От FW к NGFW: специфика межсетевых экранов и критерии выбора

В последние десятилетия защита сети становится все более актуальным запросом для компаний и простых пользователей. И главным защитником домашней или корпоративной сети выступает межсетевой экран — он же МЭ, брандмауэр, FW и файрвол. Но что это такое и для чего он нужен? В статье разберемся с термином, расскажем о принципе работы и важности использования межсетевого экрана.

Что такое межсетевой экран

Межсетевой экран — это программное или аппаратное устройство, используемое для обеспечения безопасности компьютерных сетей. Он представляет собой специальное соединительное звено между внутренней и внешней сетями, контролирующее поток сетевых пакетов, проходящих через него.

Денис Бандалетов

Руководитель отдела сетевых технологий Angara Security

К межсетевым экранам предъявляют ряд требований, которым они должны соответствовать:

1. Функциональность — включение базовых функций фильтрации трафика, систем предотвращения вторжений (IPS), антивирусной защиты, поддержка VPN (чаще IKEv2 или ГОСТ), URL-фильтрация.
2. Надежность — высокая доступность и отказоустойчивость для обеспечения непрерывности бизнес-процессов.
3. Гибкость настройки — возможность тонкой настройки правил безопасности для соответствия специфическим потребностям организации.
4. Соответствие нормативным требованиям — возможность вести журналы и отчеты в соответствии с требованиями законодательства и отраслевыми стандартами.
   

Основная функция межсетевого экрана заключается в фильтрации и контроле сетевого трафика для предотвращения несанкционированного доступа к сети и защиты от вредоносного программного обеспечения. Файрвол может блокировать определенные порты, IP-адреса или приложения, а также применять другие методы сканирования сетевого трафика для обнаружения и предотвращения атак.

Николай Домуховский

Заместитель генерального директора по научно-технической работе УЦСБ

Межсетевой экран — это программно-аппаратный комплекс. Если производитель предлагает чисто программное решение, которое можно поставить на любой сервер, то, скорее всего, такой межсетевой экран когда-нибудь серьезно подведет вас.

Нужно хорошо понимать, какие задачи будет решать межсетевой экран и какие существуют ограничения по решению этих задач. Например, вы хотите поточный антивирус, но надо обязательно уточнять, какие протоколы передачи файлов по сети будет поддерживать этот антивирус. Если речь идет только о web-протоколах (например, HTTP или FTP), то какой прок от этой функции будет во внутренней сети, где используется NFS или CIFS.

При настройке надо учитывать следующие моменты:

1. Производительность МЭ и количество правил проверки трафика связаны между собой, поэтому надо планировать политику так, чтобы самым сложным проверкам подвергалось минимальное количество трафика. Иначе даже самый производительный МЭ не сможет справиться с объемом трафика в вашей сети.
2. Изменения некоторых настроек МЭ приводят к разрыву всех текущих сетевых соединений, а, значит, проводить их надо тогда, когда такой разрыв соединения не вызовет проблем в функционировании сервисов компании. 

Межсетевой экран может иметь различные конфигурационные параметры, которые определяют, какие типы трафика разрешены или запрещены. Он также часто использует различные методы авторизации для контроля доступа и шифрования данных для повышения безопасности.

Межсетевые экраны широко применяются в корпоративных сетях и на домашних маршрутизаторах для защиты сетевых ресурсов от угроз извне. Они являются неотъемлемой частью комплексной системы безопасности.И от того, как работает межсетевой экран зависит сохранность конфиденциальности и целостности данных.

Как выбрать межсетевой экран

Выбор межсетевого экрана зависит от разных факторов. Нужно учитывать различные уровни безопасности в компаниях и организациях, типы используемых сетей, функциональные требования, бюджеты и ресурсы.

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Сначала определяем, какие проблемы должен решать МЭ, какие потребности закрывать. Это могут быть вопросы, например, связанные с защитой периметра сети, сети ЦОД, ИСПДн или КИИ. 

Исходя из задачи, выбираем функционал. К примеру, если задача обеспечить защиту периметра корпоративной сети от угроз из интернета, то здесь решающее значение имеет всесторонняя проверка трафика, поэтому требуется МЭ с широким функционалом: IPS, SSL-инспекция, антивирус, контроль приложений, URL-фильтрация. Если требуется защитить сети ЦОД, то важным параметром будет производительность — межсетевой экран должен быстро обрабатывать десятки гигабит трафика. Если МЭ устанавливается в АСУ ТП, то плюсом будет наличие сигнатур IPS для специализированных протоколов, применяемых в технологических сетях.

Производительность файрвола рассчитывается исходя из количества пользователей либо устройств и пропускной способности каналов связи. При самостоятельном подборе оборудования нужно иметь в виду, что производители указывают в параметрах устройств пропускную способность при 100% загрузке оборудования, но ни одно устройство не сможет работать в таком режиме продолжительное время. Рекомендуемая утилизация устройств составляет ~50%, остальной запас — для корректной обработки пиков трафика.

Помимо функционала и производительности, можно обратить внимание и на другие параметры:

1. Масштабируемость — если планируется расширение сети в будущем, убедитесь, что выбранный межсетевой экран может быть легко масштабирован.
2. Удобство использования — оцените удобство и понятность интерфейса управления межсетевого экрана. Проверьте наличие документации и поддержки со стороны производителя.
3. Репутация производителя — можно провести небольшое исследование о производителе межсетевых экранов. Узнайте, как долго присутствует на рынке, как обстоят дело с их обслуживанием и обновлениями, какие отзывы от других пользователей продукта.

В целом, выбор межсетевых фильтров должен быть обусловлен требованиями и потребностями каждой конкретной организации, предприятия или целью безопасности. Это позволит достичь наиболее эффективной и оптимальной защиты сети.

FW или NGFW

Традиционные файрволы и Next Generation Firewalls (NGFW) — инструменты для защиты компьютерных сетей от несанкционированного доступа. Однако они имеют несколько ключевых различий.

Сергей Полунин

Руководитель группы защиты инфраструктурных IT компании «Газинформсервис»

Под традиционным фаерволом обычно понимают пакетный фильтр или устройство, фильтрующее трафик на транспортном уровне. Иногда такой фаервол может выполнять функции прокси-сервера.

А под NGFW понимают устройства, включающие в себя, куда более широкий функционал — защита от DDoS, реверс-прокси, IPS и многое другое.

Существуют различия в фильтрации трафика, идентификации пользователей, производительности, защите от угроз и управлении ими.

Александр Баринов

Директор портфеля продуктов сетевой безопасности ГК «Солар»

Функционал традиционных файерволов, как правило, ограничивается фильтрацией трафика только по IP-адресам и портам. Также они могут осуществлять фильтрацию трафика в NAT, маршрутизацию, SPI и как максимум работу с зашифрованным TLS трафиком.

Межсетевые экраны нового поколения (NGFW) предназначены для глубокой фильтрации трафика, включающие в себя все возможные механизмы защиты от IPS и DPI до SWG и SEG, которые играют ключевую роль в комплексной защите корпоративных IT-инфраструктур от сетевых угроз.

Для заказчиков NGFW это в первую очередь баланс надежности, производительности и функциональности. Мы понимаем важность этих параметров при выборе устройств данного класса перед их внедрением, поэтому первыми опубликовали методику тестирования NGFW в открытом доступе.

Ключевым трендом 2023 года стало движение крупных игроков отечественного рынка сетевой безопасности в сторону экосистем и в ближайшее время это уже становится устойчивым драйвером роста. Центральным продуктом таких экосистем является шлюз кибербезопасности NGFW дополненный продуктами класса IDM, PAM, EDR и DLP, что позволяет осуществлять комплексный контроль инфраструктуры — устройств на уровне сети и пользователей на уровне доступа. В дальнейшем экосистемный подход трансформируется в максимально бесшовную интеграционную модель, ядром которой останется NGFW, дополненный совокупностью объединенных модулей и компонентов.

В целом, NGFW предлагают более продвинутые и гибкие функции безопасности сети, чем традиционные файрволы. Однако NGFW могут требовать большего бюджета и внимания к аппаратному обеспечению и настройке. Выбор между ними зависит от конкретных потребностей и финансовых возможностей организации.

Тенденции развития межсетевых экранов

Разработка файрволов не стоит на месте. Например, отечественные производители все больше используют искусственный интеллект для определения и борьбы с новыми видами угроз. Это позволяет файрволам анализировать и предсказывать аномальную активность в сети, а также блокировать новые угрозы в режиме реального времени.

Дмитрий Хомутов

Директор компании Ideco

Среди новейших тенденций 2024 года выделяется увеличение использования искусственного интеллекта и машинного обучения. Нейросети способны анализировать трафик на 98% быстрее традиционных методов. Так, ИИ обнаруживает попытки взлома, подозрительные паттерны входа или другие аномалии, указывающие на киберугрозу. Также AI могут извлекать информацию из аудио-визуального контента, что предотвращает более 67% потенциальных серьезных инцидентов с кибератаками.

Однако с увеличением сложности систем межсетевых экранов, возникают новые вызовы в сфере информационной безопасности. Наиболее остро стоит проблема нехватки специалистов, способных качественно настраивать и обслуживать этот продукт и бороться с киберугрозами. Сейчас только 3,5% сотрудников российских IT-компаний соответствуют современным требованиям для работы с фаерволами.

Важно следить за этими тенденциями и активно развивать свои компетенции в области кибербезопасности, чтобы успешно противостоять новым уязвимостям и угрозам.

Тенденции развития диктует и сам рынок. Например, уход зарубежных производителей стал толчком для развития и улучшения отечественных продуктов.

Евгений Свиридов

Руководитель департамента проектирования и внедрения iTPROTECT

Еще 2 года назад развитие NGFW было направлено на добавление новых функций — WAF, BYOD, ZTNA и т. п. Но из-за ухода иностранных производителей, сейчас основные усилия на отечественном рынке направлены на следующие области:

1. Повышение стабильности — заставить уже реализованную функциональность работать без «поломок». То есть добиться в уже готовых решениях безотказности работы. Сюда же можно отнести и задачи по организации быстрой и качественной службы поддержки для продукта и ее связь с R&D-командой.
2. Повышение производительности — необходимо расширить уже готовые линейки продуктов высокопроизводительными продуктами и решениями для ЦОД.
3. Увеличение функциональных возможностей — добавление новых функций, таких как NAC-агент, SSL VPN-клиент, расширение вариантов интеграции в домен и методов аутентификации пользователей. 
4. Уход от проприетарных решений — изменение функциональности для возможности работы с решениями от других производителей, в т. ч. ушедших, переход на открытые протоколы. Самым ярким примером является желание производителей внедрить в свои решения возможность использования Site-to-Site VPN со сторонними шлюзами. 
   

Среди важных тенденций разработки межсетевых экранов также можно выделить:

• Облачные возможности — производители файрволов разрабатывают адаптированные решения для облачных сред, которые могут защищать данные и приложения в облаке от несанкционированного доступа и атак.
• Визуализация и аналитика — расширенные возможности, позволяющие администраторам сетей видеть и анализировать трафик в реальном времени. Это помогает выявить потенциальные уязвимости и проблемы, а также оптимизировать работу сети.
• Микросегментация — возможность разделять сетевой трафик на отдельные сегменты и управлять доступом пользователей и ресурсов внутри сети для повышения безопасности.
• Гибкость и автоматизация — новые файрволы стремятся к гибкости, чтобы легко адаптироваться к изменяющимся требованиям и условиям в сети. Автоматизация также играет важную роль, позволяя настраивать правила безопасности и действия в зависимости от определенных событий, что упрощает управление и снижает вероятность ошибок.

Эти нововведения помогают сделать файрволы более эффективными и гибкими, а также более способными защищать организации от современных угроз в сети.

Заключение

Межсетевой экран — неотъемлемая часть современной информационной безопасности. Благодаря своей функциональности и возможностям, файрволы становятся обязательным инструментом для защиты данных и обеспечения безопасности в компьютерных сетях. Ответственный выбор и грамотная настройка межсетевого экрана позволит быть на страже сети и надежно защищать ценные ресурсы от угроз со стороны интернета.