На сегодняшний день необходимо использовать устройства межсетевого экранирования (NGFW) для защиты данных от нежелательного доступа. В связи с этим мы сталкиваемся с проблемой: как подобрать межсетевой экран правильно?
В начале расскажем о том, что такое межсетевой экран.
Сейчас, в эпоху Интернет-коммуникаций, важно убедиться, что ваши данные защищены от нежелательного доступа, а устройства – от вредоносных атак. Для этого и существуют межсетевые экраны.
Межсетевой экран – система сетевой безопасности, которая позволяет фильтровать входящий и исходящий сетевой трафик, отделяя доверенную сеть от недоверенной. Фильтрация происходит на основе заданных правил безопасности.
Как работает межсетевой экран
Межсетевые экраны защищают частные сети и устройства конечных точек в них. Эти точки называются сетевыми хостами. Они обеспечивают обмен информацией между внутренними и внешними сетями.
Межсетевой экран устанавливается между доверенной и недоверенной сетью. Он играет роль стены – границы, создает «точку затруднения». При этом происходит анализ данных, которые отправляются по компьютерной сети. Данные собираются в пакет, в нем содержатся IP-адреса отправителя и получателя, номера портов и другая информация. Этот пакет и проверяет межсетевой экран перед отправкой.
Теперь перейдем к тем шагам, которые вам нужно сделать, чтобы выбрать подходящее устройство.
Шаг 1. Пропускная способность
Необходимо оценить пропускную способность канала в сеть Интернет. При этом стоит учитывать, что данные производителя были получены в идеальных условиях, на самом деле показатели будут ниже. Также обратите внимание на устройства, которые будут потреблять пропускную способность помимо межсетевого экрана: маршрутизаторы, выделенные сервера и т.п. Важно учитывать и возможный рост трафика.
На пропускную способность оказывает влияние и то, насколько нагружен центральный процессор. При наличии ресурсоемких задач, например, если работает VPN, пропускная способность снижается. В таком случае обратите внимание на межсетевые экраны с процессорами специального назначения (ASIC) на борту – они снижают нагрузку центрального процессора.
Шаг 2. Исполнение – аппаратное или виртуальное?
Один из вариантов размещения межсетевого экрана – на сервере виртуализации. Нужно понимать, что такой сервер также подвержен атакам, как и аппаратная стойка; он требует специализированной защиты.
При выборе виртуального исполнения необходимо тестирование. Только во время пилотного внедрения можно оценить производительность работы сервиса.
Шаг 3. Отказоустойчивое исполнение
Если оно необходимо, то нужно выбрать подходящий режим работы устройств в составе отказоустойчивой пары.
-
Активный – активный. Оба устройства, объединенные в кластер, могут обрабатывать трафик пользователей. При этом трафик распределяется, а пропускная производительность повышается. Однако могут возникнуть сложности при диагностике и поиске неисправностей.
-
Активный – пассивный. Только одно из устройств, так называемое мастер-устройство, обрабатывает трафик, а подчиненные устройства находятся в режиме ожидания. Этот режим отличается простотой реализации.
Шаг 4. Интерфейсы и порты
Нужно проанализировать, сколько интерфейсов должно быть подключено к уже имеющемуся сетевому оборудованию. Важны и их типы.
Например, для повышения пропускной способности подключения межсетевых экранов могут использоваться интерфейсы со скоростями 10Gbit/sec с типом разъема SFP+. Но существуют и интерфейсы с пропускной способностью 1Gbit/sec, при этом используются протоколы семейства EtherChannel.
Шаг 5. Гарантии и техподдержка
Выясните, важно ли вам, чтобы сотрудники техподдержки могли ответить в любое время суток. Нужно ли, чтобы на площадке присутствовал инженер? Возможно ли заменить оборудование, вышедшее из строя? Какие сроки решения проблемы?
На цену будут влиять квалификация инженеров и время, которое им дается на исправление неполадок или консультирование.
Сейчас существует три варианта техподдержки межсетевых экранов:
-
От производителя (может не работать на территории РФ);
-
От дистрибьютера;
-
От партнера, принявшего участие в пусконаладке.
Шаг 6. Расширенный функционал
Стоит определиться, нужна ли вам подписка на расширенный функционал. Она обычно лицензируется и продлевается раз в год.
Как правило она включает:
-
Антивирус (AV);
-
Систему предотвращения вторжений (IPS);
-
Защиту электронной почты, антиспам (AS);
-
Фильтрацию URL (WEB Filter);
-
Контроль приложений (APP Control).
Учтите: в некоторых случаях без лицензионной подписки можно работать, но производители не предоставят доступ к серверам обновлений.
Шаг 7. Сервер протоколирования событий, система централизованного управления
Важно ли для вас наличие таких сопутствующих систем?
Системы протоколирования событий приобретаются, если необходим быстрый поиск данных или срок хранения информации будет длительным.
Централизованное управление из одной системы необходимо, если в сети используется более 10 устройств.
Шаг 8. VPN удаленного доступа
Выясните, сколько требуется подключений VPN удаленного доступа и подключений площадок между собой.
Большинство производителей лицензирует удаленный доступ по количеству одновременных подключений. Но некоторые производители дают возможность подключиться большому количеству пользователей, и при этом функционал остается базовым.
Обратите внимание: в таких случаях не все задачи могут быть решены. К примеру, в базовом функционале может отсутствовать функция сохранения пароля в клиентском ПО. Или могут быть ограничения на количество VPN-подключений между площадками.
Шаг 9. Размещение межсетевого экрана
Устройства межсетевого экранирования будут установлены на периметр, в локальную сеть или для защиты выделенных сегментов?
-
Для размещения устройств на защиту периметра требуется максимальный функционал, включая инспекцию SSL. Межсетевой экран становится в то же время и сервером удаленного доступа. При этом используются аппаратные устройства для контроля взаимодействия ресурсов локальной сети и Интернета.
-
При контроле трафика внутри локальной сети нужны устройства максимальной производительности, поскольку внутри локальной сети скорости передачи данных кратны 10Gbit/sec. А расширенный функционал поможет предотвратить вторжения извне. Исполнение может быть виртуальным.
-
Для защиты выделенных сегментов локальной сети необходима организация демилитаризованных зон. Здесь требуется индивидуальный подход: устройство подбирается под решение конкретной задачи.
Шаг 10. Обучение
Внедрение и обучение администраторов может быть хорошим бонусом при больших закупках у производителя. Однако нужно знать, что компании, ушедшие с российского рынка, не предоставляют сертифицированное обучение.
Подводя итоги, заметим, что вне зависимости от вашего выбора важно придерживаться трех основных правил:
-
Индивидуальный подход. Так как одного решения для всех не существует, важно анализировать ситуацию и особенности приобретаемого продукта. Для решения разных задач могут потребоваться межсетевые экраны разных типов и в разных комбинациях.
-
Своевременные обновления. Каким бы межсетевым экраном вы не пользовались, обязательно регулярно обновлять его программное обеспечение или прошивку, проверять отчеты программы и обращать внимание на правила и политику использования.
-
Безопасность. Необходимо использовать только те межсетевые экраны, которые соответствуют требованиям безопасности PCI DSS (Payment Card Industry Data Security Standard), HIPAA (Health Insurance Portability and Accountability Act) или GDPR (General Data Protection Regulation). Также важно защищать учетные записи пользователей, настраивать межсетевой экран, проводить проверки для определения возможных рисков.
В таком случае эксплуатация межсетевого экрана будет наиболее безопасной и эффективной.
