Межсетевые экраны NGFW: назначение, принцип работы, функционал
Сетевые маршрутизаторы обеспечивают доставку пакетов по оптимальным маршрутам, а также защиту сегментов сети от несанкционированного доступа и внешних угроз. В зависимости производительности в различных режимах работы, сетевые маршрутизаторы могут использоваться как в корпоративных, так и в операторских сетях различного уровня. Межсетевые экраны на базе маршрутизаторов нашли применение в корпоративных сетях для защиты внутренней локальной сети предприятия от нежелательного трафика и различных атак.
Рассмотрим линейку маршрутизаторов отечественного производителя Eltex.
Классификация маршрутизаторов Eltex
Маршрутизаторы Eltex можно разделить на три типа (рисунок 1):
1. Сервисные маршрутизаторы ESR – пограничный сетевой элемент уровня CE (Customer Edge), который обеспечивает функции защиты внутренней сети клиента от внешних угроз. Рекомендованы для использования на сетях корпоративных заказчиков сегментов SMB и Enterprise. Все сервисные маршрутизаторы ESR имеют одинаковый функционал, но отличаются производительностью в различных режимах работы (firewall, IPsec VPN, L2-коммутации, др.) и поддерживаемыми интерфейсами. Помимо «коробочных» решений ESR, Eltex предлагает серверный вариант поставки – виртуальный маршрутизатор vESR, который имеет гибкую масштабируемость за счет лицензий и ресурсов сервера, на котором он развернут.
2. Межсетевые экраны (МЭ) – предназначены для контроля и фильтрации проходящего через них сетевого трафика в соответствии с заданными правилами и политиками безопасности. Они используются для предотвращения несанкционированного доступа к информационным системам, отказам в обслуживании, утечек данных и обеспечения устойчивости к внешним воздействиям. В линейке Eltex межсетевые экраны выполнены на базе платформы сервисных маршрутизаторов серии ESR.
Межсетевые экраны ESR FSTEC прошли сертификацию Федеральной Службы по Техническому и Экспортному Контролю (ФСТЭК), что делает их подходящими для использования в качестве межсетевых экранов типа «А» четвёртого уровня защиты в государственных учреждениях, ведомствах, системах обработки персональных данных и других организациях, где предъявляются высокие требования к передаче конфиденциальной информации.
Межсетевые экраны NGFW отличаются опциональной поддержкой правил IDS/IPS, Application Firewall и других функций, которые появляются в новых версиях программного обеспечения ESR. Для активации функционала межсетевых экранов NGFW в сервисных маршрутизаторах ESR достаточно докупить необходимые программные опции или лицензии.
3. MPLS-маршрутизаторы – используются на границе MPLS сети для добавления и снятия меток с пакетов (PE маршрутизатор), а также внутри неё для перенаправления пакетов согласно меткам (P маршрутизатор). В качестве MPLS-маршрутизаторов в линейке Eltex предусмотрена серия ME. Отличительными особенностями ME серии от ESR являются фабричное исполнение, высокая плотность портов, поддержка протоколов маршрутизации высокого уровня и функций быстрой сходимости, большой объем FIB, полноценный и масштабируемый QoS. Поддержка протоколов MPLS, BGP, OSPF, IS-IS, PIM-SM/PIM-SSM обеспечивает гибкую маршрутизацию трафика на магистральном уровне.

Рисунок 1 – Классификация маршрутизаторов
Базовые функции маршрутизаторов
Основные функции, выполняемые маршрутизаторами:
1. Firewall – фильтрация входящего и исходящего трафика.
2. NAT (Network Address Translation) – преобразовании локальных IP-адресов в публичные и наоборот. Это позволяет множеству устройств в частной сети совместно использовать один публичный IP-адрес для выхода в Интернет. Также NAT маскирует локальную сеть и является дополнительной мерой безопасности, запрещающей нежелательные подключения.
3. Конфигурирование туннелей – построение защищенных соединений между двумя точками сети.
4. DHCP-сервер – маршрутизаторы могут раздавать IP-адреса устройствам в сети.
5. DNS-resolver – маршрутизаторы ESR могут сопоставлять имена хостов с IP-адресами с помощью обращения к DNS-серверу.
6. Защита от DoS-атак – хакерских атак на вычислительную систему с целью нарушения работы сетевых сервисов для добросовестных пользователей, устройств или приложений. В общем случае, для их предотвращения используется ограничение числа пакетов, передаваемых в секунду на один адрес назначения, а также закрытие TCP/UDP-портов.
7. Маршрутизация – определение лучшего маршрута для пересылки пакетов. В сервисных маршрутизаторах ESR имеются две таблицы маршрутизации:
- Routing Information Base (RIB) – содержит все маршруты до сетей назначения, полученные из различных источников: настроенные статически, импортированные из протоколов динамической маршрутизации (RIP, OSPF, IS-IS, BGP) и directly connected. Таким образом, до одной сети может быть несколько маршрутов.
- Forwarding Information Base (FIB) — содержит только лучшие маршруты до сетей, выбранные из RIB.
Более подробное описание поддерживаемых функций, а также алгоритмы настройки доступны в руководстве по эксплуатации.
Функции межсетевого экрана NGFW
NGFW (New Generation FireWall) – межсетевой экран «нового поколения» для глубокой фильтрации трафика, интегрированный с IDS/IPS и обладающий возможностью контролировать и блокировать трафик на уровне приложений (Application Firewall). Межсетевой экран NGFW также позволяет реализовать сегментацию сети, выделив в отдельные сегменты приложения, а не только группы портов и/или IP-адресов.
Реализация NGFW в сервисных маршрутизаторах Eltex ESR
Функционал межсетевых экранов NGFW в сервисных маршрутизаторах ESR постоянно дополняется. В версии ПО 1.28.1 реализованы следующие функции:
IDS/IPS и Kaspersky SafeStream II активируются отдельными лицензиями
1. IDS/IPS (Intrusion Detection System, система обнаружения вторжений / Intrusion Prevention System, система предотвращения вторжений) – программная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Работа системы основана на сигнатурном анализе трафика. Сигнатуры для систем IDS/IPS принято называть правилами. Устройства ESR позволяют скачивать актуальные правила с открытых источников в сети Интернет или с корпоративного сервера. Также с помощью интерфейса командной строки CLI можно создавать свои специфические правила.
2. С помощью инфраструктуры безопасности «Лаборатории Касперского», в том числе облачного «коллективного разума» Kaspersky Security Network с поддержкой Kaspersky SafeStream II, сервисный маршрутизатор ESR способен обнаруживать вредоносное ПО во всех типах трафика (web, email, P2P, сервисы мгновенного обмена сообщениями и т.п.), что обеспечивает защиту пользователей от самых опасных киберугроз, в том числе угроз нулевого дня, программ-шифровальщиков, заражённых сайтов и иных типов.
Система IPS/IDS на устройствах ESR позволяет использовать следующие наборы правил, предоставляемых Kaspersky SafeStream II:
- Данные о репутации IP-адресов — набор IP-адресов с контекстной информацией, сообщающей о подозрительных и вредоносных узлах;
- URL-адреса вредоносных ссылок — набор URL-адресов, соответствующих опасным ссылкам и веб-сайтам;
- URL-адреса фишинговых ссылок — набор URL-адресов, распознаваемых «Лабораторией Касперского» как фишинговые. Доступны записи с масками и без масок;
- URL-адреса командных серверов ботнетов — набор URL-адресов командных серверов ботнетов и связанных с ними вредоносных объектов;
- URL-адреса шифровальщиков — набор URL-адресов шифровальщиков;
- Хэши вредоносных объектов — набор файловых хэшей, охватывающий наиболее опасные и распространенные, а также самые новые вредоносные программы;
- Хэши вредоносных объектов для мобильных устройств — набор файловых хэшей для обнаружения вредоносных объектов, заражающих мобильные устройства;
- URL-адреса командных серверов ботнетов для мобильных устройств — набор URL-адресов с контекстной информацией для выявления командных серверов ботнетов, использующих мобильные устройства;
- URL-адреса веб-сайтов, используемых для размещения вредоносных программ, заражающих устройства Internet of Things (IoT).
3. Application Firewall в режиме stateful – проверяется только первый пакет сессии. Если «прямой» трафик разрешён, «ответный» трафик разрешается автоматически. AF способен обнаруживать вредоносные запросы и отвечать на них до их обработки веб-приложениями и веб-серверами, тем самым обеспечивая дополнительный уровень безопасности сети (рисунок 2).

Рисунок 2 – Application Firewall
В новых версия программного обеспечения ESR планируется реализация следующих функций NGFW:
1. BGP Flowspec (BGP Flow Specification) – расширение протокола BGP, который позволяет фильтровать и совершать действия в отношении определенных портов и протоколов, как стандартных ACL, при этом для обмена правилами маршрутизации между узлами BGP используется детализированная информация сетевого уровня о доступности сети (Network Layer Reachability Information, NLRI).
Применение FlowSpec BGP позволяет определять вектор DDoS атак и распространять информацию о ней между элементами сети оператора (рисунок 3). При обнаружении атаки происходит переключение на другую BGP-сессию в обход вектора атаки. FlowSpec BGP добавляет гибкости стандартному firewall.

Рисунок 3 – Предотвращение DDoS атак с помощью FlowSpec BGP
2. HTTP-прокси – отправка HTTP-запросы через прокси-сервер, чтобы межсетевой экран NGFW не обращался напрямую к внешней сети (рисунок 4). Прокси-серверы могут кэшировать часто используемые веб-страницы и файлы, тем самым снижая потребление полосы пропускания.

Рисунок 4 – HTTP Proxy ESR
3. GeoIP — база данных IP-адресов, сгруппированных по странам или регионам. Она позволяет владельцам интернет-сервисов сопоставлять IP-адрес посетителя с его приблизительным местоположением – как правило, на уровне стран и городов (рисунок 5).

Рисунок 5 – GeoIP NGFW
Если у Вас остались вопросы, pre-sale инженеры компании «Элтекс Солюшенс» помогут подобрать и настроить маршрутизаторы Eltex для решения Ваших задач. Отправьте свой вопрос на адрес электронной почты: office@eltexsl.ru