Достоинства и недостатки применения межсетевых экранов

Какими критериями необходимо руководствоваться при выборе межсетевого экрана?

При выборе межсетевого экрана, в первую очередь, конечно же, необходимо руководствоваться тем, что межсетевой экран должен быть следующего поколения, то есть так называемый Next Generation Firewall. В данной статье я не буду подробно перечислять его преимущества, так как их можно найти на страницах данного журнала.

Однако стоит отметить, что Межсетевой экран должен обладать достаточным запасом по производительности. Ведь не секрет, что с каждым годом скорости обработки трафика растут и требуют все более мощных решений по защите.

Мы живем в России, где существуют свои требования по защите информации, так что не будет новостью, что при выборе межсетевого экрана, обязательно следует удостовериться в наличии всех необходимых сертификатов.

При выборе модели межсетевого экрана также рекомендую обратиться к специализированным отчетам, таким как «квадрант Гартнера», в которых как раз подробно рассматриваются различные производители межсетевых экранов, их плюсы и минусы. Однако не следует руководствоваться одними лишь сравнительными итогами, так как порой итоги не всегда корректно ранжированы. Также следует оценить рассматриваемый функционал МЭ того или иного вендора, и только после того самому принять решение, что для Вас важно, а что нет. Хотя если у сравнения есть явные лидеры, стоит к ним хотя бы присмотреться, почему нет?

Каковы основные задачи и достоинства современных межсетевых экранов? Какие дополнительные возможности уже сейчас доступны для использования?

Сегодня наряду с активным ростом количества корпоративных и пользовательских приложений, значительным ростом трафика сети Internet, а так же постоянным развитием различных угроз и вирусов, современный межсетевой экран должен отвечать следующим критериям:

• МЭ должен обеспечивать точную идентификацию приложения независимо от используемых портов, протоколов, средств шифрования (SSL или SSH) и тактики обхода средства анализа трафика. Результаты идентификации приложения должны стать основой всех политик безопасности.

• МЭ должен идентифицировать пользователя вне зависимости от его местоположения. Информация о пользователях и группах из корпоративных каталогов должна использоваться для мониторинга, создания политик, формирования отчетов и расследования инцидентов в сфере информационной безопасности.

• МЭ должен защищать от попыток использования эксплойтов для известных уязвимостей и распространения вредоносных программ в трафике уровня приложений независимо от источника.

• МЭ должен обладать удобным графическим интерфейсом, который позволяет сформировать унифицированную политику безопасности.

• МЭ должен обладать мульти гигабитной производительностью с низкими задержками при всех включенных службах, причем заявленная производителем скорость работы не должна уменьшаться при включении того или иного функционала, например такого, как антивирусная проверка или IPS.

Перечислите основные недостатки, присущие межсетевым экранам. Существуют ли способы обхода данных недостатков?

На текущий момент многие производители межсетевых экранов страдают от недостаточного набора функциональных возможностей для полноценной защиты приложений и корпоративных ресурсов предприятий, а так же от низкой пропускной способности. При этом, основной недостаток проявляется в самой архитектуре межсетевого экранирования. Традиционные МЭ до сих пор используют старые правила и политики безопасности, основанные на IP-адресах и TCP/UDP портах, в тоже время, как современные приложения могут использовать как нестандартные порты, так и динамически использовать целый пул портов TCP/UDP, легко обходя при этом политики безопасности традиционного межсетевого экрана.

Ещё одним важным недостатком является применение дорогостоящих, так называемых “помощников” МЭ, к которым можно отнести отдельно стоящие серверы URL-фильтрации, IPS, антивирусную защиту и т.д. Такой подход приводит к несогласованности политик безопасности и не позволяет решить проблему мониторинга и управления трафиком приложений, при этом возникает проблема в неточной или неполной классификации трафика, сложных процедурах управления и дополнительных задержках, вызванных множеством процессов сканирования.

Ну а способ обхода перечисленных недостатков состоит в выборе межсетевого экрана нового поколения!

Источник: Information Security
Автор: Андрей Гольдштейн