Межсетевые экраны — UTM, IDS, IPS-системы, NGFW

Межсетевой экран (брандмауэр, firewall) — это решение, разработанное для контроля и фильтрации входящего и исходящего трафика, в соответствии с настроенными правилами.

Основная функция — защита отдельных фрагментов сети и конечных устройств от внешних угроз.

Принцип действия — фильтрация трафика на основании набора правил, преимущественно разрешающих — всё, что не разрешено, то запрещено. Совокупность правил является чем-то вроде фильтров, через которые межсетевой экран пропускает трафик и решает, что с ним делать, в зависимости от его характеристик. Подробнее про межсетевые экраны.

Могут быть представлены в виде физического устройства или программного обеспечения. Большинство продуктов, которые позиционируются как межсетевой экран, имеют дополнительный встроенный функционал для обеспечения информационной безопасности.

Когда речь идёт о безопасности трафика, то зачастую говорят о таких решениях, как:

  • IDS-системы;
  • IPS-системы;
  • UTM-системы;
  • NGFW.

IDS-системы

IDS-системы (Intrusion Detection System) — это программные или аппаратно-программные решения, разработанные для обнаружения несанкционированных внешних вторжений. Используются как в качестве отдельных решений (часто вместе с IPS), так и в составе межсетевых экранов, UTM-систем. В российской терминологии используется аббревиатура СОВ — система обнаружения вторжений.

Основная цель — мониторинг трафика, выявление сетевых атак, неавторизованного доступа к информации, обнаружение действий вредоносных программ и скриптов, работающие сканеры портов, нарушения пользователями политик безопасности.

Принцип действия — при сигнале о возникновении определённого события автоматически генерируется сообщение с подробным описанием, которое заносится в журнал. IDS-система помогает видеть, как обстоят дела в сети с точки зрения информационной безопасности.

IPS-системы

IPS-системы (Intrusion Prevention System) — это системы предотвращения вторжений. Они следят за трафиком и блокируют подозрительные, несоответствующие политикам потоки данных. Могут использоваться на границе сети или для защиты отдельных хостов.

Основная цель — обнаружение и предотвращение несанкционированных действий в сети.

Принцип действия — набор правил, преимущественно запрещающих — всё, что не запрещено, то разрешено, используя которые, система блокирует определённые проблемы безопасности. Пропуская трафик через правила, IPS-система ищет причину, чтоб заблокировать трафик.

UTM-системы

UTM-системы (Unified Threat Management) — это комплексные решения, которые включают в себя функционал межсетевого экрана, IDS, IPS, и множество других функций для повышения информационной безопасности — фильтрация трафика, DNS-фильтр, контроль сеансов, сканирование трафика на наличие вирусов, и многое другое, в зависимости от производителя и модели.

Решения для бизнеса

Описанные системы могут являться частью функционала одного аппаратного устройства или программного обеспечения, или представлять собой отдельные системы. В зависимости от политики лицензирования производителя весь функционал может уже быть доступен при приобретении, или его необходимо докупать дополнительно.

Несмотря на схожесть, системы могут отличаться по функционалу, иметь разное расположение в сети, работать на разных уровнях сетевой модели OSI.

NGFW — межсетевые экраны следующего поколения

NGFW (Next-Generation Firewall) — новое поколение решений для обеспечения информационной безопасности, которые кроме стандартного функционала файервола вмещают в себя множество дополнительных функций: защиту от атак, полностековое инспектирование трафика (http, https), сигнатурное определение типов приложений, политики управления приложений.

NGFW по своему комплексному функционалу похожи на UTM-системы, но более предназначены для высоких скоростей и больших объёмов трафика, имеют лучшую производительность за счёт архитектуры — разные защитные функции могут выполнять разные процессоры, имеют более эффективные инструменты для контроля приложений.

Решения российских производителей

Российские решения представлены:

  • АПКШ «Континент» 4 (межсетевой экран класса NGFW/UTM), АПКШ «Континент» (межсетевой экран, IDS), «СОВ Континент» (IDS\IPS) компании «Код Безопасности»,
  • Traffic Inspector Next Generation — UTM-система российского производителя «Смарт-Софт»,
  • UserGate UTM производства компании UserGate,
  • «Гарда NGFW»,
  • ALTELL NEO компании «АльтЭль»,
  • ViPNet IDS, ViPNet Coordinator (межсетевой экран) компании «ИнфоТеКС»,
  • «С-Терра СОВ» (IDS), «С-Терра Шлюз» (межсетевой экран) компании «С-Терра»,
  • Межсетевые экраны компании Eltex (ООО «Предприятие «Элтекс»).

Решения иностранных производителей

На мировом рынке множество игроков, у каждого из которых есть широкий ассортимент продуктов для повышения уровня информационной безопасности:

Многие решения сертифицированы ФСТЭК.

Какое решение выбрать

Выбор зависит от необходимого уровня защищённости, сферы деятельности (в банковской сфере, например, свои требования), компетенций штатных специалистов, наличия бюджетов.

Небольшим компаниям, деятельность которых не попадает под требования регуляторов по обеспечению информационной безопасности, больше подходят универсальные средства защиты — UTM-решения.

Организациям, у которых большая нагрузка по трафику, и есть специфические задачи, больше подходит разделение функционала по защите сети на разные устройства и системы, где за их работу отвечают отдельные люди или подразделения.

Для обеспечения защиты персональных данных необходимо применять средства защиты, сертифицированные ФСТЭК.

Для защиты данных, составляющих государственную тайну, нужно проводить специальные проверки и специальные исследования оборудования в лаборатории.

Дополнительные материалы

Типы межсетевых экрановСертифицированные межсетевые экраныНастройка межсетевого экрана Check Point

Получить консультацию

Опишите задачи, которые стоят перед вашей организацией. Мы учтём особенности ИТ-инфраструктуры, сферы деятельности, действующее законодательство, и подберём решение, разработаем проект, настроим и внедрим выбранные системы.