Потоковый антивирус что это
Мы продолжаем цикл статей, посвященных тематике комплексной ИТ- интеграции.
И сегодня мы хотим поговорить об одной из отечественных разработок, которую мы как интеграторы можем предложить нашим заказчикам для решения задачи обеспечения безопасности периметра сети. Особенно это актуально в условиях секционной политики и требований импортозамещения.
Введение санкций стало вызовом, в том числе, для инженеров, которые получили сертификацию, огромную базу знаний по решениям иностранных вендоров, но в какой-то момент были вынуждены оперативно перестроиться на «новую волну», фактически многое начав заново.
На новый уровень пришлось выйти и отечественным разработчикам, чтобы в кратчайшие сроки предложить достойную альтернативу лидерам IT-решений. Сейчас уже можно сказать, что получается у них довольно неплохо. Перейдем к конкретному примеру, а именно -межсетевому экрануUserGate. Кратко рассмотрим, какие задачи он позволяетт нам решать, и какой в него заложен потенциал для развития.
Итак, давайте поговорим о том, что же предлагает UserGate из функционала, и в каких сферах может быть применен.
Рисунок 1 – Функционал межсетевых экранов UserGate
Рисунок 2 – Сферы применения межсетевых экранов UserGate
Разработчики очень много времени внимания уделили созданию собственной платформы, которая не опирается на использование чужого исходного кода и сторонних модулей. UserGate работает на базе специально созданной и постоянно поддерживаемой и развивающейся операционной системы UG OS.
По сути, UserGate представляет собой универсальный интернет-шлюз класса Unified Threat Management (единая защита от угроз), объединяющий функционал межсетевого экрана, маршрутизатора, шлюзового антивируса, системы обнаружения и предотвращения вторжений (СОВ), VPN-сервера, системы контентной фильтрации, модуля мониторинга и статистики и многое другое. Продукт позволяет управлять сетью компании, оптимизировать используемый ею трафик и эффективно предотвращать интернет-угрозы.
Рассмотрим подробнее, что может предложить UserGate в плане функционала безопасности сети и защиты от сетевых угроз.
Межсетевое экранирование
Встроенный в UserGate межсетевой экран нового поколения (NGFW — Next Generation Firewall) фильтрует трафик, проходящий через определенные протоколы (например, TCP, UDP, IP), тем самым обеспечивая защиту сети от хакерских атак и разнообразных типов вторжений, основанных на использовании данных протоколов.
Обнаружение и предотвращение вторжений
Система обнаружения и предотвращения вторжений (СОВ) позволяет распознавать вредоносную активность внутри сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз в режиме реального времени, а также предоставление отчетов. Администратор может создавать различные СОВ-профили (наборы сигнатур, релевантных для защиты определенных сервисов) и задавать правила СОВ, определяющие действия для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями.
Антивирусная проверка трафика
Потоковый антивирус UserGate позволяет обеспечить антивирусную проверку трафика без ущерба для производительности и быстродействия сети. По заявлению вендора модуль использует обширную базу сигнатур, которая постоянно обновляется. В качестве дополнительной защиты можно подключить модуль эвристического анализа.
Проверка почтового трафика
UserGate способен обрабатывать транзитный почтовый трафик (SMTP(S), POP3(S)), анализируя его источник, а также содержание письма и вложений, что гарантирует надежную защиту от спама, вирусов, pharming- и phishing- атак. UserGate также предоставляет возможность гибкой настройки фильтрации почтового трафика по группам пользователей.
Работа с внешними системами безопасности
Управление АСУ ТП
В новой версии платформы появилась возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП) и управления ей. Администратор может контролировать трафик, настроив правила обнаружения, блокировки и журналирования событий. Это позволяет автоматизировать основные операции технологического процесса, сохраняя при этом возможность контроля и вмешательства человека при необходимости.
Настройка политик безопасности при помощи сценариев
UserGate позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря автоматизации безопасности при помощи механизма сценариев (SOAR — Security Orchestration, Automation and Response). Эта концепция находится на пике популярности и позволяет администратору создавать сценарии (запускаемые по плану или при обнаружении атаки), где прописываются автоматические действия в ответ на те или иные события. Такой подход обеспечивает гибкую настройку политик безопасности, сокращает участие человека благодаря автоматизации повторяющихся задач, а также дает возможность приоритезировать сценарии для скорейшей реакции на критичные угрозы.
А теперь посмотрим, какие технологии предлагает UserGate для обеспечения решения задач отказоустойчивости и надёжности.
Поддержка кластеризации и отказоустойчивости
UserGate поддерживает 2 типа кластеров: кластер конфигурации, позволяющий задать единые настройки узлам в рамках кластера, и кластер отказоустойчивости, призванный обеспечить бесперебойную работу сети. Кластер отказоустойчивости может работать в двух режимах: Актив-Актив и Актив-Пассив. Оба поддерживают синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другие.
Поддержка нескольких провайдеров
При подключении системы к нескольким провайдерам UserGate позволяет настроить для каждого из них свой шлюз для обеспечения доступа к интернету. Администратор также может скорректировать балансировку трафика между провайдерами, указав вес каждого шлюза, или указать один из шлюзов как основной с переключением на других провайдеров в случае недоступности основного шлюза.
Управление пропускной способностью
Правила управления пропускной способностью служат для ограничения канала для определенных пользователей, хостов, сервисов или приложений. Кроме всего прочего, в продуктах UserGate реализован довольно широкий функционал маршрутизации трафика и публикации локальных ресурсов.
В принципе, ничего инновационного, но для того, чтобы инженеры заказчика чувствовали себя относительно спокойно, этих технологий вполне достаточно.
Управление трафиком и контроль доступа в интернет
Если есть доступ в интернет, есть и задача контроля трафика. Еще не так давно большинство корпоративных клиентов было заинтересовано прежде всего в минимизации расходов на доступ в интернет (особенно это касалось небольших фирм) и безопасности (эту задачу давно с успехом решает всевозможное антивирусное ПО). Сегодня все больше внимания уделяется тому, как сотрудники используют Сеть и как сделать так, чтобы их действия не угрожали безопасности бизнес критичных сервисов.
Применение модуля интернет-фильтрации обеспечивает административный контроль за использованием интернета и блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой. Для анализа безопасности ресурсов, запрашиваемых пользователями, используются репутационные сервисы, MIME-типы контента (фото, видео, тексты и др.), специальные морфологические словари, предоставляемые UserGate, а также черные и белые списки URL. С помощью Useragent администратор может запретить или разрешить работу с определенным типом браузеров. UserGate предоставляет возможность создавать собственные черные и белые списки, словари, MIME-типы, морфологические словари и Useragent, применяя их к пользователям и группам пользователей. Даже безопасные сайты могут содержать нежелательные изображения на баннерах, содержимое которых не зависит от владельца ресурса. UserGate решает эту проблему, блокируя баннеры, защищая пользователей от негативного контента. У UserGate, есть, на наш, очень интересная функция инжектирования кода на web-страницы. Она позволяет вставить необходимый код во все web-страницы, которые просматривает пользователь. Далее администратор может получать различные метрики на каждый элемент страницы и при необходимости скрывать различные элементы от показа на web-страницах.
UserGate помогает принудительно активировать функцию безопасного поиска для систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube. С помощью такой защиты возможно добиться высокой эффективности, например, при фильтрации откликов на запросы по графическому или видеоконтенту. Также можно заблокировать поисковые системы, в которых не реализована функция безопасного поиска. Кроме того, у администраторов есть инструментарий для блокировки игр и приложений в наиболее популярных социальных сетях, при том, что доступ к самим социальным сетям может быть разрешен.
Платформа поддерживает различные механизмы авторизации пользователей: Captive-портал, Kerberos, NTLM, при этом учетные записи могут поступать из различных источников — LDAP, Active directory, FreeIPA, TACACS+, Radius, SAML IDP. Авторизация SAML IDP, Kerberos или NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) подключить пользователей домена Active Directory. Администратор может настроить правила безопасности, ширину канала, правила межсетевого экранирования, контентной фильтрации и контроля приложений для отдельных пользователей, групп пользователей, а также всех известных или неизвестных пользователей. Дополнительно к этому продукт поддерживает применение правил безопасности к пользователям терминальных служб с помощью специальных агентов (Terminal Services Agents), а также применение агента авторизации для Windows-платформ. Для обеспечения большей безопасности учетных записей существует возможность использовать мультифакторную аутентификацию с помощью токенов TOTP (Time-based One Time Password Algorithm), SMS или электронной почты. Функционал предоставление временного доступа у сети может пригодиться для гостевого WiFi с подтверждением через email или sms. При этом администраторы могут создавать отдельные настройки безопасности для каждого временного клиента.
Заключение
В этой статье мы постарались кратко рассказать о том функционале, который реализован на платформе межсетевых экранов UserGate. Пока за скобками остались и технологии организации виртуальных сетей для геораспределной сети, и безопасный доступ пользователей к ресурсам компании и т.д.
Все эти темы, вплоть до примеров конфигураций различных технологий, запланированы в следующих статьях, посвященных платформе UserGate.
Сетевой экран действует как защита локального компьютера от вирусов, червей, троянских программ и хакерских атак.
Сетевой экран это программный (защитное решение) или аппаратный (физический маршрутизатор) элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.
Сетевые экраны сканируют каждый «пакет» данных (небольшие куски большого целого, уменьшенные по размеру для удобства передачи), чтобы убедиться, что в них не содержится вредоносных элементов.
Существует несколько принципов обработки поступающего трафика. Во-первых, сетевой экран может отображать все запросы на доступ к компьютеру из внешних сетей и анализировать запрашивающий сервис: есть ли у него известное доменное имя и интернет-адрес.
Сетевые экраны также могут полностью изучить каждый пакет входящих данных на наличие в нем строк кода, находящегося в черном списке.
Наконец, сетевые экраны могут оценивать пакеты на основе их сходства с другими пакетами, которые были недавно отправлены и получены.
Если пакеты находятся в рамках допустимых уровней сходства, они распознаются как разрешенные.
Что такое вредоносные программы с нулевым щелчком и как осуществляются атаки с нулевым щелчком?
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.
Продукты:
Преимущества
Идея сетевого экрана заимствована из концепции пожаротушения: файрвол (firewall -противопожарная стена) представляет собой барьер, созданный для предотвращения распространения огня.
Целью сетевого экрана тоже является блокировка всего, что может «сжечь» компьютер пользователя.
Без сетевых экранов не обходятся ни разработчики ПО, ни поставщики услуг по обеспечению безопасности.
Операционные системы Windows поставляются со встроенным сетевым экраном, и его, как правило, рекомендуется оставлять включенным.
Но в домашней сети для фильтрации сетевого трафика рекомендуется использовать аппаратное решение, такое как маршрутизатор.
Компании-разработчики защитного ПО обычно включают сетевые экраны в свои антивирусные решения.
Во многих случаях это сетевые экраны более высокой сложности, чем те, которые входят в состав базовой операционной системы.
В список стандартных функции сетевых экранов входят регистрация и создание отчетов об атаках (успешные или нет), а также уведомлениями в случае несанкционированного вторжения.
Технологии WEP, WPA, WPA2 и WPA3: что это и в чем их различия?
Статьи и ссылки по теме:
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Что такое цифровой след?
Что такое шифрование?
Недостатки
Среди потенциальных недостатков – замедление сетевого трафика, особенно если пакеты полностью анализируются на локальном компьютере пользователя.
Что такое ПНП?
Связаться с нами
Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
Сувенирный портал Lab Shop
Здесь вы можете приобрести сувенирные продукты с корпоративной символикой «Лаборатории Касперского».
Мы долго размышляли над тем, стоит ли писать данную статью, т.к. в ней нет ничего нового, чего нельзя было бы найти в сети Интернет. Однако, несмотря на такое обилие информации при работе с клиентами и партнерами мы довольно часто слышим одни и те же вопросы. Поэтому было решено написать некое введение в мир технологий Check Point и раскрыть суть архитектуры их решений. И все это в рамках одного “небольшого” поста, так сказать быстрый экскурс. Причем мы постараемся не вдаваться в маркетинговые войны, т.к. мы не вендор, а просто системный интегратор (хоть мы и очень любим Check Point) и просто рассмотрим основные моменты без их сравнения с другими производителями (таких как Palo Alto, Cisco, Fortinet и т.д.). Статья получилась довольно объемной, зато отсекает большую часть вопросов на этапе ознакомления с Check Point. Если вам это интересно, то добро пожаловать под кат…
UTM/NGFW
Начиная разговор о Check Point первое с чего стоить начать, так это с объяснения, что такое UTM, NGFW и чем они отличаются. Сделаем мы это весьма лаконично, дабы пост не получился слишком большим (возможно в будущем мы рассмотрим этот вопрос немного подробнее)
UTM — Unified Threat Management
Если коротко, то суть UTM — консолидация нескольких средств защиты в одном решении. Т.е. все в одной коробке или некий all inclusive. Что понимается под “несколько средств защиты”? Самый распространенный вариант это: Межсетевой экран, IPS, Proxy (URL фильтрация), потоковый Antivirus, Anti-Spam, VPN и так далее. Все это объединяется в рамках одного UTM решения, что проще с точки зрения интеграции, настройки, администрирования и мониторинга, а это в свою очередь положительно сказывается на общей защищенности сети. Когда UTM решения только появились, то их рассматривали исключительно для небольших компаний, т.к. UTM не справлялись с большими объемами трафика. Это было по двум причинам:
- Способ обработки пакетов. Первые версии UTM решений обрабатывали пакеты последовательно, каждым “модулем”. Пример: сначала пакет обрабатывается межсетевым экраном, затем IPS, потом его проверяет Антивирус и так далее. Естественно такой механизм вносил серьезные задержки в трафик и сильно расходовал ресурсы системы (процессор, память).
- Слабое “железо”. Как было сказано выше, последовательная обработка пакетов сильно отъедала ресурсы и “железо” тех времен (1995-2005) просто не справлялось с большим трафиком.
Ниже представлен знаменитый магический квадрант Гартнера для UTM решений за август 2016 года:
Не буду сильно комментировать данную картинку, просто скажу, что в верхнем правом углу находятся лидеры.
NGFW — Next Generation Firewall
Магический квадрант Гартнера для NGFW за май 2016:
UTM vs NGFW
Очень частый вопрос, что же лучше? Однозначного ответа тут нет и быть не может. Особенно если учитывать тот факт, что почти все современные UTM решения содержат функционал NGFW и большинство NGFW содержат функции присущие UTM (Antivirus, VPN, Anti-Bot и т.д.). Как всегда “дьявол кроется в мелочах”, поэтому в первую очередь нужно решить, что нужно конкретно Вам, определиться с бюджетом. На основе этих решений можно выбрать несколько вариантов. И все нужно однозначно тестировать, не веря маркетинговым материалам.
Мы в свою очередь в рамках нескольких статей попытаемся рассказать про Check Point, как его можно попробовать и что в принципе можно попробовать (практически весь функционал).
Три сущности Check Point
При работе с Check Point вы обязательно столкнетесь с тремя составляющими этого продукта:
- Security Gateway (SG) — собственно сам шлюз безопасности, который как правило ставится на периметр сети и выполняет функции межсетевого экрана, потокового антивируса, антибота, IPS и т.д.
- Security Management Server (SMS) — сервер управления шлюзами. Практически все настройки на шлюзе (SG) выполняются с помощью данного сервера. SMS также может выступать в качестве Лог-сервера и обрабатывать их встроенной системой анализа и корреляции событий — Smart Event (подобие SIEM для Check Point), но об этом чуть позже. SMS используется для централизованного управления несколькими шлюзами (кол-во шлюзов зависит от модели SMS, либо от лицензии), однако вы обязаны его использовать, даже если у вас всего один шлюз. Тут следует отметить, что Check Point одни из первых стали применять подобную централизованную систему управления, которая уже много лет подряд признается “золотым стандартом” по отчетам компании Gartner. Есть даже шутка: “Если у бы Cisco была нормальная система управления, то Check Point бы никогда не появился”.
- Smart Console — клиентская консоль для подключения к серверу управления (SMS). Как правило устанавливается на компьютер администратора. Через эту консоль осуществляются все изменения на сервере управления, а уже после этого можно применить настройки к шлюзам безопасности (Install Policy).
Говоря об операционной системе Check Point можно вспомнить сразу три: IPSO, SPLAT и GAIA.
- IPSO — операционная система компании Ipsilon Networks, которая принадлежала компании Nokia. В 2009 года Check Point купила этот бизнес. Больше не развивается.
- SPLAT — собственная разработка Check Point, основана на ядре RedHat. Больше не развивается.
- Gaia — актуальная операционная система от Check Point, которая появилась в результате слияния IPSO и SPLAT, вобрав в себя все самое лучшее. Появилась в 2012 году и продолжает активно развиваться.
Варианты исполнения (Check Point Appliance, Virtual machine, OpenSerever)
Здесь нет ничего удивительного, как и многие вендоры Check Point имеет несколько вариантов продукта:
-
Appliance — программно-аппаратное устройство, т.е. своя “железка”. Моделей очень много, которые отличаются по производительности, функционалу и исполнению (есть варианты для промышленных сетей).
Чуть выше мы уже обсудили что такое шлюз (SG) и сервер управления (SMS). Теперь обсудим варианты их внедрения. Есть два основных способа:
-
Standalone (SG+SMS) — вариант, когда и шлюз и сервер управления устанавливаются в рамках одного устройства (или виртуальной машины).
Такой вариант подходит когда у вас всего один шлюз, который слабо нагружен пользовательским трафиком. Этот вариант наиболее экономичен, т.к. нет необходимости покупать сервер управления (SMS). Однако при серьезной нагрузке шлюза вы можете получить “тормозящую” систему управления. Поэтому перед выбором Standalone решения лучше всего проконсультироваться или даже протестировать данный вариант.
Режимы работы (Bridge, Routed)
Шлюз безопасности (SG) может работать в двух основных режимах:
- Routed — самый распространенный вариант. В этом случае шлюз используется как L3 устройство и маршрутизирует трафик через себя, т.е. Check Point является шлюзом по умолчанию для защищаемой сети.
- Bridge — прозрачный режим. В этом случае шлюз устанавливается как обычный “мост” и пропускает через себя трафик на втором уровне (OSI). Такой вариант обычно применяется, когда нет возможности (или желания) изменить уже существующую инфраструктуру. Вам практически не придется менять топологию сети и не надо задумываться о смене IP — адресации.
Программные блейды (Check Point Software Blades)
Мы добрались чуть ли не до самой главной темы Check Point, которая вызывает больше всего вопросов у клиентов. Что такое эти “программные блейды”? Под блейдами подразумеваются определенные функции Check Point.
Данные функции могут включаться или выключаться в зависимости от нужд. При этом есть блейды которые активируются исключительно на шлюзе (Network Security) и только на сервере управления (Management). На картинках ниже приведены примеры для обоих случаев:
1) Для Network Security (функционал шлюза)
Опишем вкратце, т.к. каждый блейд заслуживает отдельной статьи.
- Firewall — функционал межсетевого экрана;
- IPSec VPN — построение частные виртуальных сетей;
- Mobile Access — удаленный доступ с мобильных устройств;
- IPS — система предотвращения вторжений;
- Anti-Bot — защита от ботнет сетей;
- AntiVirus — потоковый антивирус;
- AntiSpam & Email Security — защита корпоративной почты;
- Identity Awareness — интеграция со службой Active Directory;
- Monitoring — мониторинг практически всех параметров шлюза (load, bandwidth, VPN статус и т.д.)
- Application Control — межсетевой экран уровня приложений (функционал NGFW);
- URL Filtering — безопасность Web (+функционал proxy);
- Data Loss Prevention — защита от утечек информации (DLP);
- Threat Emulation — технология песочниц (SandBox);
- Threat Extraction — технология очистки файлов;
- QoS — приоритезация трафика.
2) Для Management (функционал сервера управления)
- Network Policy Management — централизованное управление политиками;
- Endpoint Policy Management — централизованное управление агентами Check Point (да, Check Point производит решения не только для сетевой защиты, но и для защиты рабочих станций (ПК) и смартфонов);
- Logging & Status — централизованный сбор и обработка логов;
- Management Portal — управление безопасностью из браузера;
- Workflow — контроль над изменением политик, аудит изменений и т.д.;
- User Directory — интеграция с LDAP;
- Provisioning — автоматизация управления шлюзами;
- Smart Reporter — система отчетности;
- Smart Event — анализ и корреляция событий (SIEM);
- Compliance — автоматическая проверка настроек и выдача рекомендаций.
Архитектура блейдов позволяет использовать только действительно нужные функции, что сказывается на бюджете решения и общей производительности устройства. Логично, что чем больше блейдов вы активируете, тем меньше трафика можно “прогнать”. Именно поэтому к каждой модели Check Point прилагается следующая таблица производительности (для примера взяли характеристики модели 5400):
Как видите здесь приводятся две категории тестов: на синтетическом трафике и на реальном — смешанном. Вообще говоря, Check Point просто вынужден публиковать синтетические тесты, т.к. некоторые вендоры используют подобные тесты как эталонные, не исследуя производительность своих решений на реальном трафике (либо намеренно скрывают подобные данные ввиду их неудовлетворительности).
В каждом типе теста можно заметить несколько вариантов:
- тест только для Firewall;
- тест Firewall+IPS;
- тест Firewall+IPS+NGFW (Application control);
- тест Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (песочница)
Думаю на этом можно закончить вводную статью, посвященную технологиям Check Point. Далее мы рассмотрим, как можно протестировать Check Point и как бороться с современными угрозами информационной безопасности (вирусы, фишинг, шифровальщики, zero-day).
Если вы хотите подробнее ознакомиться с Check Point, научиться настраивать основные системные параметры, управлять политиками безопасности и еще многому другому, нажмите сюда.
P.S. Важный момент. Несмотря на зарубежное (израильское) происхождение, решение имеет сертификацию в РФ в надзорных органах, что автоматом легализует их наличие в гос.учреждениях (комментарий by Denyemall).
Эта первая статья из планируемого цикла статей о продукции отечественной компании UserGate (ООО «Юзергейт»), которая разрабатывает технологии, обеспечивающие безопасность доступа в интернет и управление пользователями и улучшению качества интернет-доступа. Основной офис UserGate находится в Технопарке Академгородка Новосибирска, также имеются офисы в Москве и Хабаровске, что позволяет им осуществлять деятельность во всех часовых поясах России. Но сначала мы немного расскажем об истории развития данной компании:
Российская компания ООО «Юзергейт», выпускающая решения в области информационной безопасности, долгое время работала под брендом Entensys. Они создавали продукты предназначенные в основном для малого и среднего бизнеса под операционную систему Windows. Далее в рамках внутреннего стартапа началась разработка новой платформы UGOS (usergate operation system). В 2013 году на основе UGOS был выпущен популярный продукт UserGate Web Filter, который стал использоваться крупнейшими операторами связи и провайдерами публичного Wi-Fi-доступа, высшими и средними образовательными учреждениями. В 2016 году выпущен UserGate UTM – это была уже система все-в-одном, т.е. комплексная защита. Уже в 2018 году началась разработка собственных аппаратных платформ.
Таким образом развитие компании разделяется на три этапа представленных ниже:
В настоящее время UserGate стал решением Next Generation Firewall и конкурирует с зарубежными аналогами, такими как Check Point, Fortinet, Cisco и другими.
Теперь подробнее о межсетевом экране UserGate:
Межсетевые экраны UserGate разработаны на базе собственной операционной системы UGOS и поставляются либо в виде виртуального образа, либо как готовый к использованию программно-аппаратный комплекс. Актуальной версией является UserGate 5.x. В текущем 2020 году компания планирует выпустить новую версию UserGate v.6, где подготавливается около 200+ новых функций. Также рассчитывают выпустить Usergate Management Center для централизованного управления всеми платформами UserGate без потери целостности управления (пока платформа управляется через web-интерфейс и CLI, аппаратные платформы UserGate UTM модели D, E и F оснащены модулем IPMI (Intelligent Platform Management Interface), предлагают удаленное управление и мониторинг аппаратной части). В этом году (2020) уже выпущен продукт Log Analyzer (далее LogAn) позволяющей переложить обработку журналов, создание отчетов и процессинг других статистических данных на внешний сервер LogAn, объединить журналы с нескольких шлюзов UserGate для общего анализа, увеличить глубину журналирования за счет большего размера хранилища на серверах LogAn, собирать по SNMP и анализировать информацию со сторонних устройств. LogAn поставляется в виде программно-аппаратного комплекса (ПАК, appliance) либо в виде образа виртуальной машины (virtual appliance), предназначенного для развертывания в виртуальной среде.
Планируется запуск аппаратного ускорителя «Катунь» для платформ D, E и F (подробнее о линейке платформ ниже). Основное назначение ускорителя — это выполнение наиболее ресурсозатратных операций, связанных с анализом интернет-трафика, с отражением вторжений и другими функциями безопасности. Данный ускоритель позволит разгрузить основную систему. По информации с сайта UserGate за процессором могут оставаться задачи управления и какие-либо части алгоритма, имеющие ветвления и не поддающиеся распараллеливанию.
Использование аппаратных ускорителей дает массу очевидных преимуществ, среди которых:
- масштабируемость — суммарная мощность системы определяется количеством установленных однородных плат — такое решение значительно выгоднее, чем набор разнородных платформ;
- нет требований к предельно высокой производительности CPU, т. к. основная «тяжелая» работа будет перенесена на ускорители;
- лучшие (по сравнению с платформами на закрытой архитектуре) гарантии безопасности;
- полный контроль (в отличие от «классической» системы) над латентностью;
- низкое энергопотребление и тепловыделение, что особенно важно для центров обработки данных;
- уменьшение габаритов;
- снижение стоимости оборудования, способного обеспечивать обработку трафика на высоких скоростях.
UserGate Серия C.Данная серия представлена моделью C100. Этот шлюз подойдет для малого бизнеса, филиалов, POS-систем, ритейла, предприятий образования из-за своих малых размеров и цены.
Производительность:
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 2 000 |
Одновременных TCP сессий | 2 000 000 |
Новых сессий в секунду | 34 000 |
Инспектирование SSL (Мбит/с) | 70 |
Система обнаружения вторжений (IPS), (Мбит/с) | 800 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 1 000 |
Управление приложениями L7, (Мбит/с) | 850 |
Потоковый антивирус, (Мбит/с) | 200 |
Контентная фильтрация, (Мбит/с) | 200 |
Рекомендованное количество пользователей | до 100 |
Производительность:
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 800 |
Одновременных TCP сессий | 2 000 000 |
Новых сессий в секунду | 10 000 |
Инспектирование SSL (Мбит/с) | 10 |
Система обнаружения вторжений (IPS), (Мбит/с) | 50 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 70 |
Управление приложениями L7, (Мбит/с) | 60 |
Потоковый антивирус, (Мбит/с) | 15 |
Контентная фильтрация, (Мбит/с) | 15 |
Рекомендованное количество пользователей | до 5 |
UserGate серия D представлена двумя моделями D200 и D500. Данные модели отличаются производительностью, способными обеспечить безопасность предприятий небольшого и среднего размера с несколькими сотнями пользователей (для среднего бизнеса, предприятий образования, медицины, государственных структур и крупных филиалов).
Производительность:
Модель | D200 | D500 |
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 18 000 | 20 000 |
Одновременных TCP сессий | 8 000 000 | 16 000 000 |
Новых сессий в секунду | 145 000 | 160 000 |
Инспектирование SSL (Мбит/с) | 400 | 750 |
Система обнаружения вторжений (IPS), (Мбит/с) | 1 600 | 2 000 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 2 000 | 3 000 |
Управление приложениями L7, (Мбит/с) | 1 700 | 2 100 |
Потоковый антивирус, (Мбит/с) | 1 500 | 2 000 |
Контентная фильтрация, (Мбит/с) | 1 500 | 2 000 |
Рекомендованное количество пользователей | до 300 | до 500 |
UserGate серия E представлена двумя моделями E1000, E3000 и способна решать задачи по защите от всевозможных интернет-угроз в сетях с количеством пользователей до тысячи и более. Данная серия предназначается для использования в основном для крупных банков и заводов, администраций, ведомственных подразделений, крупных образовательных учреждений.
Производительность:
Модель | E1000 | E3000 |
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 25 000 | 30 000 |
Одновременных TCP сессий | 16 000 000 | 16 000 000 |
Новых сессий в секунду | 170 000 | 182 000 |
Инспектирование SSL (Мбит/с) | 1 000 | 1 300 |
Система обнаружения вторжений (IPS), (Мбит/с) | 2 800 | 3 900 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 3 900 | 4 800 |
Управление приложениями L7, (Мбит/с) | 2 800 | 3 900 |
Потоковый антивирус, (Мбит/с) | 2 300 | 3 300 |
Контентная фильтрация, (Мбит/с) | 2 300 | 3 300 |
Рекомендованное количество пользователей | до 1 000 | до 3 000 |
UserGate серия F. Данная серия представлена моделью F8000. Она подходит для крупных корпоративных сетей, ритейла, дата-центров, высших учебных заведений, министерств.
Производительность:
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 57 000 |
Одновременных TCP сессий | 48 000 000 |
Новых сессий в секунду | 448 500 |
Инспектирование SSL (Мбит/с) | 2 000 |
Система обнаружения вторжений (IPS), (Мбит/с) | 8 000 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 14 000 |
Управление приложениями L7, (Мбит/с) | 8 000 |
Потоковый антивирус, (Мбит/с) | 4 000 |
Контентная фильтрация, (Мбит/с) | 4 000 |
Рекомендованное количество пользователей | до 10 000 |
Межсетевой экран может быть развернут на виртуальной инфраструктуре. При этом поддерживается работа с любыми гипервизорами, такими как VMware, Hyper-V, Xen, KVM, OpensStack, VirtualBox, а также в облачных веб-сервисах, таких, как Amazon EC2 и Microsoft Azure. Функциональность эквивалентна той, что предоставляется аппаратными комплексами UserGate.
Платформа UserGate предоставляет многочисленные возможности по управлению функциями безопасности. Основные из них:
- расширенная защита от угроз – ATP;
- антивирусная защита;
- контроль интернет-приложений на уровне L7;
- безопасность электронной почты;
- корпоративный межсетевой экран;
- гостевой портал;
- использование в высоконагруженных системах;
- высокая отказоустойчивость и кластеризация;
- поддержка АСУ ТП (SCADA);
- наличие интернет-шлюза для контроля доступа в интернет;
- система обнаружения и предотвращения вторжений (IPS);
- контроль мобильных устройств;
- безопасная публикация ресурсов и сервисов;
- дешифрование SSL;
- анализ современных угроз (SOAR);
- контроль интернет трафика;
- идентификация пользователей;
- виртуальная частная сеть (VPN).
Ключевые факты
Если говорить о развитии платформы, то UserGate один из первых вендоров, который реализовал возможность инспектирования трафика TLS 1.3., также в июле 2020 года предоставил возможность расшифровывать TLS-трафик на уровне шлюза в случае использования алгоритмов, поддерживающих национальные стандарты ГОСТ. Эта возможность помимо стандартной SSL инспекции позволяет решать проблему, когда зарубежные браузеры и операционные системы не хотят принимать сертификаты, совместимые с ГОСТ.
Касательно требований законодательства РФ следует отметить, что на текущий момент Usergate удовлетворяет им и так как Usergate является отечественной компанией, то следует ожидать что межсетевые экраны будут удовлетворять им и в будущем. Например, UserGate сертифицированы ФСТЭК России (номер сертификата 3905 от 26.03.2018, действует до 26.03.2021) по требованиям к Межсетевым Экранам (4-й класс, профили А и Б) и к Системам Обнаружения Вторжений (4-й класс), а также по 4 уровню доверия.
Так же решение UserGate внесено Реестр Российского программного обеспечения (Регистрационный номер 1194). А в начале сентября продукт UserGate Log Analyzer добавлен в единый реестр российских программ для электронных вычислительных машин и баз данных по приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 31 августа 2020 года.
Более подробно найти информацию о линейке продуктов и о каждом ее элементе можно на странице UserGate странице UserGate , так же там подробно описаны основные функции на платформе UserGate. Документация по решениям . Базы знаний по отдельным кейсам . Видео-материалы по отдельным кейсам . Вебинары и другие на этом youtube-канале. Так же есть платные курсы от УЦ Информзащита — многофункциональный межсетевой экран UserGate 5 и многофункциональный межсетевой экран UserGate 5. Продвинутый курс .
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Ключевые факты
Если говорить о развитии платформы, то UserGate один из первых вендоров, который реализовал возможность инспектирования трафика TLS 1.3., также в июле 2020 года предоставил возможность расшифровывать TLS-трафик на уровне шлюза в случае использования алгоритмов, поддерживающих национальные стандарты ГОСТ. Эта возможность помимо стандартной SSL инспекции позволяет решать проблему, когда зарубежные браузеры и операционные системы не хотят принимать сертификаты, совместимые с ГОСТ.
Касательно требований законодательства РФ следует отметить, что на текущий момент Usergate удовлетворяет им и так как Usergate является отечественной компанией, то следует ожидать что межсетевые экраны будут удовлетворять им и в будущем. Например, UserGate сертифицированы ФСТЭК России (номер сертификата 3905 от 26.03.2018, действует до 26.03.2021) по требованиям к Межсетевым Экранам (4-й класс, профили А и Б) и к Системам Обнаружения Вторжений (4-й класс), а также по 4 уровню доверия.
Так же решение UserGate внесено Реестр Российского программного обеспечения (Регистрационный номер 1194). А в начале сентября продукт UserGate Log Analyzer добавлен в единый реестр российских программ для электронных вычислительных машин и баз данных по приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 31 августа 2020 года.
Более подробно найти информацию о линейке продуктов и о каждом ее элементе можно на странице UserGate странице UserGate, так же там подробно описаны основные функции на платформе UserGate. Документация по решениям. Базы знаний по отдельным кейсам. Видео-материалы по отдельным кейсам. Вебинары и другие на этом youtube-канале. Так же есть платные курсы от УЦ Информзащита — многофункциональный межсетевой экран UserGate 5 и многофункциональный межсетевой экран UserGate 5. Продвинутый курс.
Эта первая статья из планируемого цикла статей о продукции отечественной компании UserGate (ООО «Юзергейт»), которая разрабатывает технологии, обеспечивающие безопасность доступа в интернет и управление пользователями и улучшению качества интернет-доступа. Основной офис UserGate находится в Технопарке Академгородка Новосибирска, также имеются офисы в Москве и Хабаровске, что позволяет им осуществлять деятельность во всех часовых поясах России. Но сначала мы немного расскажем об истории развития данной компании:
Российская компания ООО «Юзергейт», выпускающая решения в области информационной безопасности, долгое время работала под брендом Entensys. Они создавали продукты предназначенные в основном для малого и среднего бизнеса под операционную систему Windows. Далее в рамках внутреннего стартапа началась разработка новой платформы UGOS (usergate operation system). В 2013 году на основе UGOS был выпущен популярный продукт UserGate Web Filter, который стал использоваться крупнейшими операторами связи и провайдерами публичного Wi-Fi-доступа, высшими и средними образовательными учреждениями. В 2016 году выпущен UserGate UTM – это была уже система все-в-одном, т.е. комплексная защита. Уже в 2018 году началась разработка собственных аппаратных платформ.
Таким образом развитие компании разделяется на три этапа представленных ниже:
В настоящее время UserGate стал решением Next Generation Firewall и конкурирует с зарубежными аналогами, такими как Check Point , Fortinet , Cisco и другими.
Теперь подробнее о межсетевом экране UserGate:
Межсетевые экраны UserGate разработаны на базе собственной операционной системы UGOS и поставляются либо в виде виртуального образа, либо как готовый к использованию программно-аппаратный комплекс. Актуальной версией является UserGate 5.x. В текущем 2020 году компания планирует выпустить новую версию UserGate v.6, где подготавливается около 200+ новых функций. Также рассчитывают выпустить Usergate Management Center для централизованного управления всеми платформами UserGate без потери целостности управления (пока платформа управляется через web-интерфейс и CLI, аппаратные платформы UserGate UTM модели D, E и F оснащены модулем IPMI (Intelligent Platform Management Interface), предлагают удаленное управление и мониторинг аппаратной части). В этом году (2020) уже выпущен продукт Log Analyzer (далее LogAn) позволяющей переложить обработку журналов, создание отчетов и процессинг других статистических данных на внешний сервер LogAn, объединить журналы с нескольких шлюзов UserGate для общего анализа, увеличить глубину журналирования за счет большего размера хранилища на серверах LogAn, собирать по SNMP и анализировать информацию со сторонних устройств. LogAn поставляется в виде программно-аппаратного комплекса (ПАК, appliance) либо в виде образа виртуальной машины (virtual appliance), предназначенного для развертывания в виртуальной среде.
Планируется запуск аппаратного ускорителя «Катунь» для платформ D, E и F (подробнее о линейке платформ ниже). Основное назначение ускорителя — это выполнение наиболее ресурсозатратных операций, связанных с анализом интернет-трафика, с отражением вторжений и другими функциями безопасности. Данный ускоритель позволит разгрузить основную систему. По информации с сайта UserGate за процессором могут оставаться задачи управления и какие-либо части алгоритма, имеющие ветвления и не поддающиеся распараллеливанию.
Использование аппаратных ускорителей дает массу очевидных преимуществ, среди которых:
- масштабируемость — суммарная мощность системы определяется количеством установленных однородных плат — такое решение значительно выгоднее, чем набор разнородных платформ;
- нет требований к предельно высокой производительности CPU, т. к. основная «тяжелая» работа будет перенесена на ускорители;
- лучшие (по сравнению с платформами на закрытой архитектуре) гарантии безопасности;
- полный контроль (в отличие от «классической» системы) над латентностью;
- низкое энергопотребление и тепловыделение, что особенно важно для центров обработки данных;
- уменьшение габаритов;
- снижение стоимости оборудования, способного обеспечивать обработку трафика на высоких скоростях.
UserGate Серия C.Данная серия представлена моделью C100. Этот шлюз подойдет для малого бизнеса, филиалов, POS-систем, ритейла, предприятий образования из-за своих малых размеров и цены.
Производительность:
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 2 000 |
Одновременных TCP сессий | 2 000 000 |
Новых сессий в секунду | 34 000 |
Инспектирование SSL (Мбит/с) | 70 |
Система обнаружения вторжений (IPS), (Мбит/с) | 800 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 1 000 |
Управление приложениями L7, (Мбит/с) | 850 |
Потоковый антивирус, (Мбит/с) | 200 |
Контентная фильтрация, (Мбит/с) | 200 |
Рекомендованное количество пользователей | до 100 |
Производительность:
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 800 |
Одновременных TCP сессий | 2 000 000 |
Новых сессий в секунду | 10 000 |
Инспектирование SSL (Мбит/с) | 10 |
Система обнаружения вторжений (IPS), (Мбит/с) | 50 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 70 |
Управление приложениями L7, (Мбит/с) | 60 |
Потоковый антивирус, (Мбит/с) | 15 |
Контентная фильтрация, (Мбит/с) | 15 |
Рекомендованное количество пользователей | до 5 |
UserGate серия D представлена двумя моделями D200 и D500. Данные модели отличаются производительностью, способными обеспечить безопасность предприятий небольшого и среднего размера с несколькими сотнями пользователей (для среднего бизнеса, предприятий образования, медицины, государственных структур и крупных филиалов).
Производительность:
Модель | D200 | D500 |
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 18 000 | 20 000 |
Одновременных TCP сессий | 8 000 000 | 16 000 000 |
Новых сессий в секунду | 145 000 | 160 000 |
Инспектирование SSL (Мбит/с) | 400 | 750 |
Система обнаружения вторжений (IPS), (Мбит/с) | 1 600 | 2 000 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 2 000 | 3 000 |
Управление приложениями L7, (Мбит/с) | 1 700 | 2 100 |
Потоковый антивирус, (Мбит/с) | 1 500 | 2 000 |
Контентная фильтрация, (Мбит/с) | 1 500 | 2 000 |
Рекомендованное количество пользователей | до 300 | до 500 |
UserGate серия E представлена двумя моделями E1000, E3000 и способна решать задачи по защите от всевозможных интернет-угроз в сетях с количеством пользователей до тысячи и более. Данная серия предназначается для использования в основном для крупных банков и заводов, администраций, ведомственных подразделений, крупных образовательных учреждений.
Производительность:
Модель | E1000 | E3000 |
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 25 000 | 30 000 |
Одновременных TCP сессий | 16 000 000 | 16 000 000 |
Новых сессий в секунду | 170 000 | 182 000 |
Инспектирование SSL (Мбит/с) | 1 000 | 1 300 |
Система обнаружения вторжений (IPS), (Мбит/с) | 2 800 | 3 900 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 3 900 | 4 800 |
Управление приложениями L7, (Мбит/с) | 2 800 | 3 900 |
Потоковый антивирус, (Мбит/с) | 2 300 | 3 300 |
Контентная фильтрация, (Мбит/с) | 2 300 | 3 300 |
Рекомендованное количество пользователей | до 1 000 | до 3 000 |
UserGate серия F. Данная серия представлена моделью F8000. Она подходит для крупных корпоративных сетей, ритейла, дата-центров, высших учебных заведений, министерств.
Производительность:
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 57 000 |
Одновременных TCP сессий | 48 000 000 |
Новых сессий в секунду | 448 500 |
Инспектирование SSL (Мбит/с) | 2 000 |
Система обнаружения вторжений (IPS), (Мбит/с) | 8 000 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 14 000 |
Управление приложениями L7, (Мбит/с) | 8 000 |
Потоковый антивирус, (Мбит/с) | 4 000 |
Контентная фильтрация, (Мбит/с) | 4 000 |
Рекомендованное количество пользователей | до 10 000 |
Межсетевой экран может быть развернут на виртуальной инфраструктуре. При этом поддерживается работа с любыми гипервизорами, такими как VMware, Hyper-V, Xen, KVM, OpensStack, VirtualBox, а также в облачных веб-сервисах, таких, как Amazon EC2 и Microsoft Azure. Функциональность эквивалентна той, что предоставляется аппаратными комплексами UserGate.
Платформа UserGate предоставляет многочисленные возможности по управлению функциями безопасности. Основные из них:
- расширенная защита от угроз – ATP;
- антивирусная защита;
- контроль интернет-приложений на уровне L7;
- безопасность электронной почты;
- корпоративный межсетевой экран;
- гостевой портал;
- использование в высоконагруженных системах;
- высокая отказоустойчивость и кластеризация;
- поддержка АСУ ТП (SCADA);
- наличие интернет-шлюза для контроля доступа в интернет;
- система обнаружения и предотвращения вторжений (IPS);
- контроль мобильных устройств;
- безопасная публикация ресурсов и сервисов;
- дешифрование SSL;
- анализ современных угроз (SOAR);
- контроль интернет трафика;
- идентификация пользователей;
- виртуальная частная сеть (VPN).
Что такое сетевой экран?
Использование термина «сетевой экран» в IT-индустрии. Сетевой экран действует как защита локального компьютера от вирусов, червей, троянских программ и хакерских атак.
Избранные статьи
Читайте также: