Развитие информационных технологий открывает перед компаниями невероятные возможности. Но этот же процесс таит серьезные угрозы, связанные с несанкционированным проникновением в корпоративные сети. Для защиты от атак разработан эффективный инструмент – Firewall. Это программа, которая контролирует доступ и блокирует нежелательный трафик.
Это своеобразный «пункт контроля», который фильтрует данные по указанным критериям. Межсетевой экран, также называемый брандмауэром (это другое название межсетевого экрана) работает по правилам и алгоритмам, установленным администратором либо разработчиком:
Анализ сетевого трафика, включая фильтрацию пакетов и анализ заголовков IP-пакетов (тип протокола, порты, адрес отправителя и получателя).
Использование заданных параметров для обработки пакетов. В зависимости от поставленных задач Firewall разрешает либо запрещает доступ к определенным портам, конкретных IP-адресов, работу с указанными приложениями, протоколами.
Разграничение прав для различных категорий пользователей. Система Firewall проверяет состояние соединений, отслеживает активные сессии, дает разрешение только на санкционированные подключения.
Блокировка трафика при обнаружении потенциально опасных либо нелегитимных действий. Файрвол может изучать как заголовки, так и содержимое пакетов для выявления скрытых угроз в виде эксплойтов, вирусов и пр.
Некоторые Firewall выступают в качестве посредников (прокси-сервисов) с возможностью полной обработки запросов при сокрытии реального IP пользователя с целью повышения безопасности.
В результате межсетевой экран может:
Фильтровать трафик – разрешает или блокирует входящие и исходящие сетевые соединения на основе заданных правил.
Защищать от несанкционированного доступа – препятствует взломам и проникновению в сеть.
Контролировать приложения – запрещает определённым программам доступ в интернет.
Логировать и мониторить активность – ведёт журнал и предупреждает о подозрительных действиях.
Работать по IP, портам и протоколам – фильтрует соединения по адресу, номеру порта и типу протокола (например, TCP/UDP).
При фильтрации трафика все типы МЭ работают с комбинациями, состоящими из:
Адреса источника – это девайс, подключаемый к сети.
Сообщения – что конкретно будет передаваться.
Протоколов HTTP, SSH, FTP, Telnet, DNS и др.
Адреса назначения – сетевой компонент, к которому происходит подключение извне.
Пакетных протоколов, используемых для отправки/получения сообщений, взаимодействия между хостами.
При наличии опции контроля состояния сеансов анализируется каждая пользовательская сессия. Это позволяет системе определить, какое поведение является типичным или нетипичным. Если во время сессии Firewall фиксирует нестандартные действия, то трафик может быть заблокирован. Брандмауэры с отслеживанием сеансов состояния отличаются большей гибкостью, так как принимают решения на основе правил, заданных администратором, с учетом текущего контекста.
Firewall получил указания разрешить доступ всем IP-адресам на 80-й порт из отдела системного администрирования и отклонить для остальных сотрудников. При попытке подключения к локальной сети с компьютера специалиста другого отдела будет выдано сообщение об ошибке, так как в данном случае используется другой порт.
Сотрудник компании может скачать и сохранить на компьютер файл с вредоносным ПО. Содержащийся в нем вирус собирает информацию о компании и пытается отправить ее вовне. Как только система определит передачу данных на IP с «плохой репутацией», отправка сведений будет моментально заблокирована.
Принято разделять межсетевые экраны на две группы:
Аппаратные. Это платы или процессоры с высокой производительностью и возможностью масштабирования. Оборудование разработано для решения задач по фильтрации трафика. На него не получится поставить ничего «лишнего», что исключает вероятность нехватки дискового пространства и различных конфликтов.
Программные. Речь идет о программном обеспечении, которое устанавливается на сервер, обрабатывающий весь трафик внутри локальной сети. Характеризуется гибкостью настройки, опцией получения обновлений через интернет. Отличается меньшей производительностью в сравнении с аппаратными вариантами.
Сформировать многоуровневую защиту помогает комбинация программных и аппаратных решений. Например, аппаратный Firewall блокирует при входе в систему подозрительный трафик, а программный межсетевой экран отслеживает активность внутри самой сети и дополнительно проверяет параметры. Также современные технологии позволяют реализовать все эти механизмы защиты в одном Firewall.
Отдельно выделяют Virtual Firewall – программное обеспечение, которое функционирует только на виртуальных хостах либо серверах, поэтому подходит для интеграции с облачными инфраструктурами.
Также межсетевой экран может:
Активно вмешиваться в сетевой трафик.
Блокировать или разрешать соединения в реальном времени по заданным правилам.
Отбрасывать пакеты, закрывать соединения, перенаправлять трафик, внедрять задержки, обновлять правила на лету.
Межсетевой экран позволяет:
Результативно использовать и управлять ресурсами, контролировать состояние сети и администрировать. Так, у администратора есть право запрета пользователям работать с определенными ресурсами, например, открывать социальные сети или скачивать видеоконтент.
Изолировать различные сегменты сети, блокировать и ограничивать нежелательный сетевой трафик и угрозы.
Обеспечивать быструю адаптацию к требованиям сети, производительности и пропускной способности (устанавливать оборудование не требуется).
Проверять трафик: источник поступления пакета данных и адресат для отправки, нужный для подключения порт и другие параметры.
Управлять пропускной способностью. Виртуальный межсетевой экран способен заблокировать попытки скачивания либо отправки больших файлов, если эти действия будут негативно сказываться на работе других сотрудников.
Организовать отчетность и мониторинг действий в сети. Все попытки доступа и блокировки записываются системой в журнал. При анализе логов у администратора появляется возможность выявления угроз безопасности, принятия дополнительных мер по их устранению и профилактике несанкционированного доступа.
Создать виртуальные частные сети (VPN), чтобы безопасно передавать сведения между удаленными точками через общедоступные сети.
Снизить затраты на оборудование и использовать его в нескольких средах.
Куда могут устанавливаться межсетевые экраны разных типов (виртуальных, аппаратных и программных)?
Они могут быть установлены:
Внутри локальной сети. Основная задача – контролировать доступ к ресурсам системы.
На границе внутренней и внешней сети. Предназначен для контроля доступа к ресурсам извне и предотвращения несанкционированных подключений.
На хосте. Устанавливается на отдельный сервер или компьютер.
На шлюзе между двумя сетями для фильтрации и контроля доступа.
Выбор конкретного варианта основывается на решаемых задачах и особенностях архитектуры сети.
К ним относятся:
Инспекторы состояния. МЭ непрерывно отслеживают подключения, запоминая уже проверенные. Работа с опорой на технические параметры (номера портов, IP-адрес, пакетные протоколы) позволяет Firewall выбрать действие: например, трафик, вызвавший ранее нарушения в работе сети, будет блокироваться.
Статическая пакетная фильтрация, когда хранение информации о состоянии не предусмотрено. Выполняется базовая фильтрация с проверкой пакетов на основании информации о получателе/отправителе. Система проверяет каждое подключение при очередной передаче данных, предотвращая несанкционированный доступ между устройствами из различных сетей.
Шлюзы сеансового уровня (5 OSI). Проверяют, есть ли в передаваемых сведениях функциональные пакеты. Если они отсутствуют, то непрерывное соединение разрешается.
Шлюзы уровня приложений (уровень 7 OSI). Фильтрация проводится по протоколам прикладного уровня. Происходит основательная проверка состояний и пакетов. Такая проверка входящей информации может вызвать падение производительности.
Межсетевые экраны нового поколения (NGFW) предлагают углубленный анализ трафика, благодаря чему лучше идентифицируются различные угрозы.
Гибридные. Это файрволы, состоящие из нескольких типов МЭ в одной локальной системе.
Виртуальный межсетевой экран доказал свою эффективность, безопасность и экономическую выгоду для:
IT-компаний и стартапов, надежно защищая системы коммуникации и хранения данных, а также сетевые ресурсы от внешних и внутренних киберугроз.
Финансовых организаций, позволяя гарантировать конфиденциальность клиентских сведений и предотвращая мошеннические действия.
Медицинских учреждений с целью организовать безопасное хранение и обмен медицинскими сведениями, соблюдая актуальные требования законодательства.
Компаний в сфере торговли и коммерции. Это эффективная защита данных клиентов, информации о транзакциях и платежной информации от несанкционированного доступа.
Производственных компаний. Использование брандмауэра защищает промышленные системы и сетевые ресурсы от посягательств злоумышленников, исключая простои.
Государственные, образовательные учреждения. Файрвол помогает сохранить конфиденциальность данных.
И помните, что это – часть комплексной системы безопасности, а не ее единственный компонент. Поэтому важно исключить все уязвимости в ОС и программном обеспечении, чтобы обеспечить максимальный уровень защиты информации.
