Что такое межсетевой экран (firewall)
Для чего нужен межсетевой экран
Межсетевые экраны могут использоваться как самостоятельные устройства, так и быть интегрированным в другие компоненты сетевой инфраструктуры, например, в маршрутизатор или коммутатор.
Межсетевые экраны устанавливаются на границе двух и более сетей для контроля и фильтрации трафика, проходящего между ними. Как правило, МЭ устанавливаются на границе между локальной сетью и интернетом или между различными подразделениями организации, которые имеют разные уровни доступа к обрабатываемой информации.
Доказанная эффективность и высокая производительность позволяют использовать межсетевые экраны для защиты конфиденциальной информации. Это средство защиты незаменимо при построении государственных, муниципальных информационных систем, АСУ ТП, информационных систем персональных данных и критической информационной инфраструктуры. В данном случае межсетевой экран должен подтвердить соответствие заявленным требованиям, успешно пройдя процедуру сертификации. Подробнее о том, как и зачем сертифицируют межсетевые экраны, в нашей статье.
Типы межсетевых экранов
По типу исполнения различают программные и программно-аппаратные межсетевые экраны. Программно-аппаратные межсетевые экраны — это совокупный комплекс технических средств, системного и прикладного ПО, оптимизированного под конкретную платформу. Как правило, такие межсетевые экраны отличаются большей производительностью нежели программные, но, в то же время, и большей стоимостью.
Основная классификация межсетевых экранов связана с уровнем модели OSI, на которых они функционируют. Принято выделять следующие типы межсетевых экранов:
- управляемые коммутаторы на L2. Способны осуществлять проверку трафика между разными сетями и узлами, но слабо применимы против сетевых угроз;
- пакетные фильтры на L3/L4. Анализируют данные, представленные в заголовках пакетов. Такие межсетевые экраны считаются оптимальными для защиты периметра сети с заведомо низким уровнем доверия;
- шлюзы сеансового уровня на L3/L4/L5. Межсетевые экраны данного уровня являются посредниками между внешними хостами и узлами локальной сети и блокируют сетевые пакеты, не относящиеся ни к одному из установленных соединений;
- посредники прикладного уровня на L7. Межсетевой экран «понимает» содержимое пакетов на уровне приложений и с помощью посредников, отвечающих за свой протокол прикладного уровня, позволяет фильтровать трафик, блокировать определенные последовательности команд, обнаруживать DOS-атаки, проверять SSL- сертификаты;
- инспекторы состояния на L3-L7. Межсетевой экран является комплексным механизмом, включающий в себя способы анализа пакетов и их фильтрацию на всех возможных уровнях.
Функции межсетевых экранов
Основными функциями межсетевого экрана являются:
- защита компьютерных сетей от несанкционированного доступа. Межсетевой экран позволяет контролировать доступ к сети и блокировать попытки несанкционированного доступа в локальную сеть или из нее;
- контроль сетевого трафика. Межсетевой экран фильтрует проходящие через него пакеты данных на основании заданных правил и политик безопасности, блокируя трафик, который не соответствует этим правилам. Дополнительно МЭ позволяет контролировать использование трафика в сети, применяя механизмы оптимизации, с целью достижения эффективной работы компьютерной сети.
- предотвращение распространения угроз безопасности. Межсетевой экран может содержать компоненты, позволяющие своевременно обнаружить и заблокировать вирусы, трояны, шпионское и другое вредоносное ПО.
- защита от современных атак. Межсетевой экран предоставляет механизмы защиты от различных типов атак, включая атаки ботнета, DDoS-атаки, дефрагментацию пакетов, сканирование портов и другие.
Межсетевой экран работает по принципу «всё, что не разрешено, — запрещено». Такой подход позволяет сократить время настройки устройства, позволяя администратору безопасности выявить легитимные пути передачи данных.
История межсетевых экранов
Первые межсетевые экраны были разработаны в 1988 году компанией Digital Equipment Corporation (DEC) и назывались DEC SEAL (Secure External Access Link). Они были созданы для защиты от внешних атак и уязвимостей в компьютерных сетях и функционировали на нижних уровнях модели OSI, перехватывая и анализируя пакеты на соответствие заданным правилам. В 1990 году компания Check Point Software Technologies выпустила первый коммерческий межсетевой экран под названием FireWall-1, которые выпускались на базе специализированных микросхемам (ASIC), что позволяло проводить глубокий анализ заголовков пакетов. Такой межсетевой экран мог вести таблицу активных соединений и применять ее в правилах фильтрации (Stateful Packet Inspection, SPI), что позволяет проверять IP-адреса отправителя и получателя и контролировать порты.
В 1991 году компания SEAL впервые выпустила межсетевой экран, функционирующий на уровне приложений с использованием протокола конкретного приложения, а спустя пару лет на рынке появилось открытое решение Firewall Toolkit (FWTK) от Trusted Information Systems . Данные межсетевые экраны проверяли трафик на всех уровнях. К середине 90-х МЭ могли фильтровать пакеты таких популярных протоколов, как FTP, Telnet и SMTP. Коммерческая версия FWTK осуществляла URL-фильтрацию и обладала встроенными средствами защиты от вредоносных программ. Можно считать, что это был первый межсетевой экран следующего поколения. О них расскажем подробнее далее.
Программные межсетевые экраны появились существенно позже (конец 90х) в связи с популярностью антивирусных программ при защите персональных компьютеров от вредоносного ПО.
Долгое время российский рынок коммерческих межсетевых экранов был представлен преимущественно западными вендорами, однако в связи с событиями 2022 года и их решением об уходе из России, оказалась освобождена целая ниша, предоставляющая шанс на развитие отечественных решений. Немаловажным является тот факт, что в рамках господдержки Министерство промышленности и торговли РФ субсидирует разработку отечественных решений, в том числе и в сфере информационной безопасности.
Межсетевой экран следующего поколения (NGFW)
Как уже было сказано выше, межсетевые экраны следующего поколения (Next-Generation Firewall, NGFW) — это максимально возможный на данный момент уровень фильтрации трафика. Что делает межсетевой экран следующего поколения таким особенным? Прежде всего, это комплекс встроенных механизмов безопасности, осуществляющих глубокую проверку пакетов и реализующих дополнительные функции, такие как обнаружение и предотвращение атак, контроль приложений, защита от вредоносных программ и многие другие. NGFW могут интегрироваться с другими системами безопасности, такими как системы обнаружения вторжений (IDS) и системы защиты от вредоносных программ, что делает использование межсетевого экрана более эффективными при обеспечении безопасности сетей.
По анализу экспертов от 30% до 40% трафика, поступающего во внутреннюю сеть организации извне, составляет мусорный контент, не относящийся к решению бизнес-задач компании. Именно межсетевые экраны следующего поколения позволяют выявить и запретить такой трафик, как стриминговые сервисы, рекламные баннеры, торрент и многое другое, тем самым снизив нагрузку на внутреннюю сеть и ее персонал.
Одним из таких межсетевых экранов следующего поколения является флагманское решение компании «Айдеко» — Ideco UTM, — построенное на базе ядра Linux и комплексе современных средств защиты собственной разработки. В дополнение к межсетевому экранированию Ideco UTM предоставляет пользователям:
- IPS и контроль приложений (DPI);
- контентную фильтрацию и межсетевое экранирование веб-приложений (WAF);
- блокировку анонимайзеров и по GeoIP;
- антивирусную проверку на базе антивирусов Лаборатории Касперского и ClamAV;
- антиспам проверку трафика и антишпион;
- защиту от бот-сетей и фишинга;
- встроенный VPN.
Отличительной особенностью межсетевого экрана Ideco UTM является скорость развертывания и простота его настройки. Пользователь получает «из коробки» средство защиты информации, готовое к выполнению своих функций с большим набором преднастроенных параметров. При необходимости техподдержка поможет кастомизировать параметры безопасности под конкретную специфику защищаемой сети, что делает использование межсетевого экрана максимально простым и эффективным с точки зрения безопасности.