Построение системы межсетевого экранирования
Межсетевой экран является основным элементом защиты корпоративной сети от несанкционированного доступа (НСД). Отсутствие межсетевого экрана позволяет внешнему злоумышленнику проникнуть в сеть организации и нанести ей вред путем уничтожения или хищения конфиденциальной информации, либо использования ИТ-инфраструктуры компании в личных целях.
Fortinet
Многофункциональные сетевые устройства FortiGate компании Fortinet, от модели FortiGate-30B для малых предприятий до моделей серии FortiGate-5000 для крупных компаний, сервис-провайдеров и операторов связи объединяет комплексный подход к обеспечению надёжной безопасности сетевой инфраструктуры и высокой производительности за счёт применения специализированной операционной системы FortiOS, микропроцессоров FortiASIC и других специальных аппаратных средств.
Технологии межсетевого экрана Fortinet сочетают аппаратное ускорение с арсеналом интегрированных программных средств для быстрого обнаружения и блокировки угроз. Межсетевой экран в устройствах FortiGate интегрирован вместе с прочими ключевыми средствами обеспечения сетевой безопасности, такими как VPN, антивирусная защита, средство предотвращения вторжений, web-фильтр, антиспам и traffic shaping. Решения масштабируются от уровня небольшого офиса до размера крупных корпораций и центров обработки данных. Для централизованного управления и анализа журналов событий используются решения FortiManager и FortiAnalyzer.
Многофункциональные сетевые устройства FortiGate обеспечивают экономически эффективную комплексную защиту на уровне сети, приложений и данных, в том числе от современных комбинированных многоуровневых атак без ущерба для производительности и доступности сети.
Аппаратные платформы устройств FortiGate предоставляют такие сервисы как высокая доступность и балансировка нагрузки, с поддержкой работы в кластерах типа активный-активный и активный-пассивный, а также использование виртуальных доменов (VDOM) для разделения сетей, требующих использование различных политик безопасности.
Полная интеграция с остальными технологиями сетевой безопасности Fortinet делает защиту от угроз многоуровневой и более надежной. Функционал межсетевого экрана в агентах FortiClient расширяет защиту на мобильные устройства, смартфоны и удаленные компьютеры, работающие вне сетевого периметра предприятия. Доступные решения централизованного управления и отчетности снижают операционные расходы на сопровождение межсетевого экрана.
Ideco
Интернет-шлюз Ideco ICS (Ideco Internet Control Server) — это универсальный интернет-шлюз с функциями межсетевого экрана и учета трафика. Ideco ICS позволяет быстро и легко настроить качественный доступ в Интернет всем пользователям, сделает работу с Интернет управляемой и безопасной. Интегрированные сетевые сервисы позволяют сразу развернуть полноценную почтовую службу, веб-сайт, ftp-сервер. Удобный VPN-сервер позволяет объединить несколько офисов в единую сеть, подключить удаленные подразделения и мобильных пользователей. Ideco ICS — это высоконадежное и безопасное решение со встроенной и максимально защищенной операционной системой Linux, включает в себя сконфигурированные и готовые к использованию компоненты. Система автоматически устанавливается и управляется через удобный веб-интерфейс. Ideco ICS построен на базе ядра Linux с применением уникальных технологий, поэтому имеет беспрецедентную надежность и защищенность, сравнимую с аппаратными маршрутизаторами.
Преимущества Ideco ICS
- Встроенные средства безопасности обеспечивают эффективную защиту от широкого спектра внешних угроз: вирусов, спама, сетевых атак и несанкционированного доступа;
- Автоматическая установка и простота администрирования. Решение не требует постоянного сопровождения — эксплуатационные расходы близки к нулю;
- Управление группами пользователей и политиками доступа осуществляется через удобный и многофункциональный веб-интерфейс который позволяет контролировать систему из любой точки администрирования, в любое время;
- Фильтрация спама и веб-контента позволяет значительно снижать непродуктивные временные затраты пользователей и экономить ресурсы;
- Контроль утечек информации для служебного пользования — сканирование исходящего web и почтового трафика пользователей локальной сети с целью обнаружения возможной передачи внутренней информации компании третьим лицам.
- Надежность системы подтверждается примерами внедрения Ideco ICS в корпоративных сетях с числом пользователей 3000 и более;
- Удобная схема лицензирования. Имеются версии для малых предприятий: 10-20 пользователей; средних: 50-200; и крупных компаний: 500 и более пользователей.
- Учитывая экономию расходов, низкие эксплуатационные издержки и высвобождение времени специалистов — Ideco ICS окупается за несколько месяцев.
StoneSoft
В основе межсетевого экрана с интегрированными функциями построения VPN StoneGate Firewall /VPN лежат уникальные архитектурные решения, позволяющие обеспечить непревзойденный уровень защиты информационных систем.
В StoneGate FW/VPN используется собственная интегрированная защищенная ОС, что исключает необходимость выполнения каких-либо специализированных операций по настройке (все необходимые инсталляции выполняются в «один проход»), а также позволяет наращивать функциональность StoneGate лишь за счет добавления новых компонентов без изменения работающей инфраструктуры и без остановки в работе. В StoneGate FW/VPN применены самые современные технологии анализа трафика и обеспечения отказоустойчивости. Запатентованная технология MultiLayer Inspection совмещает в себе достоинства фильтров Application proxy и Stateful Inspection, позволяя добиться большей безопасности соединений и гибкости фильтрации при отсутствии какого-либо значительного снижения скорости. На сегодняшний день для инспекции доступно более 20 прикладных протоколов (H.323, SIP, FTP, HTTP(S), SMTP, IMAP, POP3, SSH, NBT, MSRPC, Sun RPC, Oracle TNS и др.), что позволяет инспектировать поток по полному набору правил, осуществляя, помимо всего прочего, контентную и URL-фильтрацию с помощью базы URL от BrightCloud, антивирусную инспекцию.
С использованием технологии MultiLink можно реализовать балансировку не исходящего (Outbound), а входящего (Inbound) трафика по пулу серверов, для более эффективного управления потоками трафика внутри МЭ и на окружающем сетевом оборудовании StoneGate FW/VPN поддерживает механизмы QoS и управления полосой пропускания.
Одной из особенностей работы StoneGate FW/VPN также является поддержка технологий борьбы с (D)DoS-атаками и активированный механизм антиспуфинга по умолчанию. Специальные механизмы борьбы с SYN-flood, позволяют либо ограничить количество соединений, используя специального «агента» (TCP proxy), либо не пропустить соединение до целевого сервера.
StoneGate Firewall/VPN имеет сертификаты ГОСТ Р, Минсвязи, сертификат ФСБ на СКЗИ, сертификат ФСТЭК на соответствие ТУ, по 2-му классу для МЭ и 4-у уровню контроля отсутствия НДВ, а также может использоваться для защиты информации в ИСПДн до класса К1 и автоматизированных системах класса 1В включительно.
Преимущества решения
Построение системы межсетевого экранирования необходимо для обеспечения безопасного взаимодействия локально-вычислительной сети Заказчика с внешними сетями, тем самым обеспечивая:
- защиту периметра сети организации;
- контроль входящего и исходящего трафика;
- эффективное использования полосы пропускания;
- защиту от атак на сетевом и прикладном уровне;
- контроль передающейся информации между сегментами внутренней сети;
- защита от внешних злоумышленников и несанкционированного доступа (НСД), в том числе от вредоносного ПО.