Межсетевой экран

Прозрачный файрвол (Trasparent Firewall)

Transparent Firewall также известен как Bump in the Wire. Прозрачный прокси также является сервером кэширования, но исключает конфигурацию на стороне клиента.
В прозрачном режиме работы файрвол располагается внутри подсети — на сетевом шлюзе. Благодаря этому у него есть возможность фильтровать трафик между хостами подсети. В данном случае клиент также не знает о существовании файрвола, который опосредует его запросы, поэтому на клиентских машинах не требуется прописывать настройки сервера.

Файрвол нового поколения (Next Generation Firewall)

С активным развитием рынка межсетевых экранов производители файрволов добавляют функциональные возможности для усиления защитных свойств и более комплексного обнаружения угроз. Файрволы нового поколения (NGFW) представляют собой интегрированные платформы сетевой безопасности, в которых традиционные межсетевые экраны дополнены системами предотвращения вторжений (IPS) и возможностями для совершенствования политик управления доступом, фильтрации, глубокого анализа трафика (DPI) и идентификации приложений. Такие программные комплексы позволяют обнаруживать и блокировать самые изощренные атаки.

Таким образом, межсетевые экраны нового поколения должны обеспечивать:

* непрерывный контроль приложений и защиту от атак и вторжений;

* функции, свойственные традиционным файрволам: анализ пакетов, фильтрация и перенаправление трафика, аутентификация подключений, блокирование протоколов или содержимого, шифрование данных и т.д.;

* всесторонний аудит и анализ трафика, включая приложения;

* возможность интеграции со сторонними приложениями и системами;

* регулярно обновляемую базу описаний приложений и потенциальных угроз.

По мере расширения сфер применения облачных вычислений и технологий виртуализации данных постепенно возрастает и спрос на файрволы нового поколения. Главным сдерживающим фактором развития рынка NGFW является высокая стоимость технологии. Внедрение и сопровождение требует довольно серьезных начальных вложений, что отпугивает малые предприятия и стартапы. Основными потребителями являются крупные дата-центры, сетевые провайдеры, сектор SMB и государственные учреждения.

DataArmor Database Firewall

DataArmor Database Firewall реализован на основе технологии Reverse Proxy и подменяет себя в качестве сервера, с которым работает клиент. В ближайшее время будет добавлен прозрачный режим работы. DataArmor Database Firewall классифицируется как DAF и осуществляет аудит запросов к БД, обеспечивая контроль сетевых и локальных обращений к базам данных.

Назад Далее

Киряем с «Керио»

На ринге второй участник Sunbelt Kerio Personal Firewall 4.5.916 (в простонародье Керио). Он отслеживает сетевую активность работающих программ, решая, разрешить или запретить тому или иному приложению доступ в Сеть. Для большей гибкости предусмотрена установка временных интервалов, когда будут действовать отдельные правила. При попытке соединения или сканировании портов компьютера выдает гневное сообщение. Довольно просто настраивается, особенно при установке одного из четырех уровней защиты – вообще думать не нужно. Сайт разработчика предлагает подробное онлайн-описание данного продукта. Без оплаты будет работать в полнофункциональном режиме 30 дней.

Процесс установки, как и в случае с предыдущей программой, несложен. При установке утилита предложит тебе выбрать папку для инсталляции, а также режим работы: простой или расширенный. Следуя нашим правилам, мы выбираем простой. После окончания установки программа также просит перезагрузку. Послушно выполняем этот каприз продукта, наблюдаем появление в трее иконки с щитом и индикаторами сетевого траффика и приступаем к терзаниям.

Первый тест пройден успешно. Вместо страницы, извещающей нас о том, что пробита защита и выведены данные о нашем сетевом адресе, мы наблюдаем знакомое до боли приглашение проследовать к администратору.
Неплохо для начала.

Второе испытание на прочность. А вот тут нас ждет небольшое разочарование. Защита пробита, и мы снова наблюдаем форточку с тревожным восклицательным знаком и сообщением, что сервер Microsoft получил от нас еще порцию мусора.

Решающий третий раунд – первый тест пройден успешно. Доступ в Интернет был заблокирован. Второй тест из набора – тут результат меня немного удивил. Несмотря на заверение разработчиков об эксклюзивности защиты, «Керио» не дал тесту запуститься в принципе! Третий тест также не сумел обмануть стойкого защитника. Он просто не смог найти пути к «Эксплореру», в чем ему, несомненно, «помог» файерволл!

При тестировании Sunbelt Kerio Personal Firewall 4.5.916 положительных эмоций лично я испытал намного больше, чем отрицательных. Несмотря на один непройденный тест и довольно-таки высокую стоимость лицензии, «Керио» может по праву считаться одним из лучших файерволлов на рынке.

Оценка за тест – 4+

Раздел Администрирование

Этим способом рекомендуют пользоваться в тех случаях, когда предыдущий метод не помог, а также при установке антивируса или брандмауэра от стороннего производителя софта. Этот метод позволяет полностью отключить функции файервола вашего устройства за счет управления свойствами служебных программ

При этом примечательно, что совершенно не важно, отключали ли вы до этого брандмауэр через панель управления, согласно предыдущей инструкции, или нет

За счет изменения системных настроек через вкладку «Администрирование» служба под названием «Брандмауэр Windows» в любом случае будет полностью отключена. Естественно, точно таким же образом можно произвести и включение этой, встроенной в операционную систему Windows-службы.

Для осуществления задуманного необходимо будет произвести следующие манипуляции:

  1. Перейдите в меню «Пуск», а затем оттуда в раздел «Панель управления».
  2. Выберите пункт «Система и безопасность», а после «Администрирование».
  3. Откроется отдельное, новое окно со списком различных разделов настроек системы. Необходимо будет выбрать раздел под названием «Службы».
  4. Откроется еще одно окно с довольно длинным списком служб, встроенных в Windows. Среди представленного списка нужно выбрать пункт «Брандмауэр Windows», а затем кликнуть по нему правой кнопкой мыши.
  5. Откроется меню действий. Выберите раздел «Остановить», и через несколько секунд работа фаервола будет остановлена.
  6. Однако имейте в виду, что в таком случае файервол заработает вновь, после того как вы перезагрузите ваш персональный компьютер или любое другое устройство, на котором выполняли данные действия. Для того, чтобы этого не произошло и файервол не запустился повторно после перезагрузки, нужно в списке служб еще раз кликнуть правой кнопкой мыши по пункту «Брандмауэр Windows» и выбрать в этот раз раздел «Свойства», а затем в появившемся окне указать параметр для типа запуска «Отключено».

TinyWall

Эта небольшая бесплатная утилита — результат трудов венгерского разработчика Кароя Падоша (Károly Pados). Файрвол интересен тем, что работает он из трея — несколько непривычно. Но при этом уже при проведении первого теста он рвется с места в карьер и не дает пробиться в сеть нашей тулзе.


Первый тест TinyWall

Самое забавное, что при включении обучающего режима файрвол пропускает весь трафик и, по идее, должен на основании диалогов или внутреннего механизма решать, что делать с запущенными процессами. В данном случае выбор оказался неверен.


Второй тест TinyWall

Однако при составлении белого списка TinyWall ожидаемо справился с поставленной задачей.


Третий тест TinyWall

Выводы: перед нами очень компактный и «облегченный» файрвол с небольшим количеством настроек. Однако этой самой настройки он все равно требует: в варианте из коробки программа мышей не ловит.

Автоматическое реагирование на инциденты за 8 секунд

Одной из наиболее востребованных функций у сетевых администраторов является возможность автоматического реагирования на инциденты безопасности в сети.

Sophos XG Firewall — это решение сетевой безопасности, способное полностью идентифицировать источник инфекции в Вашей сети и автоматически ограничить доступ к другим сетевым ресурсам в ответ. Это стало возможным благодаря уникальной технологии Sophos Security Heartbeat, который передает телеметрию и состояние между конечными точками и межсетевым экраном.

XG Firewall уникальным образом интегрирует сведения о работоспособности подключенных хостов в свои правила, позволяя автоматически ограничивать доступ к конфиденциальным сетевым ресурсам из любой скомпрометированной системы до тех пор, пока она не будет очищена. Время реакции сокращается с нескольких часов, до нескольких секунд.

Security Heartbeat

Sophos Security Heartbeat (статья на хабре про Synchronized Security) обменивается сведениями в режиме реального времени, используя безопасную https связь, между конечными точками и межсетевым экраном. Этот простой шаг синхронизации продуктов безопасности, которые ранее работали независимо, создает более эффективную защиту от вредоносных программ и целевых атак.

Security Heartbeat может не только мгновенно определять наличие продвинутых угроз, но также использоваться для передачи важной информации о природе угрозы, хост-системе и пользователе. И, возможно самое главное, Security Heartbeat также можно использовать для автоматического принятия мер по изоляции или ограничению доступа скомпрометированной системы, пока она не будет очищена

Это захватывающая технология, которая меняет способ работы решений в области информационной безопасности  и реагирования на сложные угрозы.
Security Heartbeat работает на рабочих местах или серверах. Heartbeat может находиться в одном из трех состояний:
    Green Heartbeat статус указывает, что рабочее место исправно и будет разрешен доступ ко всем соответствующим сетевым ресурсам.
    Yellow Heartbeat статус указывает на предупреждение о том, что система может иметь потенциально нежелательное приложение (PUA), не соответствует требованиям или имеет какую-либо другую проблему. Вы можете выбрать, к каким сетевым ресурсам разрешено обращаться системам с желтым статусом, пока проблема не будет решена.
    Red Heartbeat статус указывает на систему, которая подвержена риску заражения продвинутыми угрозами и может пытаться связаться с ботнетом или сервером C&C. Используя политики безопасности Heartbeat, можно легко изолировать системы с данным статусом, пока они не будут очищены, чтобы уменьшить риск потери данных или дальнейшего заражения.

Только Sophos может предоставить такое решение, как Security Heartbeat, потому что только Sophos является лидером в производстве ПО, как для конечных точек, так и для сетевых решений безопасности. Например, можно посмотреть тестирование NSS Labs Advanced Endpoint Protection, 2019:

  • Оценка № 1 по эффективности безопасности и 
  • Оценка № 1 по лучшему ценовому предложению

Фильтрация трафика

Ruleset — заданный набор правил, на основе которого фильтруется вся информация, проходящая через межсетевой экран. Эту технологию можно описать как последовательность фильтров, которые анализируют и обрабатывают трафик. Они всегда следуют пакету конфигураций, заданному конкретным пользователем. Без этого блокировка происходит с нарушениями.

Обратите внимание! Каждый фильтр создаётся с определённым назначением. На производительность может влиять и то, в какой последовательности собирается тот или иной пакет

Например, в большинстве случаев происходит сравнение трафика с шаблонами, которые уже известны системе. Наиболее популярные разновидности угроз в этом случае должны располагаться как можно выше.

Существует два основных принципа, по которому обрабатывается большая часть трафика. Узнать, какой используется, достаточно просто.

  • Первый, когда разрешаются любые пакеты данных. Исключение — те, на которые изначально накладывают запрет. Если информация при первом рассмотрении не попадает ни под одно из ограничений, значит осуществляется дальнейшая передача. Например, входящий трафик на Hamachi может быть заблокирован по разным причинам.
  • Второй принцип предполагает, что разрешается всё, что не попадает под запрет.

Обратите внимание! Благодаря этому методу степень защищённости будет самой высокой, но у администратора возрастает нагрузка. В таком случае обязательно требование повысить производительность оборудования

Всего у межсетевого экрана две основные функции:

  • Deny — запрет на данные;
  • Allow — разрешение на то, чтобы пакеты передавались дальше. Позволять допуск можно разным сведениям.

Важно! Reject — запрет на трафик после сообщения отправителю о недоступности сервиса — дополнительная функция, поддерживаемая лишь в некоторых случаях. Это тоже способствует повышению защиты для хоста

Фильтрация трафика

Фильтрация трафика осуществляется на основе набора предварительно сконфигурированных правил, которые называются ruleset. Удобно представлять межсетевой экран как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельного правила. Последовательность правил в наборе существенно влияет на производительность межсетевого экрана. Например, многие межсетевые экраны последовательно сравнивают трафик с правилами до тех пор, пока не будет найдено соответствие. Для таких межсетевых экранов, правила, которые соответствуют наибольшему количеству трафика, следует располагать как можно выше в списке, увеличивая тем самым производительность.

Существует два принципа обработки поступающего трафика. Первый принцип гласит: «Что явно не запрещено, то разрешено». В данном случае, если межсетевой экран получил пакет, не попадающий ни под одно правило, то он передаётся далее. Противоположный принцип — «Что явно не разрешено, то запрещено» — гарантирует гораздо большую защищённость, так как он запрещает весь трафик, который явно не разрешён правилами. Однако этот принцип оборачивается дополнительной нагрузкой на администратора.

В конечном счёте межсетевые экраны выполняют над поступающим трафиком одну из двух операций: пропустить пакет далее (allow) или отбросить пакет (deny). Некоторые межсетевые экраны имеют ещё одну операцию — reject, при которой пакет отбрасывается, но отправителю сообщается о недоступности сервиса, доступ к которому он пытался получить. В противовес этому, при операции deny отправитель не информируется о недоступности сервиса, что является более безопасным.

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

  • обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
  • происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
  • отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

  • традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
  • персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

  • сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
  • сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
  • уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

  • stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
  • stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

2 TinyWall

TinyWall – это легкий бесплатный брандмауэр для настольных компьютеров, работающий со встроенным брандмауэром Windows.

Установочный пакет весит около 1 МБ.

Особенности

  • После установки он продолжает работать в фоновом режиме. Если вы ищете решение «поставь и забудь», попробуйте TinyWall
  • Он переводит все системные порты в невидимый режим, делая их невидимыми для внешних атак
  • Вы не можете завершить его основной процесс с помощью диспетчера задач. Вы можете убить пользовательский интерфейс, но основные функции брандмауэра продолжают оставаться активными
  • В нем нет явных уведомлений или всплывающих окон, чтобы показать, что он заблокировал программу. В любом случае, всплывающие окна могут иногда сбивать с толку, и пользователь может в конечном итоге дать ненужные разрешения для определенных приложений. Поскольку TinyWall практически блокирует все, пользователям необходимо дать разрешение на приложение или программное обеспечение, которому они доверяют.

Руководство по быстрому выбору программ — файрволы и межсетевые экраны с системами обнаружения и предотвращения вторжений (скачать)

PrivateFirewall

  Эффективная проактивная защита. Очень легкий в плане ресурсов. Простая установка (нет рекламы и прочего). Удобен для ноутбуков, так как поддерживает 3 легко переключаемых профиля. Уникальная функция «отключить отправку писем». Уникальная система обнаружения вторжений, которая по умолчанию тренируется более 7 дней. Быстро реагирует.
  Нет автоматического режима (зато есть есть режим обучения). Иконка в трее мигает в случае занесения записей в лог, а не в случае сетевой активности. Сложный интерфейс для обычных пользователей. Программа перешла из коммерческого продукта в бесплатный и возможно больше не будет развиваться, хотя для файерволов это не всегда показатель.

Comodo Firewall

  Его модуль Defense+ для обнаружения вторжений соответствует или даже превышает уровень безопасности коммерческих продуктов. Комодо включает в себя защиту от переполнения буфера и песочницу для приложений. Быстрое переключение между режимами безопасности и конфигурациями. При установки может автоматически настроить ваш компьютер на использование Comodo SecureDNS. 
  Непроста в освоении. Нет встроенной справки. Возможны проблемы при удалении программы — иногда оставляет файлы и прочее.

Outpost Firewall Free

  Проактивная защита. Гибкая настройка безопасности. Компактный, удобный и функциональный вид оповещений. Настройка отдельного уровня защиты для полноэкранного режима.
  Бесплатной версии не хватает некоторых функций, таких как возможность прервать открытое соединение. 

AVS Firewall

  Имеет дополнительные функции, которых нет в стандартных брандмауэрах (модуль защиты реестра, блокировщик всплывающих окон, родительский контроль). Простой и удобный интерфейс. Легко настроить
  Родительский контроль позволяет только добавлять доступные сайты; Вы не можете указать конкретные сайты для блокировки. Установщик автоматически устанавливает AVS Software браузер, который абсолютно не нужен, но который можно удалить. Брандмауэр менее гибкий в настройке по сравнению с аналогами.

Рубрики:

  • анализ
  • безопасность
  • интернет
  • мониторинг
  • сеть

Интернет конфиденциальность — что это на самом деле?

Что такое брандмауэр и firewall

Вот что нам говорит Википедия:Термин брандмауэр (нем. Brandmauer, от Brand — пожар и Mauer — стена) — глухая противопожарная стена здания или его английский эквивалент файрвол (англ. firewall; fire — огонь, wall – стена) используется также в значении «межсетевой экран».
Брандмауэр или firewall – это программный комплекс, предназначенный для защиты компьютера от сетевых атак.
Следует отметить, что благодаря брандмауэрам увеличивается безопасность работы в сети, а также отражается большинство атак на компьютер путем фильтрации некоторых информационных пакетов. Поэтому настоятельно рекомендую Вам не отключать брандмауэр.
Если вас не устраивает стандартный брандмауэр всегда можно поменять его на сторонний, но полностью отключать его и работать без брандмауэра весьма опасно. Кстати, о сторонних брандмауэрах – наилучшим решением в организации комплексной безопасности будет являться использование комплексных программных средств, сочетающих в себе антивирусное ПО, антиспам фильтр и межсетевой экран. Только в этом случае вы сможете получить действительно комплексную и всестороннюю защиту.
В то же время firewall отслеживает все потенциально опасные подключения и блокирует их, тем самым надежно защищая личные данные пользователя. Однако не стоит путать сетевой экран (это еще одно название брандмауэра) с антивирусом.
Антивирусные приложения предназначены для борьбы с угрозами, которые уже расположены на ПК или на съемных носителях. В то же время антивирусы бессильны против сетевых атак. Брандмауэры же не следят за тем, что происходит на самом компьютере (если, конечно, это что-то не передает информацию в сеть). Их основной задачей является отслеживание именно сетевого трафика. Только совместное их использование может гарантировать полную безопасность ПК.

Где находится брандмауэр?

Пуск –Панель управления– Система и безопасность – Брандмауэр Windows

Итак, рассмотрим основные настройки брандмауэра, с помощью которых обеспечивается нормальное функционирование как компьютера так и программ обеспечивающие передачи данных по сети.
Во – первых, следует отметить, что бывают такие ситуации, что брандмауэр блокирует обмен данных в интернете.

В этом случае необходимом будет указать брандмауэру программы, которые могут осуществлять обмен информации, то есть разрешить обмен данными.
Для этого необходимо будет открыть окно путем нажатие ссылки «Разрешить запуск программы или компонента через брандмауэр Windows» и напротив каждой программы установить соответствующие флажки.

Включение или отключение брандмауэра осуществляется нажатием на ссылку «Включение и отключение брандмауэр Windows»

«Дополнительные параметры»

В открывшемся окне можно настроить следующие параметры:

  1. Настройка профиля домена
  2. Просмотр и настройка правил подключения.
  3. Создать определенное правило для безопасного подключения.

Однако не стоит думать, что фаервол — панацея для защиты компьютера. Ведь он лишь следит за тем, какие программы появились на компьютере, но не знает, как ведут себя вирусы. А значит, обманутый пользователь может разрешить вирусу доступ к компьютеру, думая, что это программа или какая-нибудь игра.
Будьте аккуратны и, для защиты своего ПК, пользуйтесь комплектом брандмауэр + антивирус. Так Вы сможете не только максимально защитить своего «друга», но и сэкономите себе нервы, а иногда (При встрече с особо опасными вирусами), и содержимое своего кошелька.

На этом все. Спасибо, что прочитали статью. Надеюсь, она была Вам полезна.

Руководство по быстрому выбору программ — базовые брандмауэры и файрволы (скачать)

Windows 10 Firewall Control

  Простой и эффективный; использует встроенный в Windows брандмауэр, так что никаких драйверов и прочего не потребуется. Мало весит. Три режима для быстрой настройки «Обычный», «Включить все» и «Отключить все». Отлично подходит для дополнения стандартного брандмауэра Windows
  Может немного раздражать вначале использования, так как для всех программ придется задавать доступ; нет режима обучения. Диалоговое окно, с сообщением о выборе разрешить/запретить включает много информации, часть из которой может быть непонятной начинающим пользователям. 

TinyWall

  Легкий базовый брандмауэр; простой, но эффективный. Ненавязчивая программа без каких-либо всплывающих окон. Может распознать связанные процессы из белого списка программ. Этот файрвол может быть хорошим выбором для тех, кто слабо знаком с компьютерами, так как он не требует особых знаний.
  Нет пользовательских диалогов, все настраивается во всплывающих меню (не обязательно, что это плохо для всех пользователей, дело привычки). Нельзя выбрать, куда устанавливать программу. Требуется Framework .NET

ZoneAlarm Free Firewall

  Хороший файрвол для фильтрации исходящих/входящих соединений. Стелс-режим. Удобно использовать и настраивать. Анти-фишинг защита. 
  Нет мониторинга соединений между программами. Недостает систем обнаружения вторжений и эвристики. Ограниченная бесплатная версия (например, нельзя выставить высокий уровень защиты). Последнее время есть тенденция к «облегчению» функциональности от версии к версии.

Описание и назначение

Межсетевой экран или корпоративный фаервол (Enterprise Network Firewall) — это элемент корпоративной сетевой инфраструктуры, выполняющий блокировку поступающего на него трафика, пропуская только разрешенные данные.

Первые аппаратные фаерволы появились в конце 1980 года, когда возникла необходимость в запрете прохождения информации по определенным портам, чтобы защитить информационные системы от внешних угроз. Межсетевые экраны без аппаратной составляющей появились позднее.

Сетевой экран предотвращает несанкционированный доступ, который осуществляется с использованием уязвимостей в программном обеспечении или сетевых протоколах. Он выполняет пропуск или запрет трафика исходя из его сравнения с настроенными правилами. Так как современные атаки могут быть выполнены и с внутренних узлов сети, популярным местом для установки фаервола становится не только граница периметра, как было ранее, но и между сегментами корпоративной сети.

В зависимости от того, на каком уровне сетевой модели OSI работает межсетевой экран, можно выделить следующую классификацию:

  • Управляемые коммутаторы. Они могут быть причислены к сетевым экранам за счет осуществления фильтрации трафика. Но в то же время из-за ограничений работы на канальном уровне коммутаторы не могут обрабатывать внешний трафик.
  • Пакетные фильтры. Этот тип межсетевых экранов работает на сетевом уровне OSI и способен контролировать трафик на основе информации из заголовков пакетов.
  • Шлюзы сеансового уровня. Ограничивает прямое общение внешнего хоста с узлом, находящимся внутри локальной сети, являясь посредником.
  • Посредники прикладного уровня. Фаерволы, реализующие данную технологию, способны заблокировать последовательности команд или запретить использование некоторых команд.
  • Инспекторы состояния. Этот тип способен контролировать как пакет, так и сессию или приложение.

При выборе межсетевого экрана нужно помнить, что на данный момент они существуют в двух видах реализации — программный и программно-аппаратный комплексы, которые также делятся на два варианта в виде отдельного модуля или специализированного устройства. Как правило, программные решения требуют оборудования с большими системными ресурсами. В то время как специализированные программно-аппаратные решения имеют достоинства в виде простоты внедрения и управления, а также хорошей отказоустойчивости.

На сегодняшний день межсетевые экраны проходят следующий этап своего развития, и на рынке информационной безопасности появились фаерволы нового поколения (NGFW). Они включают в себя функции традиционных межсетевых экранов,  системы предотвращения вторжений и DPI. Такие решения позволяют выполнять не только фильтрацию пакетов на уровне портов и протоколов, а также на основе возможностей приложений.

Согласно определению ведущих аналитических агентств, фаерволы нового поколения должны гарантировать компаниям:

  • Традиционные возможности межсетевых экранов
  • Защиту от непрерывных атак
  • Сигнатуры приложений за счет системы предотвращения вторжений
  • Регулярно обновляемую базу сигнатур с возможными угрозами и различными приложениями (NGIPS)
  • Инспектирование трафика, в том числе SSL

Хронология событий

2020: 53% ИБ-экспертов считают межсетевые экраны бесполезными

29 октября 2020 года стало известно, что специалисты по информационной безопасности (ИБ) стали отказываться от использования межсетевых экранов. Большинство мотивируют это тем, что в современном мире они больше не могут обеспечить требуемый уровень защиты, сообщили CNews 29 октября 2020 года.

Потерю ИБ-специалистами доверия к брандмауэрам подтвердило исследование компании Ponemon Institute, с 2002 г. работающей в сфере информационной безопасности, проведенное совместно с компанией Guardicore из той же отрасли. Ее сотрудники опросили 603 ИБ-специалиста в американских компаниях и выяснили, что подавляющее большинство респондентов негативно отзываются о межсетевых экранах, в настоящее время используемых в их компаниях. 53% из них активно ищут другие варианты защиты сетей и устройств в них, попутно частично или полностью отказываясь от фаерволлов из-за их неэффективности, высокой стоимости и высокой сложности.

Согласно результатам опроса, 60% его участников считают, что устаревших межсетевых экранов нет необходимых возможностей для предотвращения атак на критически важные бизнес-приложения. Столько же респондентов посчитали, что устаревшие межсетевые экраны демонстрируют свою неэффективность для создания сетей с нулевым доверием (zero trust).

76% специалистов, участвовавших в опросе Ponemon Institure, пожаловались на то, что при использовании устаревших фаерволлов им требуется слишком много времени для защиты новых приложений или изменения конфигурации в существующих программах.

62% опрошенных специалистов считают, что политики контроля доступа в межсетевых экранах недостаточно детализированы, что ограничивает их способность защищать наиболее ценную информацию. 48% респондентов подчеркнули также, что внедрение межсетевых экранов занимает слишком много времени, что увеличивает их итоговую стоимость и время окупаемости.

Согласно отчету, в то время как 49% респондентов в какой-то степени внедрили модель безопасности Zero Trust, 63% считают, что устаревшие межсетевые экраны их организаций не могут обеспечить нулевое доверие в корпоративной сети. 61% респондентов отметили, что межсетевые экраны их организаций не могут предотвратить взлом дата-серверов компании, в то время как 64% считают, что устаревшие межсетевые экраны неэффективны против многих современных видов атак, включая атаки при помощи программ-вымогателей.
Большинство опрошенных специалистов заявили, что фаерволлы бесполезны, когда вопрос касается и облачной безопасности. 61% уверены в их неэффективности при защите данных в облаке, а 63% считают, что нет смысла пытаться использовать их для обеспечения безопасности критически важных облачных приложений.

Результаты опроса показывают, что пользователей брандмауэров беспокоят номер один: смогут ли они на самом деле заставить технологии защиты нового поколения работать в своих средах. Устаревшие межсетевые экраны не обладают масштабируемостью, гибкостью или надежностью для обеспечения безопасности,
– сказал Ларри Понемон (Larry Ponemon), основатель Ponemon Institute
Итоги исследования отражают то, что уже известно многим ИТ-директорам ИБ-специалистам – цифровая трансформация сделала межсетевые экраны устаревшими. По мере того, как организации внедряют облако, интернет вещей и DevOps, чтобы стать более гибкими, устаревшие решения сетевой безопасности не только неэффективны для предотвращения атак на их сети – они даже препятствуют желаемой гибкости и скорости работы, которых компании надеются достичь,
– отметил Павел Гурвич (Pavel Gurvich), соучредитель и генеральный директор Guardicore
Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий