С момента появления средст­ва обеспечения безопасности ИТ-инфраструктуры изначально стремились к определенной универсальности и многофункциональности, но в силу определенных программно-аппаратных ограничений развивались в пределах отдельных направлений. В последние годы функции краеугольного камня в системе ИТ-безопасности предприятий сегмента SMB в основном берет на себя аппаратный файрволл, который в большинстве случаев вводится в эксплуатацию в базовой функциональности, а затем постепенно обрастает дополнительными интеллектуальными функциями, прямо или косвенно относящимися к информационной безопасности. В свете этих тенденций с инженерной точки зрения интересным видится аппарат семейства Firebox компании WatchGuard, который представляет собой устройство класса UTM (Unified Threat Management, унифицированное управление угрозами), предназначенное для комплексной защиты периметра сети от внешних и внутренних угроз.


Семейство включает в себя три базисные конфигурации устройств Firebox  — Edge, Core и Peak, которые отличаются количеством поддерживаемых пользователей, функциональностью, наличием тех или иных типов портов, выносливостью по отношению к возрастающей сетевой нагрузке и ценой. Протестированная конфигурация Firebox Core Х550е позиционируется как новое поколение комплексных решений “из коробки” для обеспечения основополагающих функций ИТ-безопасности на предприятии со 100–150 активными пользователями и пропускной способностью до 125 Мбит/с. С помощью этого устройства, которое недавно получило существенно модифицированную прошивку 9-й версии, компания-производитель планирует потеснить таких традиционно сильных игроков на рынке аппаратных секьюрити-устройств, как Cisco с семейством ASA и Checkpoint с решением UTM-1. Функционально “безопасность из коробки”, по версии компании WatchGuard, включает в себя следующие функции:

пакетная фильтрация (Firewall);
защита от вирусов;
защита от спама;
веб-фильтрация;
инструментарий для организации VPN;
функционал по обнаружению и предотвращению вторжений;
средства обеспечения качества обслуживания (QoS) и приоритезации трафика (load balance).

Ядро устройства Firebox использует модифицированную версию Linux, оптимизированную для быстрой разборки и анализа пакетов. Одним из фундаментальных преимуществ устройства является тот факт, что практически все сетевые возможности ОС Linux, разработанные на сегодняшний день, реализованы в устройстве на уровне прошивки и удобно настраиваются через привычный UNIX-подобный графический интерфейс.

Гибко настраиваемые политики безопасности дают возможность отсекать полностью или пропускать через NAT пакеты с заданными атрибутами, в числе которых могут быть IP-адрес, отправитель или получатель. Также предусмотрен режим проксирования, когда каждая клиентская сессия создается устройством Firebox от имени клиента. При этом пакеты как бы генерируются повторно и только в случае успешного прохождения проверки пересылаются получателю. Такой режим позволяет отбрасывать “битые” или несоответствующие стандартам RFC (если такая опция задействована) пакеты.

Функции IDS (Intruder Detection Systems) в комплексе с IPS (Intruder Prevention System) представляют собой механизм распознавания угроз, основанный на принципе сравнения пересылаемого реального пакета с образцами пакетов (pattern), присущих различным разновидностям атак. Сигнатуры образцовых пакетов, свойственных определенным типам атак, регулярно обновляются и распространяются среди зарегистрированных пользователей аналогично обновлению антивирусных баз.

Компания-производитель подчеркивает, что, в отличие от наиболее распространенных конкурирующих решений, устройства Firebox могут выявлять и предотвращать атаки не только путем сличения пакетов с образцовыми, но также путем интеллектуального анализа поведения сети и отдельных машин. В частности, предусмотрены ограничения запросов от одного IP-адреса, ограничения запросов на определенные порты, выявление попыток сканирования портов извне или ограничения на хождение указанных типов пакетов. По характеру блокировка может быть выборочной, периодической или постоянной  — согласно заданным политикам устройство способно составлять внутренние “черные списки” различных видов. На основе собранной статистики обращений устройство может формировать детальнейшие файлы отчетов, которые вмещают в себя информацию обо всех видах зафиксированной активности.

В случае подключения устройства к нескольким провайдерам (аплинкам) появляется возможность использовать его в качестве маршрутизатора, который будет определять оптимальную схему передачи пакетов между внутренними и внешними сетями, основываясь на быстродействии внешних сетей в заданный момент времени. Кроме этого, предусмотрены режимы маршрутизации по принципу fail-over, когда в случае выхода из строя основного используется вторичный канал в качестве основного внешнего, или в режиме “round robin” с использованием этих каналов поочередно.

Протестированное устройство в модификации Core с апреля этого года поставляется в Украину компанией “ИТ Лэнд” по рекомендованной цене 3300 долл. В стоимость включена подписка на сигнатуры сроком на год.