в основном регулируется двумя государственными органами:

  • Федеральной службой по техническому и экспортному контролю (ФСТЭК)
  • Федеральной службой безопасности (ФСБ)

ФСТЭК предоставляет нормативы по сертификации устройств, как межсетевых экранов и систем обнаружения вторжения. ФСБ – как средств криптографической защиты информации.

Необходимость использования сертифицированных МСЭ определяется нормативными законами. В частности, при защите персональных данных.

Классы защищенности межсетевых экранов

При сертификации устройства, как межсетевого экрана, ФСТЭК определяет его профиль защиты. Профиль зависит от двух параметров: типа МЭ и его класса защиты.

Типы межсетевых экранов ФСТЭК:

  • «А» — аппаратные, установленные на физических границах сети, например, в месте физического подключения сети компании к интернету через кабель.
  • «Б» — программные и аппаратные, установленные на логических границах сети, например, встроенные в маршрутизатор.
  • «В» — программные, установленные на узлы, например, компьютеры сотрудников.
  • «Г» — аппаратные и программные, работающие с протоколами HTTP и HTTPs, то есть с веб-трафиком.
  • «Д» — аппаратные и программные, которые работают с промышленными протоколами передачи данных.

Классы защиты межсетевых экранов ФСТЭК:

  • 6 класс — самый низший, подходит для работы с персональными данными 3 и 4 уровня защищенности.
  • 5 класс — подходит для работы с персональными данными 2 уровня защищенности.
  • 4 класс — подходит для работы с персональными данными 1 уровня защищенности.
  • 1, 2 и 3 класс — необходим для работы с гостайной.

Типы и классы защиты не зависят друг от друга напрямую. Например, может существовать экран типа «А» с 6 классом защищенности или экран типа «В» с 1 классом.

Похожая схема используется для сертификации МСЭ, как систем обнаружения вторжений (СОВ). Существует два типа СОВ: уровня хоста и сетевого уровня. А также 6 классов: 4-6 для защиты персональных данных, 1-3 – гостайна.

При сертификации межсетевого экрана ФСБ определяется его класс криптографической защиты информации. Главная задача средства криптографической защиты информации (СКЗИ) — уберечь данные от возможного взлома. Поэтому в них встраивают защиту. В зависимости от её уровня присваивается класс защиты. Каждый последующий класс включает в себя все предыдущие.

Классы СКЗИ ФСБ:

  • КС1. СКЗИ защищает от атак, которые совершаются из-за пределов информационной системы. Считается, что информацию о ней злоумышленники могут получить только из общего доступа.
  • КС2. СКЗИ защищает от атак, которые запускают изнутри информационной системы. Для этого у злоумышленников должны быть данные о том, как устроена криптографическая защита информации в системе, на которую они нападают.
  • КС3. СКЗИ защищает от атак злоумышленников, у которых есть доступ к средствам защиты.
  • КВ. СКЗИ защищает от атак злоумышленников, которые обладают полной информацией об СКЗИ и его известных уязвимостях.
  • КА. Самый высокий класс защиты. СКЗИ применяется для противодействия злоумышленникам, когда они знают о таких возможностях СКЗИ и информационной системы, которые даже не задекларированы.

Сравнение межсетевых экранов

На рынке достаточно много производителей МСЭ. Сравнить МСЭ можно по следующим основным параметрам:

  1. Производительность.
  2. Функциональность.
  3. Сертификация.
  4. Удобство управления и обслуживания.
  5. Качество защиты.

Производительность МСЭ является одним из важных параметров. Так как производительность зависит от включенных функций, а также типа трафика, вендоры публикуют цифры для разных режимов работы и разных размеров пакетов. Одним из самых ресурсоёмких процессов на МСЭ является дешифрация SSL(TLS)-трафика. А так как HTTPs-трафик превалирует над остальными, важно обращать внимание именно на этот параметр.

Как мы ранее отметили, современные МСЭ достаточно функциональные устройства. Но глубина этой функциональности варьируется от вендору к вендору.

МСЭ могут не иметь каких-либо сертификатов (в основном это иностранные МСЭ), либо ими обладать. Данный аспект особенно важен, если устройство будет использоваться в сетях, к которым предъявляются регуляторные требования (например, в сетях, где передаются персональных данные).

Под управлением и обслуживанием МСЭ подразумевается весь спектр задач по его настройке, диагностике и дальнейшему сопровождению:

  • наличие и качество документации,
  • «дружелюбность» интерфейса управления,
  • качество диагностического инструментария (полнота show/debug команд),
  • распространённость оборудования – от это зависит, много ли специалистов есть на рынке, активно ли решаются вопросы в рамках различных форумов и пр.,
  • работа с вендором в плане поддержки: как быстро и на сколько качественно решаются кейсы,
  • замена оборудования: условная гарантии и процедуры замены.

Качество защиты – самый важный и самый трудно оцениваемый параметр. Раньше его косвенно оценивали по квандранту Гартнера. Но с уходом большинства иностранных вендоров с нашего рынка, эта информация для нас перестала быть актуальной. Остаётся опираться на отзывы других компаний и собственное тестирование.

Список литературы
  1. Firewalls. Практическое применение межсетевых экранов. Терри Вильям Оглтри.
  2. Gartner Magic Quadrant for Network Firewalls
Возможно, вас заинтересует
  1. Какие варианты VPN Remote Access предоставляет ASA 5500-X
  2. Реализация автосекретаря на базе решений компании Cisco
  3. Cisco Firepower Threat Defense (FTD)
  4. Квадрант Gartner для беспроводных и проводных сетей 2016
  5. Сетевые оверлейные технологии: OTV, LISP и итоги. Часть 3
Создание и модернизация ИТ инфраструктуры
Комплексные решения по построению корпоративных сетей, ЦОДов, унифицированных коммуникаций и других инфраструктурных систем
Подробнее
Поставка оборудования и программного обеспечения
Широкий выбор ПО, компьютерного и сетевого оборудования ведущих мировых производителей
Подробнее
Поддержка ИТ инфраструктуры
Проведение аудитов, сопровождение и мониторинг ИТ инфраструктуры вашей компании
Подробнее
Подпишитесь на новые статьи
Будьте в курсе новых материалов
Горячая линия
8 (495) 411-82-82
8 (800) 500-82-81
Компания CBS arrow
  • Услуги
  • Оборудование
Контакты arrow
Компания «Компьютерные бизнес системы» (CBS) работает на рынке информационных технологий с 1997 года.
Основное направление – поставка и настройка высокотехнологичного сетевого и компьютерного оборудования, программного обеспечения мировых брендов (Cisco, HPE, Microsoft, VMware, APC), а также выполнение интеграционных проектов.

Все права защищены
2024 ООО «Компьютерные бизнес системы»
Политика конфиденциальности
Пользовательское соглашение
sitemap | CBS