Межсетевой экран Symantec нового поколения

Корпорация Symantec (http://www.symantec.com) представила семейство устройств Symantec Gateway Security 5400 нового поколения. В этом полнофункциональном аппаратно-программном комплексе масштаба предприятия органично объединены следующие основные функции:

• межсетевой экран с полным анализом трафика;
• модули обнаружения и предупреждения вторжений, основанные на выявлении аномалий протоколов и на анализе сигнатур;
• лучшие в своей области технологии защиты от вирусов;
• средства фильтрации Web-ресурсов на основе адресов URL;
• средства подавления спама;
• совместимая с протоколом IPsec технология виртуальных частных сетей (VPN) с быстродействующими аппаратными системами шифрования.

Высокое быстродействие аппаратуры достигается за счет применения производительных процессоров, портов Gigabit Ethernet, ускорителей шифрования стандарта 3DES с быстродействием до 610 Мбит/с, VPN-туннелирования, размещения на одном устройстве до восьми портов Ethernet. Все это позволяет незамедлительно реагировать на угрозы, не снижая общего быстродействия сети.

В состав семейства Symantec Gateway Security 5400 входят три модели высокопроизводительных устройств — 5420, 5440/5441 и 5460/5461, предназначенные для управления разным числом узлов — от 50 до 4500. Для больших сетей возможна кластеризация нескольких устройств с 4500 узлами. Все это позволяет применять данное решение на предприятиях разного размера с пропускной способностью сети от 200 Мбит/с до более 3,5 Гбит/с в кластеризованных конфигурациях.

Межсетевой экран (МСЭ) выполняет углубленную проверку пакетов, задерживает ошибочные пакеты и регистрирует их в журнале событий. Полный анализ трафика с детальным контролем входящих и исходящих данных проводится на основе политик, устанавливаемых системным администратором.

Если сеанс VPN активен, средства виртуальной частной сети, защищенной прокси-сервером, расшифровывают пакеты и вводят их в поток данных. Затем МСЭ проверяет сеанс и снова задерживает и регистрирует в журнале ошибочные пакеты. Интегрированные средства предупреждения и обнаружения вторжений блокируют пакеты, представляющие собой угрозу безопасности, и автоматически отправляют МСЭ уведомления об опасных сеансах, связанных с определенными IP-адресами. Это позволяет МСЭ блокировать сеансы, содержащие угрозы, или определенные IP-адреса, с которых такие угрозы могут исходить.

Далее МСЭ открывает и исследует пакеты протокола на уровне приложений. Эти пакеты проверяются на согласованность с соответствующими документами RFC и действующими командами. Снова задерживаются и регистрируются ошибочные пакеты. Если поступают пакеты HTTP, средства фильтрации Web-ресурсов сравнивают IP-адрес источника со списком запрещенных Web-сайтов. Запрещенные Web-материалы задерживаются и регистрируются в журнале.

Когда поступают пакеты HTTP, FTP или SMTP, сообщения и вложения пересылаются на антивирусный сканер, который также может активно блокировать почтовые сообщения по строке темы, имени, типу вложения и размеру сообщения. Обновленный механизм сканера повышает надежность обнаружения угроз, основанных на искажении протокола MIME. Для оперативного предупреждения и обнаружения вторжений в случае новых и неизвестных атак применяется гибридный механизм выявления аномалий протоколов, а также анализ сигнатур атак.

В случае обнаружения вируса выполняется лечение или удаление файла. Все обнаруженные вирусы регистрируются в журнале, а в сообщение электронной почты добавляется извещение о том, что вложение удалено из-за обнаруженного в нем вируса.

После прохождения всех этих проверок устройство позволяет пакету войти в сеть или выйти из нее. Такое сочетание технологий защиты позволяет блокировать вирусы, отражать атаки и комбинированные угрозы по всему периметру сети.

Новые описания вирусов, сигнатуры атак и списки фильтрации адресов URL автоматически доставляются с помощью службы Symantec LiveUpdate, позволяющей быстро и без усилий развертывать полученные ресурсы в масштабе предприятия. При необходимости системный администратор может выполнить развертывание вручную.

Интегрированные средства обеспечения высокой доступности и балансировки нагрузки расширяют возможности масштабирования устройств и устраняют потери времени при работе сети. После сбоев МСЭ и сеансы VPN автоматически восстанавливаются на другом компьютере с сохранением состояния.

Во всех устройствах серии 5400 предусмотрено автономное управление настройкой политик через защищенный Web-интерфейс. Кроме того, возможна интеграция с Symantec Management Console, что обеспечивает развитые возможности управления и подготовки отчетов. Подключаемый к консоли модуль Advanced Manager позволяет системным администраторам определять наборы правил и управлять политиками безопасности для сотен и даже тысяч устройств с одной консоли.

Дополнительный компонент Event Manager позволяет централизованно вести журналы, рассылать оповещения и готовить отчеты, как стандартные, так и настраиваемые пользователем. С его помощью можно получать оперативные обзоры трафика и тенденций в сфере безопасности даже в случае территориально распределенных предприятий. Event Manager работает с продуктами Symantec и рядом антивирусных программ других производителей.

Стандартное, предварительно загружаемое ПО Symantec Gateway Security содержит все функции, необходимые для обеспечения безопасности, однако часть этих функций лицензируется отдельно; таким образом, заказчик получает разносторонние возможности настройки в соответствии со специфическими требованиями своей организации. В частности, имеются функциональные надстройки для антивирусной защиты, фильтрации Web-ресурсов и дополнительных сеансов доступа "клиент-шлюз" к сетям VPN. В лицензию на ПО включено годичное обслуживание Gold Maintenance, в соответствии с которым предоставляется ряд услуг (в том числе поддержка по телефону, обновление данных, льготное обновление и опережающая замена), обеспечивающих бесперебойную работу информационной системы предприятия.