Убираем старые проблемы защиты крупных и малых сетей / Хабр

Что делается для повышения защиты?

В облако Zyxel Security Cloud поступают данные об угрозах из различных источников. В свою очередь межсетевые экраны серии USG FLEX используют облачную базу данных в режиме Cloud Query Express, которая включает миллиарды сигнатур.

То есть это не скромная локальная антивирусная база, целиком загружаемая из Интернет, а гораздо более мощная конструкция. Если говорить о скорости взаимодействия, то функция Cloud Query проверяет хэш-код подозрительного файла за несколько секунд и при этом точно диагностирует угрозу.

Если говорить о количественных показателях, то при работе в режиме Cloud Query Express были получены результаты дополнительного прироста производительности UTM до 500%. При этом уровень потребления локальных вычислительных ресурсов не растёт, а снижается за счёт использования облачных мощностей, высвобождая локальные ресурсы для других задач.

Проще говоря, есть какое-то вычислительное устройство. Мы можем её нагрузить анализом трафика, или можем озадачить другими вещами, например, управлением точками доступа. И таких полезных задач в единицу времени может быть решено гораздо больше благодаря «облаку».

В целом, за счёт использование более современной платформы рост производительности межсетевого экрана достигает 125%.

Описание usg flex 200

А это уже вариант немного мощнее.

Имеет 4 порта LAN/DMZ, 1 порт SFP, но есть отличие — 2 два порта WAN (вместо одного в USG FLEX 100), что позволяет организовать отказоустойчивую схему с двумя проводными провайдерами.

Для питания нужен уже блок на 2,5A 12V постоянного тока.

Рисунок 3. Внешний вид USG FLEX 200.

По производительности и пропускной способности показатели также выше:

Если сравнивать с более мощными моделями (о которых пойдет речь ниже), USG FLEX 200 всё-таки создан для сравнительно небольших нагрузок и кабинетного размещения. Об этом говорит и небольшой корпус, и внешний блок питания.

Но, тем не менее, USG FLEX 200 способен обеспечить хорошую поддержку сети в плане безопасности и организации работы сетевых сервисов, таких как управление точками доступа.

Введение

Сегодня рынок информационной безопасности вынужден из года в год ускоряться, чтобы успевать реагировать на изощренные хакерские атаки. Уже недостаточно того, что межсетевые экраны, в том числе нового поколения, просто могут фильтровать, начиная с сетевого уровня и заканчивая уровнем приложений.

Они должны уметь надежно справляться с большим объемом сетевого и облачного трафика, при этом учитывать необходимость своевременно обнаруживать и предотвращать атаки, несмотря ни на какие сложности, например, применение VPN или TLS-шифрование трафика (для решения применяется технология дешифрования, по сути, легальная MITM-атака SSLsplit — подмена сертификата настоящего на созданный в NGFW, что позволяет заглянуть внутрь шифрованного соединения).

Также не стоит забывать, что для большего покрытия рынка на территории Российской Федерации необходимо иметь сертификат ФСТЭК России. Наличие его является несомненным плюсом для межсетевого экрана следующего поколения, разработанного зарубежной компанией. Немногие межсетевые экраны следующего поколения обладают подобной сертификацией.

На момент публикации статьи линейка продуктов Huawei USG (Unified Security Gateway) уже получила сертификат ФСТЭК России. 

Рисунок 1. Линейка продуктов Huawei USG 6000 Series

Кроме вышеперечисленных тенденций стоит учитывать также постоянно появляющиеся векторы атак на сеть и приложения предприятия. Враг может не только атаковать снаружи, но и затаиться внутри периметра. Именно поэтому Huawei разработал и внедрил в свои продукты, несомненно, полезную функциональность — модуль обработки больших данных (Cybersecurity Intelligence System Internetworking), предназначенный для обнаружения и блокирования подозрительной пользовательской активности, с применением механизмов машинного обучения (ML)

Рисунок 2. Основные функции Huawei USG

Как мы видим из тенденций развития устройств нового поколения, Huawei USG в первом приближении соответствует заявленным ожиданиям рынка. Чтобы в этом убедиться, разберем более подробно архитектуру и функциональные возможности.

Описание функций из презентации palo alto. наше мнение — нет ничего прорывного, что не умеют ngfw других производителей

13 моделей. Притом два флагмана задуманы для ЦОДов и для большинства компаний не нужны. Подобрать модель под себя может быть сложно — остаётся всего 11 в среднем и топ-сегменте.

Полную спецификацию фаерволов Palo Alto можно найти по ссылке.

В России есть представительство Check Point в Москве и на этом открытая информация о работе в России недоступна. Все страницы сайта отправляют на английскую версию, адаптации материалов на русский почти нет, контактов русскоязычной техподдержке мы тоже не нашли.

Описание usg flex 500

Это ещё более мощное устройство, имеет 7 конфигурируемых портов. Также присутствует 1 порт SFP и 2 порта USB 3.0

Примечание. Конфигурируемые порты позволяют избежать привязки к конкретному сценарию использования: нужно 1 порт WAN и 6 LAN — нет проблем, нужно организовать отказоустойчивую схему на 3 проводных канала — можно легко переназначить 3 WAN и 4 LAN порта.

Видно, что это универсальное устройство для решения широкого спектра задач.

Для питания нужен ещё более мощный блок — 4.17А, 12V постоянного тока.

Для охлаждения внутри корпуса используется вентилятор, поэтому может создаваться шум. USG FLEX 500 — скорее устройство для серверной или для кроссовой комнаты, нежели для компактного размещения в офисном пространстве.

Рисунок 4. Внешний вид USG FLEX 500.

Разумеется, по сравнению с предыдущими моделями, производительность отличается в большую сторону:

Основные вендора ngfw в мире

Мы рассматриваем всех вендоров с четырёх позиций:

1. Работа компании в России. Техподдержка, склады, представительства и сеть дистрибьюторов.
2. Особенности NGFW. Например, выбор количества оперативной памяти при покупке или уникальные процессоры.
3. Собственные разработки компании. Экосистема или исследовательские лаборатории.
4. Количество моделей и удобство сайзинга.

Fortinet выпускает NGFW FortiGate в аппаратной и виртуальной версиях.

В России у Fortinet своё представительство в Москве. Развивают рынок и решают вопросы клиентов больше 30 сотрудников.

Склады с оборудованием в Москве и Санкт-Петербурге. Устройства на замену доставляют за 1–2 дня по этим городам, и за несколько дней в регионы России курьерской службой. Если бы склад находился в Европе, одна таможня могла задержать устройства на несколько недель.

Особенности Fortigate подробно описаны в нашей большой статье: Полное руководство о FortiGate. Все устройства Fortinet обрабатывают трафик на чипах ASIC. Они увеличивают пропускную способность в режимах безопасности до 10 раз, по сравнению с аналогичными моделями конкурентов.

Собственные разработки компании:

• Экосистема фабрики безопасности. Fortinet создаёт устройства для любых задач: от создания защищённого Wi-Fi подключения до управления сетью в 2000–3000 устройств.
• Процессоры ASIC
• Лаборатория безопасности FortiGuard Labs. В ней разрабатываются алгоритмы искусственного интеллекта для обнаружения вторжений и анализируются данные об атаках и вирусах со всех устройств Fortinet в мире.
• Технология виртуальных доменов VDOMs. На одном FortiGate можно обрабатывать трафик с разных компаний, и он будет изолирован и защищён.

Моделей Fortigate больше 30, есть влаго- и пылезащищенные устройства для производств из серии Rudged. Легко найти устройство под любой размер компании и объём трафика.

Подробно о моделях можно прочитать в нашей статье «Модельный ряд FortiGate» или в спецификациях на сайте Fortinet.

Palo Alto придумали термин NGFW и закрепили его на рынке.

В России имеет представительство в Москве. На официальном сайте оно не указано, в СМИ и социальных сетях не появляется. Материалов на русском нет, информации о техподдержке и складах оборудования — тоже.

Особенности NGFW. Palo Alto называет главное особенностью своих экранов технологию обработки трафика Single Pass. Каждая операция для пакета выполняется только один раз: установление соединения, загрузка пакета в память, дешифровка и применения правил происходит одновременно для каждой функции безопасности.

Fortigate 1800f. тоже двухстоечное исполнение, набор сетевых интерфейсов для установки в цод

У Fortinet есть и шкафы на 6 мест в стойке, разработанные специально для провайдеров, но мощности таких устройств нужны лишь ограниченному количеству компаний. Например магистральным провайдерам.

Возьмём младшие модели в настольном исполнении: SG 105 у Sophos и FortiGate 60E у Fortinet. Обе модели имеют Wi-Fi модуль, и гигабитные порты RJ45.

Пропускная способность в режиме IPS составляет 350 Мбит/с для SG 105 и 400 Мбит/с для FortiGate. Если запутались, где UTM, а где NGFW — значит маркетологи вас не обманули. Разницы действительно нет.

Ngfw становится единственной точкой, через которую проходит внешний трафик — это одновременно и плюс, и минус. на нем собраны все отчёты об угрозах безопасности, но при отказе устройства сеть остаётся без защиты

NGFW как proxy-сервер — распространённая, но не совсем верная практика. При этом новое устройство просто ставится вместо старого прокси, конфигурация сети не изменяется. Не нужно менять маршрутизацию и настройки, внедрение происходит быстро.

Zyxel usg20w-vpn

Архитектура и производительность

Для обнаружения и контроля безопасности на уровне приложений требуется высокопроизводительная аппаратная платформа. Возможность ввода-вывода и производительность центрального процессора традиционных аппаратных платформ не могут соответствовать требованиям.

На этом фоне разработчики межсетевых экранов следующего поколения вынуждены искать оптимальные варианты аппаратной платформы для эффективной борьбы с новыми угрозами безопасности, которая максимально соответствовала бы предъявляемым требованиям.

Для продуктов рынка информационной безопасности может быть применена такая архитектура как x86, сетевой процессор (NP), специализированная интегральная схема (ASIC) или многоядерная система на чипе (SOC).

Проанализировав характеристики аппаратных архитектур и сравнив их с точки зрения гибкости и производительности, в Huawei выбрали для линейки USG 6000 многоядерную систему на чипе (SOC).

Рисунок 4. Внутренняя архитектура аппаратной платформы межсетевых экранов следующего поколения Huawei USG

Представленная в продуктах платформа, разработанная Huawei (рисунок 4), для продуктов безопасности кроме 64-битного многоядерного MIPS процессора включает в себя аппаратное ускорение на со-процессоре, высокоскоростную коммутационную матрицу (Switch Fabric).

Применяемый дизайн архитектуры платформы повышает производительность и надежность разрабатываемого на этой базе оборудования (Таблица 1).

Таблица 1. Выборка устройств из линейки Huawei USG 6300 (характеристики и производительность)

Бонус: история развития фаерволов и появление ngfw

До появления фаерволов функцию фильтрации выполняли маршрутизаторы. В 1980-ых интернета не было, поэтому хватало инспекции трафика по заголовкам на сетевом уровне модели OSI.

Компания Digital Equipment Corporation (DEC) в 1989 придумала первый фаервол — систему фильтрации пакетов на сетевом и транспортном уровне. Система делила пакеты на разрешённые и запрещённые с помощью внутренних правил. Разрешённые пакеты пропускались в сеть, а запрещённые — игнорировались.

Вторым поколением стали фаерволы с отслеживанием состояния соединения. Они проверяли отправителя и получателя на сеансовом уровне модели OSI. Если фаервол разрешал связь, все пакеты внутри сеанса автоматически считались правильными.

Если пакеты приходили после разрыва соединения, фаервол их игнорировал. Для дальнейшей связи нужно было создать новое соединение и пройти проверку фаервола. Первую рабочую модель такой системы представила AT&T Bell Labs в 1991 году.

Первым коммерчески успешным фаерволом третьего поколения стал DEC SEAL, выпущенный в 1992. Он выполнял функции прокси-сервера и определял подключения с нестандартных портов.

В 1994 году Check Point выпустила Firewall-1 с графическим интерфейсом. Работа системного администратора стала удобнее: не нужно настраивать фаервол через командную строку, его состояние и трафик визуализируются на экране в виде графиков и таблиц. С этого момента фаерволы накапливали дополнительные функции без принципиальных изменений в концепции защиты.

В 2004 году появились устройства Unified threat management, сокращённо UTM. Это четвёртое поколение фаерволов. Основной идеей стало совмещение всех функций сетевой безопасности в одном устройстве.

Термин ввела консалтинговая компания IDC, которая изучает рынок информационных технологий и коммуникаций. Устройства UTM выпустили все крупные вендоры: Cisco, Fortinet, Check Point и другие.

В 2008 году Palo Alto Networks выпустила устройство, которое контролировало доступ пользователя к приложениям и интернету. Это устройство назвали NGFW — фаервол следующего поколения, пятого.

В реестре можно найти все ранее выданные сертификаты и точно проверить, каким требованиям соответствует устройство

Из зарубежных лидеров рынка NGFW сертифицированы ФСТЭК:

Fortinet Fortigate лицензирован ФСТЭК по технической защите конфиденциальной информации. Этот сертификат даёт возможность использовать FortiGate в сетях госучреждений и при защите персональных данных не выше 1-го класса защиты.

№ сертификата: 4222

Действует до: 11.02.2025

Наименование: программно-аппаратный комплекс FortiGate, функционирующий под управлением операционной системы FortiOSверсии 6.X

Дата внесения в реестр: 11.02.2020

Check Point лицензирован ФСТЭК:

№ сертификата: 4208, 4209

Действует до: 28.01.2025

Наименование: шлюз безопасности Check Point Security Gateway версии R77.30

Дата внесения в реестр: 28.01.2020

У Cisco два действующих сертификата ФСТЭК:

1. Сертификат № 3904 заканчивается в марте 2021. Он выдан на серию фаерволов Cisco ASA 5500–X. Это не NGFW, сервисы защиты реализованы программно от старшей версии Firepower
2. Сертификат № 4261 действует до июня 2025. По нему сертифицировано только одно устройство Сisco Firepower 2130. Если оно не подходит вам, то другие устройства вы не можете использовать в задачах, где нужна лицензия.

Ситуация у Cisco такая, что лицензия на бумаге есть, но одна скоро закончится, а другую почти нельзя использовать в своей сети

В режиме прокси ngfw работает с меньшей производительностью и урезанным функционалом

Существенная часть функций при таком сценарии не работает правильно или вообще не используется. Например, невозможно фильтровать почту, а часть трафика может пройти мимо NGFW.

В режиме bridge установка NGFW не меняет конфигурацию сети. Новое устройство устанавливается между IPS и маршрутизатором локального трафика, и становится «вторым слоем» защиты.

В чём разница между utm, ngfw и usg

Производители называют свои устройства сетевой безопасности по разному: UTM, NGFW и USG. В них легко запутаться даже внимательному человеку. Маркетологи создали столько названий специально: так легче убедить клиента, что их устройство самое правильное и безопасное.

Разбираемся, есть ли различия в функционале и характеристиках этих устройств и стоит ли обращать внимания на название при выборе.

Разбор в статье мы продублировали в видео, для тех кому удобнее смотреть и слушать:

Расшифруем аббревиатуры:

• UTM — Unified threat management, единое управление угрозами
• NGFW — Next Generation Firewall, фаервол следующего/нового поколения
• USG — UniFi Security Gateway, шлюз безопасности UniFI. Так называет свои фаерволы компания Ubiquiti

Термин UTM ввела консалтинговая компания IDC в 2004 году. С 90-х годов появились новые угрозы: спуфинг, фишинг, усилился DDoS.

Производители добавляли новые функции защиты в фаерволы.Он контролирует внешний и внутренний трафик, а в трафике можно найти любые атаки извне и нарушение информационной безопасности. Например, ссылки в электронном письме, которые ведут на подставной сайт или сигнатуры вирусов.

У первых UTM-устройств были 2 большие проблемы:

1. Единственный процессор отвечал за все функции безопасности.
2. Трафик выгружался на HDD, потому что не хватало оперативной памяти. Жёсткий диск ограничивал скорость обработки трафика 100 Мбит/с.
   Если  в  компании передаётся 10 Гбит/с, то  UTM превращался в обычный фаервол, которого хватает только на маршрутизацию.

Для русскоязычных пользователей доступна поддержка только на английском языке

Отправить неисправное устройство можно на адрес представительства в Москве, а вот ждать его придётся со складов в Европе. В документах Check Point указано, что условия обмена устройств за сутки по специальной программе RMA доступны только в США и ЕС.

Особенности Check Point Quantum в выборе объёма памяти при покупке модели и возможность гипермасштабирования фаерволов с помощью Master Hyperscale.

Объясним на примере:

Компания занимается анализом больших данных и хочет поставить новое сетевое оборудование. Сейчас есть 2 заказа с известным трафиком, но неизвестно какие мощности понадобятся потом. Устанавливается аппаратный NGFW Check Point под текущий трафик, а если понадобится большие мощности — компания устанавливают виртуальную версию NGFW в облаке или на своих серверах и соединяют её с устройством в компании.

Пропускная способность фаервола увеличивается в 3–4 раза с помощью гипермасштабирования. В итоге компания платит только за реально необходимые мощности, и ей не нужно думать о создании «запаса на будущее» — расширить схему можно в любой момент.

Собственной разработкой компании является система защиты от угроз нулевого дня SandBlast Zero-Day Protection. Система основана на искусственном интеллекте и продвинутых алгоритмах эмуляции рабочий среды. Подробнее можно прочитать в документе Check Point.

18 моделей, не считая линейки устройств для производств. Подобрать решение получится как для малого офиса, так и в дата-центр провайдера.

В России представлена лучше всех остальных компаний. Маршрутизаторы Catalyst и модули для них, Wi-Fi точки доступа Aironet и другие товары производятся на заводе в Твери.

Как выбрать ngfw с помощью гартнера

Гартнер — большое аналитическое агентство, которое анализирует ИТ-рынок и собирает маркетинговую информацию по разным сегментам. На её основе Гартнер выпускает большие аналитические отчёты, даёт консультации и создаёт «квадранты Гартнера» — положение на рынке разных компаний относительно друг друга.

Место компании на графике отображают два показателя: по вертикали это финансовые и маркетинговые успехи компании, а по горизонтали — уровень развития технологий. На самом деле для анализа используется много показателей, но упрощённо деление такое.

Компании стремятся переместиться в верхний правый квадрант лидеров рынка.

В 2021 году Gartner объединил квадранты UTM и NGFW в единый Network Firewalls. Это значит, что компания, которая вместе с Palo Alto и развивала идею NGFW, не видит разницу между названиями.

Компания объяснила такой шаг тем, что некоторые вендоры представлены в двух квадрантах, а функционал UTM и NGFW совпадает.

В 10-минутном видео показываем как менялось положение компаний на рынке, какие вендора лучше подходят для безопасности, а каких выбирать не стоит:

Если вам удобнее читать, дальше расшифровка аналитики.

Квадрант gartner enterprise firewall за 2021 год

На российском рынке представлено ограниченное число партнёров. Это значит, что продукцию многих компаний из «нишевых игроков» даже нельзя официально купить в России. Поэтому из анализа мы убрали компании:

• ForcePoint
• Barracuda
• Hillstone
• Sangfor
• AhnLab не участвует в аналитике Гартнер с 2021 года
• Stormshield
• H3C
• F5 не участвует в аналитике Гартнер с 2020 года
• Venustech

Из этих компаний только Forcepoint находился в квадрате визионеров, остальные — нишевые игроки.

В 2021 году было 4 лидера:

1. Fortinet
2. Palo Alto
3. Check Point
4. Cisco

Эти компании занимают 95% российского рынка фаерволов нового поколения. У них представительства компаний и склады в России, развитая сеть дистрибьюторов, гарантия и техподдержка.

Квадрант gartner enterprise firewall за 2021–2021 года

В 2021 году положение изменилось. Все 4 лидера потеряли позиции. При этом перемещение вниз почти вертикальное. Это значит, что компании сохранили уровень технологий, но просели по прибыли или доле рынка.

Из остальных изменений наиболее интересно передвижение Sophos. Компания улучшила технологии и перешла в квадрант визионеров.

Квадрант гартнера за 2021–2020 года

Самые большие изменения произошли в 2020 году. На рынке корпоративных фаерволов осталось три лидера — Palo Alto, Fortinet и Check Point.

Cisco потеряла свои позиции и перешла в квадрат претендентов. Можно предположить, что выпущенный на рынок NGFW Firepower не оправдал ожиданий, оказался слабым с технической стороны и со стороны функций безопасности.

Это видно в сравнении с другими вендорами, которое мы приводим дальше в статье.

Fortinet улучшил свои технические показатели и уровень инноваций. Он вплотную приблизился к главному конкуренту на рынке NGFW — Palo Alto.Palo Alto не успевает развивать технологии и Gartner это отражает перемещением компании влево. За 3 года на рынке видел регресс. Не такой серьёзный как у Cisco, но ощутимый, чтобы конкуренты могли догнать и перегнать компанию.

Check Point в 2020 году вырос по финансовым и технологическим показателям одновременно. Из всех компаний в квадрате Гартнера, это лучшее и самое сильное изменение.

Sophos теряет рынок. К сожалению компания и так слабо представлена в России.

Коллективная защита

Количество угроз постоянно растёт. Если ограничить выбор только в пользу обычных локальных средств, то потребуется всё больше ресурсов. И всё больше усилий будет уходить на постоянную модернизацию, постоянный контроль ресурсов, попытки снизить нагрузку на шлюз безопасности и так далее.

Борьба средств безопасности против сетевых угроз — это уже не классический сценарий «самый твёрдый наконечник против самого крепкого щита», сейчас ситуация стала значительно интересней. Представьте себе поле боя, когда количество копий, мечей, секир и других атакующих объектов несётся на вас со всех сторон, а у вас в руках один щит.

В 5 веке до нашей эры римская армия, до этого копирующая боевое построение греков — фалангу, кардинальна сменила тактику в пользу манипульного построения пехотинцев (см. рисунок выше). Современники в то время «крутили пальцем у виска», предрекая Риму скорое поражение. Однако смелый ход оправдал себя и позволил Риму уверенно побеждать на протяжении следующих 600 лет.

Примерно такой подход реализован в облаке. Облачные решения позволяют использовать мощные центральные ресурсы и перехватить большую часть угроз. С другой стороны, расширенный сбор информации об угрозах позволяет быстрее выработать средства защиты и распространить их между подписчиками.

Лицензии фстэк и фсб

Сравнивать отдельные модели по сертификации ФСТЭК нет необходимости — вендор либо имеет сертификацию под задачи компании, либо она не требуется. Поэтому просто приведём список сертификатов, которые есть у производителей.

Проверить лицензии и конкретные требования можно в реестре ФСТЭК через поиск и в выписке ФСБ.

Малоизвестные решения

На российском рынке этих компаний нет, но Гартнер отмечает их успехи: Sophos и ForcePoint в квадранте визионеров, а WatchGuard близок к включению в него

Британская компания Sophos производит устройства безопасности с 1985 года, а на российский рынок пришла в 2000-х, сейчас продаётся под торговой маркой iNUS Capsule.

Для малого бизнеса и филиалов Sophos предлагает настольные модели: начиная с XG 86 с производительностью 3,1 Гбит/с и заканчивая XG 135, 7,5 Гбит/с.

Спецификация доступна на сайте. А виртуальная версия Sophos XG Firewall доступна для домашнего использования бесплатно с одним ограничением функционала — нельзя использовать «песочницу».

WatchGuard разрабатывает устройства для защиты сетей с 1996 года, а оборудование NGFW — с 2021.

Традиционно представлены настольные модели Firebox T15 – T80 поддерживают скорость обработки потока данных 400 Мбит/с — 4,7 Гбит/с. Младшая модель рассчитана на филиал с 4–5 сотрудниками, старшая подойдёт для офиса на 50 человек.

Версии для установки в серверную стойку рекомендованы для средних и крупных корпораций. Среднемощные модели Firebox M270 – M670 подходят для подключения 150–850 пользователей и обеспечивают производительность 4,9–34 Гбит/с.

Высокопроизводительная модель для ЦОД Firebox M5800 может обслуживать до 7500 пользователей со пропускной способностью 87 Гбит/с.

Модель Firebox T35-R с усиленной защитой от внешних условий используют для установки на производстве или на улице. Она выдерживает температуры от -40 до  60 ℃, защищена от брызг и пыли. Максимальная пропускная способность — 80 Мбит/с.

Все спецификации устройств WatchGuard представлены на сайте.

Модели на базе корпусов

Это флагманы всех производителей для магистральных провайдеров и огромных цодов. Большинство моделей имеет модульную структуру, чтобы менять сетевые интерфейсы или количество процессоров для обработки трафика.

Они занимают от 6 до 16 мест в серверной стойке и являются самыми мощными сетевыми устройствами на рынке.

Здесь мы не приводим разделение по местам, потому что каждое из этих предложений уникально. Невозможно их сравнивать в полную силу, поэтому просто расскажем об особенностях каждого.

FortiGate 7060E. Занимает 8 мест в стойке, и к нему можно выбрать 6 модулей: 4 процессорных, которые ускоряют обработку трафика и 2 модуля с сетевыми интерфейсами. Максимальная скорость интерфейсов составляет 100 GE.

Palo Alto 7080. Это огромный шкаф, который занимает 16 мест в стойке. В него можно вставить 10 слотов под расширения: 6 гибридных и 4 исключительно из процессоров для обработки трафика. Базовая версия продаётся с одним гибридным расширением и стоит 300 000 $. Каждое расширение дополнительно 150 000 $.

Cisco Firepower 9300. Максимум можно вставить 3 слота. Из таблицы видно, что это самая малая производительная модель. Она ограничена своими размерами. Слоты делятся по количеству вычислительных ядер на них от 24 до 56. Мы не смогли найти цену самого дорого расширения SM‑56 с 56 ядрами.

Check Point 64000. 16 слотов в стойке, такой же большой как и Palo Alto. Только слотов под расширение на 4 больше чем у конкурента: 14 вместо 10. Цену в открытых источниках найти не удалось. Каждое такое устройство практически индивидуальный проект.

Модели топ-уровня для цод и провайдеров

Такие модели нужны в больших корпорациях с сетью офисов по всему миру, или крупных ИТ-компаний с большим трафиком.

Этот рынок делят между собой только самые крупные игроки: Fortinet, Palo Alto, Check Point и Cisco.

Российские производители и более мелкие зарубежные вендоры не производят устройств с пропускной способностью 50–100 Гбит/с.

1-е место неизменно у FortiGate. Технические характеристики выше всех остальных устройств. Помимо этого Fortinet выпустил модель 4400F, у которой пропускная способность в режиме Threat Protection 75 Гбит/с, а в режиме фаервола — больше 1 Тбит/с! При этом стоит она 216 000 $, что не дороже моделей других производителей в таблице.

2-е место занимает Palo Alto PA-5280 и Check Point 28000. Стоят одинаково, отличаются только количеством параллельных сеансов и пропускной способностью IPsec и фаервола.

Последнее место за Cisco. Во-первых вызывает сомнения полноценная защита NGFW, во вторых производительность. Когда другие модели занимают 3 места в стойке, Cisco Firepower 4145 всего 1 место. Это значит плотнее расположены элементы на схеме, они сильнее греются и хуже охлаждаются.

Настройка защиты от таргетированных атак (apt-defence) с подключением к локальной песочнице (через веб-интерфейс)

Настройку этой функциональности, как и любой другой, рекомендуется начинать с небольшого планирования: отрисовать схему, зафиксировать информацию об используемых сетевых портах и IP-адресах.

Рисунок 12. Схема работы APT-модуля Huawei USG 6350 в связке с локальной песочницей FireHunter

Как показано на рисунке 12, корпоративная сеть подключается к интернету через наш межсетевой экран и имеет локальную песочницу. USG 6350 взаимодействует с локальной песочницей в случае если настроено обнаружение вредоносных URL-адресов и обнаружение файлов по репутационным спискам.

• если трафик исходит с вредоносного URL-адреса, Huawei USG 6350 блокирует трафик; 
• если трафик соответствует вредоносному файлу, устройство выполняет указанное в правилах действие. В любом случае трафик не нужно отправлять в безопасную среду для проверки;
• если потенциально опасный трафик, определенный Huawei USG 6350, не соответствует вредоносному URL-адресу или вредоносному файлу, он отправляется в локальную песочницу для проверки.

Межсетевой экран периодически получает результаты проверки файлов из FireHunter, обновляет списки потенциально вредоносных файлов и URL-адресов. Если в дальнейшем трафик будет соответствовать вредоносному URL-адресу или файлу, будет произведено действие, прописанное в политиках модуля защиты от таргетированных атак, например блокирование. Тем самым мы обезопасим пользователей интрасети от APT-атак.

После того как мы подготовились и полностью понимаем, как будет работать наша система в целом, приступим к непосредственной настройке.

Начнем с добавления политик для работы с песочницей при выходе пользователей корпоративной сети в интернет. Для этого перейдем в раздел Policy > Security Policy > Security Policy. Как ранее мы отмечали, нужно создать две политики, назовем одну Access to Local Sandbox (с параметрами, указанными на рисунке 13), вторую — Access to Internet (с параметрами, указанными на рисунке 14).

Рисунок 13. Добавление политики взаимодействия с локальной песочницей в Huawei USG 6350

Рисунок 14. Добавление политики доступа пользователей корпоративной сети в интернет в Huawei USG 6350

Затем настроим подключение локальной песочницы в разделе System > Setup > Sandbox > Local Sandbox (рисунок 15). В ходе заполнения полей были указаны IP-адрес, API-Key (по сути идентификационный пароль для доступа с USG на FireHunter), протокол взаимодействия и сертификат локальной песочницы.

Также можно указать ограничения по размеру файлов, которые будут передаваться на анализ (обратите внимание, что есть ограничение, и оно вполне обосновано, так как файлы большого размера могут значительно повлиять на производительность средств защиты).

Рисунок 15. Настройка подключения к локальной песочнице в Huawei USG 6350

Примечание: стоит обратить внимание, что сразу подключиться к песочнице не удалось, возможно, это было связано с тем, что не был настроен модуль защиты от таргетированных атак (APT-defence). Отметим, что сразу после его настройки все заработало.

Приступим к настройке следующего модуля, который предназначен для защиты от целевых атак и работает совместно с песочницей. Для этого перейдем в другой раздел — Object > Security Profiles > APT Defense:

1. Нажимаем Add;
2. Задаем имя и описание профиля;
3. Далее в профиле необходимо включить различные методы обнаружения, в нашем случае будет все в одном профиле:
   1. Malicious URL Detection — анализирует и в случае необходимости блокирует доступ к потенциально зловредным URL;
   2. File Reputation Detection — контролирует передачу данных по определенным протоколам, в зависимости от указанного направления (входящий/исходящий трафик) и применяет настроенные в профиле действия (блокировка, уведомление либо удаления вложения) к потенциально зловредным файлам. По умолчанию выбраны все протоколы (рисунок 16);
   3. Sanbox Detection — при включении данной опции будут определены параметры, по которым принимается решение инспектирования обнаруженных в потоке данных файлов. В настройках стоит обратить внимание на большой список поддерживаемых расширений файлов: bat, jar, 7Z, cab, docx, msi, vbs. html и т. д. (рисунок 17).

Рисунок 16. Настройка профиля для модуля защиты от целевых атак в Huawei USG 6350

Рисунок 17. Настройка раздела Sandbox Detection в Huawei USG 6350

На следующем шаге необходимо прописать ссылку на созданный профиль APT defence в политиках безопасности, для этого выберем Policy > Security Policy > Security Policy. В списке находим ранее созданную политику доступа в сеть интернет (Access_to_Internet) и модифицируем раздел APT defence (рисунок 18).

Рисунок 18. Модификация политики безопасности в Huawei USG 6350

После того как мы настроили все необходимые параметры, настало время проверить песочницу и модуль защиты от целевых атак в деле. Перейдем обратно в раздел System > Sandbox > Local Sandbox, там мы увидим статус успешного подключения к локальной песочнице (рисунок 19).

Рисунок 19. Статус подключения к локальной песочнице в Huawei USG 6350

Пропустим через реализованную схему потенциально вредоносный файл и посмотрим результаты работы локальной песочницы FireHunter. Веб-интерфейсе локальной песочницы мы видим результаты срабатывания, которые можно детализировать (рисунки 20, 21).

Рисунок 20. Информационное табло локальной песочницы в Huawei USG 6350

Рисунок 21. Детализированная информация по срабатываниям локальной песочницы в Huawei USG 6350

Одни и те же функции с разными названиями. взяты из официальных даташитов

По функционалу UTM и NGFW одинаковы. Рассмотрим другие особенности.

NGFW Fortinet и UTM Sophos обрабатывают трафик на нескольких процессорах одновременно. Sophos использует чипы Интел, а Fortinet — чипы ASIC NP7, CP9 и SOC4, собственные разработки компании. Подробнее о них можно узнать в большой статье: Полное руководство о FortiGate.

Количество моделей. В 2021-х годах Gartner занимал позицию, что UTM подходит для малого и среднего бизнеса, а NGFW — для корпораций с большим объёмом трафика. Сравним младшие и старшие модели сейчас.

У UTM Sophos старшая модель SG 650. Её пропускная способность в режиме IPS 16 Гбит/с. Наиболее близкая модель у Fortinet — 1800F. В режиме IPS выдаёт 13 Гбит/с. Этого достаточно для обслуживания головного офиса на 500–700 человек.

Пакет сервисов hospitality

USG FLEX создан не только для обеспечения прямых функций безопасности, но и для контроля сети. Набор функций для Hospitality позволяет автоматически обнаруживать и производить конфигурацию точек доступа. Также в пакет входят: управление хот-спотами (биллинг), управление точками доступа с поддержкой Wi-Fi 6, различные функции управления доступом к сети и увеличение максимально допустимого числа авторизованных пользователей.

Проще говоря, Hospitality Pack служит именно для расширения возможностей контроллера беспроводной сети (сам по себе встроенный контроллер уже может автоматически обнаруживать и производить конфигурацию до 8 точек доступа, в том числе Wi-Fi 6).

Есть отдельные бессрочные лицензии на увеличение количества точек ( 2/4/8/64 AP), на увеличение количества авторизованных пользователей ( 100/300) и на функцию биллинга с поддержкой принтеров.

Примечание. Hospitality — это индустрия гостеприимства (отели, рестораны, кафе…), и для неё больше всего подходит данный набор функций. Однако новые возможности не ограничены этой сферой бизнеса. Например, увеличение количества точек и авторизованных пользователей набор может потребоваться в крупных компаниях с большим количеством «приходящих» сотрудников.

Панель инструментов серии USG FLEX предоставляет удобную для пользователя сводку трафика и визуальную статистику угроз.

SecuReporter расширяет возможности для дальнейшего анализа угроз с разработкой функции корреляции. Это позволяет не ликвидировать последствия, а предотвращать опасные события. Централизованный подход к анализу сетевых операций позволяет управлять сразу несколькими клиентами.

Подробнее об устройствах usg flex

Прежде чем приступим к описанию, остановимся на ключевых моментах.

Как было сказано выше, очень важно обеспечить единообразие среди используемого оборудования. Зачастую системные администраторы сталкиваются с проблемой, когда слабое оборудование уровня СМБ или даже SOHO (начальный уровень) требуется увязать с мощными решениями уровня Enterprise.

Тут возникает масса интересных «сюрпризов». Мало того, что слабые устройства для совсем малых (квартирных) сетей могут не поддерживать нужные протоколы (или поддерживать их только «на бумаге»), так ещё и настройка всего этого «хозяйства» может занять значительное время.

Несмотря на то, что процедура настроек, в принципе, похожа, на практике могут возникать неожиданные нюансы. При этом разработчики интерфейсов управления порой проявляют недюжинную фантазию, а вот желание написать хорошую подробную документацию встречается гораздо реже.

В Zyxel при разработке новых устройств документации уделяется большое значение, а широкая линейка позволяет унифицировать операции по настройке и обслуживанию.

Совет. Чтобы получить устройство на тест, нужно прислать запрос по адресу: Sales_rusc@zyxel.eu

Если говорить про USG Flex, то данная линейка на данный момент содержит целых 5 устройств:

Важно отметить, что все они поддерживают одинаковые протоколы VPN, функцию контроллера точек доступа (8 точек со стандартной лицензией при покупке), антивирус, антиспам, IDP (обнаружение и предотвращение вторжений), Патруль приложений, контентную фильтрацию, возможность подключить SecuReporter Premium по подписке.

Ниже мы остановимся подробно на каждой модели USG FLEX.

Причины появления ngfw

В первых UTM-устройствах функции безопасности работали последовательно: проверка пакетов на уровне заголовков, затем дешифровка, потом проверка антивирусом. Производители не всегда заботились о необходимой вычислительной мощности, а маркетологи включали функции безопасности в ПО по принципу «чтобы было».

Скорость обработки пакетах при всех включённых функциях безопасности падала настолько, что некоторые фаерволы переставали маршрутизировать трафик и клали всю сеть.

Другая проблема — загрузка файлов на жёсткий диск. Оперативной памяти не хватало, трафик приходилось выгружать на медленный жёстких диск и скорость обработки падала. Функции безопасности в NGFW работают параллельно. Это позволяет одновременно проверять трафик антивирусом, сигнатурами IPS, фильтровать по URL и так далее.

NGFW дешифруют и проверяют пакеты без сохранения на жёсткий диск. Все операции выполняются в оперативной памяти, а скорость обработки трафика не зависит от производительности жёсткого диска.

Но эти различия имели значение для первых устройств UTM и NGFW. Со временем недостатки архитектуры UTM исправили, и существенной разницы между двумя типами устройств на уровне технологий нет.

Список всех даташитов моделей

Для вас мы собрали все даташиты моделей, которые есть в этой статье. В них есть информация о сетевых интерфейсах и пропускной способности в других режимах безопасности, например при одном только антивирусе или SSL VPN. Большинство даташитов в pdf, весят от 3 до 10 Мбайт.

Если у вас заканчивается мобильный трафик, возможно лучше их смотреть с компьютера или при подключении к Wi-Fi.

Здесь мы не приводим разделение по местам, потому что каждое из этих предложений уникально. Невозможно их сравнивать в полную силу, поэтому просто расскажем об особенностях каждого.

Datasheet:

Fortinet FortiGate: 60F, 200F, 1800F, 4200F, 7060Е

Palo Alto PA: 820, 3250, 5220-5280, 7080

Cisco Firepower: 1010, 2120–2140, 4145, 9300

Check Point: 1590, 6400, 7000, 28000, 64000

Схема работы функции single pass. судить об уникальности сложно, другие производители также оптимизируют обработку трафика без названия отдельной технологии

Подробнее о технологии и параллельной обработке трафика можно прочитать в методичке Palo Alto от 2021 года: The PA-5000 Series Architecture.

Собственных разработок компании три:

Типовые варианты установки и настройки

Рассмотрим варианты развертывания, которые можно отнести к типовым. Ниже на рисунке 11 можно увидеть комбинированное применение для защиты различных сегментов корпоративной сети, терминальных подключений и облачных сервисов, размещенных в дата-центре.

Рисунок 11. Типовые варианты развертывания Huawei USG 6350

Теперь немного подробнее о каждом из вариантов:

1. Разграничение внутреннего периметра (интранет) с помощью межсетевого экрана нового поколения позволяет:
• разграничить доступ на уровне пользователей;
• создавать политики контроля мобильных пользователей, управлять их доступом и логировать события;
• настраивать контентную фильтрацию и аудит проходящих электронных сообщений, переписки в мессенджерах и социальных сетях, тем самым предотвращая потенциальные утечки информации.
2. Можно настроить защиту от неавторизованного доступа в интернет с рабочих мест, в частности:
• категорирование URL, блокировка нежелательных приложений и расширений, что повышает защиту от зловредных и потенциально опасных веб-ресурсов;
• настройка правил, влияющих на качество обслуживания (QoS), за счет выделения из общей массы наиболее приоритетных пользователей и сервисов.
3. Можно использовать устройства из данной линейки для защиты периметра облачных дата-центров:
• за счет внедрения механизмов предотвращения вторжений, дифференцирования защитных функций для каждой конкретной виртуальной системы;
• за счет включения anti-DDoS.
4. Организация удаленных VPN-подключений, с возможностью TLS-шифрования канала.

Фаервол применяет политики к трафику, затем дешифрует его, потом работает антивирус, работа с приложениями и остальные функции по цепочке. каждая включённая функция снижает производительность

В 2008 году Palo Alto Networks выпустила фаервол, которой контролировал доступ пользователя к приложениям и обрабатывал трафик на нескольких процессорах одновременно.

Гартнер и Palo Alto назвали его NGFW — фаервол следующего поколения и начали активно рекламировать, что он лучше защищает чем UTM. Гартнер даже выпускал два разных магических квадранта с аналитикой рынка: отдельно по NGFW и отдельно по UTM.

Сейчас объём трафика такой, что один процессор не обработает его — ни в UTM, ни в NGFW.

А в 2021 году Гартнер перестал разделять рыночные сегменты UTM и NGFW. Его квадрат теперь называется Enterprise firewall и объединяет всех производителей.

Сравним по этим пунктам UTM и NGFW от разных производителей. Для примеров мы взяли по устройству из каждой группы: UTM Sophos SG Series и NGFW Fortinet FortiGate.

Разберём функции безопасности UTM и NGFW:

Функции безопасности ngfw

Функции безопасности одинаковые во всех NGFW:

• DPI
• IDS/IPS
• Антивирус
• DLP
• Фильтрация по URL
• VPN
• Инспектирование SSL
• Антиспам
• Application Control
• Web Application Firewall
• Аутентификация пользователей
• Sandboxing

Gartner называет главным отличием NGFW от предыдущих поколений фаерволов функцию глубокой проверки пакетов (DPI) на уровне приложений, а не только в рамках инспекции портов и протоколов

NGFW включает встроенное средство предотвращение вторжений (IDS/IPS). Оно блокирует вредоносный трафик в режиме реального времени на основе сигнатур. Информация о новых угрозах обновляется в базе и поступает на устройства NGFW за 10–60 минут.

IPS работает по принципу «запрещено все, что не разрешено»: если приложение не идентифицировано или выполняет нетипичные для него действия, оно будет заблокировано.

Антивирусные сигнатуры для NGFW обновляются также в онлайн-режиме. Трафик проверяется на наличие вирусов, шпионского ПО, троянов и червей.

Средство для предотвращение утечек данных (DLP) в NGFW отслеживает все потоки данных, которые выходят за пределы локальной сети. При обнаружении в потоке конфиденциальной информации, передача автоматически блокируется.

Однако его функции сильно обрезаны, по-сравнению с российскими разработками. Иностранный регламент по защите персональных данных (General Data Protection Regulation, GDPR) ограничивает возможности вендоров в создании таких DLP.

Мы рекомендуем не полагаться на эту функцию в NGFW, а сразу приобретать российские решения, например от InfoWatch.

Фильтрация URL по репутации позволяет автоматически блокировать скомпрометированные сайты, не загружая с них данные.

NGFW решения поддерживают виртуальную частную сеть (VPN), дешифрование и инспекцию SSL-трафика, предотвращает непрерывные атаки, обеспечивают защиту почтовых программ и позволяют настраивать антиспам.

Application Control отслеживает метки приложений, которые используются в сети. Если пользователь попытается запустить неизвестную программу, NGFW заблокирует запуск и уведомит администратора. По такому же принципу, только в отношении веб-приложений и сервисов, работает Web Application Firewall. Для ограничения действий внутри сети и контроля прав доступа используется аутентификация пользователей.

Для безопасного тестирования настроек и запуска непроверенных приложений, в NGFW можно настроить безопасную копию сети — «песочницу» (Sandbox).

Характеристики huawei usg 6350

Итак, мы уже выяснили, что модели линейки Huawei USG, в частности модель 6350 (рисунок 3), по заявлению разработчиков, обладают гибкой, масштабируемой архитектурой и развитой функциональностью.

Рисунок 3. Внешний вид и элементы интерфейса моделей линейки Huawei USG

Интерфейсы:

1. USB порт
2. Консольный порт
3. 1 x GE (RJ45) Management Port
4. 4 x GE (RJ45) Ports
5. 2 x GE (Combo) Ports

Красным на рисунке 3 выделана область, в которой на месте заглушек можно поставить плату расширения сервисных интерфейсов (WSICs). В зависимости от потребностей организации можно установить разные комбинации дополнительных интерфейсов: 2 x 10 GE (SFP ), 8 x GE (RJ45), 8 x GE (RJ45), 8 x GE (SFP), 4 x GE (RJ45) BYPASS.

Если ориентироваться на официальную документацию и предоставленный для изучения стенд, можно однозначно сказать о наличии множества функций, которые есть в любом другом устройстве подобного класса. Например, защита приложений (Application Firewall), модуль обнаружения и предотвращения вторжений (IDSIPS), антивирусный модуль, URL-фильтрация, песочница (у функциональности sandbox есть определенное преимущество, об этом чуть дальше).

Однако при более детальном рассмотрении можно выделить особенные, а в некоторых случаях и уникальные фичи обозреваемого NGFW.

Сразу оговоримся, что есть функции и возможности в чистом виде сетевые (не относятся к кибербезопасности), однако их наличие позволяет сделать продукт более гибким и встраиваемым в инфраструктуру. А также есть исключительно security-функции. Рассмотрим их в разделе «Функциональные возможности».

Выводы

Учитывая намеченные достаточно давно тенденции в развитии рынка NGFW- и UTM-решений, можно точно сказать, что линейка продуктов Huawei USG (Unified Security Gateway) во многом соответствует предъявляемым требованиям. Однако следует помнить, что «серебряной пули» в ИБ не существует, и даже очень известные и популярные представители рынка имеют свои преимущества и недостатки.

Продукты компании Huawei постоянно развиваются, поэтому хотелось бы упомянуть о планах по развитию продукта. Достаточно скоро в рассматриваемую линейку продуктов Huawei USG 6000 будет добавлена поддержка следующих функций:

• SNORT семантики для IPS — модуля предотвращения вторжений — появится в середине 2021 года. Востребованность этой функциональности обоснована потребностью у заказчика подгружать правила обнаружения и предотвращения вторжений в другие межсетевые экраны нового поколения в дополнение к существующим;
• поддержка ICAP-протокола, который в большинстве случаев используется для сканирования на вирусы проходящего трафика и применения к нему различных контент-фильтров. По заявлению вендора, появится эта функциональность летом 2021 года, с новым релизом. Добавление обусловлено распространенностью именно на нашем рынке ввиду интеграций отечественных решений по ICAP.

Преимущества

• Удобный интуитивно понятный и быстрый web-интерфейс.
• Сертифицирован ФСТЭК России.
• Гибкие возможности настройки интерфейсов, маршрутизации.
• Широкий скоп функциональности контентной безопасности.
• Различные варианты аутентификации пользователей.
• Возможность гибко по мере возможности наращивать функциональность за счет подключения дополнительных программно-аппаратных комплексов (песочница, система обнаружения вторжений).

Недостатки

• Отсутствие русскоязычного интерфейса.
• Минимальное количество русскоязычной технической литературы (руководства, методички и т. д.).

https://www.youtube.com/watch?v=tdLqb4_YJqY

Автор благодарит компанию-дистрибьютора «Ландата» за предоставленный стенд.

Unifi security gateway xg 8 ubiquiti. купить. wifi свич, коммутатор, маршрутизатор. настройка, установка, инструкция, отзывы, прошивка, цена.