На небольшой обзор о развитии технологий защиты сетей меня вдохновила информация о сравнительно недавно появившихся, так называемых, Next Generation Firewall (NGF). Если судить по гугл-трендам, то термин появился еще в середине 2010 года и с тех пор интерес к нему только растет.
 |
| Развитие тренда Next Generation Firewall |
Вероятно, в это время о своей новой технологии NGF и объявила, тогда мало известная на рынке сетевых решений безопасности, компания Palo Alto... а сегодня лидирующая по показаниям квадрата Гартнера. Но прежде чем писать о технологии NGF следует несколько слов уделить и другим технологиям.
Access Control List'ы настроенные на маршрутизаторах - первый механизм межсетевого экранирования. Они представляют из себя список правил, содержащих адрес источника, адрес назначения и соответствующие порты, через которые разрешено/запрещено взаимодействие, тем самым фильтруя сетевые пакеты. Соответственно, такие фаерволлы в итоге получили имя First Generation Firewalls.
Межсетевые экраны второго поколения не заставили себя долго ждать. Новой фичей стало запоминание фаерволлом состояния сессии ("stateful firewall") - т.е. он "понимал", какие пакеты являются началом сессии, какие ее частью - а какие пакеты абсолютно "левые".
Ну а используемые сейчас повсеместно фаерволлы третьего поколениястали залезать в пакет еще чуть глубже определяя протокол передачи данных. Теперь можно было фильтровать не только нетипичные для сессии пакеты, но и нетипичные для конкретного протокола. Определение протокола позволило построить систему URL-фильтрации, а значит стали востребованы обновления баз репутации URL. К слову, сейчас многие из этих баз строятся не только по принципу репутации, но и по категориям ресурсов (новостные сайты, анонимайзеры, социальные сети и т.д.)
Возможность углубиться в проходящие фаерволл пакеты также позволила анализировать их при помощи дополнительных средств, например потоковых антивирусов или IPS. А также "прикрутить" другие полезные (и не очень) функции. Устройства, реализующее все это уже не просто межсетевой экран - оно получило название Unified Threat Management (UTM).
Перечисленные выше механизмы защиты также включены в функционал некоторых современных proxy-серверов. Благодаря NTLM-аутентификации и интеграции с AD это позволило использовать перечисленные механизмы не только для защиты от внешних угроз, но и для разграничения прав доступа сотрудников к тем или иным внешним ресурсам. Кроме того, технология ICAP дала возможность подключить к устройству еще и DLP-систему таким образом, что на основе анализа пересылаемых данных можно заблокировать передачу конфиденциальной информации за пределы сети предприятия.
А теперь, наконец то, перейдем к технологии Next Generation Firewall. Вспомним, потоковый антивирус - урезанная версия файлового (чтобы не сильно замедлять прохождение трафика) - по сигнатурам проверяет - не содержится ли в трафике вирус. IPS - по сигнатурам и эвристике проверяет - не содержится ли в получаемом трафике что-то похожее на сетевые атаки на определенные уязвимости... Аналогично, определенные сигнатуры и поведенческие характеристики наблюдаются в трафике, генерируемом различными сетевыми приложениями.
Мы можем выделить пакеты, сгенерированные, скажем, Skype или Teamviewer из общего трафика. А раз можем выделить - можем и заблокировать. Технология NGF по сути и позволяет блокировать работу тех или иных сетевых приложений, что с точки зрения политики компании и политики безопасности может оказаться крайне полезным.
