Meniu
AcasăYandex

Dispozitivele UTM păzesc rețeaua de calculatoare. Sisteme de securitate de rețea de clasă UTM. Soluții de clasă UTM

Nu cu mult timp în urmă, Rainbow Technologies, distribuitorul WatchGuard Technologies din Rusia și țările CSI, a anunțat apariția pe piața internă a unei noi serii de dispozitive UTM Firebox X e-Series. Organizațiile se confruntă acum cu grupuri de amenințări complexe și în continuă schimbare, remodelând însăși definiția unei rețele securizate. Cea mai recentă generație de dispozitive UTM (Unified Threat Management) de la WatchGuard oferă o soluție simplă la această problemă, combinând caracteristicile esențiale de securitate într-un singur dispozitiv, accesibil și foarte inteligent.

Ce este UTM?

UTM este o nouă direcție pe piața securității informațiilor. Dispozitivele UTM combină un firewall, un gateway VPN și multe caracteristici suplimentare, cum ar fi filtrarea URL-urilor, blocarea spam-ului, protecția împotriva programelor spion, prevenirea intruziunilor, software antivirus și un sistem centralizat de management și control. Adică acele funcții care în mod tradițional sunt implementate separat. Dar pentru a fi un UTM cu drepturi depline, dispozitivul trebuie să fie activ, integrat și cu mai multe straturi. Aceste. ar trebui să fie un sistem cuprinzător, și nu un set de soluții diferite colectate într-un singur caz, cu funcții de management și monitorizare centralizate.

Firma de analist de renume mondial IDC consideră că direcția UTM este segmentul cu cea mai rapidă creștere și dezvoltare puternică a pieței dispozitivelor de securitate pentru Europa de Vest. Pe piața noastră, dintre soluțiile WatchGuard prezentate de Rainbow Technologies, cele mai populare dispozitive UTM sunt Firebox X Core e-Series. Sunt concepute pentru rețele de diferite dimensiuni și sunt foarte populare în rândul întreprinderilor mijlocii și mici pentru rentabilitatea lor, ușurința de configurare și nivelul ridicat de protecție.

Firebox X Edge e-Series este soluția ideală pentru rețelele mici și birourile la distanță. Edge poate fi folosit ca dispozitiv autonom pentru a oferi securitatea rețelei, precum și o soluție pentru terminarea unui tunel VPN. Firebox X Edge e-Series include firewall, VPN, filtrare URL și management avansat al rețelei și al traficului pentru capacități sporite de configurare a rețelei. Acest dispozitiv are o interfață intuitivă, care simplifică foarte mult procesele de implementare și administrare. Managementul centralizat cu WSM (WatchGuard System Manager) simplifică administrarea mediilor de rețea constând din mai multe dispozitive Firebox. Acestea sunt dispozitive upgradabile și extensibile care oferă un flux de firewall de 100 de megabiți și un debit VPN (Virtual Private Network) de 35 de megabiți.

Firebox X Peak e-Series vine cu opt porturi Gigabit Ethernet și este utilizat în principal în rețele complexe și extinse. Există și modele care acceptă interfețe cu fibră optică. Firebox X Peak e-Series este linia de dispozitive UTM cu cele mai înalte performanțe. Aceste soluții WatchGuard oferă o adevărată protecție Zero Day și un flux de firewall de până la 2 gigabiți pe secundă. Combinând tehnologii avansate de securitate cu capabilități avansate de gestionare a rețelei, Firebox X Peak e-Series este soluția ideală pentru a răspunde nevoilor celor mai exigente politici de securitate.

Dintre soluțiile WatchGuard prezentate pe piața internă de distribuitorul oficial, Rainbow Technologies, cea mai populară este linia Firebox X Core e-Series. Aceste dispozitive UTM sunt concepute pentru rețele de diferite dimensiuni și sunt la mare căutare în rândul întreprinderilor mici și mijlocii pentru rentabilitatea lor, ușurința de configurare și nivelul ridicat de securitate. Să luăm în considerare în detaliu capacitățile și caracteristicile funcționale ale acestora.

Firebox X Core e-Series oferă cea mai cuprinzătoare securitate din clasa sa, combinând mai multe funcții de securitate: firewall, VPN, protecție Zero Day, sistem de prevenire a atacurilor, antivirus gateway, sistem anti-spyware, anti-spam și filtrare URL. Această abordare vă permite să oferiți protecție fiabilă împotriva atacurilor de rețea mixte, precum și să economisiți resurse financiare și de muncă, care sunt de obicei cheltuite pentru gestionarea și configurarea unei game întregi de soluții separate.

Protecție pe mai multe niveluri

Firebox X Core e-Series se bazează pe o arhitectură ILS (Intelligent Layer Security) multistrat. Datorită acesteia, nivelurile de securitate protejează împreună, iar traficul verificat la alte niveluri după un anumit criteriu nu este verificat din nou după același criteriu. Prin urmare, viteza de transfer al datelor nu este redusă, iar aplicațiile sensibile la aceasta rămân disponibile pentru funcționare.

Arhitectura WatchGuard ILS constă din șase straturi de securitate care funcționează strâns împreună pentru a detecta, bloca și raporta în mod dinamic traficul rău intenționat, permițând în același timp traficului normal să treacă cât mai eficient posibil.

Pentru raționament suplimentar, să presupunem că un nivel este un construct logic care definește o graniță abstractă între componentele infrastructurii de securitate a rețelei. Astfel, vom considera fiecare tip de tehnologie de securitate ca un strat separat.

Arhitectură ILS stratificată

Motorul ILS este creierul acestei arhitecturi. Conceput pentru a permite fiecărui strat să beneficieze de informațiile din alte straturi, să le îmbunătățească capacitățile și să le permită să partajeze informații despre traficul care trece între ele, oferă securitate, fiabilitate și performanță maximă. Să aruncăm o privire la ce este fiecare strat:

Servicii de securitate externă. Furnizați tehnologii pentru extinderea protecției dincolo de firewall și informații care permit o experiență mai eficientă pentru utilizatorul final/administrator.

Integritatea datelor. Verifică integritatea pachetelor de date transmise și conformitatea pachetului cu protocolul

Rețea privată virtuală (VPN). Oferă securitate și confidențialitate pentru conexiunile externe

Firewall cu analizare dinamică. Restricționează traficul numai la acele surse, destinații și porturi care sunt permise de politica de securitate.

Analiză profundă a aplicației. Asigură conformitatea cu standardele de protocol de nivel de aplicație ale modelului ISO prin blocarea fișierelor suspecte după model sau tip de fișier, blocarea comenzilor periculoase și modificarea datelor pentru a evita scurgerea informațiilor critice ale sistemului.

Securitatea conținutului. Analizează și limitează traficul în funcție de conținut, include numeroase servicii precum antivirus, sistem de prevenire a intruziunilor, spyware și protecție antispam, filtrare URL.

Deși modelul descris are șase niveluri, iar motorul este considerat al șaptelea nivel de securitate, fiecare dintre ele include multe funcționalități și capabilități. Toate sunt ușor de extins pentru a include noi modalități de a contracara amenințările necunoscute.

Protecție Zero Day

Spre deosebire de soluțiile care se bazează exclusiv pe scanarea bazată pe semnături, Firebox X Core dispune de tehnologie care vă permite să oferiți protecție fiabilă împotriva diferitelor tipuri de atacuri și a diferitelor variații ale acestora, fără a fi nevoie de semnături. În timp ce alte rețele rămân deschise la atac în timpul ferestrei de vulnerabilitate (timpul necesar pentru eliberarea semnăturilor), rețeaua care utilizează Firebox rămâne protejată.

Sistem de control centralizat

WSM (WatchGuard System Manager) este o interfață grafică intuitivă utilizată pentru a gestiona capabilitățile soluțiilor UTM din liniile Firebox X Core, Peak și Edge. WSM oferă înregistrare completă, crearea VPN prin drag-and-drop și monitorizare a sistemului în timp real. Deoarece o singură interfață funcționează pentru a gestiona toate funcțiile sistemului de securitate, există o economie semnificativă de timp și resurse financiare.

Îndrumarea și sprijinul experților

WatchGuard LiveSecurity Service este cel mai cuprinzător serviciu de asistență și asistență oferit astăzi pe piață. Abonaților li se oferă în mod regulat actualizări de software, asistență tehnică, recomandări experților, măsuri de prevenire a posibilelor daune din cauza noilor metode de atac etc. Firebox X Core e-Series este furnizat cu un abonament gratuit de 90 de zile la serviciul LiveSecurity, care constă din mai multe module. Acestea, la rândul lor, includ suport tehnic în timp real, asistență și actualizări software, manuale de instruire și instrucțiuni, precum și mesaje speciale LiveSecurity Broadcasts - notificare rapidă a amenințărilor și metode de combatere a acestora.

Servicii suplimentare de securitate

Fiecare serviciu de securitate de pe Firebox X Core e-Series funcționează împreună cu protecția Zero Day încorporată pentru a crea combinația optimă a tuturor capabilităților de care aveți nevoie pentru a vă proteja eficient resursele rețelei. Aceste funcții sunt complet integrate în dispozitivul UTM, deci nu este nevoie de hardware suplimentar.

Abonamentele la toate serviciile necesare sunt emise pe dispozitiv, și nu pe utilizator, ceea ce evită costuri financiare suplimentare. Pentru a oferi o protecție continuă, toate serviciile sunt actualizate în mod constant și pot fi gestionate central folosind sistemul WSM.

Să aruncăm o privire mai atentă asupra caracteristicilor funcționale ale fiecărui serviciu suplimentar:

SpamBlocker blochează până la 97% din e-mailurile nedorite în timp real.

Serviciul de protecție spamBlocker de la WatchGuard utilizează tehnologia Commtouch® Recurrent Pattern Detection™ (RPD) pentru a proteja împotriva fluxurilor de spam în timp real, cu o precizie de 99,95%, fără semnături sau filtre.

În loc să lucreze cu cuvinte cheie și conținut de e-mail, această tehnologie analizează volume mari de trafic pe Internet pentru a calcula componenta repetată pentru fiecare flux așa cum apare. Până la 500 de milioane de mesaje sunt procesate pe zi, după care algoritmi speciali calculează, identifică și clasifică fluxurile noi în 1-2 minute.

Aceiași algoritmi separă spam-ul și mesajele normale. SpamBlocker folosește această tehnologie pentru a oferi protecție în timp real împotriva atacurilor de spam, comparând în mod constant mesajele suspectate de spam cu cele stocate în centrul de detectare Commtouch (care stochează aproximativ 20.000.000 de mostre). Această tehnologie are următoarele avantaje:

  • Răspuns extrem de rapid la noile fluxuri;
  • Probabilitate aproape zero a unei erori de tip I, care caracterizează acest serviciu ca fiind cel mai bun din industrie în ceea ce privește separarea mesajelor normale de atacurile spam;
  • Procent mare de detectare a spamului - până la 97% din e-mailurile nedorite sunt blocate;
  • Independența limbajului mesajului. Prin exploatarea în timp real a caracteristicilor cheie ale traficului de e-mail, spam-ul este blocat efectiv indiferent de limba, conținutul sau formatul mesajelor.

Bazat pe proprietățile majorității mesajelor, mai degrabă decât pe conținut, limbă sau format specific, SpamBlocker oferă protecție în timp real împotriva spamului, inclusiv a atacurilor de tip phishing și menține un randament ridicat pentru alt trafic de rețea.

Gateway Antivirus/Serviciul de prevenire a intruziunilor cu Anti-Spyware

Un sistem bazat pe protecția permanentă a semnăturii pe gateway, care funcționează împotriva virușilor, troienilor, programelor spyware, exploatărilor de rețea, scanerelor Web, blocând aplicațiile IM și P2P și alte amenințări mixte.

Serviciul de prevenire a intruziunilor WatchGuard oferă protecție încorporată împotriva atacurilor care, deși sunt conforme cu standardele de protocol, pot transporta conținut nedorit. Bazat pe semnătură, este proiectat pentru a proteja împotriva unei game largi de atacuri, inclusiv scripturi între site-uri, depășiri de buffer sau injecții SQL.

Cele două probleme principale asociate cu utilizarea sistemelor de prevenire a intruziunilor sunt viteza și probabilitatea unei erori de tip I. Integrarea strânsă a serviciului IPS WatchGuard cu alte straturi ILS le elimină practic.

Deoarece alte straturi ILS blochează 70-80% din atacuri (analiza profundă a aplicației este deosebit de eficientă), nu sunt necesare semnături pentru a le bloca. Acest lucru reduce numărul total de semnături și crește viteza de procesare a datelor, reducând în același timp probabilitatea unei erori de tip I, care este proporțională cu cantitatea de date care sunt verificate și cu numărul de semnături utilizate. Sistemul de prevenire a intruziunilor WatchGuard folosește doar aproximativ 1.000 de semnături pentru a obține o protecție comparabilă sau chiar mai bună decât alte sisteme care pot avea până la 6.000 de semnături.

Spyware-ul se răspândește în multe alte moduri în afară de P2P, inclusiv fișiere încorporate, cookie-uri și programe descărcabile. Spyware-ul poate urmări tot ceea ce tastați pe tastatură, răsfoiește fișiere pentru parole și informații de identificare și umple ecranul cu reclame. De asemenea, încetinește sistemele și consumă traficul de rețea. Serviciul de prevenire a intruziunilor WatchGuard include atât tehnici de scanare bazate pe semnături, cât și tehnici unice de scanare pentru a bloca programele spyware în diferite momente ale ciclului său de viață, inclusiv instalare, raportarea comunicațiilor cu gazda părinte și activitatea aplicației post-instalare. Toate acestea se realizează printr-un set de proceduri interconectate:

  • Blocarea site-urilor. Motorul Serviciului de prevenire a intruziunilor blochează accesul la depozitele de spyware cunoscute sau la serverele de fișiere de pe care spyware-ul este distribuit în timpul sesiunilor HTTP.
  • Verificarea conținutului pe bază de semnătură. Motorul de prevenire a intruziunilor va scana continuu traficul folosind o bază de date de semnături actualizată constant pentru a identifica și bloca programele spion descărcabile, inclusiv software-ul de bootstrap deghizat.
  • Oprire în timpul configurării. Pentru a configura cu succes spyware, are nevoie de o aplicație specială care trebuie contactată pentru a transmite datele de instalare și a solicita datele de configurare inițială de la gazda părinte. Sistemul de prevenire a intruziunilor detectează și blochează această conexiune.
  • Opriți-vă în timp ce lucrați. Odată ce mașina infectată începe să ruleze în rețeaua internă, programul spyware va încerca să folosească conexiunea la rețea pentru a crea un canal de comunicare pentru acțiuni suplimentare. Un sistem de prevenire a intruziunilor va detecta și bloca aceste procese, care pot include furtul de informații, instalarea de programe spion suplimentare și publicitate.

Motorul de prevenire a intruziunilor WatchGuard este strâns cuplat cu alte funcții de firewall și produce rapoarte care sunt complet integrate în sistemul de raportare. Acest lucru permite administratorului de sistem să identifice cu ușurință un element de rețea infectat cu spyware și să îl elimine.

WebBlocker crește productivitatea și reduce riscul prin blocarea accesului la surse online nesigure și gestionează accesul angajaților la Internet.

WebBlocker folosește o bază de date de site-uri și software de la liderul mondial în filtrarea Web - SurfControl. Pentru a clasifica mai precis și a acoperi în mod cuprinzător întregul spectru de pagini Web, WebBlocker folosește numeroase categorii pentru a ajuta la blocarea conținutului pe care nu doriți să îl scurgeți în rețeaua dvs. Sunt blocate

site-uri cunoscute care conțin programe spion sau conținut nedorit, care vă ajută să vă protejați resursele online; site-urile de divertisment sunt blocate, ceea ce crește productivitatea angajaților.

Cu liste de excludere personalizabile, autentificarea utilizatorilor și capacitatea de a seta politici diferite pentru diferite momente ale zilei, WebBlocker vă îmbunătățește considerabil politica de securitate.

Opțiuni de upgrade

Când te uiți la investiția monetară totală necesară pentru a implementa, gestiona și moderniza o suită de soluții de securitate concepute pentru a satisface cerințele largi ale rețelelor de astăzi, devine clar că utilizarea Firebox X Core e-Series are mai mult sens financiar.

Cu cerințele tot mai mari, puteți extinde cu ușurință capacitățile dispozitivului UTM. De exemplu, pentru a crește viteza și debitul, dispozitivul este actualizat prin achiziționarea unei licențe speciale. Există și posibilitatea trecerii platformei hardware la un sistem de operare mai funcțional.

sistem de operare

Toate modelele Firebox X Core e-Series vin cu sistemul de operare Fireware. Pentru medii de rețea complexe, poate fi necesar să faceți upgrade la un sistem Fireware Pro mai avansat, care oferă următoarele caracteristici suplimentare:

  • managementul traficului;
  • Oferă încredere că lățimea de bandă necesară va fi alocată pentru aplicațiile critice;
  • Sistem de siguranță (mod activ/pasiv);
  • Abilitatea de a construi un cluster de failover;
  • Rutare dinamică (protocoale BGP, OSPF, RIP);
  • Flexibilitate maximă a rețelei și eficiență operațională datorită tabelelor de rutare actualizate dinamic.

Pentru a reinstala sistemul de operare pe un dispozitiv Firebox UTM, trebuie doar să achiziționați o licență specială.

Combinarea și transformarea instrumentelor tradiționale de securitate în dispozitive UTM integrate permite întreprinderilor să treacă la un nou nivel mai ridicat de protecție pentru rețelele lor locale. Abordarea WatchGuard, bazată pe tehnologie specială implementată în arhitectura ILS, care permite integrarea mai multor straturi de protecție împreună cu funcții suplimentare, este, fără îndoială, o protecție eficientă pentru oricare: atât infrastructura de rețea deja formată, cât și în curs de dezvoltare. Utilizarea dispozitivelor UTM cu drepturi depline, precum WatchGuard Firebox, devine deosebit de relevantă în zilele noastre, când apar cu o frecvență din ce în ce mai multe tipuri de amenințări din ce în ce mai sofisticate.

Internetul modern este plin de multe amenințări, așa că administratorii își petrec cea mai mare parte din timp pentru a asigura securitatea rețelei. Apariția dispozitivelor de securitate UTM multifuncționale a atras imediat atenția specialiștilor în securitate deoarece... ele combină mai multe module de securitate cu ușurința de implementare și gestionare. Astăzi puteți găsi multe implementări, așa că alegerea nu este uneori atât de ușoară. Să încercăm să înțelegem caracteristicile soluțiilor populare.

Ce este UTM?

Având în vedere creșterea numărului de atacuri de rețea și de viruși, spam-ul și nevoia de a organiza schimbul securizat de date, întreprinderile au nevoie de o soluție de securitate fiabilă și ușor de gestionat. Problema este deosebit de acută în rețelele întreprinderilor mici și mijlocii, unde adesea nu există o capacitate tehnică și financiară de a implementa sisteme de securitate eterogene. Și de obicei nu există destui specialiști pregătiți în astfel de organizații. Tocmai pentru aceste condiții au fost dezvoltate dispozitive de rețea multifuncționale multinivel, numite UTM (Unified Threat Management, dispozitiv de securitate unificat). După ce a ieșit din firewall-uri, UTM combină astăzi funcțiile mai multor soluții - un firewall cu DPI (Deep Packet Inspection), un sistem de protecție împotriva intruziunilor (IDS/IPS), antispam, antivirus și filtrare de conținut. Adesea, astfel de dispozitive au capacitatea de a organiza un VPN, autentificarea utilizatorului, echilibrarea încărcăturii, contabilizarea traficului etc. Dispozitivele all-in-one cu o singură consolă de setări vă permit să le puneți rapid în funcțiune și, ulterior, este, de asemenea, ușor de actualizat. toate funcțiile sau adăugați altele noi. Tot ceea ce este necesar de la un specialist este să înțeleagă ce și cum să protejeze. Costul UTM este de obicei mai mic decât achiziționarea mai multor aplicații/dispozitive, deci costul total este mai mic.

Termenul UTM a fost inventat de Charles Kolodgy de la IDC (International Data Corporation) în World Wide Threat Management Security Appliances 2004-2008 Forecast, publicat în septembrie 2004, pentru a identifica dispozitivele de securitate universale care pot face față unui număr tot mai mare de atacuri de rețea. Inițial, se presupunea că vor exista doar trei funcții (firewall, DPI și antivirus), dar acum capacitățile oferite de dispozitivele UTM sunt mult mai largi.

Piața UTM este destul de mare și prezintă o creștere anuală de 25-30% (înlocuind treptat firewall-urile „pure”) și, prin urmare, aproape toți jucătorii importanți și-au prezentat deja soluțiile, atât hardware, cât și software. Pe care să folosiți este adesea o chestiune de gust și încredere în dezvoltator, precum și disponibilitatea unui suport adecvat și, desigur, condiții specifice. Singurul punct este că ar trebui să alegeți un server fiabil și productiv, ținând cont de încărcarea planificată, deoarece acum un sistem va efectua mai multe verificări, iar acest lucru va necesita resurse suplimentare. În acest caz, trebuie să fiți atenți; caracteristicile soluțiilor UTM indică, de obicei, debitul firewall-ului, iar capacitățile IPS, VPN și ale altor componente sunt adesea cu un ordin de mărime mai mici. Serverul UTM este un singur punct de acces, a cărui eșec va lăsa, în esență, organizația fără Internet, astfel încât diverse opțiuni de recuperare nu vor fi, de asemenea, de prisos. Implementările hardware au adesea coprocesoare adiționale utilizate pentru a procesa anumite tipuri de date, cum ar fi criptarea sau analiza contextului, pentru a ușura sarcina CPU-ului principal. Dar implementarea software-ului poate fi instalată pe orice PC, cu posibilitatea de a face upgrade ulterioare fără probleme a oricărei componente. În acest sens, soluțiile OpenSource (Untangle, pfSense, Endian și altele) sunt interesante, permițând economii semnificative la software. Majoritatea acestor proiecte oferă și versiuni comerciale cu caracteristici avansate și suport tehnic.

Platformă: FortiGate
Site-ul proiectului: fortinet-russia.ru
Licență: plătită
Implementare: hardware

Compania californiană Fortinet, fondată în 2000, este astăzi unul dintre cei mai mari furnizori de dispozitive UTM care vizează diferite sarcini de lucru, de la birouri mici (FortiGate-30) până la centre de date (FortiGate-5000). Dispozitivele FortiGate sunt o platformă hardware care oferă protecție împotriva amenințărilor de rețea. Platforma este echipată cu firewall, IDS/IPS, scanare antivirus de trafic, anti-spam, filtru web și control al aplicațiilor. Unele modele acceptă DLP, VoIP, modelarea traficului, optimizarea WAN, toleranța la erori, autentificarea utilizatorului pentru accesarea serviciilor de rețea, PKI și altele. Mecanismul profilurilor active vă permite să detectați traficul atipic și să automatizați răspunsul la un astfel de eveniment. Antivirusul poate scana fișiere de orice dimensiune, inclusiv arhive, menținând în același timp un nivel ridicat de performanță. Mecanismul de filtrare web vă permite să setați accesul la peste 75 de categorii de site-uri web și să specificați cote, inclusiv în funcție de ora din zi. De exemplu, accesul la portalurile de divertisment poate fi permis numai în timpul orelor de lucru. Modulul de control al aplicației detectează traficul tipic (Skype, P2p, IM etc.) indiferent de portul, regulile de modelare a traficului sunt specificate pentru aplicații și categorii individuale; Zonele de securitate și domeniile virtuale vă permit să vă împărțiți rețeaua în subrețele logice. Unele modele au interfețe de comutare LAN de nivel al doilea și interfețe WAN sunt acceptate prin protocoale RIP, OSPF și BGP. Gateway-ul poate fi configurat în una dintre cele trei opțiuni: modul transparent, NAT static și dinamic, care vă permite să implementați fără durere FortiGate în orice rețea. Pentru a proteja punctele de acces, se folosește o modificare specială cu WiFi - FortiWiFi.
Pentru a acoperi sistemele (PC-uri Windows, smartphone-uri Android) care funcționează în afara rețelei protejate, pe acestea poate fi instalat software-ul agent FortiClient, care include un set complet (firewall, antivirus, SSL și IPsec VPN, IPS, filtru web, antispam și multe altele ). FortiManager și FortiAnalyzer sunt folosite pentru a gestiona centralizat mai multe dispozitive Fortinet și pentru a analiza jurnalele de evenimente.
Pe lângă interfața web și CLI, pentru configurarea de bază a FortiGate/FortiWiFi, puteți utiliza programul FortiExplorer (disponibil în Win și Mac OS X), care oferă acces la GUI și CLI (comenzile seamănă cu Cisco).
Una dintre caracteristicile FortiGate este un set specializat de cipuri FortiASIC, care oferă analiză de conținut și procesare a traficului de rețea și permit detectarea în timp real a amenințărilor rețelei, fără a afecta performanța rețelei. Toate dispozitivele folosesc un sistem de operare specializat – FortiOS.

Platformă: Check Point UTM-1
Site-ul proiectului: rus.checkpoint.com
Licență: plătită
Implementare: hardware

Check Point oferă 3 linii de dispozitive din clasa UTM: UTM-1, UTM-1 Edge (birouri la distanță) și Safe@Office (companii mici). Soluțiile conțin tot ce aveți nevoie pentru a vă proteja rețeaua - firewall, IPS, gateway antivirus, anti-spam, VPN SSL și instrumente de acces la distanță. Firewall-ul poate distinge traficul inerent majorității aplicațiilor și serviciilor (mai mult de 200 de protocoale, administratorul poate bloca cu ușurință accesul la IM, rețele P2P sau Skype). Protecția aplicațiilor web și filtrarea URL-urilor sunt furnizate, iar baza de date Check Point conține câteva milioane de site-uri care pot fi blocate cu ușurință. Antivirusul scanează fluxurile HTTP/FTP/SMTP/POP3/IMAP, nu are restricții privind dimensiunea fișierului și poate funcționa cu arhive. Modelele UTM-1 cu litera W sunt disponibile cu un punct de acces WiFi încorporat.
IPS utilizează diverse metode de detectare și analiză: semnături de vulnerabilități, analiza protocoalelor și a comportamentului obiectelor și detectarea anomaliilor. Mecanismul de analiză este capabil să calculeze date importante, astfel încât 10% din trafic este verificat cu atenție, restul trece fără verificări suplimentare. Acest lucru reduce sarcina asupra sistemului și crește eficiența UTM. Sistemul anti-spam folosește mai multe tehnologii - reputație IP, analiză de conținut, liste albe și negre. Suportă rutare dinamică OSPF, BGP și RIP, mai multe metode de autentificare a utilizatorului (parolă, RADUIS, SecureID etc.), este implementat un server DHCP.
Soluția folosește o arhitectură modulară, așa-numitele Software Blades, care permit, dacă este necesar, extinderea funcționalității la nivelul dorit, oferind nivelul necesar de securitate și cost. Astfel, puteți echipa gateway-ul cu blade Web Security (detecția și protecția infrastructurii web), VoIP (protecția VoIP), Advanced Networking, Acceleration & Clustering blade (performanță și disponibilitate maximă în medii ramificate). De exemplu, tehnologiile Web Application Firewall și Advanced Streaming Inspection utilizate în Web Security vă permit să procesați contextul în timp real, chiar dacă acesta este împărțit în mai multe pachete TCP, să înlocuiți anteturile, să ascundeți datele despre aplicațiile utilizate și să redirecționați utilizatorul la o pagină cu o descriere detaliată a erorii.
Controlul de la distanță este posibil folosind web și Telnet/SSH. Pentru setările centralizate ale mai multor dispozitive, Check Point SmartCenter poate fi utilizat tehnologia sa Security Management Architecture (SMART) vă permite să gestionați toate elementele Check Point incluse în politica de securitate. Capacitățile SmartCenter sunt extinse cu ajutorul modulelor suplimentare care asigură vizualizarea politicilor, integrarea LDAP, actualizări, rapoarte etc. Toate actualizările UTM sunt primite central, utilizând Serviciul de actualizare Check Point.

Platformă: ZyWALL 1000
Site-ul proiectului: zyxel.ru
Licență: plătită
Implementare: hardware

Majoritatea gateway-urilor de securitate produse de ZyXEL pot fi clasificate în siguranță ca UTM în ceea ce privește capacitățile lor, deși conform clasificatorului oficial astăzi există cinci modele ZyWALL USG 50/100/300/1000/2000 în această linie, destinate micilor și mijlocii- rețele de dimensiuni mari (până la 500 de utilizatori). În terminologia ZyXEL, astfel de dispozitive sunt numite „Network Security Center”. De exemplu, ZyWALL 1000 este un gateway de acces de mare viteză conceput pentru a rezolva problemele de securitate a rețelei și de gestionare a traficului. Include Kaspersky streaming antivirus, IDS/IPS, filtrarea conținutului și protecție anti-spam (Blue Coat și Commtouch), controlul lățimii de bandă și VPN (IPSec, SSL și L2TP prin IPSec VPN). Apropo, atunci când cumpărați, ar trebui să acordați atenție firmware-ului - internațional sau pentru Rusia. În cel din urmă, din cauza restricțiilor uniunii vamale, o cheie DES pe 56 de biți este utilizată pentru tunelurile VPN IPsec și SSL VPN.
Politicile de acces se bazează pe mai multe criterii (IP, utilizator și timp). Instrumentele de filtrare a conținutului facilitează restricționarea accesului la site-uri pe o anumită temă și funcționarea unor programe IM, P2P, VoIP, mail etc. Sistemul IDS folosește semnături și protejează împotriva viermilor de rețea, troienilor, ușilor din spate, DDoS și exploit-urilor. Tehnologia de detectare și prevenire a anomaliilor analizează pachetele care trec prin gateway la straturile 2 și 3 OSI, identificând inconsecvențele, identificând și blocând 32 de tipuri de atacuri de rețea. Capacitățile End Point Security vă permit să verificați automat tipul de sistem de operare, prezența unui antivirus activ și a unui firewall, prezența actualizărilor instalate, a proceselor de rulare, a setărilor de registry și altele. Administratorul poate interzice accesul la Rețea pentru sistemele care nu îndeplinesc anumiți parametri.
Implementarea multiplelor rezervări de acces la Internet și echilibrarea încărcăturii. Transmiterea VoIP prin protocoalele SIP și H.323 este posibilă la nivel de firewall și NAT și în tunelurile VPN. Sunt furnizate organizarea VLAN simplă și crearea de interfețe alias virtuale. Este acceptată autentificarea folosind LDAP, AD, RADIUS, ceea ce vă permite să configurați politici de securitate pe baza regulilor deja adoptate în organizație.
Actualizările bazelor componentelor principale și activarea unor funcții (Commtouch anti-spam, creșterea numărului de tuneluri VPN) sunt efectuate cu ajutorul plăcilor de conectare. Configurarea se face folosind CLI și interfața web. Un tehnician vă va ajuta să faceți instalațiile inițiale.

OS: Untangle Server 9.2.1 Cruiser
Site-ul proiectului: untangle.com
Licență: GPL
Implementare: software
Platforme hardware: x86, x64
Cerințe de sistem: Pentium 4 sau AMD similar, 1 GB RAM, 80 GB disc, 2 NIC.

Orice distribuție *nix poate fi configurată ca o soluție UTM cu drepturi depline, tot ce este necesar pentru aceasta este disponibil în depozitele de pachete. Dar există și dezavantaje: toate componentele vor trebui instalate și configurate independent (și acest lucru necesită deja ceva experiență) și, important, suntem lipsiți de o singură interfață de management. Prin urmare, în acest context, soluțiile gata făcute construite pe baza sistemelor OpenSource sunt foarte interesante.
Distribuția Untangle, produsă de compania cu același nume, a apărut în 2008 și a atras imediat atenția comunității prin abordarea sa. Se bazează pe Debian, toate setările sunt realizate folosind o interfață simplă și intuitivă. Inițial, distribuția a fost numită Untangle Gateway și a fost destinată utilizării în organizații mici (până la 300 de utilizatori) ca un înlocuitor cu drepturi depline al proprietarului Forefront TMG pentru a oferi acces securizat la Internet și pentru a proteja rețeaua internă de o serie de amenințări. De-a lungul timpului, funcțiile și capacitățile distribuției au devenit mai largi, iar numele a fost schimbat în Untangle Server, iar distribuția este deja capabilă să susțină un număr mai mare de utilizatori (până la 5000 sau mai mult, în funcție de puterea serverului).
Inițial, funcțiile de securitate ale Untangle sunt implementate sub formă de module. După instalarea sistemului de bază, nu există module de protecție, administratorul selectează în mod independent ceea ce are nevoie. Pentru comoditate, modulele sunt împărțite în 5 pachete (Premium, Standard, Education Premium Education Standard și Lite), a căror disponibilitate este determinată de licență, iar pachetele în sine sunt împărțite în două grupuri în funcție de scop: Filtru și Servicii. Toate aplicațiile OpenSource sunt colectate într-un Lite gratuit, care conține 13 aplicații care oferă scanarea traficului pentru viruși și spyware, filtru de conținut, blocare banner și spam, firewall, control protocol, IDS/IPS, OpenVPN, politici de acces (Captive Portal). Modulul Rapoarte, inclus în pachetul Lite, permite administratorului să primească rapoarte cu privire la toate situațiile posibile - activitate în rețea, protocoale, spam și viruși detectați, activitatea utilizatorului cu posibilitatea de a trimite rezultate prin e-mail și de a exporta în PDF, HTML, XLS, CSV și XML. Acestea se bazează pe aplicații OpenSource populare, cum ar fi Snort, ClamAV, SpamAssasin, Squid etc. În plus, serverul Untangle oferă toate funcțiile de rețea - rutare, NAT, DMZ, QoS, are servere DHCP și DNS.
Disponibil în pachete comerciale sunt: ​​echilibrarea încărcăturii și failover, controlul lățimii de bandă a canalului și a aplicației, un modul pentru lucrul cu Active Directory, backup pentru setări și alte funcții. Asistența este disponibilă și contra cost, deși răspunsurile la multe întrebări pot fi găsite pe forumul oficial. În plus, proiectul oferă servere gata făcute cu Untangle preinstalat.
O interfață convenabilă scrisă în Java este oferită pentru configurare, toate modificările și statisticile de funcționare sunt afișate în timp real. Când lucrează cu Untangle, administratorul nu trebuie să aibă cunoștințe profunde despre *nix, este suficient să înțeleagă ce trebuie obținut ca rezultat. Instalarea distribuției este destul de simplă, trebuie doar să urmați instrucțiunile expertului; un alt expert vă va ajuta ulterior să configurați gateway-ul.
Endian Firewall

OS: Endian Firewall Community 2.5.1
Site-ul web al proiectului: endian.com/en/community
Licență: GPL
Platforme hardware: x86
Cerințe de sistem: CPU 500 MHz, 512 MB RAM, 2 GB

Dezvoltatorii Endian Firewall oferă mai multe versiuni ale produsului lor, implementate atât ca platformă hardware cât și software. Există și o versiune pentru mașini virtuale. Toate versiunile sunt licențiate conform GPL, dar numai imaginea ISO și codul sursă ediția comunitară sunt disponibile pentru descărcare gratuită. Sistemul de operare se bazează pe CentOS și conține toate aplicațiile specifice Linux care oferă funcții de firewall, IDS/IPS, scanare antivirus a traficului HTTP/FTP/POP3/SMTP, protecție anti-spam, filtru de conținut, anti-spoofing și anti - module de phishing și un sistem de raportare. Este posibil să creați un VPN folosind OpenVPN și IPsec cu autentificare cu cheie sau certificat. Filtrul de conținut conține setări gata făcute pentru mai mult de 20 de categorii și subcategorii de site-uri, există o listă neagră și funcții de filtrare contextuală. Folosind ACL, puteți specifica parametrii de acces pentru un utilizator individual, grup, IP, oră și browser. Statisticile sunt păstrate cu privire la conexiuni, trafic și experiența utilizatorului. Când au loc anumite evenimente, un mesaj este trimis la adresa de e-mail a administratorului. Sunt furnizate autentificarea utilizatorului local, Active Directory, LDAP și RADIUS. Interfața facilitează crearea unui VLAN, gestionarea QoS și acceptă SNMP. Inițial, kit-ul de distribuție este echipat cu antivirusul ClamAV opțional, este posibil să se utilizeze motorul antivirus Sophos;
Pentru setări, se utilizează interfața web și linia de comandă. Instalările inițiale se fac folosind un expert care vă permite să setați tipul de conexiune la Internet și să atribuiți interfețe (LAN, WiFi, DMZ). Mai multe adrese IP pot fi atribuite interfeței externe; MultiWAN este acceptat. Pentru ușurința setărilor, interfețele de rețea sunt împărțite în zone - ROȘU, OROCIAL, ALBASTRU și VERDE, regulile de firewall conțin deja setări care determină schimbul dintre ele. Setările sunt împărțite în grupuri, ale căror nume vorbesc de la sine cu grijă, sunt foarte ușor de înțeles.

Concluzie

Sistemele UTM complexe înlocuiesc treptat soluțiile tradiționale precum firewall-urile, așa că merită să le aruncăm o privire mai atentă. În funcție de condițiile specifice, sunt potrivite diferite opțiuni. OpenSource Endian Firewall și Untangle sunt destul de capabile să protejeze rețelele mici și mijlocii. Desigur, UTM nu înlocuiește, ci completează măsurile de securitate instalate pe PC-urile individuale, creând o linie suplimentară de protecție la intrarea în LAN.


Există o părere că UTM și NGFW sunt același lucru. Vreau să înlătur această părere.

Ce a venit mai întâi?

Așa e, mai întâi a fost UTM (Unified Threat Management). Acesta este un sistem all-in-one. Cineva inteligent s-a gândit să instaleze mai multe motoare de protecție pe un server deodată. Profesioniștii în securitate au acum oportunitatea de a primi simultan controlul și funcționarea mai multor motoare de securitate dintr-o singură cutie. Acum firewall-ul, VPN, IPS, antivirus, filtru web și antispam lucrează împreună. Altcineva folosește alte motoare, de exemplu, DLP. În prezent, un motor de decriptare SSL și SSH și un motor de parsare și blocare a aplicațiilor sunt obligatorii la toate cele 7 straturi ale modelului OSI ISO. De regulă, motoarele sunt luate de la diferiți furnizori sau chiar gratuite, de exemplu, IPS de la SNORT, clamav antivirus sau firewall iptables. Deoarece firewall-ul este, de asemenea, un router sau un comutator pentru trafic, motorul de rutare dinamică este, de asemenea, cel mai adesea de la un anumit producător. Pe măsură ce cererea a crescut, pe piață au apărut jucători mari care au putut să cumpere mai multe dezvoltări bune pentru motorul necesar și să-și combine munca într-un singur dispozitiv UTM. De exemplu, Check Point a cumpărat IPS de la NFR, Cisco a cumpărat IPS de la Sourcefire. Mărcile populare sunt vizibile în piața Gartner UTM. În 2017, liderii UTM conform Gartner sunt Check Point, Fortinet și Sophos.

Dezavantajele arhitecturii UTM. De ce au apărut NGFW-urile?


Fig 1. Exemplu de arhitectură de lucru UTM.

Prima provocare arhitecturală a UTM Problema a fost că toate motoarele din interior transmiteau pe rând pachete de rețea între ele și așteptau ca motorul anterior să-și termine lucrul înainte de a-și porni pe al său. Ca rezultat, cu cât un furnizor încorporează mai multe funcții în dispozitivul său, cu atât funcționează mai lent. Drept urmare, utilizatorii unor astfel de dispozitive trebuie să dezactiveze IPS și antivirusul sau o parte din semnăturile lor pentru ca traficul să circule. Adică păreau că plătesc pentru un dispozitiv de securitate, dar îl folosesc doar ca router. A fost necesar să se vină cu ceva pentru ca motoarele de protecție să nu se aștepte și să funcționeze în paralel.
O nouă mișcare a producătorilor NGFW este că folosesc cipuri specializate care privesc același trafic în același timp. Acest lucru a devenit posibil pentru că fiecare procesor a început să fie responsabil pentru propria sa funcție: semnăturile IPS erau cusute într-una, semnăturile antivirus în alta și semnăturile URL în a treia. Puteți activa toate semnăturile în toate motoarele - traficul este complet protejat fără a reduce performanța. Cipurile programabile de acest tip se numesc FPGA (circuit integrat cu logica programabila) sau in literatura engleza FPGA. Diferența lor față de ASIC-uri este că pot fi reprogramate din mers și pot îndeplini funcții noi, de exemplu, verificarea noilor semnături după actualizarea microcodului sau a oricăror alte funcții. Acesta este ceea ce folosește NGFW - toate actualizările sunt trimise direct în cipurile FPGA.


Figura 2. Un exemplu de arhitectură a NGFW Palo Alto Networks.

A doua provocare arhitecturală a UTM a devenit că toate operațiunile cu fișierele necesită ca hard disk-ul să funcționeze. Care este viteza de citire de pe hard disk? 100 Megaocteți pe secundă. Ce va face UTM dacă aveți o viteză de 10 Gbps în centrul dvs. de date? Dacă 300 de persoane din compania dumneavoastră decid să descarce un folder de fișiere prin rețeaua Microsoft (protocol SMB), atunci ce va face UTM? UTM-urile proaste se vor încărca pur și simplu la 100% și vor înceta să funcționeze. În UTM-urile avansate, pentru acest caz, sunt încorporate diferite mecanisme pentru a dezactiva automat funcționarea motoarelor de protecție: antivirus-bypass, ips-bypass și altele, care dezactivează funcțiile de securitate atunci când încărcarea hardware-ului își depășește capacitățile. Ce se întâmplă dacă nu trebuie doar să salvați fișierul, ci și să despachetați arhiva? Viteza de lucru scade și mai mult. Prin urmare, UTM a fost folosit în principal în companiile mici unde vitezele nu erau importante sau unde securitatea era o opțiune.

Practica arată că, de îndată ce viteza rețelei crește, atunci în UTM trebuie să opriți toate motoarele, cu excepția rutare și a firewall-ului de pachete, sau doar să instalați un firewall obișnuit. Adică, sarcina a fost de mult să accelereze cumva activitatea antivirusului de fișiere.

O nouă schimbare arhitecturală pentru primul producător NGFW, care a apărut în 2007, a fost aceea că fișierele nu mai erau salvate pe disc, adică toată analiza traficului, decodarea și asamblarea fișierelor pentru scanarea antivirus au început să fie efectuate în memorie. Acest lucru a îmbunătățit considerabil performanța dispozitivelor de securitate și le-a decuplat de performanța hard disk-urilor. Vitezele rețelei cresc mai repede decât vitezele hard diskului. Doar NGFW îi va salva pe lucrătorii de securitate. În prezent, conform Gartner, există doi lideri în NGFW: Palo Alto Networks și Check Point.

Cum funcționează cu aplicațiile de nivel 7 în UTM și NGFW?

Odată cu apariția NGFW, clienții au o nouă oportunitate - definirea aplicațiilor Layer 7. Inginerii de rețea studiază modelul de rețea ISO cu șapte straturi OSI. La nivelul 4 al acestui model funcționează protocoalele TCP și UDP, care în ultimii 20 de ani de rețele IP au fost considerate suficiente pentru analiza și gestionarea traficului. Adică, un firewall obișnuit arată pur și simplu adrese IP și porturi. Ce se întâmplă la următoarele 5-7 niveluri? Firewall-ul de nouă generație vede toate nivelurile de abstractizare și arată ce aplicație a transferat ce fișier. Acest lucru îmbunătățește considerabil înțelegerea de către IT a interacțiunilor rețelei și îmbunătățește securitatea prin expunerea tunelului în cadrul aplicațiilor deschise și permițându-le să blocheze aplicația, mai degrabă decât doar portul. De exemplu, cum să blocați skype sau bittorent cu un firewall obișnuit de generație veche? Da, în nici un caz.

Furnizorii UTM au adăugat în cele din urmă un motor de definire a aplicației. Cu toate acestea, au două motoare de gestionare a traficului - portul 4 la nivel TCP, UDP și ICMP și la nivelul căutării conținutului aplicației în trafic precum teamviewer, tor, skype. Se pare că UTM are mai multe politici: unul controlează porturile, al doilea controlează aplicațiile. Și acest lucru creează o mulțime de dificultăți, drept urmare, nimeni nu folosește politica de gestionare a aplicațiilor.

Atașez o prezentare pe tema vizualizării la nivel de aplicație. Acest lucru atinge, de asemenea, subiectul Shadow IT. Dar mai multe despre asta mai târziu..

). Vom începe blogul nostru cu o scurtă introducere în tehnologiile Check Point.

Ne-am gândit mult timp dacă merită să scriem acest articol, pentru că... nu există nimic nou în el care să nu poată fi găsit pe Internet. Cu toate acestea, în ciuda abundenței de informații, atunci când lucrăm cu clienți și parteneri, auzim destul de des aceleași întrebări. Prin urmare, s-a decis să se scrie un fel de introducere în lumea tehnologiilor Check Point și să dezvăluie esența arhitecturii soluțiilor lor. Și toate acestea sunt în cadrul unui post „mic”, o excursie rapidă, ca să spunem așa. Mai mult, vom încerca să nu intrăm în războaie de marketing, pentru că... Nu suntem un furnizor, ci doar un integrator de sisteme (deși ne place foarte mult Check Point) și pur și simplu ne vom uita la punctele principale fără a le compara cu alți producători (cum ar fi Palo Alto, Cisco, Fortinet etc.). Articolul s-a dovedit a fi destul de lung, dar acoperă majoritatea întrebărilor din etapa de familiarizare cu Check Point. Dacă ești interesat, atunci bine ai venit la pisica...

UTM/NGFW

Când începeți o conversație despre Check Point, primul loc de început este cu o explicație despre ce sunt UTM și NGFW și cum diferă. Vom face acest lucru foarte concis, astfel încât postarea să nu se dovedească a fi prea lungă (poate că în viitor vom lua în considerare această problemă mai detaliat)

UTM - Managementul unificat al amenințărilor

Pe scurt, esența UTM este consolidarea mai multor instrumente de securitate într-o singură soluție. Aceste. totul într-o singură cutie sau un fel de all inclusive. Ce se înțelege prin „remedii multiple”? Cea mai comună opțiune este: Firewall, IPS, Proxy (filtrare URL), streaming Antivirus, Anti-Spam, VPN și așa mai departe. Toate acestea sunt combinate într-o singură soluție UTM, care este mai ușoară în ceea ce privește integrarea, configurarea, administrarea și monitorizarea, iar aceasta, la rândul său, are un efect pozitiv asupra securității generale a rețelei. Când au apărut soluțiile UTM, acestea au fost considerate exclusiv pentru companiile mici, deoarece... UTM-urile nu au putut gestiona volume mari de trafic. Acest lucru a fost din două motive:

  1. Metoda de procesare a pachetelor. Primele versiuni ale soluțiilor UTM procesau pachete secvenţial, fiecare „modul”. Exemplu: mai întâi pachetul este procesat de firewall, apoi IPS, apoi este scanat de Anti-Virus și așa mai departe. Desigur, un astfel de mecanism a introdus întârzieri serioase în trafic și a consumat foarte mult resursele sistemului (procesor, memorie).
  2. Hardware slab. După cum am menționat mai sus, procesarea secvențială a pachetelor consuma foarte mult resurse și hardware-ul acelor vremuri (1995-2005) pur și simplu nu putea face față unui trafic mare.
Dar progresul nu stă pe loc. De atunci, capacitatea hardware a crescut semnificativ, iar procesarea pachetelor s-a schimbat (trebuie să admitem că nu toți vânzătorii o au) și a început să permită analiza aproape simultană în mai multe module deodată (ME, IPS, AntiVirus etc.). Soluțiile UTM moderne pot „digera” zeci și chiar sute de gigabiți în modul de analiză profundă, ceea ce face posibilă utilizarea lor în segmentul afacerilor mari sau chiar al centrelor de date.

Mai jos este faimosul Gartner Magic Quadrant pentru soluții UTM pentru august 2016:

Nu voi comenta prea multe despre această poză, voi spune doar că liderii sunt în colțul din dreapta sus.

NGFW - Firewall de generație următoare

Numele vorbește de la sine - firewall-ul de generație următoare. Acest concept a apărut mult mai târziu decât UTM. Ideea principală a NGFW este analiza profundă a pachetelor (DPI) folosind IPS încorporat și controlul accesului la nivel de aplicație (Application Control). În acest caz, IPS este exact ceea ce este necesar pentru a identifica cutare sau cutare aplicație în fluxul de pachete, ceea ce vă permite să o permiteți sau să o refuzați. Exemplu: putem permite Skype să funcționeze, dar interzicem transferul de fișiere. Putem interzice utilizarea Torrentului sau RDP. Sunt acceptate și aplicațiile web: puteți permite accesul la VK.com, dar interziceți jocurile, mesajele sau vizionarea videoclipurilor. În esență, calitatea unui NGFW depinde de numărul de aplicații pe care le poate detecta. Mulți cred că apariția conceptului NGFW a fost un strat de marketing comun pe fundalul căruia compania Palo Alto și-a început creșterea rapidă.

Quadrantul Magic Gartner pentru NGFW pentru mai 2016:

UTM vs NGFW

O întrebare foarte frecventă este, care este mai bine? Nu există un răspuns clar aici și nu poate fi. Mai ales având în vedere faptul că aproape toate soluțiile UTM moderne conțin funcționalitate NGFW și majoritatea NGFW-urilor conțin funcții inerente UTM (Antivirus, VPN, Anti-Bot etc.). Ca întotdeauna, „diavolul este în detalii”, așa că în primul rând trebuie să decideți de ce aveți nevoie în mod specific și să vă decideți bugetul. Pe baza acestor decizii, pot fi selectate mai multe opțiuni. Și totul trebuie testat fără ambiguitate, fără a crede materiale de marketing.

Noi, la rândul nostru, în cadrul mai multor articole, vom încerca să spunem despre Check Point, cum îl puteți încerca și ce, în principiu, puteți încerca (aproape toată funcționalitatea).

Trei entități punct de control

Când lucrați cu Check Point, veți întâlni cu siguranță trei componente ale acestui produs:


Sistem de operare Check Point

Vorbind despre sistemul de operare Check Point, putem aminti trei simultan: IPSO, SPLAT și GAIA.

  1. IPSO- sistemul de operare al Ipsilon Networks, care a aparținut Nokia. În 2009, Check Point a cumpărat această afacere. Nu se mai dezvolta.
  2. SPLAT- Dezvoltarea proprie a Check Point, bazată pe nucleul RedHat. Nu se mai dezvolta.
  3. Gaia- sistemul de operare actual de la Check Point, care a apărut ca urmare a fuziunii IPSO și SPLAT, încorporând tot ce este mai bun. A apărut în 2012 și continuă să se dezvolte activ.
Vorbind despre Gaia, trebuie spus că în acest moment cea mai comună versiune este R77.30. Relativ recent a apărut versiunea R80, care diferă semnificativ de cea anterioară (atât din punct de vedere al funcționalității, cât și al controlului). Vom dedica o postare separată subiectului diferențelor lor. Un alt punct important este că în prezent doar versiunea R77.10 are un certificat FSTEC, iar versiunea R77.30 este în curs de certificare.

Opțiuni de execuție (Check Point Appliance, Mașină virtuală, OpenServer)

Nu este nimic surprinzător aici, la fel ca mulți furnizori, Check Point are mai multe opțiuni de produse:


Opțiuni de implementare (Distribuite sau Standalone)

Un pic mai sus am discutat deja ce sunt un gateway (SG) și un server de management (SMS). Acum să discutăm despre opțiunile pentru implementarea lor. Există două moduri principale:


După cum spuneam mai sus, Check Point are propriul său sistem SIEM - Smart Event. Îl puteți folosi numai în cazul instalării distribuite.

Moduri de operare (Pont, Rutat)
Gateway-ul de securitate (SG) poate funcționa în două moduri principale:

  • Dirijată- cea mai comună variantă. În acest caz, gateway-ul este folosit ca dispozitiv L3 și direcționează traficul prin el însuși, de exemplu. Check Point este gateway-ul implicit pentru rețeaua protejată.
  • Pod- modul transparent. În acest caz, gateway-ul este instalat ca un „pod” obișnuit și trece prin trafic la al doilea nivel (OSI). Această opțiune este de obicei folosită atunci când nu există posibilitatea (sau dorința) de a schimba infrastructura existentă. Practic, nu trebuie să schimbați topologia rețelei și nu trebuie să vă gândiți la schimbarea adresei IP.
Aș dori să remarc că în modul Bridge există unele limitări în ceea ce privește funcționalitatea, așa că noi, ca integrator, sfătuim toți clienții noștri să folosească modul Routed, desigur, dacă este posibil.

Lame software Check Point

Aproape am ajuns la cel mai important subiect al Check Point, care ridică cele mai multe întrebări în rândul clienților. Ce sunt aceste „lame software”? Lamele se referă la anumite funcții Check Point.

Aceste funcții pot fi activate sau dezactivate în funcție de nevoile dvs. În același timp, există blade care sunt activate exclusiv pe gateway (Network Security) și doar pe serverul de management. Imaginile de mai jos prezintă exemple pentru ambele cazuri:

1) Pentru securitatea rețelei(funcționalitate gateway)

Să o descriem pe scurt, pentru că... fiecare lamă merită propriul articol.

  • Firewall - funcționalitate firewall;
  • IPSec VPN - construirea de rețele virtuale private;
  • Acces mobil - acces la distanță de pe dispozitive mobile;
  • IPS - sistem de prevenire a intruziunilor;
  • Anti-Bot - protecție împotriva rețelelor botnet;
  • AntiVirus - antivirus de streaming;
  • AntiSpam & Email Security - protecția e-mailului corporativ;
  • Identity Awareness - integrare cu serviciul Active Directory;
  • Monitorizare - monitorizarea aproape tuturor parametrilor gateway-ului (încărcare, lățime de bandă, stare VPN etc.)
  • Application Control - firewall la nivel de aplicație (funcționalitate NGFW);
  • URL Filtering - Securitate web (+funcționalitate proxy);
  • Data Loss Prevention - protecție împotriva scurgerilor de informații (DLP);
  • Threat Emulation - tehnologie sandbox (SandBox);
  • Threat Extraction - tehnologie de curățare a fișierelor;
  • QoS - prioritizarea traficului.
În doar câteva articole vom arunca o privire detaliată asupra lamelor de emulare a amenințărilor și extracție a amenințărilor, sunt sigur că va fi interesant.

2) Pentru management(controlul funcționalității serverului)

  • Network Policy Management - management centralizat al politicii;
  • Endpoint Policy Management - management centralizat al agenților Check Point (da, Check Point produce soluții nu numai pentru protecția rețelei, ci și pentru protejarea stațiilor de lucru (PC-uri) și a smartphone-urilor);
  • Logging & Status - colectarea și procesarea centralizată a jurnalelor;
  • Portal de management - managementul securității din browser;
  • Flux de lucru - control asupra modificărilor de politică, audit al modificărilor etc.;
  • Director de utilizatori - integrare cu LDAP;
  • Aprovizionare - automatizarea managementului gateway-ului;
  • Smart Reporter - sistem de raportare;
  • Smart Event - analiza și corelarea evenimentelor (SIEM);
  • Conformitate - verifică automat setările și emite recomandări.
Nu vom lua în considerare problemele de licențiere în detaliu acum, pentru a nu umfla articolul și a nu deruta cititorul. Cel mai probabil vom posta asta într-o postare separată.

Arhitectura lamelor vă permite să utilizați doar funcțiile de care aveți cu adevărat nevoie, ceea ce afectează bugetul soluției și performanța generală a dispozitivului. Este logic că, cu cât activați mai multe lame, cu atât mai puțin trafic puteți „conduce”. De aceea, următorul tabel de performanță este atașat fiecărui model Check Point (am luat ca exemplu caracteristicile modelului 5400):

După cum puteți vedea, există două categorii de teste aici: pe trafic sintetic și pe real - mixt. În general, Check Point este pur și simplu obligat să publice teste sintetice, deoarece... unii furnizori folosesc astfel de teste ca repere, fără a examina performanța soluțiilor lor în trafic real (sau ascund în mod deliberat astfel de date din cauza naturii lor nesatisfăcătoare).

În fiecare tip de test, puteți observa mai multe opțiuni:

  1. testați numai pentru firewall;
  2. Firewall+test IPS;
  3. Test Firewall+IPS+NGFW (Control aplicație);
  4. test Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (sandbox)
Priviți cu atenție acești parametri atunci când alegeți soluția sau cereți sfatul.

Cred că aici putem încheia articolul introductiv despre tehnologiile Check Point. În continuare, vom analiza cum puteți testa Check Point și cum să faceți față amenințărilor moderne de securitate a informațiilor (viruși, phishing, ransomware, zero-day).

P.S. Punct important. În ciuda originii sale străine (israeliene), soluția este certificată în Federația Rusă de autoritățile de reglementare, care îi legalizează automat prezența în instituțiile guvernamentale (comentar de).


Conceptul de Unified Threat Management (UTM), ca o clasă separată de echipamente pentru protejarea resurselor rețelei, a fost introdus de agenția internațională IDC, care studiază piața globală de IT. Conform clasificării introduse, soluțiile UTM sunt sisteme software și hardware multifuncționale care combină funcțiile diferitelor dispozitive: un firewall, un sistem de detectare și prevenire a intruziunilor în rețea, precum și funcțiile unui gateway antivirus.

Piața rusă a dispozitivelor UTM este reprezentată doar de producători străini. Mai mult, unele companii, prezentându-și soluțiile și numindu-le UTM, pur și simplu combină funcționalitatea dispozitivelor independente de securitate a rețelei (cum ar fi un firewall, un gateway antivirus, un sistem de detectare/prevenire a intruziunilor) într-o singură carcasă cu un sistem unificat de monitorizare și management. Astfel de dispozitive nu pot fi considerate un sistem UTM cu drepturi depline.

Abrevierea UTM înseamnă Unified Threat Management, care poate fi tradus literal în rusă ca: management unificat a amenințărilor. În acest articol ne vom uita exact ce funcții trebuie să îndeplinească un dispozitiv pentru a fi considerat un UTM cu drepturi depline, care sunt avantajele utilizării unor astfel de sisteme și împotriva căror tipuri de amenințări se pot proteja.