NGFW – следующее поколение межсетевых экранов

Сегодня в нашей стране большое внимание ИТ-индустрии привлекают так называемые межсетевые экраны следующего поколения (Next Generation FireWall, NGFW). Причина тут не только в постоянном появлении новых и более опасных киберугроз, но и в уходе с российского рынка почти всех основных западных поставщиков NGFW, что ставит вопрос о необходимости создания отечественных решений.

Эволюция МСЭ

Межсетевой экран – это устройство для обеспечения безопасности компьютерной сети, которое ведет мониторинг входящего и исходящего трафика и в соответствии с применяемыми в организации политиками безопасности фильтрует его, блокируя определенную часть входящего трафика и пропуская остальной трафик в корпоративную сеть.

Первые межсетевые экраны появились в конце 80-х годов прошлого века. Это были самые простые фильтры пакетов, которые пропускали пакеты дальше либо блокировали их, проверяя только адрес отправителя в заголовке, но не содержание самого пакета. С тех пор технология межсетевых экранов намного усложнилась, но базовый принцип остался тем же: с их помощью организации внедряют политики ИБ на уровне своей корпоративной сети вместо того, чтобы внедрять эти политики на каждом устройстве, подключенном к этой сети.

Эволюцию технологий межсетевых экранов можно условно разбить на четыре этапа:

• простые фильтры пакетов;
• сервис прокси – сетевая система безопасности, фильтрующая сообщения на уровне приложений;
• Stateful Inspection – динамическая фильтрация пакетов, при которой мониторинг активных соединений позволяет определить, какие пакеты можно пропустить через межсетевой экран;
• Next Generation Firewall – углубленная (deep) инспекция пакетов на уровне приложений.

Функционал NGFW

В правильно сегментированной сети межсетевой экран обеспечит полностью безопасный (Zero Trust) доступ к устройствам, пользователям, группам, приложениям и системам. Межсетевые экраны выполняют разные функции обеспечения работы сети, включая динамическую маршрутизацию трафика, трансляцию сетевых адресов и обслуживание VPN.

В последние годы самой важной функцией сетевых экранов стало предотвращение киберугроз. Межсетевые экраны следующего поколения »заточены» на блокирование вредоносного ПО и кибератак на уровне приложений. Встроенная в них система предотвращения вторжений IPS (Intrusion Prevention System) – иногда ее называют Intrusion Detection and Prevention (IDP, система обнаружения и предотвращения вторжений) – позволяет организациям оперативно ликвидировать уязвимости в своей системе информационной безопасности, которые могла бы использовать только что обнаруженная киберугроза.

Межсетевые экраны NGFW обычно выполняют следующие функции:

• обнаружение/предотвращение вторжений (IPS/IDS);
• углубленная инспекция пакетов Stateful inspection – проверка пакетов в контексте, чтобы блокировать те из них, которые пришли по неавторизованному сетевому соединению;
• осведомленность и контроль приложений;
• сегментация сети;
• контроль доступа;
• осведомленность (awareness) о VPN – NGFW должен распознавать зашифрованный трафик VPN и пропускать его;
• внедрение принципов Zero Trust (нулевого доверия) при доступе к сетевым ресурсам;
• защита электронной почты от угроз;
• защита веб-ресурсов от угроз;
• предотвращение потерь данных (Data Loss Prevention, DLP);
• «песочница» (sandboxing) – изоляция подозрительного программного кода для его углубленной проверки на наличие угроз;
• оперативное обновление защиты по мере появления новых киберугроз.

Межсетевой экран NGFW может быть реализован как аппаратно в виде специализированного устройства, так и на уровне ПО, например, как дополнительный сервис облака. NGFW должен работать прозрачно и незаметно для конечных пользователей, поэтому в случае его аппаратной реализации оборудование устройства должно быть достаточно мощным, чтобы задержка, связанная с обработкой сетевого трафика, была минимальной.