Межсетевые экраны NGFW: назначение, принцип работы, функционал

Сетевые маршрутизаторы обеспечивают доставку пакетов по оптимальным маршрутам, а также защиту сегментов сети от несанкционированного доступа и внешних угроз. В зависимости производительности в различных режимах работы, сетевые маршрутизаторы могут использоваться как в корпоративных, так и в операторских сетях различного уровня. Межсетевые экраны на базе маршрутизаторов нашли применение в корпоративных сетях для защиты внутренней локальной сети предприятия от нежелательного трафика и различных атак.

Рассмотрим линейку маршрутизаторов отечественного производителя Eltex.

Классификация маршрутизаторов Eltex

Маршрутизаторы Eltex можно разделить на три типа (рисунок 1):

1. Сервисные маршрутизаторы ESR – пограничный сетевой элемент уровня CE (Customer Edge), который обеспечивает функции защиты внутренней сети клиента от внешних угроз. Рекомендованы для использования на сетях корпоративных заказчиков сегментов SMB и Enterprise. Все сервисные маршрутизаторы ESR имеют одинаковый функционал, но отличаются производительностью в различных режимах работы (firewall, IPsec VPN, L2-коммутации, др.) и поддерживаемыми интерфейсами. Помимо «коробочных» решений ESR, Eltex предлагает серверный вариант поставки – виртуальный маршрутизатор vESR, который имеет гибкую масштабируемость за счет лицензий и ресурсов сервера, на котором он развернут.

2. Межсетевые экраны (МЭ) – предназначены для контроля и фильтрации проходящего через них сетевого трафика в соответствии с заданными правилами и политиками безопасности. Они используются для предотвращения несанкционированного доступа к информационным системам, отказам в обслуживании, утечек данных и обеспечения устойчивости к внешним воздействиям. В линейке Eltex межсетевые экраны выполнены на базе платформы сервисных маршрутизаторов серии ESR.

Межсетевые экраны ESR FSTEC прошли сертификацию Федеральной Службы по Техническому и Экспортному Контролю (ФСТЭК), что делает их подходящими для использования в качестве межсетевых экранов типа «А» четвёртого уровня защиты в государственных учреждениях, ведомствах, системах обработки персональных данных и других организациях, где предъявляются высокие требования к передаче конфиденциальной информации.

Межсетевые экраны NGFW отличаются опциональной поддержкой правил IDS/IPS, Application Firewall и других функций, которые появляются в новых версиях программного обеспечения ESR. Для активации функционала межсетевых экранов NGFW в сервисных маршрутизаторах ESR достаточно докупить необходимые программные опции или лицензии.

3. MPLS-маршрутизаторы – используются на границе MPLS сети для добавления и снятия меток с пакетов (PE маршрутизатор), а также внутри неё для перенаправления пакетов согласно меткам (P маршрутизатор). В качестве MPLS-маршрутизаторов в линейке Eltex предусмотрена серия ME. Отличительными особенностями ME серии от ESR являются фабричное исполнение, высокая плотность портов, поддержка протоколов маршрутизации высокого уровня и функций быстрой сходимости, большой объем FIB, полноценный и масштабируемый QoS. Поддержка протоколов MPLS, BGP, OSPF, IS-IS, PIM-SM/PIM-SSM обеспечивает гибкую маршрутизацию трафика на магистральном уровне.

Рисунок 1 – Классификация маршрутизаторов

Базовые функции маршрутизаторов

Основные функции, выполняемые маршрутизаторами:

1. Firewall – фильтрация входящего и исходящего трафика.

2. NAT (Network Address Translation) – преобразовании локальных IP-адресов в публичные и наоборот. Это позволяет множеству устройств в частной сети совместно использовать один публичный IP-адрес для выхода в Интернет. Также NAT маскирует локальную сеть и является дополнительной мерой безопасности, запрещающей нежелательные подключения.

3. Конфигурирование туннелей – построение защищенных соединений между двумя точками сети.

4. DHCP-сервер – маршрутизаторы могут раздавать IP-адреса устройствам в сети.

5. DNS-resolver – маршрутизаторы ESR могут сопоставлять имена хостов с IP-адресами с помощью обращения к DNS-серверу.

6. Защита от DoS-атак – хакерских атак на вычислительную систему с целью нарушения работы сетевых сервисов для добросовестных пользователей, устройств или приложений. В общем случае, для их предотвращения используется ограничение числа пакетов, передаваемых в секунду на один адрес назначения, а также закрытие TCP/UDP-портов.

7. Маршрутизация – определение лучшего маршрута для пересылки пакетов. В сервисных маршрутизаторах ESR имеются две таблицы маршрутизации:

• Routing Information Base (RIB) – содержит все маршруты до сетей назначения, полученные из различных источников: настроенные статически, импортированные из протоколов динамической маршрутизации (RIP, OSPF, IS-IS, BGP) и directly connected. Таким образом, до одной сети может быть несколько маршрутов.
• Forwarding Information Base (FIB) — содержит только лучшие маршруты до сетей, выбранные из RIB.

Более подробное описание поддерживаемых функций, а также алгоритмы настройки доступны в руководстве по эксплуатации.

Функции межсетевого экрана NGFW

NGFW (New Generation FireWall) – межсетевой экран «нового поколения» для глубокой фильтрации трафика, интегрированный с IDS/IPS и обладающий возможностью контролировать и блокировать трафик на уровне приложений (Application Firewall). Межсетевой экран NGFW также позволяет реализовать сегментацию сети, выделив в отдельные сегменты приложения, а не только группы портов и/или IP-адресов.

Реализация NGFW в сервисных маршрутизаторах Eltex ESR

Функционал межсетевых экранов NGFW в сервисных маршрутизаторах ESR постоянно дополняется. В версии ПО 1.28.1 реализованы следующие функции:

IDS/IPS и Kaspersky SafeStream II активируются отдельными лицензиями

1. IDS/IPS (Intrusion Detection System, система обнаружения вторжений / Intrusion Prevention System, система предотвращения вторжений) – программная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Работа системы основана на сигнатурном анализе трафика. Сигнатуры для систем IDS/IPS принято называть правилами. Устройства ESR позволяют скачивать актуальные правила с открытых источников в сети Интернет или с корпоративного сервера. Также с помощью интерфейса командной строки CLI можно создавать свои специфические правила.

2. С помощью инфраструктуры безопасности «Лаборатории Касперского», в том числе облачного «коллективного разума» Kaspersky Security Network с поддержкой Kaspersky SafeStream II, сервисный маршрутизатор ESR способен обнаруживать вредоносное ПО во всех типах трафика (web, email, P2P, сервисы мгновенного обмена сообщениями и т.п.), что обеспечивает защиту пользователей от самых опасных киберугроз, в том числе угроз нулевого дня, программ-шифровальщиков, заражённых сайтов и иных типов.

Система IPS/IDS на устройствах ESR позволяет использовать следующие наборы правил, предоставляемых Kaspersky SafeStream II:

• Данные о репутации IP-адресов — набор IP-адресов с контекстной информацией, сообщающей о подозрительных и вредоносных узлах;
• URL-адреса вредоносных ссылок — набор URL-адресов, соответствующих опасным ссылкам и веб-сайтам;
• URL-адреса фишинговых ссылок — набор URL-адресов, распознаваемых «Лабораторией Касперского» как фишинговые. Доступны записи с масками и без масок;
• URL-адреса командных серверов ботнетов — набор URL-адресов командных серверов ботнетов и связанных с ними вредоносных объектов;
• URL-адреса шифровальщиков — набор URL-адресов шифровальщиков;
• Хэши вредоносных объектов — набор файловых хэшей, охватывающий наиболее опасные и распространенные, а также самые новые вредоносные программы;
• Хэши вредоносных объектов для мобильных устройств — набор файловых хэшей для обнаружения вредоносных объектов, заражающих мобильные устройства;
• URL-адреса командных серверов ботнетов для мобильных устройств — набор URL-адресов с контекстной информацией для выявления командных серверов ботнетов, использующих мобильные устройства;
• URL-адреса веб-сайтов, используемых для размещения вредоносных программ, заражающих устройства Internet of Things (IoT).

3. Application Firewall в режиме stateful – проверяется только первый пакет сессии. Если «прямой» трафик разрешён, «ответный» трафик разрешается автоматически. AF способен обнаруживать вредоносные запросы и отвечать на них до их обработки веб-приложениями и веб-серверами, тем самым обеспечивая дополнительный уровень безопасности сети (рисунок 2).

Рисунок 2 – Application Firewall

В новых версия программного обеспечения ESR планируется реализация следующих функций NGFW:

1. BGP Flowspec (BGP Flow Specification) – расширение протокола BGP, который позволяет фильтровать и совершать действия в отношении определенных портов и протоколов, как стандартных ACL, при этом для обмена правилами маршрутизации между узлами BGP используется детализированная информация сетевого уровня о доступности сети (Network Layer Reachability Information, NLRI).

Применение FlowSpec BGP позволяет определять вектор DDoS атак и распространять информацию о ней между элементами сети оператора (рисунок 3). При обнаружении атаки происходит переключение на другую BGP-сессию в обход вектора атаки. FlowSpec BGP добавляет гибкости стандартному firewall.

Рисунок 3 – Предотвращение DDoS атак с помощью FlowSpec BGP

2. HTTP-прокси – отправка HTTP-запросы через прокси-сервер, чтобы межсетевой экран NGFW не обращался напрямую к внешней сети (рисунок 4). Прокси-серверы могут кэшировать часто используемые веб-страницы и файлы, тем самым снижая потребление полосы пропускания.

Рисунок 4 – HTTP Proxy ESR

3. GeoIP — база данных IP-адресов, сгруппированных по странам или регионам. Она позволяет владельцам интернет-сервисов сопоставлять IP-адрес посетителя с его приблизительным местоположением – как правило, на уровне стран и городов (рисунок 5).

Рисунок 5 – GeoIP NGFW

Если у Вас остались вопросы, pre-sale инженеры компании «Элтекс Солюшенс» помогут подобрать и настроить маршрутизаторы Eltex для решения Ваших задач. Отправьте свой вопрос на адрес электронной почты: office@eltexsl.ru