Прокси сервер это межсетевой экран
Несанкционированный доступ к данным, хищения информации, нарушения в работе локальных сетей уже давно превратились в серьезные угрозы для бизнеса, деятельности общественных организаций и государственных органов.
Эффективным решением для защиты от этих угроз являются межсетевые экраны (МСЭ), или файерволы. Это программное обеспечение или аппаратно-программные продукты, предназначенные для блокировки нежелательного трафика.
Разрешение или запрет доступа межсетевым экраном осуществляется на основе заданных администратором параметров. В том числе могут использоваться следующие параметры и их комбинации:
- IP-адреса. При помощи Firewall можно предоставить или запретить получение пакетов с определенного адреса или задать перечень запрещенных и разрешенных IP-адресов.
- Доменные имена. Возможность установки запрета на пропуск трафика с определенных веб-сайтов.
- Порты. Задание перечня запрещенных и разрешенных портов позволяет регулировать доступ к определенным сервисам и приложениям. Например, заблокировав порт 80, можно запретить доступ пользователей к веб-сайтам.
- Протоколы. МСЭ может быть настроен таким образом, чтобы блокировать доступ трафика определенных протоколов.
Прокси против Брандмауэра - ключевые отличия
В этом разделе нашего сравнения Proxy и Firewall мы подчеркнем ключевые различия между ними. Это даст вам лучшее представление об этих двух аспектах.
- В общем, межсетевой экран в основном используется для блокировки потенциально опасного трафика, который может повредить вашу систему. Он играет роль барьера для входящего и исходящего трафика, связанного с сетями общего пользования. Однако когда речь идет о прокси-сервере, он работает как компонент брандмауэра. С помощью прокси-сервера он устанавливает соединение между клиентом и сервером. Если клиент безвреден и законен, он будет играть роль клиента и сервера одновременно.
- Межсетевые экраны предназначены для мониторинга IP-пакетов в сети передачи данных и соответствующей фильтрации. С другой стороны, прокси-сервер предназначен для фильтрации запросов, поступающих от установленных приложений. Вот почему прокси часто называют шлюзами приложений.
- В общем, издержки, связанные с брандмауэром, больше, если сравнивать его с прокси. Это особенно связано с тем, что прокси-серверы используют кэширование, чтобы максимально сократить использование ресурсов.
- Межсетевые экраны предназначены для использования данных сетевого и транспортного уровня для мониторинга обхода данных. Однако, когда речь идет о прокси, он также обрабатывает данные прикладного уровня.
Описание функциональности прокси-сервера
Как мы упоминали ранее, прокси-сервер может быть идентифицирован как элемент брандмауэра. Другими словами, и брандмауэр, и прокси-сервер должны работать совместно для обеспечения большей безопасности. Один только брандмауэр не является достаточно мощным, чтобы защитить сеть от всех потенциальных угроз. Это связано с тем, что он не может различать номера портов. В общем, прокси-серверы играют роль прокси и определяют, как проходит трафик для конкретного приложения. В этом случае он определяет URL-адреса.
Есть еще одно преимущество, связанное с прокси-серверами по сравнению с брандмауэрами. Когда прокси-сервер получает запрос, он развертывает кэширование. После получения запроса сервер сначала проверяет, сохранена ли соответствующая страница в кэш-памяти. Если он уже сохранен, страница будет открыта в кратчайшие сроки. Однако, если страница отсутствует в кэше, соответствующий запрос будет отправлен на сервер. Как вы понимаете, это очень эффективный способ снижения потенциального трафика. Такой подход может практически минимизировать нагрузку на настоящий сервер и ускорить процесс.
Unified threat management, или универсальный шлюз безопасности
Такие межсетевые экраны включают в себя антивирус, брандмауэр, спамфильтр, VPN и систему IDS/IPS (системы обнаружения и предотвращения вторжений), контроль сеансов.
Основное преимущество данной технологии в том, что администратор работает не с парком различных устройств, а использует единое решение. Это удобно, так как производитель предусматривает централизованный интерфейс управления службами, политиками, правилами, а также дает возможность более «тонкой» настройки оборудования.
Архитектура UTM.
В UTM-устройство входят несколько видов процессоров:
- процессор общего назначения, или центральный процессор,
- процессор обработки данных,
- сетевой процессор,
- процессор обработки политик безопасности.
Процессор общего назначения похож на процессор, установленный в обычном ПК. Он выполняет основные операции на межсетевом экране. Остальные виды процессоров призваны снизить нагрузку на него.
Процессор данных отвечает за обработку подозрительного трафика и сравнения его с изученными угрозами. Он ускоряет вычисления, происходящие на уровне приложений, а также выполняет задачи антивируса и служб предотвращения вторжений.
Сетевой процессор предназначен для высокоскоростной обработки сетевых потоков. Основная задача заключается в анализе пакетов и блоков данных, трансляции сетевых адресов, маршрутизации сетевого трафика и его шифровании.
Процессор обработки политик безопасности отвечает за выполнение задач антивируса и служб предотвращения вторжений. Также он разгружает процессор общего назначения, обрабатывая сложные вычислительные задачи.
Введение в функциональность Firewall и Proxy
Как правило, технология межсетевого экрана и прокси-сервера работают совместно с защитой компьютера. Брандмауэр размещен на более низком уровне и может фильтровать все типы пакетов данных (IP-пакетов).
С другой стороны, прокси-серверы управляют сетевым трафиком, связанным с приложениями, установленными в системе. Прокси-сервер может отклонять или разрешать запросы, поступающие от внешних клиентов, для обеспечения максимальной конфиденциальности.
Учитывая функциональность, прокси-сервер можно разместить как часть брандмауэра вашей системы. Целью брандмауэра является предотвращение доступа к вашей системе несанкционированных подключений. Прокси-сервер играет роль посредника в соединении вашей системы с публичной сетью (Интернет).
Типы межсетевых экранов
МЭ делятся на два основных типа: аппаратные и программные.
● Сервисный контроль
Эта стратегия брандмауэра определяет процесс определения, какие интернет-сервисы должны быть доступны. В этом случае как входящие, так и исходящие услуги контролируются.
Аренда межсетевого экрана
Ограниченность анализа межсетевого экрана
При использовании межсетевых экранов необходимо понимать, что их возможности по анализу трафика ограничены. Любой файервол способен анализировать только тот трафик, который он может четко идентифицировать и интерпретировать. Если МСЭ не распознает тип трафика, то он теряет свою эффективность, поскольку не может принять обоснованное решение по действиям в отношении такого трафика.
Возможности интерпретации данных ограничены в ряде случаев. Так, в протоколах IPsec, SSH, TLS, SRTP применяется криптография, что не позволяет интерпретировать трафик. Данные прикладного уровня шифруются протоколами S/MIME и OpenPGP. Это исключает возможность фильтрации трафика, на основании данных, которые содержатся на прикладном уровне. Туннельный трафик также накладывает ограничения на возможности анализа МСЭ, поскольку файервол может «не понимать» примененный механизм туннелирования данных.
В связи с этим при задании правил для межсетевого экрана важно четко задать ему порядок действий при приеме трафика, который он не может однозначно интерпретировать.
07.09.2017 Обзоры, Советы от технической поддержки 0 Комментариев 10612
Прокси-сервер – он как спиннер, гироскутер или биткоин. Слово вроде бы на слуху, но толком непонятно, что это, а главное – зачем нужно. И если моду на спиннеры с гироскутерами легко игнорировать без какого-либо ущерба для себя, то прокси-серверы игнорировать не стоит. Они нужны пользователям, они нужны компаниям, они нужны руководителям этих компаний.
Что такое прокси-сервер?
Это посредник между компьютером и интернетом. Физически это компьютер, через который, как через таможенный контроль, проходит любой запрос к мировой паутине.
Зачем он нужен?
Люди не любят посредников, если только это не адвокаты, представляющие интересы в суде. К чему приводит длинная цепочка посредников, знает любой человек, хоть раз игравший в «испорченный телефон». Но это в реальном мире. С компьютерами и интернетом принцип «чем меньше посредников – тем лучше» не работает.
Прокси-сервер – это первая линия обороны, защищающая компьютер или компьютеры от сетевых атак. Помните классические угрозы «вычислить по IP»? С прокси-сервером вычислить вас не то чтобы совсем невозможно, но это настолько сложно, что преследователю потребуется невероятно много времени, изобретательности и знаний. Потому что прокси-сервер делает вас анонимом в интернете: внешние ресурсы видят адрес прокси, а не пользователя.
Утверждать о полной анонимности нельзя. Теоретически правоохранительные органы по решению суда могут запросить у администратора или владельца прокси-сервера информацию о том, кто им пользовался и посещал конкретные сайты в определенный промежуток времени. Администратор наверняка предоставит эти данные, иначе он станет соучастником.
Но зачастую люди используют прокси-сервера из других стран, и после решения местного суда будет отправляться запрос в другое государство. Такие случаи бывают, когда речь идет о поиске особо опасных злоумышленников. Если же речь идет о простом посещении «запрещенного» сайта, никто не будет тратить столько времени и сил на поиски.
Зачем прокси-сервера компаниям и руководителям?
Анонимность и безопасность – не единственные функции прокси-сервера. Еще он решает такой вопрос, как контроль доступа. Если вы не хотите, чтобы подчиненные сидели в рабочее время на Facebook или Twitter, через прокси вы заблокируете доступ к социальным сетям. Правда, у сотрудников останутся смартфоны с мобильным интернетом, но это уже другая история.
Прокси защитит вас и от навязчивой рекламы: через него настраивают фильтрацию контента, поэтому рекламу или материалы для взрослых можно отсеять. Словом, прокси-сервера позволяют контролировать, кто, когда и как пользуется интернетом. Вы можете использовать прокси и для регистрации действий пользователей: в журнале регистрации будет записана дата, время и содержимое, которое просматривалось через сеть.
Прокси-сервер – это только для контроля и ограничений?
Совсем нет: одна из функций прокси – повышение скорости доступа и экономия трафика. Интернет будет работать быстрее: прокси будет сжимать трафик, а когда вы зайдете на сайт, прокси сохранит его копию в своем локальном хранилище. В следующий раз сайт загрузится намного быстрее – сервер использует информацию из своих хранилищ. Это произойдет только в том случае, если на сайте не будет никаких изменений, поэтому опасаться за актуальность информации не приходится.
Более того, прокси-сервер используют еще и для того, чтобы обойти ограничения на просмотр определенного контента. Youtube не показывает видео, потому что оно закрыто для пользователей из вашего региона? Используйте открытый прокси-сервер, и сайт не узнает, в каком именно регионе вы находитесь.
Другие причины использовать прокси-сервер
Прокси-сервер позволяет легко подменить IP-адрес пользователя для доступа к «запрещенной» информации. Пример с видео я уже приводил, но он – далеко не единственный. Предположим, вы хотите послушать музыку в социальной сети, но оказывается, что она недоступна для вашего региона. При помощи прокси можно имитировать ваше пребывание в другой стране или даже на другом континенте. Но бывают ситуации немного сложнее, когда определенный сайт полностью заблокирован в вашей стране, и вы не можете зайти на него совсем. Прокси обеспечит доступ к этому ресурсу и всему его содержимому в полном объеме.
Прокси-сервера иногда применяют журналисты, а также люди, которые работают в зонах боевых действий и горячих точках, в том числе для шпионажа. Человек, отправляющий информацию разведке своей страны, вряд ли будет делать это без прокси-серверов, ведь в таком случае службы кибербезопасности, узнав об утечке, достаточно быстро идентифицируют его. За счет прокси сохраняется шанс остаться анонимом.
Какие бывают прокси и где их найти?
Существует много бесплатных прокси-серверов, которые легко найти через любую поисковую систему. Их главный недостаток связан с главным же достоинством: ввиду публичности такими серверами пользуется много людей, и они работают медленно. Не удивляйтесь, если сайты, которые должны открываться за секунду, будут загружаться по минуте. А иногда загрузка может пройти не до конца, и придется обновлять страницу.
Как прокси-сервер поможет компании защитить свои данные?
Настройте обращение к внешним ресурсам только через прокси, и тогда обратный доступ будет закрыт. Если внешние ресурсы попытаются получить доступ к компьютерам компании, у них ничего не получится. Компьютеры останутся невидимками: внешние ресурсы будут видеть только прокси, а он, как пограничник или охранник на входе, предотвратит любые попытки покопаться в данных вашей организации.
Прокси-серверы все реже рассматривают в качестве отдельного полноценного решения. Они стали частью сложных комплексов: интернет-шлюзов, шлюзов безопасности. Прокси редко используют как самостоятельный продукт, но все зависит от ваших задач. Главное, о чем вы должны помнить, – прокси-серверы рано списывать со счетов, они по-прежнему нужны. Если не сами по себе, то в составе многофункционального комплекса по обеспечению электронной безопасности.
К комментариям
14.07.2017 Обзоры 0 Комментариев 27885
На фоне стремительного развития ИБ-технологий стали ускользать из упоминания пионеры обеспечения безопасного сетевого взаимодействия — Secure Web Gateways (SWG). На российском рынке Secure Web Gateways стали почти незаметны на фоне развивающихся рынков UTM и NGFW. Поэтому в данном обзоре мы напомним о таких компонентах сетевой инфраструктуры, как прокси-серверы с функциями информационной безопасности, и расскажем о существующих на рынке решениях.
Введение
В настоящее время может показаться, что термин «прокси-сервер» исчез из употребления в профессиональных сообществах. Больший интерес сейчас проявляется к средствам защиты такого класса, как DLP, SIEM, SOC, NGFW, WAF, а прокси-серверы как бы остались в стороне. Однако это только первые впечатления. На самом деле прокси-серверы из самостоятельных решений перешли в состав многофункциональных комплексов, например, таких, как шлюзы/серверы безопасности или интернет-шлюзы.
Одним из хороших примеров такого развития является история роста Microsoft Proxy Server до ISA Server и далее до Microsoft Forefront Threat Management Gateway. Возможно, это не самый удачный пример, так как 9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG (основная поддержка прекращена 14.04.2015 года, а расширенная закончится 14.04.2020 года). О возможных вариантах замены Forefront TMG мы уже писали в нашей статье «Незаменимых нет: куда мигрировать с Forefront TMG?». Но речь сейчас не об этом.
В целом решения такого класса, как прокси-серверы — есть. И они представлены либо в виде самостоятельных продуктов (такие все-таки остались), либо в виде комплексных систем. При этом на рынке присутствуют как бесплатные продукты, так и платные. В этом обзоре мы расскажем о таких решениях, существующих на российском рынке.
Назначение и виды прокси-серверов
С терминологической точки зрения ничего нового в понятии прокси-сервера не появилось. По-прежнему это посредник между пользователями и интернет-ресурсами. Прокси-сервер предназначен для решения следующих задач:
На практике выделяют следующие основные типы прокси-серверов:
В зависимости от способа подключения в сетевой инфраструктуре и дальнейшей работы прокси-сервера выделяют следующие основные варианты его применения:веб-прокси (web proxy), SOCKS-прокси, прозрачный прокси (transparent proxy), DNS-прокси и другие.
Мировой рынок прокси-серверов
Исследовательская компания Gartner объединила производителей прокси-серверов с функциями безопасности в сегмент Secure Web Gateways (SWG). Проведя свое исследование в 2017 году, Gartner распределила производителей по магическому квадранту следующим образом:
Рисунок 1. Магический квадрант Gartner для SWG
В исследованиях указывается, что продукты, предлагаемые в виде облачных услуг (SWG-services), развиваются стремительнее, чем SWG-appliance. Однако, SWG-appliance все еще занимают более 70% рынка решений. Согласно определению, к SWG относятся продукты, обеспечивающие URL-фильтрацию, защиту от вредоносного кода и возможность контроля доступа приложений в интернет.
Важно отметить, что в исследовании Gartner в качестве SWG не рассматриваются UTM-устройства и NGFW-устройства (которые также позволяют обеспечить фильтрацию URL-адресов и защиту от вредоносных программ).
Лидерами мирового рынка, по результатам исследований компании Gartner, являются Symantec и ZScaler. В июне 2016 года компания Symantec сделала довольно хитрый ход, позволяющий ей перепрыгнуть из нишевых игроков рынка сразу в лидеры — она совершила крупную покупку, приобретя Blue Coat Systems Inc.
К претендентам в лидерство, чьи продукты хорошо зарекомендовали себя на рынке, относятся: Cisco, Forcepoint (бывший Websense) и McAfee (бывший Intel Security).
Основными нишевыми игроками рынка являются Barracuda Networks, Trend Micro, Sophos, Sangfor, ContentKeeper.
Из квадранта 2017 года по сравнению с 2016 была исключена компания Trustwave. Это произошло из-за того, что компания не смогла получить заметного дохода от продажи SWG.
По оценкам компании Gartner, совокупный доход вендоров, представленных в квадранте, в 2016 году составил $1,6 млрд. Таким образом, по сравнению с 2015 годом доход вырос на 7%. При этом доход от реализации облачных услуг составляет порядка 29% от общего объема реализованных в 2016 году решений. И, по прогнозам, эта доля будет увеличиваться с каждым годом.
Российский рынок прокси-серверов
Если на глобальном рынке такие продукты представлены сегментом SWG, то на российском рынке ситуация немного сложнее. Учитывая менталитет российского потребителя («нам бы все и сразу»), функции безопасности прокси-сервера отечественные вендоры стараются реализовать в составе своих комплексных решений. Явной и, наверное, самой передовой в этом случае альтернативой SWG в России являются UTM- и FW‑решения.
Отечественные вендоры предлагают решения со сходной функциональностью, но в других рыночных сегментах. К ним можно отнести: Entensys, «Етайп», «А-Реал Консалтинг», «Смарт-Софт» и Solar Security.
Учитывая особенности российского рынка и многообразие представителей, наиболее распространенные в России продукты можно разделить на следующие группы:
SWG-продукты:
Альтернатива SWG (UTM-, FW- и другие решения производителей, не вошедших в первую группу):
Бесплатные прокси-серверы:
У производителей SWG-продуктов из первой группы есть свои собственные альтернативные решения, реализованные в виде комплексов UTM и NGFW, но мы решили кратко рассказать, что же могут предложить на этом поприще и другие вендоры.
Для укрепления своих позиций на российском рынке вендоры стремятся включить свои продукты в «Единый реестр российских программ для электронных вычислительных машин и баз данных» и сертифицировать их в соответствии с требованиями ФСТЭК России.
Отдельных представителей группы «альтернатива SWG», а именно UTM-решения, мы уже рассматривали ранее. Поэтому подобные комплексные решения в нашем обзоре мы будем рассматривать только с точки зрения функции безопасности прокси-сервера.
Обзор SWG-продуктов
Check Point Next Generation Secure Web Gateway
Компания Check Point предлагает шлюз для защиты доступа к интернет-ресурсам нового поколения (Next Generation Secure Web Gateway). Этот продукт охватывает широкий спектр приложений и обеспечивает безопасное использование web 2.0, защиту от заражения вредоносными программами, гранулированный контроль и функции обучения конечных пользователей.
Cisco Web Security Appliance
Компания Cisco предлагает шлюз для защиты доступа к интернет-ресурсам Cisco Web Security Appliance (WSA). Он объединяет в себе средства защиты от вредоносных программ, средства контроля и управления использованием веб-приложений и средства обеспечения безопасного мобильного доступа. Также WSA помогает защищать и контролировать веб-трафик организации, снижая ее затраты на интернет. Он реализован в виде программно-аппаратного устройства, виртуального образа (virtual appliance) и услуг облачной инфраструктуры.
Альтернативой этому продукту от того же вендора является Cisco ASA с сервисами FirePower — Next Generation Firewall с активной защитой от угроз, контролем состояния в сочетании со средствами контроля приложений, системой предотвращения вторжений нового поколения и защитой от сложных вредоносных программ. Поставляется продукт в виде программно-аппаратного устройства.
Forcepoint Web Security
Продукты Forcepoint (более известной в России под старым именем Websense) ориентированы на предоставление сотрудникам организаций беспрепятственного доступа к данным с обеспечением защиты ее интеллектуальной собственности.
Компания предлагает продукт Forcepoint Web Security — раньше он назывался TRITON AP-WEB. Он построен на универсальной платформе, обеспечивающей возможность интеграции с другими продуктами компании. Этот продукт обеспечивает комплексную защиту в режиме реального времени от целевых атак, кражи конфиденциальных данных, внедрения вредоносного кода. Forcepoint Web Security реализован в виде программного и аппаратного обеспечения, а также в форме услуги облачной инфраструктуры.
Вендор предлагает в том числе и альтернативный продукт — Forcepoint Stonesoft Next Generation Firewall. Он имеет функциональность детального контроля приложений, системы предотвращения вторжений (IPS), встроенной виртуальной частной сети (VPN) и глубокой проверки пакетов. Продукт реализован в виде программного и аппаратного обеспечения, а также в форме услуги облачной инфраструктуры.
Smart-Soft Traffic Inspector
«Смарт-Софт» разрабатывает комплексные средства обеспечения информационной безопасности, организации и контроля интернет-доступа. Компания предлагает свой флагманский продукт Traffic Inspector — сертифицированный по новым Требованиям ФСТЭК России комплексное решение информационной безопасности. Сертификат ФСТЭК России № 2407 (срок действия 15.08.2011 – 15.08.2020).
Решение реализует следующий состав универсальных функций: организация доступа к интернету из локальной сети, контроль и учет трафика, межсетевой экран, антивирусная защита, блокировка рекламы, сайтов, спама, маршрутизация по условию, прокси-сервер, контентная фильтрация, ограничение скорости работы в интернете, биллинговая система и многое другое.
Traffic Inspector устанавливается на стандартном персональном компьютере, выполняющем функции шлюза для LAN-сети и рассчитано на использование в Windows-среде.
Подробнее о Traffic Inspector можно узнать здесь.
Альтернативным продуктом этого же вендора является Traffic Inspector Next Generation. Этот продукт представляет собой UTM-решение, построенное на базе open-sourсe-решения — OPNsense. Traffic Inspector Next Generation обеспечивает межсетевое экранирование с динамической фильтрацией пакетов, мониторинг и управление трафиком, а также анализ трафика на уровне приложений. Он может быть развернут на UNIX-подобных системах. Подробнее о Traffic Inspector Next Generation можно узнать здесь.
Solar Dozor Web Proxy
Dozor Web Proxy работает под управлением Linux (дистрибутивы CentOS 6.7/RHEL 6.7).
Symantec ProxySG (Blue Coat ProxySG)
Blue Coat ProxySG долгое время является лидером мирового рынка SWG. Фактически ProxySG — это целое семейство устройств, представляющих собой масштабируемую прокси-платформу. ProxySG предназначен для обеспечения безопасности взаимодействия с интернет-ресурсами (web security) и оптимизации работы бизнес-приложений (WAN optimization).
ProxySG работает на основе фирменной операционной системы Blue Coat SGOS и поставляется в виде физических устройств (ProxySG и Advanced Security Gateway) и виртуальных образов (virtual appliance) для ESX/ESXi, Hyper-V или Amazon Web Services.
Trend Micro InterScan Web Security
Trend Micro InterScan Web Security предназначен для обеспечения динамической защиты на уровне интернет-шлюзов как от известных, так и от новейших комбинированных веб-угроз. Функции управления приложениями в сочетании с модулями обнаружения уязвимостей нулевого дня, поиска вредоносных программ, определения репутации веб-сайтов в режиме реального времени, фильтрации URL-адресов и расширенного обнаружения бот-сетей позволяют обеспечивать безопасность систем и эффективную работу пользователей.
Trend Micro InterScan Web Security реализован в виде программного виртуального устройства (virtual appliance) — InterScan Web Security Virtual Appliance (IWSVA) и услуги облачной инфраструктуры, предоставляемой по модели SaaS — InterScan Web Security as a Service (IWSaaS).
Обзор продуктов других производителей — в качестве альтернативы SWG
Entensys UserGate Web Filter
Компания Entensуs (Новосибирск) разрабатывает продукты сетевой безопасности. Ее продукты: Entensys UserGate Web Filter и Entensys UserGate UTM.
Entensys UserGate Web Filter обеспечивает фильтрацию загружаемого контента, блокировку опасных веб-страниц и негативных баннеров, защиту от вредоносов и многих других интернет-угроз. Продукт может быть развернут на виртуальных машинах (VMWare, Virtual Box и др.), в виде виртуального образа или аппаратно-программного комплекса. UserGate Web Filter предоставляет возможность встраивания в сеть на уровне L2, что не требует изменения существующей инфраструктуры.
Кроме UserGate Web Filter у вендора есть аналог — это Entensys UserGate UTM. Он представляет собой интернет-шлюз — единое решение, включающее в себя: межсетевой экран нового поколения, систему обнаружения вторжений, защиту от вредоносных программ и вирусов, систему контент-фильтрации, серверный антиспам, VPN-сервер. Продукт может использоваться как программно-аппаратный комплекс или может быть установлен на виртуальной машине.
Fortinet FortiGate
Fortinet специализируется на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности. В числе решений межсетевые экраны, антивирусные программы, системы предотвращения вторжений и обеспечения безопасности конечных точек.
Fortinet предлагает серию UTM-устройств FortiGate, которые поддерживают такие сервисы, как межсетевой экран (FW), VPN, IPS, контроль приложений, URL-фильтрация, антивирус и антиспам.
Kerio Control
Компания Kerio Technologies предлагает продукт Kerio Control (ранее известный как Kerio WinRoute Firewall и WinRoute Pro). Kerio Control — это программный межсетевой экран. Его основными функциями являются: организация безопасного доступа пользователей в интернет, надежная сетевая защита локальной сети, экономия трафика и рабочего времени сотрудников за счет ограничения нецелевого доступа к различным категориям веб-контента. Межсетевой экран сертифицирован ФСТЭК России — сертификат №3351 (срок действия 18.02.2015-18.02.2018).
Kerio Control может быть развернут посредством использования: Software Appliance (основан на Linux kernel v.3.16), VMware Virtual Appliance и Hyper-V Virtual Appliance.
Интернет Контроль Сервер
Также Интернет Контроль Сервер включает в себя межсетевой экран, VPN, контент-фильтр, DLP, сетевые сервисы, модули антивируса и антиспама. Интернет-шлюз для корпоративной сети может поставляться в виде программного и программно-аппаратного решения (с адаптированной аппаратной частью), также поддерживает виртуальное развертывание. Программный межсетевой экран ИКС является сертифицированной ФСТЭК России версией продукта — сертификат ФСТЭК №2623 (срок действия 19.04.2012 – 19.04.2018).
Обзор бесплатных прокси-серверов
Squid
Проект Squid начинался с NSF-гранта (NCR-9796082), а сейчас поддерживается инициативной группой. Squid представляет собой кэширующий прокси-сервер. Он был разработан как программа с открытым исходным кодом и распространяется в соответствии с лицензией GNU GPL.
Может быть развернут на UNIX-подобных системах и на операционных системах Windows.
3proxy
Проект разработан и поддерживается инициативной группой. 3proxy — это кроссплатформенный комплект прокси-серверов. Он был разработан как программа с открытым исходным кодом и может использоваться по лицензии GNU GPL. 3proxy поставляется в двух вариантах:
В силу кроссплатформенности может быть развернут на UNIX-подобных системах и на операционных системах Windows (включая 64-разрядные).
Выводы
Несмотря на появление новых классов средств защиты информации (DLP, SIEM, SOC ,UTM, NGFW и WAF), прокси-сервер по-прежнему остается востребованным компонентом сетевой инфраструктуры. Производители предлагают решения, реализующие функции прокси-сервера как в виде самостоятельных продуктов, так и в составе многофункциональных комплексов.
На российском рынке много отечественных компаний, чьи продукты включены в «Единый реестр российских программ для электронных вычислительных машин и баз данных». Только в своем обзоре мы привели несколько таких компаний:
Все представленные в обзоре продукты в целом обладают схожими по составу функциональными возможностями:
Отличия рассмотренных продуктов проявляются в следующем:
В целом рынок прокси-серверов продолжает развиваться, но по большей части уже в составе комплексных решений, в том числе UTM. А на фоне общего технологического развития (применение облачной инфраструктуры и облачных сервисов, а также распространенность мобильных технологий) спрос на такие решения будет расти.
К комментариям
Сравнение между Прокси против Брандмауэра было бы удобно для любого пользователя компьютера с доступом в Интернет. Это связано с тем, что как прокси, так и брандмауэр являются мерами безопасности, которые могут защитить компьютер от различных сетевых угроз. Итак, продолжайте читать эту статью, чтобы получить лучшее представление о них.
● Направление управления
Эта стратегия заключается в определении маршрута, по которому должны проходиться соответствующие данные в сети.
Описание функциональности брандмауэра
Чтобы сделать сравнение Proxy и Firewall лучшим, мы опишем каждый из этих аспектов отдельно. Во-первых, давайте посмотрим, как мы можем описать функциональность брандмауэра.
По сути, брандмауэр работает как барьер для сетевого трафика. Тем не менее, он не блокирует весь трафик; вместо этого он идентифицирует и блокирует только потенциально опасные соединения. В некотором смысле, брандмауэр работает в качестве фильтра на уровне IP-пакетов. В результате он может эффективно работать для защиты, мониторинга и аудита локальных сетей. Эта система может защитить вашу локальную сеть от потенциальных вторжений, подмены IP-адресов и т. Д. Это интегрированное решение, когда речь заходит о сетевой безопасности. В результате он может обеспечить безопасность как аппаратных, так и программных аспектов системы.
A брандмауэр система, которая включает систему фильтрации пакетов, а также прокси-сервер Прокси-сервер в брандмауэре также может рассматриваться как шлюз приложения.
A система фильтрации пакетов используется для обнаружения всех входящих и исходящих пакетов. Если система обнаружит подозрительный пакет, он будет заблокирован. Для этого у брандмауэра есть специальный набор правил. Проходящие пакеты в сети будут сравниваться в соответствии с этим набором правил межсетевым экраном. Этот набор правил применим к сети и заголовку транспортного уровня. Например, по этому правилу соблюдаются адрес источника и адресата, протокол, номер порта и т. Д. В случае несоответствия соответствующие пакеты будут немедленно заблокированы.
● Пользовательский контроль
Пользовательский контроль - это стратегия, которая управляет доступом пользователя к данной услуге в сети.
Кроме того, здесь есть все о Анализатор межсетевого экрана AlgoSec для вашей справки.
Функции межсетевого экрана
Типы межсетевых экранов
Для защиты локальных сетей от нежелательного трафика и несанкционированного доступа применяются различные виды межсетевых экранов. В зависимости от способа реализации, они могут быть программными или программно-аппаратными.
Программный Firewall — это специальный софт, который устанавливается на компьютер и обеспечивает защиту сети от внешних угроз. Это удобное и недорогое решение для частных ПК, а также для небольших локальных сетей — домашних или малого офиса. Они могут применяться на корпоративных компьютерах, используемых за пределами офиса.
Для защиты более крупных сетей используются программные комплексы, под которые приходится выделять специальный компьютер. При этом требования по техническим характеристикам к таким ПК являются довольно высокими. Использование мощных компьютеров только под решение задач МСЭ нельзя назвать рациональным. Да и производительность файервола часто оставляет желать лучшего.
Поэтому в крупных компаниях и организациях обычно применяют аппаратно-программные комплексы (security appliance). Это специальные устройства, которые, как правило, работают на основе операционных систем FreeBSD или Linux.
Функционал таких устройств строго ограничивается задачами межсетевого экрана, что делает их применение экономически оправданным. Также security appliance могут быть реализованы в виде специального модуля в штатном сетевом оборудовании — коммутаторе, маршрутизаторе и т. д.
Применение программно-аппаратных комплексов характеризуется следующими преимуществами:
- Повышенная производительность за счет того, что операционная система работает целенаправленно на выполнение одной функции.
- Простота в управлении. Контролировать работу security appliance можно через любой протокол, в том числе стандартный (SNMP, Telnet) или защищенный (SSH, SSL).
- Повышенная надежность защиты за счет высокой отказоустойчивости программно-аппаратных комплексов.
Помимо этого, межсетевые экраны классифицируют в зависимости от применяемой технологии фильтрации трафика. По этому признаку выделяют следующие основные виды МСЭ:
- прокси-сервер;
- межсетевой экран с контролем состояния сеансов;
- межсетевой экран UTM;
- межсетевой экран нового поколения (NGFW);
- NGFW с активной защитой от угроз.
Рассмотрим более подробно эти виды файерволов, их функции и возможности.
Межсетевой экран нового поколения (NGFW)
В связи с постоянным развитием и ростом технологического и профессионального уровня злоумышленников, возникла необходимость в создании новых типов межсетевых экранов, способных противостоять современным угрозам. Таким решением стал МСЭ нового поколения Next-Generation Firewall (NGFW).
Файерволы этого типа выполняют все основные функции, характерные для обычных межсетевых экранов. В том числе они обеспечивают фильтрацию пакетов, поддерживают VPN, осуществляют инспектирование трафика, преобразование портов и сетевых адресов. Они способны выполнять фильтрацию уже не просто на уровне протоколов и портов, а на уровне протоколов приложений и их функций. Это дает возможность значительно эффективней блокировать атаки и вредоносную активность.
Экраны типа NGFW должны поддерживать следующие ключевые функции:
- защита сети от постоянных атак со стороны систем, зараженных вредоносным ПО;
- все функции, характерные для первого поколения МСЭ;
- распознавание типов приложений на основе IPS;
- функции инспекции трафика, в том числе приложений;
- настраиваемый точный контроль трафика на уровне приложений;
- инспекция трафика, шифрование которого выполняется посредством SSL;
- поддержка базы описаний приложений и угроз с постоянными обновлениями.
Такая функциональность позволяет поддерживать высокую степень защищенности сети от воздействия сложных современных угроз и вредоносного ПО.
NGFW с активной защитой от угроз
Дальнейшим развитием технологии стало появление NGFW с активной защитой от угроз. Этот тип файерволов можно назвать модернизированным вариантом обычного межсетевого экрана нового поколения. Он предназначен для эффективной защиты от угроз высокой степени сложности.
Функциональность МСЭ этого типа, наряду со всем возможности обычных NGFW, поддерживает:
- учет контекста, обнаружение на его основе ресурсов, создающих повышенные риски;
- автоматизацию функций безопасности для самостоятельной установки политик и управления работой системы, что повышает быстродействие и оперативность отражения сетевых атак;
- применение корреляции событий на ПК и в сети, что повышает эффективность обнаружения потенциально вредоносной активности (подозрительной и отвлекающей).
В файерволах типа NGFW с активной защитой от угроз значительно облегчено администрирование за счет внедрения унифицированных политик.
Заключение
В данной статье мы рассмотрели, что такое межсетевой экран, для чего он используется и каких видов бывает. В современном мире в аппаратной реализации чаще всего можно встретить межсетевые экраны нового поколения. Подобные решения можно арендовать в Selectel.
Межсетевой экран следующего поколения (NGFW)
Next-generation firewall (NGFW) – файрвол следующего поколения. Его ключевая особенность в том, что он может производить фильтрацию не только на уровне протоколов и портов, но и на уровне приложений и их функций. Это позволяет успешнее отражать атаки и блокировать вредоносную активность.
Также, в отличие от межсетевого экрана типа Unified threat management, у NGFW есть более детальная настройка политик безопасности и решения для крупного бизнеса.
Прокси-сервер
С помощью прокси-сервера можно создать МСЭ на уровне приложения. Главным плюсом технологии является обеспечение прокси полной информации о приложениях. Также они поддерживают частичную информацию о текущем соединении.
Необходимо отметить, что в современных условиях proxy нельзя называть эффективным вариантом реализации файервола. Это связано со следующими минусами технологии:
- Технологические ограничения — шлюз ALG не позволяет обеспечивать proxy для протокола UDP.
- Необходимость использования отдельного прокси для каждого сервиса, что ограничивает количество доступных сервисов и возможность масштабирования.
- Недостаточная производительность межсетевого экрана.
Нужно учитывать и чувствительность прокси-серверов к сбоям в операционных системах и приложениях, а также к некорректным данным на нижних уровнях сетевых протоколов.
Программный межсетевой экран
Программный МЭ – это программное обеспечение, которое устанавливается на устройств, реальное или виртуальное.
Через такой межсетевой экран перенаправляется весь трафик внутрь рабочей сети. К программным относятся брандмауэр в Windows и iptables в Linux.
Программные МЭ, как правило, дешевле и могут устанавливаться не только на границах сети, но и на рабочих станциях пользователей. Из основных недостатков — более низкая пропускная способность и сложность настройки в ряде случаев.
Использование прокси в качестве межсетевого экрана
Прокси-сервер контролирует трафик на последнем уровне стека TCP\IP, поэтому иногда его называют шлюзом приложений. Принцип работы заключается в фильтрации данных на основании полей заголовков, содержимого поля полезной нагрузки и их размеров (помимо этого, задаются дополнительные параметры фильтрации).
Прокси-серверы осуществляют фильтрацию одного или нескольких протоколов. Например, наиболее распространенным прокси-сервером является веб-прокси, предназначенный для обработки веб-трафика.
Такие серверы используются для следующих целей:
- обеспечение безопасности — например, для защиты вашего веб-сайта или пользователей от посещения сторонних сайтов,
- повышение производительности сети,
- ускорение доступа к некоторым ресурсам в интернете и др.
Поскольку прокси-серверы предназначены для определенных протоколов/портов, они, как правило, имеют более глубокие и сложные средства управления, чем общие правила безопасности межсетевого экрана.
Помимо веб-прокси, существуют такие прокси-серверы, как DNS, FTP, telnet, SSH, SSL, и другие протоколы.
Основной функцией классического брандмауэра является отслеживание и фильтрация трафика на сетевом и транспортном уровнях модели OSI. В отличие от него прокси-сервер устанавливает связь между клиентом и сервером, тем самым позволяя производить проверку на прикладном уровне, фильтровать запросы на подключение и так далее.
Чаще всего прокси-сервер является дополнением к стандартному межсетевому экрану, а межсетевые экраны нового поколения уже включают в себя все функции прокси-сервера.
Аппаратный межсетевой экран
Аппаратный МЭ – это, как правило, специальное оборудование, составляющие которого (процессоры, платы и т.п.) спроектированы специально для обработки трафика.
Работает они на специальном ПО — это необходимо для увеличения производительности оборудования. Примерами аппаратного межсетевого экрана выступают такие устройства, как Cisco ASA, FortiGate, Cisco FirePower, UserGate и другие.
Аппаратные МЭ более мощные по сравнению с программными, однако это влияет на стоимость решений. Нередко она в разы выше, чем у программных аналогов.
Межсетевой экран с контролем состояния сеансов
Этот тип МСЭ уже давно стал одним из самых популярных. Принцип его работы предусматривает анализ состояния порта и протокола. На основании этого анализа файервол принимает решение о пропуске или блокировании трафика. При принятии решения межсетевой экран учитывает не только правила, заданные администратором, но и контекст, что значительно повышает эффективность работы (контекстом называют сведения, которые были получены из предыдущих соединений).
Суть о Прокси против Брандмауэра
Итак, это наш Прокси против Брандмауэра сравнение. Брандмауэр и прокси-сервер должны работать совместно для обеспечения ожидаемой защиты сети. Тем не менее, прокси-сервер можно рассматривать как часть брандмауэра, и это может повысить эффективность брандмауэра.
В тексте определим базовое понятие межсетевого экрана и на примерах рассмотрим его функции и виды.
Контроль состояния сеансов на уровне МЭ
Межсетевой экран с контролем состояния сеансов анализирует всю активность пользователей от начала и до конца — каждой установленной пользовательской сессии. На основе этих данных он определяет типичное и нетипичное поведение пользователя. Если поведение в рамках сессии показалась ему нетипичной, МЭ может заблокировать трафик.
Получается, решение об одобрении или блокировке входящего трафика принимается не только на основании заданных администратором правил, но и с учетом контекста — сведений, полученных из предыдущих сессий. Брандмауэры с отслеживанием состояния сеансов считаются гораздо более гибкими, чем классические межсетевые экраны.
● контроль поведения
Эта стратегия состоит в том, чтобы решить, как сервисы должны использоваться в сети.
Что такое межсетевой экран
Межсетевой экран (МЭ, брандмауэр или Firewall) представляет собой программно-аппаратный или программный комплекс, который отслеживает сетевые пакеты, блокирует или разрешает их прохождение. В фильтрации трафика брандмауэр опирается на установленные параметры — чаще всего их называют правилами МЭ.
Современные межсетевые экраны располагаются на периферии сети, ограничивают транзит трафика, установку нежелательных соединений и подобные действия за счет средств фильтрации и аутентификации.
Принцип работы межсетевого экрана
Основные функции Next-generation firewall
Расскажем про основные функции безопасности для всех NGFW.
Deep Packet Inspection (DPI) – технология, выполняющая детальный анализ пакетов. В отличие от правил классического межсетевого экрана данная технология позволяет выполнять анализ пакета на верхних уровнях модели OSI. Помимо этого, DPI выполняет поведенческий анализ трафика, что позволяет распознавать приложения, которые не используют заранее известные заголовки и структуры данных.
Intrusion Detection System/ Intrusion Prevention System (IDS/IPS) — система обнаружения и предотвращения вторжений. Межсетевой экран блокирует и фильтрует трафик, в то время как IPS/IDS обнаруживает вторжение и предупреждает системного администратора или предотвращает атаку в соответствии с конфигурацией.
Антивирус. Обеспечивает защиту от вирусов и шпионского ПО в реальном времени, определяет и нейтрализует вредонос на различных платформах
Фильтрация по URL, или веб-фильтр, — возможность блокировки доступа к сайтам или другим веб-приложениям по ключевому слову в адресе.
Инспектирование SSL. Позволяет межсетевому экрану нового поколения устанавливать SSL-сессию с клиентом и сервером. Благодаря этому существует возможность просматривать шифрованный трафик и применять к нему политики безопасности.
Антиспам — функция, которая позволяет защитить корпоративных пользователей от фишинговых и нежелательных писем
Application Control. Используется для ограничения доступа к приложениям, их функциям или к целым категориям приложений. Все это задействует функции отслеживания состояния приложений, запущенных пользователем, в режиме реального времени.
Web Application Firewall — совокупность правил и политик, направленных на предотвращение атак на веб-приложения
Аутентификация пользователей — возможность настраивать индивидуальные правила под каждого пользователя или группу.
Sandboxing. Метод, при котором файл автоматически помещается в изолированную среду для тестирования, или так называемую песочницу. В ней можно инициализировать выполнение подозрительной программы или переход по URL, который злоумышленник может прикрепить к письму. Песочница создает безопасное место для установки и выполнения программы, не подвергая опасности остальную часть системы.
Изолированная защита очень эффективна в работе с так называемыми угрозами нулевого дня. Это угрозы, которые ранее не были замечены или не соответствуют ни одному известному вредоносному ПО. Несмотря на то, что обычные фильтры электронной почты могут сканировать электронные письма для обнаружения вредоносных отправителей, типов файлов и URL-адресов, угрозы нулевого дня появляются постоянно. Традиционные средства фильтрации могут их пропустить.
Для чего нужен межсетевой экран и как он работает
Главная задача МЭ – это фильтрация трафика между зонами сети. Он может использоваться для разграничения прав доступа в сеть, защиты от сканирования сети компании, проведения сетевых атак. Проще говоря, межсетевой экран – это одно из устройств, при помощи которого обеспечивается сетевая безопасность компании.
Правила МЭ
Сетевой трафик, проходящий через брандмауэр, сопоставляется с правилами, чтобы определить, пропускать его или нет.
Правило межсетевого экрана состоит из условия (IP-адрес, порт) и действия, которое необходимо применить к пакетами, подходящим под заданное условие. К действиям относятся команды разрешить (accept), отклонить (reject) и отбросить (drop). Эти условия указывают МЭ, что именно нужно совершить с трафиком:
Для лучшего понимания рассмотрим пример. Допустим, у нас есть три правила:
- Разрешить доступ всем IP-адресам, которые принадлежат отделу маркетинга, на 80-й порт.
- Разрешить доступ всем IP-адресам, которые принадлежат отделу системного администрирования.
- Отклонить доступ всем остальным.
Так выглядит правило разрешить доступ на 80-й порт всем сотрудникам отдела маркетинга на устройстве FortiGate.
Proxy vs. Firewall - таблица сравнения
Аспект по сравнению | брандмауэр | доверенное лицо |
Основные функции | Брандмауэр может отслеживать и фильтровать весь входящий и исходящий трафик в данной локальной сети. | Прокси-сервер соединяет внешнего клиента с сервером для связи друг с другом. |
Что это фильтрует? | Брандмауэры фильтруют данные, отслеживая пройденные IP-пакеты. Затем он блокирует пакеты, которые могут иметь вредоносное содержимое для системы. | Прокси-сервер фильтрует запросы на стороне клиента, направленные на подключение к сети. |
Какова сумма генерируемых накладных расходов? | Относительно больше | Относительно меньше |
Что это включает? | Брандмауэр использует данные сетевого и транспортного уровня. | Прокси-серверы работают с данными уровня приложений. |
Межсетевой экран UTM
Межсетевые экраны типа UTM (Unified threat management) стали дальнейшим развитием технологии, необходимость в котором возникла в связи с ростом изощренности и разнообразия сетевых атак. Впервые внедрение таких МСЭ началось в 2004 году.
Основным плюсом систем UTM является эффективное сочетание функций:
- контент-фильтра;
- службы IPS — защита от сетевых атак;
- антивирусной защиты.
Это повышает эффективность и удобство управления сетевой защитой за счет необходимости администрирования только одного устройства вместо нескольких.
Экран UTM может быть реализован в виде программного или программно-аппаратного комплекса. Во втором случае предусматривается использование не только центрального процессора, но и дополнительных процессоров, выполняющих специальные функции. Так, процессор контента обеспечивает ускоренную обработку сетевых пакетов и архивированных файлов, вызывающих подозрение. Сетевой процессор обрабатывает сетевые потоки с высокой производительностью. Кроме того, он обрабатывает TCP-сегменты, выполняет шифрование и транслирует сетевые адреса. Процессор безопасности повышает производительность службы IPS, службы защиты от потери данных, службы антивируса.
Программные компоненты устройства обеспечивают создание многоуровневого межсетевого экрана, поддерживают фильтрацию URL, кластеризацию. Есть функции антиспама, повышения безопасности серфинга и другие возможности.
Читайте также: