Межсетевые экраны следующего поколения - что это?

Межсетевые экраны (брандмауэры, Firewall) — это стандартный инструмент в системе сетевой безопасности организации. Однако, в постоянно меняющемся ландшафте угроз некоторые межсетевые экраны становятся менее эффективными. На их замену пришел межсетевой экран нового поколения (Next-Generation Firewall, NGFW) — единственный тип межсетевого экрана, который обеспечивает защиту современной сети от новых киберугроз.
Попробуем разобраться, в чем уникальность NGFW, в чем ключевое отличие от стандартных брандмауэров и чего нам ожидать от них в будущем.

Традиционные межсетевые экраны появились в конце 1980-х годов. В их функции входило фильтрация входящего и исходящего трафика на основе заданного набора правил. Если трафик передаваемых данных нарушает эти правила, то брандмауэр автоматически блокирует его. Такая проверка называлась проверкой с отслеживанием состояния и являлась основной проверкой межсетевого экрана. Проверка протокола при этом осуществлялась на основании проверки IP-адресов по черному списку адресов, которые воспринимаются как вредоносные.

Как мы видим, в современных условиях такой фильтрации явно недостаточно — регулярно растёт объём сетевого трафика, злоумышленники разрабатывают новые механизмы и векторы атаки, а угрозы безопасности становятся более сложными и развитыми. Отсюда возникла необходимость в создании нового средства защиты, способного на соизмеримый ответ. Такими средствами с 2008 года стали NGFW.


Межсетевые экраны нового поколения построены на основе стандартного межсетевого экрана, но предлагают гораздо более надежные и более интеллектуальные функции кибербезопасности. Они выходят за рамки простого мониторинга портов и адресов и переходят к глубокой проверке пакетов и предотвращению вторжений (IPS). Со временем к функциям межсетевого экрана были добавлены дополнительные технологии проверки безопасности, такие как блокировка вредоносных программ (например, программ-вымогателей, шпионское ПО и пр.), анализ зашифрованного трафика.

Хотя традиционные межсетевые экраны можно назвать слишком простыми, на их фоне сложность и трудоемкость некоторых межсетевых экранов нового поколения являются скорее негативным фактором и слабым местом. По этой причине очень важно выбирать межсетевой экран нового поколения таким образом, чтобы сочетать возможности механизмов безопасности и производительность устройства без каких-либо компромиссов.

Как правило, межсетевые экраны нового поколения представляют собой программно-аппаратные комплексы, функциональные возможности которых определяются входящими в межсетевой экран подсистемами. Некоторые механизмы могут поставляться по лицензии или подписке, чтобы оптимизировать финансовые затраты потребителей.

Основные компоненты и подсистемы брандмауэра:

1. Физические интерфейсы, обеспечивающие подключение контролируемой сети с внешними сетями (например, Интернет).
2. Правила доступа (Access Control Rules) — незаменимый компонент межсетевого экрана, определяющий, какой сетевой трафик пропускать через устройство, а какой — блокировать. Правила основываются на IP-адресах, портах, протоколах, подсистемах, стороннем ПО, контролируемых устройствах, пользователях и группах пользователей.
3. Инспекция пакетов и контроль состояния (Stateful Packet Inspection). Более глубокий механизм проверки, позволяющий отслеживать установление и завершение соединений, обеспечивая безопасность и предотвращая несанкционированный доступ.
4. Преобразование сетевых адресов (Network Address Translation, NAT). Межсетевой экран скрывает сетевую инфраструктуру защищаемой сети за общим внешним IP-адресом, преобразовывая адреса и порты, тем самым защищая от внешних атак.
5. Системы обнаружения и предотвращения вторжений (IDS/IPS). Некоторые межсетевые экраны включают в себя данные системы, проверяющий сетевой трафик на наличие подозрительной активности или попыток несанкционированного доступа. IDS/IPS помогают обнаруживать и блокировать потенциальные угрозы, дополняя функциональность межсетевого экрана. Имея актуальную базу сигнатур известных атак, а также модель трафика для «нормального поведения», система IDS/IPS способна обнаружить и блокировать неизвестные типы атак.
6. Поддержка создания виртуальных частных сетей (VPN). Межсетевые экраны средствами VPN обеспечивают установление безопасного соединения через непроверенную сеть, например, связь физически разнесенных филиалов организации через Интернет с целью защищенной передачи данных между ними, а также организует и поддерживает удаленный доступ сотрудников в контролируемую сеть.
7. Антивирусная фильтрация. NGFW контролирует поступающие из внешней сети файлы. Отдельные устройства применяют изолированные среды (песочницы) для более глубокого анализа файлов.
8. Веб-фильтрация. Межсетевые экраны не пропускают трафик между контролируемой сетью и сайтом, находящимся в базе нелегитимных сайтов, которая регулярно пополняется вендором.
9. Контроль приложений. Брандмауэр проводит глубокий анализ сетевого трафика для выявления и блокирования популярных протоколов приложений.

Одной из наиболее важных тенденций в развитии технологии NGFW является интеграция межсетевых экранов и искусственного интеллекта, а также машинное обучение файрволлов. Эти передовые технологии позволяют брандмауэрам анализировать огромные объемы данных и выявлять закономерности, которые могут указывать на потенциальные угрозы. Благодаря использованию искусственного интеллекта и машинного обучения межсетевые экраны нового поколения смогут более активно выявлять и блокировать начавшуюся атаку, а не просто реагировать на известные угрозы по мере их возникновения. Ожидается, что данные методы позволят организациям оставаться на шаг впереди злоумышленников.

Еще одним ключевым моментом в успешном будущем NGFW является растущая популярность облачных решений. Поскольку все больше организаций переносят свои данные и приложения в облако, крайне важно, чтобы для защиты этих новых сред применялись передовые методы. Облачные NGFW предлагают несколько преимуществ по сравнению с традиционными сетевыми решениями, включая большую масштабируемость, гибкость и эффективность с точки зрения оптимизации финансовых затрат. Кроме того, облачные межсетевые экраны могут обеспечить централизованное управление и прозрачность всей сети организации, что упрощает выявление угроз и реагирование на них.

Еще одним важным вектором развития NGFW является рост популярности интернета вещей (IoT). Для защиты таких устройств от возможных кибератак NGFW должны иметь возможность идентифицировать устройства IoT, а также данные, которые они генерируют и передают. От специалистов в области ИБ в ближайшее время потребуется разработка новых протоколов и стандартов безопасности, а также интеграции аналитики угроз, специфичной для интернета вещей, в решения NGFW.

Дополнительно хочется отметить, что уже сейчас мы можем наблюдать ключевую роль, которую играют межсетевые экраны нового поколения при внедрении моделей безопасности с нулевым доверием, поскольку такие устройства будут отвечать за обеспечение детального контроля доступа и постоянный мониторинг сетевого трафика на предмет признаков вредоносной активности.

Наконец, будущее технологии межсетевых экранов следующего поколения также будет определяться развитием передовых возможностей анализа угроз и ростом производительности устройств. Включив данные об угрозах в режиме реального времени в свои процессы принятия решений, NGFW могут стать еще более эффективными в выявлении и блокировании возникающих угроз.

Ideco UTM — российский межсетевой экран нового поколения, предназначенный для защиты сети от внешних угроз и кибератак.

Ideco UTM предоставляет пользователям ряд важных функциональных возможностей:

• фильтрация сетевого трафика, межсетевое экранирование и межсетевое экранирование веб-приложений (WAF);
• система обнаружения и предотвращения вторжений (IDS/IPS);
• контроль приложений и глубокий анализ сетевых пакетов (DPI);
• статическая и динамическая маршрутизация (OSPF и BGP);
• поддержка сетевых служб (DNS, DHCP, NTP, балансировка и резервирование канала, шейпер трафика и квотирование);
• антивирусная проверка файлов на базе антивирусов Лаборатории Касперского и ClamAV;
• блокировка анонимайзеров, антиспам, антишпион;
• защита от бот-сетей и фишинга;
• отказоустойчивость (Active-Passive кластеризация и резервное копирование);
• бесплатное централизованное управление (Ideco Center);
• управление пользователями (интеграция с LDAP, ведение локальной базы данных пользователей), поддержка механизмов авторизации (IP, MAC, Kerberos, Web, агент, подсеть);
• генерация подробных отчетов по пользователям и группам пользователей с возможностью интеграции со сторонними сервисами (Syslog, Zabbix, SNMP, SIEM);
• встроенный VPN Site-to-Site (для обеспечения прозрачной связи между сетями) и VPN Client-to-Site (для подключения удаленных пользователей к ресурсам локальной сети) с поддержкой популярных протоколов IKEv2/IPSec, SSTP, L2TP/IPsec, WireGuard и PPTP и двухфакторной аутентификацией по SMS и TOTP.

Важным преимуществом Ideco UTM является высокая скорость развертывания, а также простота настройки. Можно сказать, что Ideco UTM — это средство защиты информации, работающее «из коробки» и имеющее большой набор преднастроенных параметров.

Также мы с радостью хотим представить нашу новую версию файрволла Ideco UTM VPP, отличающуюся высокой пропускной способностью фильтрации сетевого трафика и поиска уязвимостей, что станет серьезным конкурентом для NGFW-решений.