Граница на замке
На рынке информационной безопасности, помимо программных средств, представлены и программно-аппаратные комплексы (ПАК), решающие хотя и частные, но крайне важные задачи. Такие комплексы предлагают все ведущие игроки в каждом из соответствующих сегментов. Наиболее популярны среди них такие классы оборудования, как межсетевые экраны, средства детектирования и предотвращения атак (IDS/IPS), средства предотвращения утечек информации (DLP-системы) и средства анализа и корреляции событий (SIEM).
Мы рассмотрим здесь один из этих классов – межсетевые экраны (брандмауэры, файрволлы). Эти решения, наряду со средствами защиты от вредоносного ПО, относятся к наиболее широко используемым инструментам обеспечения информационной безопасности – уровень их проникновения в организации составляет практически 100%.
Межсетевой экран представляет собой «комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами». Если программный межсетевой экран обычно выполняет только одну функцию, в то время как аппаратный комплекс часто решает широкий спектр дополнительных задач, включая создание туннелей для виртуальных частных сетей, очистку трафика от вредоносного кода, защиту от фишинга.
Рынок межсетевых экранов весьма обширен. На нижнем его полюсе располагаются персональные брандмауэры, которые обычно представляют собой часть ОС или программный модуль в прошивке клиентского устройства для доступа в Интернет либо входят в состав комплекса для защиты конечных точек (наряду с ПО для защиты от вредоносного ПО, спама, фишинга). Данный уровень мы не рассматриваем, поскольку это связанные решения, которые не образуют свободного рынка ПАК межсетевого экранирования.
Верхний же уровень занимают аппаратные межсетевые экраны корпоративного класса, которым и посвящен обзор. Данные устройства не требуют длительных пусконаладочных работ, а в ходе дальнейшей работы – существенных усилий по администрированию и техническому обслуживанию. В идеале сценарий их использования выглядит так: «включили, через 10 лет выключили и утилизировали».
От межсетевого экрана – к UTM
Аппаратные межсетевые экраны появились в первой половине 90-х гг., вместе с зарождением Интернета (чисто программные средства существовали и раньше). Но практически сразу они перестали ограничиваться одной только функцией межсетевого экранирования.
С середины 2000-х гг. процесс расширения функциональности систем ускорился. Это было вызвано изменившейся ситуацией с угрозами, в частности, множественными атаками класса DDoS и появлением сетевых «червей» с чрезвычайно высокой скоростью распространения (Slammer, MS Blast). Одновременно шли рост популярности портативных систем и расширение практики удаленной работы, что быстро привело к размыванию традиционного понятия периметра корпоративной сети и, соответственно, смене парадигмы модели его защиты. Задача обеспечения защищенного удаленного доступа стала актуальной для массы компаний, в том числе и относительно небольших, а не только крупных территориально распределенных корпораций.
Результатом стало появление нового класса оборудования Unified Threat Management (UTM) – средств единого управления угрозами, которые объединяют не только межсетевой экран, но и функции защиты от вредоносного ПО, модули предотвращения вторжений (включая DDoS-атаки), а также средства очистки Web- и почтового трафика от нежелательной рекламы и шпионских модулей. К слову, большая часть устройств, рассматриваемых в обзоре, позиционируются как UTM или фактически являются ими. Их отнесение к классу именно межсетевых экранов вызвано, по большей части, историческими причинами и наличием в них этой функции. Из-за такой универсальности UTM некоторые модели можно отнести к нескольких классам систем защиты.
Некоторые такие устройства, в частности, от компании Check Point, представляют собой кластеры из виртуальных машин, на каждой из которых установлен модуль, решающий ту или иную задачу. Важно, что для каждой из функций можно выбирать наилучшим образом себя зарекомендовавшие компоненты от разных вендоров. К примеру, в устройствах CheckPoint можно использовать средства контентной фильтрации не только собственной ее разработки, но и модуль от компании BlueCoat. Часто рекомендуется использовать два или несколько антивирусных движков от разных вендоров, что практически невозможно при традиционном сценарии развертывания чисто программных средств защиты конечных точек. Например, в устройствах от Entensys применяется три антивирусных движка: от «Лаборатории Касперского», Panda и Symantec.
На российском рынке представлены UTM-системы целого ряда компаний (перечислены в алфавитном порядке): Check Point, Cisco, Dell, Entensys, Fortinet, Juniper Networks, Netask, Sophos, WatchGuard, «А-Реал Консалтинг». Однако, по оценкам портала Anti-Malware.ru, популярность этого класса оборудования в нашей стране пока не слишком высока. Это связано с высокой стоимостью такого рода решений, традиционным недоверием к продукции иностранных поставщиков у многих категорий потенциальных потребителей, которое к тому же довольно долгое время сопровождалась сложностями с сертификацией, высоким уровнем затрат для вывода оборудования на рынок (локализация, обучение персонала, маркетинг).
В то же время ряд компаний, в частности, D-Link и ZyXEL, уже довольно давно продвигают более демократичные по цене устройства, рассчитанные на использование в малом и среднем бизнесе, но также позиционируемые как UTM.
Однако и среди систем младшего уровня есть немало комплексов, способных решать весьма широкий круг задач. Наиболее типична ситуация, когда ПАК межсетевого экранирования дополняются функциями создания VPN-тоннелей, средствами контентной фильтрации и очистки почтового и Web-трафика от вредоносного ПО и рекламы. Довольно распространено также оснащение таких комплексов средствами предотвращения атак.
Сегментация рынка
Как и для других сегментов рынка ИТ-оборудования и ПО, для ПАК межсетевого экранирования можно выделить несколько критериев, позволяющих провести внутреннюю сегментацию этих средств:
- количество и быстродействие сетевых портов и интерфейсов (медных, оптоволоконных);
- рекомендованное максимальное количество пользователей;
- быстродействие (с включенной и выключенной защитой);
- возможности расширения;
- форм-фактор;
- тип устройства (физическое или виртуальное);
- наличие дополнительных функций и условия их лицензирования.
Количество портов, сетевых интерфейсов разных типов и их быстродействие – важнейший параметр для любого оборудования, так или иначе ориентированного на использование в сетях, и ПАК межсетевого экранирования не исключение. Однако более важным признается максимальное рекомендуемое количество пользователей. Системы, где их число не превышает 50 (иногда 64) относят к начальному уровню (табл. 1), от 65 до 200 – к среднему (табл. 2). Системы с числом пользователей более 200 (как правило, это означает отсутствие ограничений вообще) – к старшему классу (табл. 3).
Таблица 1. ПАК межсетевого экранирования для сетей с числом клиентских рабочих мест 50 и менее
| Вендор | Модель | Производительность межсетевого экранирования, Мбит/с | Производительность VPN, Мбит/с | Число портов Ethernet | Исполнение | Дополнительная функциональность | Подключение дополн. устройств | Цена*, долл. |
|---|---|---|---|---|---|---|---|---|
| Cisco | ASA 5505 | 150 | 100 | 8 1/10 | Настольное | — | — | 525 |
| D-Link | NetDefend DFL-260E | 150 | 45 | 5 10/100/1000 | Стоечное, 1U | IDS/IPS, антивирус. защита, контентный фильтр | USB | 339 |
| ZyXEL | ZyWALL USG 50 | 225 | 90 | 4 10/100/1000 | Стоечное, 1U | IDS/IPS, антивирус. защита, контентный фильтр | USB | 550 |
| ZyXEL | ZyWALL USG 300 | 350 | 130 | 4 10/100/1000 | Стоечное, 1U | IDS/IPS, антивирус. защита, контентный фильтр | USB | 1800 |
| ZyXEL | ZyWALL USG 1000 | 400 | 180 | 4 10/100/1000 | Стоечное, 1U | IDS/IPS, антивирус. защита, контентный фильтр | USB | 2290 |
| Entensys | UserGate 50S Appliance/GPF1M0 | 1024 | н/д | 2 10/100/1000 | Настольное | IDS/IPS, антивирус. защита, контентный фильтр | н/д | 499 |
| Entensys | UserGate 50D Appliance/GPF3M0 | 1024 | н/д | 2 10/100/1000 | Настольное | IDS/IPS, антивирус. защита, контентный фильтр | н/д | 529 |
| Entensys | UserGate 50R Appliance/GPF4M0 | 1024 | н/д | 2 10/100/1000 | Стоечное, 1U | IDS/IPS, антивирус. защита, контентный фильтр | н/д | 715 |
| D-Link | NetDefend DFL-1660 | 1200 | 350 | 6 10/100/1000 | Стоечное, 1U | IDS/IPS, антивирус. защита, контентный фильтр | USB | 2990 |
| Check Point | IP Appliance 295 | 1500 | 1000 | 6/8 10/100/1000 | Стоечное, 1/2 стойки 1U | IPS, ANAC (Advanced Networking, Accelerating and Clustering) | — | 4990 |
| ZyXEL | ZyWALL USG 2000 | 2000 | 600 | 4 10/100/1000 | Стоечное, 1U | IDS/IPS, антивирус. защита, контентный фильтр | USB | 5400 |
| *Без учета опций и компонентов, требующих дополнительного лицензирования. | ||||||||
Таблица 2. ПАК межсетевого экранирования для сетей с числом клиентских рабочих мест от 50 до 200
| Вендор | Модель | Производительность межсетевого экранирования, Мбит/с | Производительность VPN, Мбит/с | Число портов Ethernet | Исполнение | Дополнительная функциональность | Цена*, долл. |
|---|---|---|---|---|---|---|---|
| McAfee | Firewall Enterprise S1104 | 750 | 250 | 4 10/100/1000 | Стоечное 1U | IDS/IPS, антивирус. защита, контентный фильтр, модуль шифрования ГОСТ | 1751 |
| Entensys | UserGate 100R Appliance/GPF9M0 | 1024 | н/д | 2 10/100/1000 | Стоечное 1U | IDS/IPS, антивирус. защита, контентный фильтр | 5500 |
| Check Point | IP Appliance IP395 | 2000 | 600 | 8 10/100/1000 | Стоечное 1U | IPS, ANAC (Advanced Networking, Accelerating and Clustering) | 3700 |
| D-Link | NetDefend 2560E | 2000 | 1000 | 10 10/100/1000 | Стоечное 1U | IDS/IPS, антивирус. защита, контентный фильтр | 970 |
| *Без учета опций и компонентов, требующих дополнительного лицензирования. | |||||||
Таблица 3. ПАК межсетевого экранирования без ограничения на число клиентских рабочих мест
| Вендор | Модель | Производительность межсетевого экранирования, Мбит/с | Производительность VPN, Мбит/с | Число портов Ethernet | Исполнение | Наличие слотов расширения | Наличие модулей с резервированием | Дополнительная функциональность |
|---|---|---|---|---|---|---|---|---|
| Cisco | ASA 5512-X | 1000 | 500 | 6 10/100/1000 | Стоечное, 1U | + | — | IPS, интеграция с сервисом Cisco SIO |
| Cisco | ASA 5515-X | 1200 | 600 | 6 10/100/1000 | Стоечное, 1U | + | + | IPS, интеграция с сервисом Cisco SIO |
| Cisco | ASA 5525-X | 2000 | 1000 | 8 10/100/1000 | Стоечное, 1U | + | + | IPS, интеграция с сервисом Cisco SIO |
| Cisco | ASA 5545-X | 3000 | 1500 | 8 10/100/1000 | Стоечное, 1U | + | + | IPS, интеграция с сервисом Cisco SIO |
| Cisco | ASA 5555-X | 4000 | 2000 | 8 10/100/1000 | Стоечное, 1U | + | + | IPS, интеграция с сервисом Cisco SIO |
| Stonesoft | FW-5000 | 4000 | 500 | 22 10/100/1000 | Стоечное, 3U | + | + | IPS, контентный фильтр, модуль шифрования ГОСТ |
| Check Point | IP Appliance 565 | 6300 | 1700 | 12 10/100/1000 | Стоечное, 1U | — | + * | IPS, ANAC |
| Check Point | Power-1 5075 | 9000 | 2400 | 14 10/100/1000 | Стоечное, 2U | — | + * | IPS, ANAC |
| Juniper Networks | NetScreen 5200 | 10000 | 5000 | 8 10/100/1000 | Стоечное, 2U | — | + | IPS, контентный фильтр |
| Stonesoft | FW-5100 | 10000 | 2000 | 18 10/100/1000 | Стоечное, 3U | + | + | IPS, контентный фильтр, модуль шифрования ГОСТ |
| Check Point | IP Appliance 695 | 11700 | 3300 | 16 10/100/1000 | Стоечное, 1U | — | + * | IPS, ANAC |
| McAfee | Enterprise Firewall S7032 | 12000 | 5000 | 64 10/100/1000 | Стоечное, 2U | + | + | IDS/IPS, антивирус. защита, контентный фильтр, модуль шифрования ГОСТ |
| Check Point | Power-1 11065 | 15000 | 3700 | 18 10/100/1000 | Стоечное, 2U | — | + * | IPS, ANAC |
| McAfee | Enterprise Firewall S6032 | 15000 | 6000 | 32 10/100/1000 | Стоечное, 2U | + | + | IDS/IPS, антивирус. защита, контентный фильтр, модуль шифрования ГОСТ |
| Check Point | IP Appliance 1285 | 15400 | 8300 | 28 10/100/1000 | Стоечное, 2U | — | + * | IPS, ANAC |
| Check Point | Power+1 9075 | 16000 | 3700 | 18 10/100/1000 | Стоечное, 2U | — | + * | IPS, ANAC |
| Check Point | Power-1 11075 | 20000 | 4000 | 18 10/100/1000 | Стоечное, 2U | — | + * | IPS, ANAC |
| Check Point | Power-1 11085 | 25000 | 4500 | 18 10/100/1000 | Стоечное, 2U | — | + * | IPS, ANAC |
| Stonesoft | FW-5105 | 25000 | 5000 | 18 10/100/1000 | Стоечное, 3U | + | + | IPS, контентный фильтр, модуль шифрования ГОСТ |
| Check Point | IP Aplliance 2455 | 29000 | 8300 | 32 10/100/1000 | Стоечное, 2U | — | + * | IPS, ANAC |
| Juniper Networks | NetScreen 5400 | 30000 | 15000 | 8 10/100/1000 | Стоечное, 4U | — | + | IPS, контентный фильтр |
| * Только для программных блейдов CheckPoint. SIO – Security Intelligence Operations. |
||||||||
Наиболее функциональные решения могут стоить десятки тысяч долларов. Причем установка и внедрение «тяжелых» решений представляет собой фактически интеграционный проект просто в силу масштабов сети, которую они призваны защищать. Тут одна только замена адресов на пользовательских рабочих местах становится довольно трудоемкой задачей, и еще не самой сложной. В итоге конечная цена оборудования может составлять относительно небольшую долю общего объема затрат на проект. Поэтому мы сочли нецелесообразным приводить цены на оборудование наиболее высокого класса.
Что касается быстродействия, то у ряда вендоров есть модели, формально не имеющие ограничений по количеству пользователей, но при этом с низким быстродействием. Естественно, относить эти модели к высшему уровню нельзя. В целом же для систем начального уровня быстродействие не превышает 1,5 Гбит/с, у всех систем среднего уровня, за исключением одной, оно находится в пределах 2–4 Гбит/с, старшего уровня – более 4 Гбит/с.
О принадлежности к младшему уровню устройств говорит и наличие одного порта WAN. Если WAN-порты поддерживают только медный интерфейс, это также однозначно указывает на младший уровень. Для устройств среднего уровня более характерны два порта WAN, причем поддерживаются одновременно медный и оптоволоконный интерфейсы. Оборудование высшего уровня может иметь и четыре порта WAN разных типов. Наличие дополнительных портов WAN, которые являются точками входа сетевого трафика, очень важно для обеспечения бесперебойной работы комплекса. Если такой порт всего один, то обеспечить автоматическое переключение на резервный канал связи в автоматическом режиме существенно сложнее, чем на устройствах, где их два или больше.
Кроме того, для бесперебойной работы комплекса в ПАК межсетевого экранирования (как и в серверном оборудовании или СХД) может быть предусмотрено горячее резервирование целого ряда модулей. Чаще всего это дополнительные блоки питания. В системах с блейд-архитектурой возможна замена и физических серверов-лезвий. Однако модули с горячей заменой – это особенность только наиболее дорогих систем высшего уровня.
Возможности расширения – тоже довольно важный параметр, но от класса оборудования он практически не зависит. Тем более что для разных классов возможности расширения различаются. Для устройств начального уровня не редкость возможность подключения дополнительных периферийных устройств по шине USB (например, когда для доступа в Интернет используется 3G/4G-модем или реализован коллективный доступ к внешнему жесткому диску, что превращает систему в аналог NAS, пусть и начального уровня). Поддержка USB, хоть и редко, встречается и в устройствах среднего уровня. Довольно распространено традиционное для ПК и серверов расширение в виде специальных плат, однако часто это реализуется в проприетарном форм-факторе, который несовместим с продукцией других вендоров.
Для устройств класса UTM возможность расширения понимается особенно широко. Это может быть и возможность установки новых физических лезвий, если архитектура системы это допускает, а также наличие резерва аппаратной мощности, который позволяет установить дополнительные виртуальные машины с теми или иными модулями, как новыми, так и дополнительно к тем, что уже инсталлированы.
По форм-фактору среди устройств, представленных на российском рынке, имеются как настольные (распространены среди оборудования начального уровня), так и предназначенные для монтажа в 42-дюйм шкафы-стойки. Смежным моментом является электропитание, которое бывает трех типов: постоянного тока 48 В (традиционно для телекоммуникационного оборудования), 220 В (обычная электросеть), 380 В (оборудование для монтажа в стойку).
Как было сказано выше, постепенно набирают популярность многофункциональные комплексы, или UTM, которые в одной коробке объединяют функциональность нескольких систем. В ряде UTM могут использоваться системы класса virtual appliance (виртуальный ПАК). Это преднастроенная виртуальная машина, предназначенная для функционирования в том или ином качестве, в том числе для межсетевого экранирования, но далеко не ограничиваясь им (табл. 4).
Таблица 4. Виртуальные ПАК
| Вендор | Название | Назначение |
|---|---|---|
| BlueCoat | ProxySG | Контентная фильтрация Web, оптимизация WAN-соединений |
| Check Point | Программный блейд Firewall | Межсетевое экранирование |
| Check Point | Программный блейд URL Filtering | Контентная фильтрация |
| Check Point | Программный блейд IPS | Предотвращение атак |
| Check Point | Программный блейд Web-security | Обеспечение защиты в Web-среде, включая атаки типа переполнение буфера |
| Check Point | Программный блейд Antivirus&Antimalware | Очистка трафика от вредоносного ПО |
| Check Point | Программный блейд IPsec VPN | Создание виртуальных частных сетей |
| Check Point | Программный блейд Anti-Spam & Email Security | Очистка почтового трафика от рекламы |
| Check Point | Программный блейд Voice over IP | Защита приложений VoIP |
| Check Point | Программный блейд Advanced Networking | Средства балансировки нагрузки сетевого трафика |
Что касается дополнительных функций, реализованных в ПАК разного уровня, то они перечислены в соответствующих таблицах. Однако надо иметь в виду, что далеко не всегда они в полной мере доступны для потребителей. И чем ниже класс устройств, тем выше вероятность того, что дополнительные функции потребуется дополнительно оплатить, а бесплатная эксплуатация возможна только ограниченное время (обычно 30 дней). Многое зависит и от политики конкретной компании-производителя. Часто бывает так, что все модули от сторонних разработчиков необходимо оплачивать дополнительно, даже если речь идет об оборудовании довольно высокого уровня. Особенно часто требуется подписка на модули защиты от вредоносного ПО и детектирования/предотвращения вторжений.
И наконец, важный момент – наличие российских сертификатов. Мы старались включить в обзор только те модели, которые сертифицированы как минимум ФСТЭК. Это позволяет применять их в качестве средства защиты систем, обрабатывающих персональные данные. Системы с шифрованием ГОСТ также имеют сертификат ФСБ.
Подробнее о структуре товарного предложения на российском рынке межсетевых экранов см. в статье «За огненной стеной», опубликованной в журнале «Бестселлеры IT-рынка», №1’2014.
Вернуться на главную страницу обзора «Аппаратные межсетевые экраны корпоративного класса»