2. Отличия от традиционных межсетевых экранов
4. Преимущества использования межсетевого экрана следующего поколения
5. Что следует учитывать при выборе файрвола нового поколения?
Что такое NGFW?
Межсетевой экран (также файрвол) следующего поколения (NGFW, Next-Generation Firewall) представляет собой усовершенствованное устройство безопасности, которое сочетает традиционные функции межсетевого экрана с дополнительными функциями, предоставляя всестороннюю защиту для современных корпоративных сетей.
Отличия от традиционных межсетевых экранов
Межсетевые экраны следующего поколения (NGFW) значительно превосходят традиционные межсетевые экраны (МЭ) по функциональности и уровню защиты. В отличие от традиционных файрволов, которые анализируют трафик только на уровне заголовков пакетов (IP, порт, протокол), NGFW выполняют глубокую проверку пакетов (DPI), позволяя анализировать содержимое трафика на уровне приложений. Это даёт возможность NGFW идентифицировать и контролировать использование приложений, независимо от порта и протокола, что значительно повышает уровень безопасности.
Ещё одно ключевое отличие заключается в способности NGFW идентифицировать и контролировать доступ пользователей, что обеспечивает более гибкое и точное управление безопасностью. Расширенные возможности NGFW предлагают более комплексный и современный подход к защите сети, обеспечивая высокий уровень безопасности и гибкость, необходимую для защиты от современных киберугроз.
Функционал NGFW
1. Глубокая проверка пакетов (DPI)
NGFW может идентифицировать и контролировать использование приложений, независимо от порта, протокола или метода обхода. Это позволяет обнаруживать и блокировать угрозы, которые могут быть замаскированы под легитимный трафик.
2. Система предотвращения вторжений (IPS)
Система предотвращения вторжений интегрирована в NGFW для обнаружения и блокировки подозрительного трафика на основе базы данных сигнатур известных угроз. IPS также позволяет выявлять подозрительную активность на основе отклонений от нормального поведения внутри системы.
3. Контроль приложений
NGFW позволяет блокировать или разрешать доступ к конкретным приложениям и управлять их использованием. Политики доступов можно создавать на основе категории приложения, риска или других критериев.
4. Антивирусная защита
Интеграция с антивирусными решениями позволяет NGFW проверять весь трафик, входящий и исходящий, и блокировать вредоносные программы. Базы данных угроз постоянно обновляются для обеспечения актуальной защиты.
5. Фильтрация URL
Фильтрация URL позволяет блокировать доступ к нежелательным или вредоносным веб-сайтам. Для создания политик доступа предусмотрена классификация веб-сайтов по категориям (например, социальные сети, азартные игры) для создания политик доступа.
6. Инспекция SSL/TLS
Инспекция SSL/TLS позволяет анализировать зашифрованный трафик для выявления угроз, скрытых в зашифрованных соединениях. NGFW позволяет создавать политики для проверки трафика на основе источника, назначения или типа данных.
7. VPN (Виртуальные частные сети)
NGFW поддерживают создание безопасных VPN-соединений: IPsec VPN для обеспечения безопасного соединения между удалёнными пользователями и сетью и clientless SSL VPN для обеспечения безопасного доступа через веб-браузеры.
8. Интеграция с системами управления информацией и событиями безопасности (SIEM)
NGFW могут интегрироваться с SIEM-системами для улучшенного мониторинга и анализа безопасности. Данные безопасности объединяются в общее хранилище для анализа и используются данных для выявления и расследования инцидентов.
9. Управление идентификацией и доступом (IAM)
NGFW могут использовать механизмы управления идентификацией и доступом для обеспечения контроля на уровне пользователей — на основе их ролей и активности.
10. Защита от DoS-атак
Некоторые NGFW включают функции защиты от DoS-атак на основе мониторинга трафика. И назначения лимитов нам TCP. UDP и ICMP.
11. Обнаружение и реакция на инциденты (EDR)
Некоторые NGFW включают функции обнаружения подозрительной активности на устройствах пользователей и реагирования на инциденты.
Преимущества использования межсетевого экрана следующего поколения
Использование межсетевых экранов следующего поколения (NGFW) предоставляет значительные преимущества по сравнению с универсальными системами управления угрозами (UTM) и другими аналогичными решениями.
- Производительность. Универсальные системы управления угрозами могут страдать от снижения производительности при включении всех функций безопасности одновременно. NGFW разработаны для обеспечения производительности даже при высокой нагрузке , благодаря специальному оборудованию и оптимизированным алгоритмам.
- Гибкость и масштабируемость. NGFW обеспечивают большую гибкость и легче масштабируются под потребности крупных предприятий и сложных сетевых инфраструктур.
- Интеграция с другими системами безопасности. NGFW могут работать в связке с системами управления информацией и событиями безопасности (SIEM), решениями для управления идентификацией и доступом (IAM) и другими корпоративными системами, песочницей и т.д.
- Защита от сложных атак. UTM фокусируются на базовых уровнях защиты и могут быть менее эффективными против сложных целевых атак. NGFW обеспечивают комплексную защиту от продвинутых угроз, включая целевые атаки и сложные угрозы, такие как атаки «нулевого дня» и APT-атак.
Что следует учитывать при выборе файрвола нового поколения?
При выборе NGFW следует учитывать несколько важных факторов:
- Производительность. Выбранное решение должно быть способно обрабатывать необходимый объём трафика без снижения производительности сети. NGFW должен обеспечивать надежную защиту сетевой инфраструктуры и гибко контролировать сетевой трафик. Эти характеристики также помогают заказчикам соответствовать регуляторным требованиям и стандартам безопасности, в том числе обеспечивать комплекс мер, описанных в указе №250.
- Функционал решения, как правило, оценивается исходя из текущих запросов и прогноза на его использование в ближайшие 5 лет с учетом развития ИТ-инфраструктуры и усиления натиска хакеров. Требования к функциональности могут варьироваться в зависимости от того, где стоит NGFW в ядре сети, в ЦОДе или на периметре, минимальный набор: L2/L3 FIREWALL A/S; NAT; USER-ID; OSPF, BGP; CLI; Группы (IPs, Ports, APPs, GEOIPs); RBAC; ANTI-SPOOFING; LACP; LOGS; S2S, RA VPN.
- Совместимость. Также стоит учитывать бесшовную интеграцию продукта с другими системами безопасности, такими как песочницы (Sandbox), системы управления событиями (SIEM), автоматизаторы и оркестраторы (SOAR), комплексы по управлению идентификацией (IdM) и службы каталогов (AD/LDAP).
Заключение
Межсетевые экраны следующего поколения (NGFW) — передовые решения для защиты сети, объединяющие функции традиционных межсетевых экранов с дополнительными возможностями. Использование NGFW позволяет значительно повысить уровень безопасности сети, обеспечить защиту от современных угроз и упростить управление политиками безопасности.
Автор:Алмаз Мазитов,
эксперт по развитию бизнеса ИТ-компании Innostage
