Ужесточение конкуренции на рынке межсетевых экранов привело к тому, что производители преобразовали предлагаемые брандмауэры в комплексные решения защиты корпоративных сетей, включающие в себя множество уникальных функций.

Окно управления параметрами Check Point Express CI

Именно интегрированные решения наиболее востребованы сегодня в компаниях средних масштабов, и, по прогнозам аналитиков компании IDC (www.idc.com), необходимость внедрения систем такого класса с каждым годом будет возрастать.

Этот обзор посвящён наиболее мощным и популярным решениям ведущих мировых производителей, ориентированным на средние компании (до 500 рабочих станций в локальных сетях).

Check Point Express CI

В 1993 году Gil Shwed, основатель и глава совета директоров компании Check Point Software Technologies Ltd. (www.checkpoint.com), изобрел и запатентовал технологию контекстной фильтрации (Stateful Inspection), которая в настоящее время является мировым стандартом в производстве самых надёжных межсетевых экранов. Вместе со своими коллегами — основателями компании он написал первую версию брандмауэра Firewall-1, который стал первым коммерческим продуктом на этом рынке.

Check Point Express CI представляет собой комплексное решение для защиты корпоративных ресурсов компаний. Это программный комплекс периметральной защиты. Он поддерживает множество операционных систем — от Windows до Unix/Linux-класса, включая собственную защищённую операционную систему SecurePlatform.

Решение состоит из следующих функциональных компонентов:

• VPN-1 Express Gateway — защита коммуникаций между удалёнными офисами при помощи технологий построения VPN;
• VPN-1 SecuRemote/SecureClient — защита удалённого доступа пользователей к корпоративным ресурсам;
• Firewall-1 — надёжный и популярный межсетевой экран;
• SmartDefence — средство защиты от сетевых атак (система предотвращения вторжений);
• Gateway Antivirus — средство антивирусной защиты корпоративных ресурсов на базе антивирусного ПО eTrust Anivirus компании Computer Associates;
• SmartCenter — средство централизованного управления всеми функциональными компонентами, входящими в состав решения.

Дружелюбный интерфейс позволяет визуализировать структуру защищаемой сети

VPN-1 Express Gateway предоставляет широкие возможности развёртывания виртуальных частных сетей, защита коммуникаций достигается за счёт использования популярных алгоритмов шифрования и проверки целостности данных. Построение VPN-каналов возможно как между шлюзами VPN-1, так и с использованием решений других производителей.

Средства защиты удалённого доступа включают в себя VPN-1 SecuRemote и VPN-1 SecureClient. SecuRemote позволяет получить доступ к корпоративным ресурсам по защищённому каналу передачи данных после прохождения пользователем процесса аутентификации.

VPN-1 SecureClient расширяет возможности VPN-1 SecuRemote благодаря централизованно управляемому персональному межсетевому экрану. Перед установкой защищённого соединения с ресурсами корпоративной сети клиентская машина проходит обязательную проверку на соответствие принятой политике безопасности (например, установлен ли антивирус, обновлена ли база, заплатки для системы безопасности и пр.).

Встроенная система предотвращения вторжений на основе уникальных технологий Application Intelligence и Malicious Code Protector защищает все коммуникации от известных и неизвестных атак. Web Intelligence позволяет оградить web-ресурсы компании от большинства атак и угроз.

Межсетевой экран Firewall-1 на основе технологии Stateful Inspection производит проверку более 150 наиболее используемых сервисов и протоколов, включая web-сервисы, сервисы мгновенного обмена сообщениями, VoIP, SQL и т.д. Средства надёжной аутентификации позволяют использовать обычные пароли, сертификаты (в состав входит встроенный “Удостоверяющий центр сертификатов”), а также могут быть интегрированы со средствами многофакторной аутентификации третьих производителей.

Adaptive Security Appliance 5510 – пример высокоэффективного программно-аппаратного брандмауэра

С помощью SmartCenter Express можно централизованно определять и внедрять политики безопасности на имеющиеся шлюзы, управлять правилами доступа, отслеживать попытки атак и неавторизованного доступа.

Встроенный антивирус производит проверки потоков данных, проходящих через межсетевой экран, таким образом, пресечение вирусных эпидемий происходит на периметре сети, а не, к примеру, в демилитаризованной зоне выделенным антивирусным сервером.

Adaptive Security Appliance 5510

Программно-аппаратный комплекс Adaptive Security Appliance 5510 компании Cisco Systems (www.cisco.com) — это интегрированное решение для защиты ресурсов компаний, оно включает в себя межсетевой экран на основе Cisco PIX 500, систему предотвращения атак на основе Cisco IPS 4200 и VPN-концентратор на основе Cisco VPN 3000. Универсальность данного решения заключается в том, что оно может быть внедрено не только на периметре сети, но и внутри, сегментируя её и защищая отдельные сегменты.

Для обеспечения безопасности прикладных программ используются 30 механизмов (engine) безопасности, инспектирующих содержимое сетевых потоков 2—7 уровней модели OSI. С их помощью выполняется обнаружение большого количества атак (включая атаки на переполнение буфера), фильтрация и верификация содержимого сессий. Всё это обеспечивает контроль над угрозами, которые несут в себе такие сервисы, как службы мгновенного обмена сообщениями, пиринговые сети обмена файлами и т.д.

ISA Server эксперты считают одним из лучших продуктов в своей категории

Также Cisco ASA 5510 обеспечивает защиту от DоS-атак, распространения вредоносных программ (сетевых червей, троянских коней, сетевых вирусов, нежелательного рекламного ПО и пр.), что является уникальной функциональной возможностью для решений такого класса. Еще одна отличительная особенность — реализация инновационной технологии Risk Rating, которая должна минимизировать воздействия процесса предотвращения атак на легитимные сетевые потоки. Каждое событие оценивается по нескольким категориям, среди которых: критичность события (оценивается возможное воздействие угрозы); соответствие сигнатуры появившейся угрозе; ценность атакуемого ресурса и т.д. Это позволяет классифицировать риски для выработки и применения соответствующих действий без значительного влияния на легитимные потоки данных.

Решение построено на основе межсетевого экрана типа Stateful Inspection, что позволяет обеспечить надёжную и комплексную безопасность ресурсов компании.

Средства построения VPN-каналов типа Site-to-Site (между корпоративными сетями) и Remote Access обеспечивают безопасность и прозрачность доступа к корпоративным ресурсам компаний. Особенностью реализации данной функции является то, что помимо шифрования каналов весь VPN-трафик проходит обязательную проверку содержимого, что предотвращает распространение множества угроз, таких как вредоносное ПО, вирусные эпидемии и т.д. Средства построения так называемых Clientless VPN-каналов (без необходимости установки специализированного ПО на клиентских машинах) существенно упрощают доступ к ресурсам и в то же время защищают каналы передачи данных от несанкционированного доступа.

Internet Security and Acceleration Server 2004

Microsoft ISA Server 2004 — программное решение, объединяющее в себе межсетевой экран уровня приложений, средство управления VPN, службу web-кэширования и систему обнаружения вторжений.

Межсетевой экран основан на технологии Stateful Inspection. Кроме основного функционала, присущего данной технологии, в нём реализовано несколько уникальных технологий.

В их числе — “Безопасная публикация серверов”, механизм защиты общедоступных серверов. ISA Server, по сути, выдаёт себя за обыкновенный ресурс. Он фильтрует и проверяет все сессии на наличие попыток атак и неавторизованного доступа и только после этого перенаправляет запросы на целевые серверы. Таким образом реализуется дополнительный уровень защиты общедоступных серверов. Эксперты, правда, считают, что серверы общего доступа всё же следует располагать в отдельных зонах, не имеющих точек соединения с локальными сетями.

Мост SSL—SSL предназначен для проверки зашифрованных соединений. К примеру, клиент из интернета соединяется с целевым сервером, находящимся в демилитаризованной зоне, по протоколу HTTPS. Большинство межсетевых экранов не проводят проверок содержимого таких сессий, но ISA Server расшифровывает содержимое потока, производит комплекс проверок, опять зашифровывает и отправляет целевому серверу. Таким образом, возможные угрозы, которые несёт в себе зашифрованный поток, пресекаются ещё на уровне периметра сети. 

Система обнаружения вторжений (на основе технологии, разработанной компанией Internet Security Systems) уведомляет администраторов о попытках проведения атак и несанкционированного доступа к корпоративным ресурсам, а также самостоятельно реагирует на инциденты.

Средства построения VPN позволяют организовывать защищённый удалённый доступ к внутренним ресурсам компании. Поддерживаются как Site-to-Site VPN, так и Remote Access VPN. Отличительной особенностью решения является то, что на удалённых клиентах нет необходимости устанавливать дополнительное ПО: оно входит в стандартный инструментарий Windows.

Аутентификация пользователей производится с помощью встроенных средств аутентификации в Windows (NTLM и Kerberos), информация о пользователях хранится либо в Active Directory, либо RADIUS.

Широкие возможности интеграции ISA Server 2004 со службой Active Directory делают это решение привлекательным для компаний, внедривших у себя инфраструктуру Active Directory. 

Автор — консультант отдела информационной безопасности компании “БМС Консалтинг”, CCSE+, SCTA. Связаться с ним можно по адресу: Pavel_Reshetnyak@bms-consulting.com