Интегрированная система защиты Check Point NGX

--> Дата: Фев 18, 2008 93

Сегодня Интернет обеспечивает, пожалуй, один из самых удобных, гибких и экономически эффективных способов взаимодействия компаний как со своими клиентами, так и с партнерами по бизнесу. Сеть позволяет предоставить контрагентам доступ к внутренним информационным ресурсам компании для скорейшего обмена критичными для бизнеса данными и вместе с тем организовать качественные каналы обмена любой информацией, будь то простые текстовые сообщения или интенсивные потоки аудио- или видеоданных. Однако Интернет также скрывает в себе множество угроз корпоративным ресурсам. И хотя большинство организаций уже используют межсетевые экраны для контроля и разграничения информационных потоков между внутренней информационной системой и внешними сетями, зачастую внутренняя политика безопасности разрешает множество входящих сервисов (в частности, Web, ftp, DNS, электронную почту и т. д.), трафику которых дозволено проходить через эти экраны. Таким образом, публичные серверы, будучи уязвимыми для хакерских атак, поскольку обычный межсетевой экран не может их защитить, могут стать площадкой для нападения на внутреннюю сеть.

Конечно, в настоящий момент на рынке существует множество разнообразных продуктов для организации эффективной системы защиты данных на всех основных направлениях, так что для охраны периметра корпоративной информационной системы, ее внутренней инфраструктуры и работающих вовне Web-приложений практически всегда можно подобрать что-то подходящее. Однако в подавляющем большинстве случаев для построения действительно надежной защиты придется приобрести несколько разных систем, по отдельности решающих свои собственные задачи, и даже используя решения одного поставщика, потребители зачастую получают набор практически не связанных между собой продуктов, каждый из которых защищает лишь свою узкую область. Очевидно, что управлять таким многообразием разрозненных продуктов не только сложно, но и дорого. Выход из сложившегося положения предлагает компания Check Point (http://www.checkpoint.com), ведущий поставщик систем защиты корпоративной информации. В мае 2005 г. она представила новое поколение интегрированной системы защиты — Check Point NGX, унифицированный инструмент управления всеми решениями, касающимися и защиты корпоративного периметра, и внутренней безопасности, и защиты Web-приложений.

Выпуск новой версии NGX — чрезвычайно важное событие, поскольку в этой версии было обновлено и улучшено более 20 основных компонентов. В их числе VPN-1 (шлюз для крупных предприятий), Check Point Express (решение для компаний до 500 человек), SmartCenter (графические утилиты администратора SmartConsole + сервер управления SmartCenter Server), SmartPortal (позволяет просматривать политики и журналы через Web-интерфейс), SmartView Monitor (показывает состояние устройств, различные счетчики), Eventia Reporter (средство для создания отчетов), SmartLSM (для управления сотнями шлюзов), Provider-1 (управление множеством политик с возможностью гибкого делегирования прав), Advanced Routing (протоколы маршрутизации RIP, OSPF, BGP), SSL Network Extender (обеспечивает защищенный канал для любого приложения через SSL), SecuRemote, SecureClient (защищенный доступ к корпоративным ресурсам с возможностями персонального МСЭ), UserAuthority (прозрачная аутентификация пользователей), SecureXL (существенный рост производительности на специализированных платформах) и Web Intelligence (расширяет возможности SmartDefense, ориентирована на защиту Web-серверов).

Кроме того, новый интегрированный центр управления SmartCenter NGX позволяет легко управлять шлюзами VPN-1 Edge, VSX и Firewall GX, используя единую консоль управления. Централизованное управление обеспечивает актуальные согласованные политики безопасности на всех устройствах, что исключительно важно, поскольку более половины брешей в защите связано с ошибками администрирования. При этом унифицированные решения снижают совокупную стоимость владения.

Архитектура Check Point NGX принципиально отличается от других, точечных продуктов, поскольку обеспечивает единые технологии для защиты всех участков сетевой инфраструктуры. Это позволяет администраторам единовременно обновлять все системы защиты периметра, внутри сети и Web.

В новой версии добавилась защита новых протоколов, например, LDAP injection. Но особое внимание было уделено протоколам VoIP. Эти протоколы становятся все более популярными, и Check Point обеспечивает их корректную работу с возможностями гибкой конфигурации. Например, для протокола MSN over SIP можно разрешить обмен текстовыми сообщениями, но запретить передачу файлов, разделение приложений. Безусловно, обеспечивается безопасность основных протоколов — H.323, SIP, Cisco SCCP (Skinny), MGCP. Это защита и от перехвата звонка, и от кражи звонков, сетевого взлома, DOS-атак.

Претерпела существенные изменения и схема работы с VPN. Теперь администратор может объединять несколько шлюзов в сообщества и создавать сложные защищенные сети буквально на лету. Поддержка протоколов динамической маршрутизации даже через VPN (RIP, OSPF, BGP) позволяет сочетать высокую защищенность VPN-сетей с гибкостью, масштабируемостью и надежностью традиционных IP-сетей. Из новинок можно выделить и постоянно установленные туннели, способствующие непрерывной связи, и VPN, основанные на маршрутизации. В этом случае VPN-туннели рассматриваются как обычные сетевые ресурсы, и трафик, подлежащий шифрованию, определяется динамически изменяемыми таблицами маршрутизации. Интересна возможность настроек безопасности для unicast- и multicast-трафика, поддержки протоколов маршрутизации IGMP, PIM.

Можно с уверенностью сказать, что благодаря всем нововведениям Check Point NGX обеспечивает максимальную защиту при наименьшей стоимости владения. Кроме того, новое решение Check Point задает высокую планку по интеграции межсетевого экрана с решениями, обеспечивающими превентивную защиту от атак. Можно полагать, что через некоторое время подобный подход станет стандартом де-факто, подобно технологии Stateful Inspection, разработанной Check Point.