Устройства класса Next Generation Firewall (NGFW) обеспечивают комплексную защиту сети. Ниже представлены 5 основных функций NGFW.
1. Глубокий анализ трафика (Deep packet inspection, DPI).
Эта функция позволяет проверять содержимое сетевых пакетов и обеспечивает более детальную фильтрацию трафика по сравнению с другими устройствами защиты сети того времени (обычные межсетевые экраны, UTM и др.).
NGFW не только считывают заголовки сетевых пакетов, но и анализируют полезную нагрузку (payload). Это даёт возможность применять гибкие политики контроля действий пользователей.
Рассмотрим работу таких приложений, как Facebook, VK, дисковое хранилище, торренты, игры, анонимайзеры. Даже стандартные сетевые протоколы — HTTP, HTTPS, FTP, SSH — можно рассматривать как приложения, поскольку по модели OSI они относятся к 7 уровню, то есть к уровню приложений.
Благодаря глубокому анализу трафика повышается безопасность при использовании этих приложений.
Многие из этих приложений используют стандартные порты. Например, Facebook, VK и Telegram работают на портах транспортного уровня TCP/80 и TCP/443. То же самое относится к прикладным протоколам: HTTP обычно использует порт TCP/80, а HTTPS — порт TCP/443.
Здесь есть два важных момента, которые подчёркивают необходимость использования функции глубокого анализа пакетов (DPI):
Протоколы, такие как HTTP или HTTPS, могут работать на нестандартных портах. К примеру, HTTP может использовать порт TCP/81, TCP/7777 или любой другой. Это относится ко всем остальным прикладным протоколам. Из-за этого на обычных межсетевых экранах приходилось разрешать множество нестандартных портов для стандартных приложений.
Когда вы разрешаете трафик через порты TCP/80, TCP/81, TCP/7777, вы не можете быть уверены в том, что там действительно HTTP.
Решения класса NGFW позволяют контролировать доступ к информационным ресурсам на уровне приложений.
Например, можно разрешить подключение по HTTP с помощью функционала DPI, и неважно, какие порты будут использоваться — главное, что применяется приложение HTTP. Или же можно разрешить определённой группе лиц полноценно пользоваться Telegram, а всем остальным только отправлять сообщения.
Другой пример: как запретить загрузку файлов в дисковые хранилища, но при этом разрешить скачивание? Как заблокировать или разрешить доступ к приложениям вроде Facebook или VK, если все они используют протоколы TCP/80 или TCP/443? Как запретить пересылать файлы в Telegram, но оставить возможность обмениваться сообщениями?
В решениях класса NGFW функция DPI называется «контроль приложений».
2. Создание политик по идентификаторам пользователей
Использование IP-адресов в качестве отправителя или получателя не всегда эффективно, поскольку пользователи могут перемещаться. Сегодня один пользователь имеет адрес 192.168.0.100, а завтра он может работать за другим компьютером, находиться в другом кабинете, офисе или даже городе и иметь совершенно другой IP-адрес.
Решения класса NGFW позволяют использовать идентификаторы пользователей в правилах фильтрации. Это даёт возможность явно указать, что разрешено или запрещено делать конкретным пользователям, а не компьютерам в целом.
3. Защита от атак
NGFW обеспечивают надёжную защиту от различных видов атак благодаря встроенным системам:
- Система обнаружения и предотвращения вторжений (IDPS): Обнаруживает и блокирует попытки злоумышленников атаковать инфраструктуру. NGFW выявляют и предотвращают эксплойты, бэкдоры, шелл-коды, программы для загрузки вредоносных файлов и другие угрозы.
- Модуль защиты от протокольных атак: Обнаруживает и предотвращает сетевые атаки сканирования, аномалии в трафике и угрозы типа «отказ в обслуживании» (DoS).
- Threat Intelligence: Предоставляет информацию о потенциальных угрозах и позволяет блокировать соответствующий трафик. Threat Intelligence включает в себя данные о вредоносном контексте, механизмах и индикаторах компрометации. В NGFW эта функция представляет собой набор признаков, по которым можно обнаружить угрозу: IP-адреса, доменные имена, URL-адреса, хэш-суммы вредоносных файлов и т. д.
4. Проверка зашифрованного трафика (SSL/TLS-inspection и SSL/TLS-decryption)
В чём разница между HTTP и HTTPS? А между SMTP и SMTPS? Буква «S» в названии обозначает Secure, то есть защищённый. Проще говоря, данные внутри такого протокола зашифрованы. Однако наличие слова «Secure» в названии не делает протокол абсолютно безопасным, поскольку у него могут быть свои ограничения:
- уязвимости протокола;
- маскировка вредоносного содержимого.
Благодаря поддержке расшифровки и проверки зашифрованных туннелей устройства класса NGFW могут обнаруживать вредоносный контент. Функционал SSL/TLS-inspection и SSL/TLS-decryption позволяет им проверять зашифрованный трафик.
5. Защищённый удалённый доступ (RA VPN)
При организации VPN возникает не так много проблем, но если речь идёт о безопасном VPN, то появляются определённые сложности:
- подключение по VPN устройств с разным уровнем защиты;
- проверка VPN-трафика на наличие вредоносного контента;
- разграничение доступа.
Устройства класса NGFW помогают минимизировать риски, связанные с этими проблемами:
- проверяют, что подключаемые устройства имеют надёжный уровень безопасности;
- анализируют VPN-трафик на предмет обнаружения и предотвращения распространения вредоносного содержимого;
- гибко разграничивают доступ: управляют соединениями, предоставляют доступ к определённым ресурсам по конкретным протоколам или приложениям в определённое время для определённых пользователей или IP-адресов.
6. Site-to-Site VPN
Ещё одна задача NGFW — защита распределённых систем, состоящих из центрального офиса и нескольких филиалов. Поэтому решения класса NGFW должны уметь обеспечивать защиту каналов связи между офисами с помощью шифрования трафика – использование VPN.
Как выбрать NGFW
Выбор устройства класса Next Generation Firewall — непростая задача. Вот основные функции, на которые стоит обратить внимание. Если хотите узнать больше о том, какие ещё аспекты следует учесть при выборе NGFW, свяжитесь с нами: [email protected]