Pare-feu modernes : de la spécialisation étroite à la protection universelle

Pare-feu Kerio WinRoute

erio WinRoute Firewall (ci-après WinRoute) est un pare-feu réseau conçu pour protéger le périmètre d'un réseau local contre les intrusions destructrices et indiscrètes de l'extérieur (par exemple, à partir d'Internet), pour fournir un accès utilisateurs locaux sur Internet, en filtrant le trafic et en fournissant toutes sortes de statistiques. Pour évaluer les capacités du produit, l'interface de gestion et la logique de fonctionnement du programme, nous examinerons plus ou moins en détail sa fonction principale - la protection du réseau local et la gestion du trafic. Ensuite, nous énumérerons brièvement les fonctionnalités supplémentaires de WinRoute.

L'ordinateur sur lequel WinRoute est installé doit disposer d'au moins deux interfaces réseau : l'une connectée à un réseau local et l'autre à un réseau public (par exemple, à Internet). Après avoir installé et redémarré l'ordinateur, vous devez démarrer la console de gestion WinRoute, qui vous invite immédiatement à lancer l'assistant de règles réseau. A ce stade, le démarrage de l'assistant est très important, en particulier pour ceux qui installent WinRoute pour la première fois. Le fait est que l'assistant crée un ensemble de règles de base sur les paquets (règles de politique de trafic), qui vous permettront à l'avenir de mieux comprendre comment elles fonctionnent, comment créer et l'essence de ces règles. Les règles de paquets sont un point clé pour un pare-feu réseau, elles déterminent quels flux de données (paquets réseau) passeront librement vers (depuis) le réseau local, et lesquels seront interdits pour des raisons de sécurité. Jetons un coup d'œil aux étapes les plus importantes de l'assistant.

Étape 3 - sélection d'une interface réseau connectée à un réseau externe, c'est-à-dire à Internet. WinRoute déterminera l'interface la plus appropriée disponible sur un hôte donné en fonction de son adresse IP et la proposera en premier. Si l'hôte a plusieurs interfaces avec des adresses IP dans la plage extérieure, vous devrez peut-être spécifier explicitement l'interface requise. (Toutes les interfaces WinRoute identifie et affiche par les noms qui leur sont attribués dans le système d'exploitation.)

Étape 4 - sélection des services (protocoles) qui seront disponibles pour les utilisateurs du réseau local lors de l'accès à Internet. Deux options sont disponibles ici : autoriser tous les services (aucune restriction) ou définir uniquement certains d'entre eux. Pour le second cas, WinRoute fournit une liste des services les plus demandés (par exemple, HTTP, FTP, SMTP, etc.). Les services requis doivent être cochés. Pour un examen plus approfondi, nous notons la première option - "pas de restrictions".

Étape 6 - sélection des serveurs situés dans le réseau local auxquels vous souhaitez ouvrir l'accès depuis Internet (par exemple, un serveur Web, un serveur de messagerie, etc.). Même si vous n'avez pas de tels serveurs, il vaut mieux dire qu'ils le sont afin de revoir les règles correspondantes plus tard. Ainsi, nous donnerons au maître la possibilité de les créer afin d'apprendre ensuite de lui comment le faire. Pour ajouter un serveur, vous devez spécifier : 1) son adresse IP locale ou la valeur "Firewall" (si le serveur s'exécute sur le même hôte où WinRoute est installé) ; 2) service (HTTP pour serveur Web, SMTP pour serveur de messagerie, etc.).

Étape 7 - Autoriser NAT (Network Address Translation Protocol). Il doit être activé pour que les utilisateurs du réseau local puissent utiliser Internet (c'est notre choix). Ce n'est que dans de très rares cas que NAT doit être désactivé - si WinRoute est utilisé exclusivement comme routeur normal entre deux réseaux ou plus (ce n'est pas notre cas).

Ensuite, laissez l'assistant terminer son travail. Étant donné que l'assistant peut être lancé à tout moment (pas juste après l'installation de WinRoute), toutes les anciennes règles sont détruites pour éviter les incohérences dans les règles de paquet. Ainsi, notre pare-feu fonctionne déjà (!) Et remplit sa fonction principale - protéger le réseau local (en première approximation, bien sûr). Vous pouvez maintenant prendre votre temps pour examiner et, surtout, comprendre le fonctionnement des règles de paquet.

Les règles de paquet dans WinRoute sont rassemblées dans une table (Fig. 1) et sont strictement ordonnées (la règle du haut est la première règle). L'ordre des règles peut être modifié. N'importe quel paquet arrivant à l'hôte du pare-feu (le terme "pare-feu" est utilisé dans WinRoute pour désigner l'hôte sur lequel il est installé) est vérifié pour la conformité à toute règle, en commençant par la première. Si un paquet ne remplit pas les conditions de la règle actuelle, alors ce qui suit s'applique à lui, et ainsi de suite. Dans le cas où un paquet a atteint la dernière règle, qui dit "tout refuser", il sera impitoyablement supprimé (ce qui n'est pas autorisé est interdit). La dernière règle Refuser tout ne peut pas être supprimée, déplacée ou modifiée (à quelques exceptions près). Il y a une coche devant l'entête de chaque règle, si elle est cochée, la règle est active (en fonctionnement), sinon la règle n'est pas prise en compte par le processeur WinRoute, comme si elle n'y était pas. C'est très pratique si vous devez effectuer des expériences ou activer / désactiver une règle de temps en temps pour une raison quelconque - vous n'avez pas besoin de la supprimer et de la recréer. Il convient de noter que le principe "on / off" est utilisé presque partout dans WinRoute - et c'est l'avantage incontestable de l'interface du programme.

Chaque règle de paquet se compose de plusieurs champs : source du paquet (d'où il vient), destination (où il voulait aller ensuite), service (protocole), action, journalisation, traduction d'adresse. La source et la destination suivent le même format - voici une liste impressionnante d'options possibles :

hôte;
Plage ip;
groupe d'adresses IP ;
filet / masque;
le réseau connecté à l'interface ;
utilisateurs;
Hôte de pare-feu.

Service indique le protocole dans lequel le package fonctionne. WinRoute dispose de 79 services prédéfinis pour lesquels l'administrateur n'a même pas besoin de connaître les numéros de port (vous souvenez-vous du numéro de port du service de terminal Windows - RDP - Remote Desktop Protocol ?) - sélectionnez-le simplement par son nom dans le tableau. Mais en tant que service, vous pouvez définir le numéro de port ou définir votre propre (nouveau) protocole, l'ajouter à la table des services, puis l'utiliser par son nom.

L'action détermine trois options pour le sort ultérieur du paquet : autoriser, refuser (mais en informer l'expéditeur), rejeter (sans en informer l'expéditeur - le laisser penser que ses paquets disparaissent dans un trou noir). Soit dit en passant, c'est l'un des deux paramètres qui peuvent être modifiés dans la dernière règle "refuser tout" - vous pouvez utiliser "refuser" ou "réinitialiser". Les développeurs de WinRoute recommandent d'utiliser "refuser" pour les paquets du réseau local et "rejeter" pour les paquets provenant de l'extérieur.

La journalisation est assez avancée dans WinRoute, mais nous ne nous attarderons pas là-dessus. Soit dit en passant, c'est le deuxième paramètre qui peut être modifié dans la règle "refuser tout".

La traduction d'adresse peut représenter deux options : source NAT (partage Internet / mascarade IP) ou destination NAT (mappage de port). La première permet de substituer les adresses locales des paquets sortants vers Internet à l'adresse externe d'une des interfaces réseau de l'hôte Firewall. L'adresse locale est remplacée par une adresse externe (routable) afin que vous puissiez obtenir des réponses à vos requêtes réseau. Le mappage des ports est utilisé pour que les ordinateurs externes puissent accéder à un serveur situé à l'intérieur du réseau local.

Regardons maintenant les règles montrées dans la Fig. 1. Certains d'entre eux ont été créés par l'assistant WinRoute, tandis que d'autres ont été ajoutés manuellement plus tard.

Une règle nommée "NAT" (créée par l'assistant). Dans ce tableau, c'est la seule règle responsable du passage des paquets du réseau local (interface "Local" 10.0.0.0) vers Internet (interface "M" 200.200.200.99). (Nous considérerons l'interface avec le nom "Z" plus tard.) Étant donné que la valeur "Any" est spécifiée dans le champ "Service", les paquets de tous les protocoles sont autorisés, c'est-à-dire qu'il n'y a aucune restriction pour les utilisateurs locaux d'accéder à l'externe. prestations de service. NAT est utilisé dans le champ de traduction d'adresse. Si vous devez interdire l'accès à des services, dupliquez (bouton droit de la souris) cette règle et dans la nouvelle règle, spécifiez le service interdit ou plusieurs à la fois. Déplacez la nouvelle règle pour qu'elle se trouve au-dessus de l'ancienne - l'objectif est atteint. Si, au contraire, il est nécessaire de n'autoriser que certains services spécifiques, alors en double-cliquant sur le mot « Any » de cette règle, une fenêtre apparaîtra où vous pourrez sélectionner les services autorisés. Après cela, vous pouvez supposer que vous avez déjà appris à gérer l'accès Internet des utilisateurs locaux (par rapport à WinRoute).

La règle nommée « Firewall Traffic » (créée par l'assistant) ne diffère de la règle « NAT » que par l'absence de traduction d'adresse, puisque l'hôte Firewall possède des adresses IP externes. Faites attention à la source - "Pare-feu", c'est-à-dire que la règle ne s'applique qu'aux paquets provenant de l'hôte du pare-feu lui-même.

La règle d'autorisation « Trafic local » (créée par l'assistant) décrit toutes les combinaisons possibles de source et de destination des paquets au sein du réseau local, y compris l'ordinateur sur lequel WinRoute est installé.

La règle Service FTP autorise l'accès extérieur à votre serveur FTP et la règle Service SMTP autorise l'accès extérieur à votre serveur de messagerie. Les deux règles sont créées par l'assistant. La seule différence entre eux est que le serveur FTP s'exécute sur le même ordinateur que WinRoute et que le serveur de messagerie est situé sur une machine locale avec une adresse IP de 10.0.0.51. Notez que la règle "Service SMTP" n'a pas de coche à gauche - cela ne fonctionne pas, c'est juste un stub dont nous n'avons pas encore besoin. Ainsi, vous savez maintenant comment fournir l'accès à vos serveurs via WinRoute.

Passons aux règles que nous avons dû créer manuellement. Nous voulons refuser l'accès à notre réseau, et donc, à nos serveurs, certains fans trop zélés de notre propre serveur FTP. Pour cela, une règle portant le nom « Interdit » a été créée, et le nom du groupe d'adresses IP est précisé dans le champ source afin de ne pas empiler de nombreuses adresses dans la règle elle-même. Des adresses peuvent être ajoutées à ce groupe selon les besoins, ou vous pouvez temporairement annuler (cocher) l'action de certaines adresses. Un tel groupe est créé dans un endroit différent, mais pour nous maintenant, la seule chose importante est le fait qu'il puisse être créé, modifié et également appliqué dans plusieurs règles. Vous pouvez saisir des adresses IP individuelles, un réseau avec un masque ou une plage d'adresses IP dans un groupe d'adresses. Veuillez noter que cette règle précède les autres règles qui autorisent l'accès au réseau local et, par conséquent, les propriétaires de telles adresses ne pourront accéder à aucun de nos serveurs (le cas échéant). Si vous devez fermer l'accès uniquement au serveur FTP, dans le champ "Service", au lieu de "Tout", vous devez spécifier "FTP", puis mettre cette règle avant la règle "Service FTP" - son emplacement par rapport à les autres règles n'ont pas d'importance.

Trois règles, intitulées « serveur Web ... », démontrent l'octroi de l'accès à un serveur de terminaux (service RDP) uniquement à partir d'une adresse IP spécifique et l'accès par les développeurs Web à partir d'un réseau spécifique. Le champ de destination ne contient pas le nom de l'interface, mais une adresse IP spécifique, car l'interface M se voit attribuer plusieurs adresses, et l'utilisation du nom équivaut à spécifier uniquement l'adresse principale de l'interface.

WinRoute fournit une redondance de connexion. Supposons qu'il existe deux connexions externes (l'une d'elles peut être un modem téléphonique) et, par conséquent, deux interfaces (cartes réseau) dans l'hôte du pare-feu. WinRoute n'en utilise qu'un à la fois. Mais si cette chaîne Est "coupé", alors WinRoute bascule tout le trafic externe vers un autre. L'administrateur détermine quelle connexion est principale et laquelle est secondaire. La connexion principale est utilisée chaque fois qu'elle fonctionne physiquement. S'il devient nécessaire de basculer sur l'interface secondaire, à partir de ce moment, WinRoute surveille en permanence la connexion principale et, dès qu'elle revient à la normale, renvoie tout le trafic vers la connexion principale. Dans les règles de la fig. 1 interface nommée "Z" fournit le canal de secours.

Jetons un coup d'œil rapide au filtrage du trafic. Le filtrage du trafic dans WinRoute est assez avancé et ne s'applique qu'au trafic HTTP et FTP. Le trafic peut être filtré par noms de sites, en spécifiant une sous-chaîne pour le nom de site, par la présence de certains mots dans les données transmises (des listes de mots peuvent être créées et modifiées), etc. Pour le trafic FTP, vous pouvez utiliser les commandes FTP comme critère de filtrage, par exemple, vous pouvez interdire le téléchargement de fichiers du réseau local vers des serveurs FTP externes. Les utilisateurs ou groupes d'utilisateurs peuvent être utilisés comme critère de filtrage.

Le filtrage antivirus s'applique aux protocoles HTTP, FTP, SMTP et POP3. Les réglages sont assez évidents. Il convient de noter que WinRoute peut être fourni avec le scanner antivirus McAfee en standard, mais il peut être associé à d'autres scanners tiers (il y a sept scanners dans la liste).

Les statistiques dans WinRoute sont présentées de manière assez complète. Le volume de trafic peut être visualisé dans les deux sens (entrée et sortie) séparément pour les interfaces réseau ou pour les utilisateurs. Étant donné que les statistiques sont présentées sous forme de tableau, les données peuvent être triées par n'importe quelle colonne par ordre croissant ou décroissant. Et les colonnes offrent les options suivantes : par jour, par semaine, par mois, total (pour tout le temps après l'installation de WinRoute). De plus, des statistiques sur les interfaces réseau peuvent être présentées graphiquement pour les périodes : 2 heures, 1 jour, 1 semaine, 1 mois ; et les statistiques sur les utilisateurs montreront la répartition du trafic par protocoles (1 jour, 1 semaine, 1 mois, total). Les statistiques de l'interface réseau vous aideront à surveiller le trafic entrant de votre fournisseur.

Il y a deux lignes spéciales dans la liste des utilisateurs : "tous les utilisateurs" et "utilisateurs non reconnus". Le fait est que les utilisateurs sont obligés de se connecter à WinRoute ou non. Cela dépend des paramètres de WinRoute. Dans le premier cas, les statistiques sont collectées sur la base des noms d'utilisateur, et dans le second, sur la base des adresses IP. Si vous n'avez pas besoin d'autorisation d'utilisateur, vous devez spécifier dans la base de données des utilisateurs de WinRoute à partir de quelles adresses IP chaque utilisateur travaille (vous pouvez définir plusieurs adresses pour un utilisateur.). Ce n'est pas aussi difficile que cela puisse paraître, même si les adresses IP sont distribuées par un serveur DHCP (situation courante). La ligne « utilisateurs non reconnus » comprendra, par exemple, le trafic du serveur DNS, le trafic de mise à jour du cadre juridique, etc. Mais dans la base de données des utilisateurs de WinRoute, vous pouvez ajouter des "utilisateurs" spéciaux, leur attribuer les adresses des serveurs correspondants, puis il sera possible de déterminer la quantité de trafic consommée en mettant à jour le cadre juridique ou Serveur dns... WinRoute peut fonctionner avec une base d'utilisateurs mixte - dans ce cas, certains utilisateurs seront importés d'Active Directory, tandis que d'autres peuvent être ajoutés en tant qu'utilisateurs locaux de WinRoute.

Chaque utilisateur peut se voir attribuer un quota de trafic. Dans le même temps, selon les paramètres, lorsque l'utilisateur atteint la limite de son quota, WinRoute va soit mettre fin à toutes les connexions, soit interdire l'établissement de nouvelles, soit seulement avertir l'utilisateur. Dans tous les cas, WinRoute peut notifier l'utilisateur (et/ou l'administrateur) lorsque le quota est dépassé par e-mail. Et chaque utilisateur peut, à son tour, surveiller son trafic en accédant à WinRoute via l'interface Web.

Pare-feu de serveur Kerio (KSF)

SF est un pare-feu de serveur, c'est-à-dire un pare-feu qui ne protège que l'hôte sur lequel il est installé. Contrairement à un pare-feu réseau (par exemple, WinRoute), ce produit n'achemine pas les paquets entre les réseaux (entre les interfaces hôtes), mais il peut protéger plusieurs (jusqu'à 100) interfaces de son hôte. Tout d'abord, KSF est conçu pour protéger les serveurs installés sur le site du fournisseur (service de collocation). En conséquence, KSF dispose d'un contrôle à distance (comme la plupart des pare-feu) via une interface Web.

Quelle est la différence entre un pare-feu serveur et un pare-feu réseau ? Leur principale différence est la fourniture d'une protection pour les applications (Application Hardening) s'exécutant sur le serveur. KSF surveille non seulement le trafic réseau, mais également le comportement des applications, principalement des applications serveur, qui, de par la nature de leurs activités, doivent "écouter" les ports et répondre aux demandes réseau des clients.

Sur la page "État du réseau" (Fig. 2), tous lancés dans ce moment les applications serveur qui "écoutent" tous les ports, leurs protocoles de fonctionnement et le nombre de connexions actuellement établies. De plus, pour chaque application, son chemin complet est indiqué dans système de fichiers serveur, la date de la dernière modification du fichier exe, ainsi que de brèves informations générales sur le but de cette application et les éventuels points faibles de la protection. Dans un panneau séparé, il y a trois boutons de lien qui vous permettent d'effectuer les actions suivantes : créer une règle de réseau basée sur le processus sélectionné, afficher toutes les règles de réseau liées à ce processus, afficher une liste de connexions pour le processus sélectionné.

Considérons le format des règles de réseau (Fig. 3). L'action propose deux options : autoriser ou réinitialiser. La direction décrit les connexions entrantes, les connexions sortantes et le trafic dans les deux sens. Il convient de noter qu'indiquer les deux directions n'a généralement pas de sens et présente un danger potentiel. Comme vous pouvez le voir sur la figure, seule la règle « Règle par défaut » implémente une telle option pour refuser toutes les connexions qui ne relèvent pas des règles précédentes. Cette règle ne peut pas être supprimée, mais son action peut être modifiée pour « autoriser » à des fins de débogage. Une seule règle dans la liste présentée autorise les connexions sortantes - le serveur lui-même (au sens d'un ordinateur) est autorisé à aller n'importe où. Toutes les autres règles décrivent l'accès uniquement à l'intérieur de notre hôte, naturellement avec toutes sortes de restrictions. Par exemple, la règle la plus élevée autorise l'accès au processus inetinfo.exe via HTTP (port 80).

La colonne « Local » indique à travers quelle interface locale (située sur notre hôte) la connexion sera établie. Dans ce cas, le serveur dispose de deux interfaces, l'une est appelée dans l'OS "Internet" et est connectée au réseau externe, la seconde est connectée au réseau local. Dans la règle la plus élevée, une seule interface est explicitement spécifiée - toutes les autres règles s'appliquent aux connexions à partir de n'importe quelle interface locale. La colonne "Distant" précise les adresses des clients distants accédant au serveur. Les options peuvent être : adresse IP, plage d'adresses IP, réseau/masque, nom du groupe d'adresses. Un groupe d'adresses peut contenir n'importe quel nombre de combinaisons d'adresses différentes répertoriées ci-dessus. Plusieurs groupes d'adresses sont prédéfinis dans KSF (à utiliser comme exemple). Comme vous pouvez le voir dans le tableau des règles, l'accès au serveur Web est possible de n'importe où, l'hôte lui-même est autorisé à aller n'importe où et, de plus, la dernière règle de refus prend naturellement en compte toutes les adresses externes. Dans le reste des règles, les adresses distantes sont représentées par les noms des groupes d'adresses.

Énumérons maintenant les trois éléments constitutifs de la protection des applications dans KSF.

2. Interdiction de modifier le fichier exe du processus réseau de l'hôte, y compris de modifier le chemin de démarrage (c'est-à-dire qu'il est impossible de tromper KSF en essayant de démarrer un processus avec le même nom à partir d'un répertoire différent, car il s'agit déjà d'un fichier exe substitué).

3. Interdiction de modifier des données système importantes (falsification du système). Par exemple, dans la Fig. 5 montre une liste de ces données.

En figue. 4 montre les règles de protection des applications. L'un d'eux (pour srvfw.exe) est créé automatiquement lors de l'installation de KSF et peut être utilisé comme exemple pour la formation. Des exceptions peuvent être définies dans des règles, par exemple, en permettant à certains processus d'en démarrer d'autres, si nécessaire. Il s'avère très simple de définir de telles exceptions. Créez une règle qui enregistre uniquement les actions du processus qui vous intéresse, et après un certain temps, regardez le journal (Journaux / Renforcement) pour déterminer si telle ou telle application démarrera autre chose dans un état normal (non infecté).

Et une autre caractéristique de KSF est la détection d'éventuelles intrusions. En fait, vous n'avez rien à configurer ici, mais vous devez vérifier régulièrement le journal de journalisation correspondant. KSF fournit des descriptions de certains des types d'intrusion les plus courants, ainsi que leur gravité. L'affichage de la liste des connexions pour un processus particulier peut également aider un administrateur à détecter une menace : trop de connexions à partir d'une adresse IP ou une énorme quantité de données transférées au sein d'une seule connexion. Malheureusement, il n'est pas possible de trier les données par adresse IP distante ou par volume de données dans la fenêtre de liste de connexion.

Serveur de messagerie Kerio (KMS)

MS peut être utilisé soit comme un serveur de messagerie à part entière qui stocke les boîtes aux lettres des utilisateurs et donne accès aux clients de messagerie, soit comme une "poste de messagerie" intermédiaire (en termes de Sendmail - Smart Host). Dans ce dernier cas, il agit comme un lien intermédiaire entre le serveur de messagerie situé à l'intérieur du réseau local (par exemple, MS Exchange Server) et le monde extérieur. Un hôte avec KMS installé peut avoir deux interfaces réseau, dont l'une est connectée au réseau local et l'autre au réseau externe. Ainsi, KMS agira comme un pare-feu de messagerie. Dans le même temps, la réception de tout le courrier externe qui parvient à l'organisation est attribuée à KMS, et l'envoi du courrier des utilisateurs locaux vers l'extérieur peut être effectué à la fois par le pare-feu de messagerie et par le serveur interne directement. Puisque nous nous intéressons au mode pare-feu, nous n'aborderons brièvement que cette fonctionnalité KMS. Et dans ce cas, il se compose de trois éléments : le filtrage des courriers indésirables sur la base des soi-disant listes noires (listes noires), le filtrage anti-spam et la protection antivirus.

Les listes noires contiennent une liste de serveurs de courrier indésirable. De tels serveurs fonctionnent le plus souvent en mode relais ouvert, ce qui vous permet d'envoyer du courrier à n'importe quel client sans aucune autorisation et quel que soit l'emplacement relatif du client et du serveur. Par exemple, un spammeur situé en Russie peut utiliser un serveur de messagerie d'Amérique du Sud pour envoyer des milliers de lettres. Parfois, les serveurs normaux sont également mis sur liste noire - en raison de l'envoi négligent de lettres commerciales ou mauvais réglage serveur de courrier. Les serveurs de liste noire, ou Open Relay Data Bases (ORDB), sont implémentés en tant que serveurs DNS avec un type d'enregistrement spécial qui stocke des listes de serveurs nuisibles. Habituellement, les serveurs ORDB sont gérés par des personnes sérieuses, et le logiciel sur ces serveurs scrute les candidats à la liste noire. Mais il existe aussi de tels serveurs qui collectent leurs listes à la première plainte. C'est pour cette raison que de nombreux serveurs de messagerie normaux (et le plus souvent des plages entières d'adresses IP) sont mis sur liste noire. Ainsi, lors de la configuration de votre serveur de messagerie, l'essentiel est de ne pas en faire trop, en lui demandant autant de serveurs ORDB que possible, sinon presque tous les courriers (et ceux qui sont utiles aussi) peuvent être éliminés.

En fait, la mise en place de listes noires dans KMS est si simple qu'elle pourrait bien se limiter à déclarer que cette fonctionnalité est prise en charge. Cependant, nous ferons quelques commentaires. La livraison KMS comprend déjà cinq serveurs ORDB. Le serveur nommé SORBS DNSBL (dnsbl.sorbs.net) a des listes si zélées que tout le courrier de aha.ru et mail.ru est rejeté. Par conséquent, dans nos conditions spécifiques, il est préférable de désélectionner l'option "bloquer" pour ce serveur... KMS vous permet également de créer votre propre liste noire. Malheureusement, KMS ne vous permet pas de créer une soi-disant liste blanche, qui est à l'opposé des listes noires et devrait idéalement être consultée avant de traiter les listes noires.

Le filtrage anti-spam fait référence au processus de limitation du spam (en plus de la mise sur liste noire). KMS dispose d'un processeur spécial qui, sur la base de certaines règles (ces règles ne peuvent pas être modifiées), attribue à chaque lettre entrante note de spam. Pour telle ou telle caractéristique spécifique, la lettre est ajoutée des points, pour une autre caractéristique - plus de points. La somme de ces points dans KMS peut aller jusqu'à 10 pour chaque lettre. L'administrateur fixe un seuil (par défaut égal à 5), au-dessus duquel un message est considéré comme du spam. Ensuite, KMS peut faire ce qui suit avec le spam : mettre une marque de spam dans l'en-tête du message, ou supprimer le message « discrètement », ou renvoyer le message à l'expéditeur (une bonne idée). Dans tous les cas, une copie de la lettre peut être envoyée à n'importe quelle boîte aux lettres locale (juste au cas où), qui doit être nettoyée de temps en temps. Si le message est encore ignoré, alors une étiquette peut être ajoutée à son sujet (par défaut « ** SPAM ** » est proposé). En utilisant cette étiquette, le client de messagerie peut reporter les lettres dans un dossier séparé.

La seconde fonctionnalité de filtrage anti-spam vous permet de créer des filtres en fonction de plusieurs critères (champs De, À, Objet, Expéditeur, etc. et leurs valeurs sont "vide", "contient adresse", "contient domaine", etc.). Si la lettre répond aux critères d'un certain filtre, d'autres options sont alors possibles : 1) traiter la lettre comme non-spam (annuler les points de spam) ; 2) traiter la lettre comme du spam et l'interdire ; 3) ajouter un peu plus de valeur aux scores de spam (la valeur est définie). Et le sort ultérieur des lettres interdites est déterminé séparément - soit pour être supprimé sans bruit, soit renvoyé à l'expéditeur (une copie de la lettre peut être envoyée à n'importe quelle boîte aux lettres locale).

La protection antivirus dans KMS est réalisée selon les mêmes principes et avec les mêmes capacités que dans WinRoute.

Séparément, il convient de noter la capacité de KMS à résister aux attaques de pirates. Voici quelques possibilités : 1) définir le nombre maximum de messages reçus d'une adresse IP en 1 heure ; 2) définir le nombre maximum de connexions SMTP simultanées à partir d'une adresse IP ; 3) définir le nombre maximum de destinataires inexistants ; et 4) définir la liste d'exclusion d'adresses IP pour les trois premiers éléments. De plus, vous pouvez limiter le nombre maximum de destinataires dans une lettre, le nombre maximum de commandes erronées dans une session SMTP.

Les statistiques et la journalisation du fonctionnement du KMS sont implémentées de manière assez complète et pratique.

En conclusion, je tiens à souligner que tous les produits Kerio sont fournis avec une excellente documentation, des versions d'essai (elles n'ont aucune restriction, sauf pour une période de 1 mois) sont téléchargeables sur le site

Quiconque s'est déjà posé la question « quel pare-feu choisir ? » Gartner(une agence d'analyse bien connue).

Fin juin 2017. le prochain rapport sur l'état du marché a été publié Gestion unifiée des menaces (UTM) - Magic Quadrant pour la gestion unifiée des menaces (pare-feu multifonctions SMB) et en juillet 2017. Pare-feu d'entreprise - Magic Quadrant pour les pare-feu de réseau d'entreprise... Si vous êtes intéressé de savoir qui était parmi les leaders, comment la situation a changé au cours de l'année écoulée et quelles tendances sont observées, alors bienvenue sous le chat ...

Marché UTM :

Permettez-moi de vous rappeler que par définition Gartner :

« La gestion unifiée des menaces (UTM) est une plate-forme convergée de produits de sécurité ponctuels, particulièrement adaptée aux petites et moyennes entreprises (PME). Les ensembles de fonctionnalités typiques se répartissent en trois sous-ensembles principaux, tous au sein de l'UTM : pare-feu / système de prévention des intrusions (IPS) / réseau privé virtuel, sécurité de la passerelle Web sécurisée (filtrage d'URL, antivirus Web) et sécurité de la messagerie (anti-spam, messagerie AV). "

C'est-à-dire que les plates-formes de sécurité réseau destinées aux petites entreprises (Petites) et aux entreprises légèrement plus grandes (Moyennes) relèvent de cette définition (sous les petites entreprises (Petites et moyennes entreprises), Gartner compte les entreprises de 100 à 1000 employés). Les solutions UTM contiennent généralement une fonctionnalité de pare-feu typique, des systèmes de prévention des intrusions (IPS), une passerelle VPN, un système de filtrage du trafic Web (filtrage d'URL, système antivirus en continu pour le trafic Web) et un système de filtrage du trafic de messagerie (filtrage des messages de spam et un antivirus système pour le trafic du courrier), et bien sûr, nous ne devons pas oublier système de base routage et prise en charge de diverses technologies WAN.

Il est intéressant de noter que, à en juger par les prédictions de Gartner, le marché des pare-feu jusqu'en 2020. restera à peu près dans le même état que maintenant. En 2022. selon les prédictions de Gartner, les solutions de classe commenceront à entrer dans le quotidien des PME Pare-feu en tant que service (FWaaS), c'est à dire. les pare-feux cloud, où le trafic client sera tunnelé, et la part des nouvelles installations sur le marché des PME sera supérieure à 50 %, contre 10 % actuellement. De plus, 2022. 25 % des utilisateurs du segment PME utiliseront leur pare-feu comme outil de surveillance et comme courtier intermédiaire pour fournir l'inventaire et le contrôle de l'utilisation des ressources SaaS, comme outil de gestion des appareils mobiles ou d'application des politiques de sécurité sur les appareils des utilisateurs finaux (actuellement, moins plus de 2% des utilisateurs utilisent cette fonctionnalité sur les pare-feux). Les solutions FWaaS seront plus populaires pour les structures de succursales distribuées, cette décision utilisera 10 % des nouvelles installations, contre moins de 1 % aujourd'hui.

Étant donné que les solutions UTM s'adressent à des entreprises relativement petites (selon les normes de Gartner), il est clair qu'ayant reçu toutes les fonctionnalités dans un seul boîtier, le client final se contentera en quelque sorte de compromis en termes de performances, d'efficacité de la sécurité du réseau et de fonctionnalité. , mais pour de tels clients il sera également important que la solution soit facile à gérer (gestion via un navigateur par exemple), l'administrateur de la solution peut être formé plus rapidement grâce à la gestion simplifiée, afin que la solution contienne des dans les outils pour au moins le reporting de base, pour certains clients, il est également important d'avoir un logiciel et une documentation localisés.

Gartner estime que les besoins des clients PME et des entreprises clientes sont très différents en termes de besoins des entreprises en termes de capacité à mettre en œuvre des politiques de gestion plus sophistiquées et des capacités de sécurité réseau avancées. Par exemple, les clients Enterprise avec une structure de succursales distribuées ont souvent des succursales qui peuvent être de la même taille qu'un segment SMB entier. Cependant, les critères de choix de l'équipement pour une succursale sont généralement dictés par le choix de l'équipement au siège social (généralement, les succursales sont des équipements sélectionnés du même fournisseur que celui utilisé au siège social, c'est-à-dire équipement de classe), car le client doit avoir confiance en la compatibilité des équipements, et en plus, ces clients utilisent souvent une console de gestion unique pour assurer la gérabilité du réseau de succursales (où il peut ne pas y avoir de spécialistes appropriés) depuis le siège social . De plus, le volet économique est également important, une entreprise cliente peut bénéficier de remises supplémentaires pour "volume" de la part des fabricants de solutions d'interréseau, notamment de solutions pour un réseau d'agences. Pour ces raisons, Gartner considère les solutions pour les structures de succursales distribuées des clients Entreprises dans des carrés de solutions pour le segment Entreprise (NGFW / Enterprise Firewall, IPS, WAF, etc.).

Séparément, Gartner distingue les clients avec un réseau distribué de bureaux très autonomes (un exemple typique est un réseau de vente au détail, où le nombre total d'employés peut dépasser 1000 personnes), qui, comme un client PME typique, ont des budgets plutôt limités, un très grand nombre de sites distants, et généralement un petit personnel informatique / cybersécurité. Certains fournisseurs d'UTM se concentrent même spécifiquement sur les solutions pour ces clients plus que sur les PME traditionnelles.

UTM en juin 2017 :

Mais que s'est-il passé il y a un an, en août 2016 :

La liste des leaders du marché UTM a toujours les mêmes visages familiers - Fortinet, Check Point, Sophos. De plus, la situation se réchauffe progressivement - les positions des dirigeants se rapprochent progressivement les unes des autres. Juniper est passé d'un poursuivant à un acteur de niche. SonicWall a un peu amélioré ses positions.
Que pense Gartner des leaders du marché du segment UTM séparément :

C'est un représentant des leaders du marché UTM, la solution SMB est représentée par un pare-feu de classe entreprise (Enterprise), assez facile à gérer et doté d'une interface graphique intuitive (GUI).

Le siège social est situé à Tel-Aviv (Israël) et San Carlos (États-Unis). Check Point est un fournisseur de sécurité réseau avec plus de 1 300 employés en R&D. Le portefeuille de produits comprend des pare-feu de classe PME et Entreprise (Security Gateway), une solution de sécurité dédiée aux terminaux (Sandblast Agent), une solution de sécurité des appareils mobiles (Sandblast Mobile) et des pare-feu virtuels (vSEC pour les clouds privés et publics). La gamme actuelle de pare-feux de classe SMB comprend les familles 700, 1400, 3100, 3200, 5100, 5200, 5400, 5600, tous les appareils ont été introduits en 2016/2017.

3. Sophos :

Il est un représentant des leaders du marché UTM. Il continue d'accroître sa part de marché en raison de sa facilité d'utilisation, de la bonne fonctionnalité du composant de sécurité et de l'intégration réussie avec sa propre solution de protection des terminaux. Un visiteur fréquent des listes restreintes d'un client PME, ainsi que pour les réseaux distribués de bureaux autonomes.

Elle a son siège à Abingdon (Royaume-Uni) et emploie plus de 3 000 personnes dans le monde. Le portefeuille de produits contient un mélange de solutions de sécurité réseau et de solutions de protection des terminaux. La gamme de pare-feux Sophos XG contient 19 modèles et a été mise à jour pour la dernière fois au 4e trimestre 2016, ainsi que la gamme obsolète Sophos SG du portefeuille. Les solutions Sophos UTM sont disponibles sous forme d'applications virtuelles avec intégration avec les plateformes IaaS - AWS et Azure. Les solutions de sécurité des terminaux incluent Sophos Endpoint et Intercept X. La solution d'intégration entre Sophos UTM et Sophos Endpoint s'appelle Sophos Synchronized Security. Le portefeuille du fournisseur comprend également des solutions pour protéger les appareils mobiles et assurer le cryptage des données.

Marché des pare-feu d'entreprise :

En 2011. Gartner a introduit une nouvelle définition sur le marché du pare-feu d'entreprise - le pare-feu de nouvelle génération (NGFW) :

« Les pare-feu de nouvelle génération (NGFW) sont des pare-feu d'inspection approfondie des paquets qui vont au-delà de l'inspection et du blocage des ports/protocoles pour ajouter une inspection au niveau des applications, la prévention des intrusions et l'apport d'intelligence de l'extérieur du pare-feu. Un NGFW ne doit pas être confondu avec un système de prévention des intrusions réseau (IPS) autonome, qui comprend un pare-feu de base ou non d'entreprise, ou un pare-feu et IPS dans le même appareil qui ne sont pas étroitement intégrés. »

Ensuite, c'était une innovation, autour de laquelle il y avait beaucoup de controverse. Plusieurs années ont passé, beaucoup d'eau a coulé sous le pont, et maintenant en 2017. Gartner ne considère plus cela comme un avantage particulier, mais indique simplement le fait que tous les acteurs leaders de ce marché ont acquis cette fonctionnalité depuis longtemps, et maintenant ils se différencient des autres fournisseurs en termes de fonctionnalité.

Selon les prévisions de Gartner d'ici 2020. Les pare-feux virtualisés de classe entreprise occuperont jusqu'à 10 % du marché, contre 5 % actuellement. D'ici fin 2020. 25 % des pare-feu vendus comprendront une intégration par des courtiers en sécurité cloud pour se connecter à services cloud (Courtier en sécurité d'accès au cloud, CASB), intégré par l'API correspondante. D'ici 2020 50 % des nouvelles installations de pare-feu utiliseront l'inspection TLS sortante, contre moins de 10 % actuellement.

Selon Gartner, le marché des Enterprise Firewalls se compose principalement de solutions de protection des réseaux d'entreprise (Enterprise Networks). Les produits inclus dans ces solutions peuvent être déployés en tant que pare-feu unique, ainsi que dans des scénarios vastes et plus complexes, notamment des réseaux de succursales, des zones démilitarisées multicouches (DMZ multiniveaux), dans des scénarios de déploiement traditionnels en tant que « grand » pare-feu dans le centre de données et incluent la possibilité d'utiliser des pare-feu virtuels dans le centre de données. Les clients doivent également être en mesure de déployer des solutions au sein des infrastructures de cloud public Amazon Web Services (AWS), Microsoft Azure, et le fournisseur doit également avoir dans sa feuille de route assistance google Cloud dans les 12 prochains mois. Les produits doivent pouvoir être gérés avec des outils de gestion hautement évolutifs (et granulaires), disposer de rapports avancés et disposer d'une large gamme de solutions pour la périphérie du réseau, le centre de données, le réseau de succursales et le déploiement dans l'infrastructure de virtualisation et le cloud public. Tous les fournisseurs d'un segment de marché donné doivent prendre en charge le réglage et le contrôle des applications et des utilisateurs. La fonctionnalité du pare-feu de nouvelle génération n'est plus un avantage, mais une nécessité. Gartner raye donc le terme qu'elle a inventé, car cette fonctionnalité est considérée comme assez courante et absolument nécessaire sur le marché des pare-feu d'entreprise. Essentiellement, Gartner considère NGFW et Enterprise Firewall comme synonymes. Les fabricants travaillant sur ce marché se concentrent et construisent une stratégie de vente et un support technique pour les grandes entreprises (Entreprises), et la fonctionnalité qu'ils développent est également axée sur la résolution des problèmes des grandes entreprises (Entreprise).

Gartner affirme que ses recherches montrent que les NGFW poursuivent progressivement la tendance à remplacer les appareils IPS autonomes au périmètre du réseau, bien que certains clients disent qu'ils continueront à utiliser des appareils IPS dédiés de nouvelle génération (NGIPS) dans une stratégie Best of Breed. De nombreuses entreprises clientes s'intéressent aux solutions de détection de logiciels malveillants basées sur le cloud en tant qu'alternative moins chère aux solutions de bac à sable autonomes ( Solutions de bac à sable).

Contrairement au marché UTM, le marché des pare-feu d'entreprise n'implique pas que les solutions NGFW doivent contenir toutes les fonctionnalités pour protéger le réseau. Au lieu de cela, Gartner voit dans les pare-feu d'entreprise la nécessité de se spécialiser spécifiquement sur la fonctionnalité NGFW. Par exemple, les pare-feu de succursale de classe entreprise nécessitent la prise en charge d'un degré élevé de granularité pour bloquer le trafic réseau, qui doit être intégré à la base de produits, une approche de service intégrée pour traiter le trafic réseau est requise, la gestion des produits doit être hautement intégrée et ne pas ressembler à une compilation hâtive de différents moteurs dans un seul produit. ... Les pare-feu de classe entreprise pour les réseaux de succursales doivent être aussi sécurisés et configurables que les solutions de siège social.

En 2017. Gartner accorde une attention particulière aux solutions permettant d'assurer l'arrêt des sessions TLS afin de garantir que le trafic sortant est analysé à la recherche de menaces, telles que le téléchargement de code malveillant, le contrôle des botnets. D'une certaine manière, la possibilité d'inspecter le trafic TLS sortant rapproche NGFW des solutions DLP dans une version allégée, car le déchiffrement et l'inspection ultérieure du trafic TLS sortant vous permettent de vous assurer que des données sensibles ne sont pas envoyées. Cependant, certains clients utilisant cette fonctionnalité peuvent subir une dégradation significative des performances lors de l'activation de cette fonctionnalité en raison du coût élevé du décryptage de TLS.

Certains clients progressistes planifient et certains tirent déjà parti du paradigme de la mise en réseau définie par logiciel (SDN) et tirent parti des capacités de micro-segmentation dans un centre de données virtualisé. Ces clients recherchent des fournisseurs prenant en charge diverses solutions SDN, ainsi que leurs plans de développement ultérieur vers le SDN. Les fournisseurs de solutions intègrent des approches de plus en plus automatisées pour orchestrer les politiques de pare-feu afin de fournir la flexibilité et les avantages commerciaux promis par le paradigme SDN.

Regardons maintenant la situation actuelle avec le carré Gartner sur le marché. Pare-feu d'entrepriseà partir de juillet 2017 :

Et voici ce qui s'est passé il y a un an, en mai 2016 :

La liste des leaders de longue date du marché des pare-feu d'entreprise est Palo Alto Networks, Check Point. Cette année, Gartner a également fait passer Fortinet de Challengers à la catégorie Leadership. Les passions s'échauffent - les positions des leaders de ce segment se rapprochent également. Cisco n'a pas pu devenir un leader cette année non plus, restant à la poursuite. Mais Huawei est surprenant, lequel des acteurs de niche a été placé en toute confiance dans la section des poursuivants.

Que pense Gartner des leaders du marché des pare-feu d'entreprise séparément :

1. Réseaux de Palo Alto :

C'est l'un des leaders sur le marché du Firewall d'Entreprise, c'est aussi un pur éditeur de Sécurité, basé à Santa Clara (USA, Californie), l'effectif dépasse les 4000 employés. Produit des pare-feux depuis 2007, en 2016. Le portefeuille de solutions comprend des pare-feu de classe entreprise dans les exécutions physiques et virtualisées, des solutions de protection des nœuds d'extrémité (Traps et GlobalProtect), des solutions de collecte, d'agrégation, de corrélation, d'analyse des menaces en temps réel pour prendre en charge les mesures défensives ( Threat Intelligence, AutoFocus), solutions de sécurité SaaS (Aperture). Le fabricant travaille activement à l'intégration de solutions dans une plate-forme de sécurité réseau unifiée.

Palo Alto Networks a récemment publié la version 8 du système d'exploitation PAN-OS avec des améliorations pour WildFire et Panorama, une nouvelle fonctionnalité de sécurité SaaS et une protection des informations d'identification de l'utilisateur. Le pare-feu d'entrée de gamme PA-220, l'appareil milieu de gamme de la série PA-800 ont également été lancés et la gamme de pare-feu de la série PA 5000 (nouveaux modèles 5240, 5250, 5260), lancée depuis 2011, a également été mise à jour. .

Représentant des leaders du marché Enterprise Firewall. Le portefeuille de produits pour le marché des entreprises contient un grand nombre de solutions, notamment des pare-feu NGFW et des solutions de protection des terminaux, des solutions de sécurité cloud et de réseau mobile. Les produits phares de Check Point sont les passerelles de sécurité d'entreprise (les passerelles de sécurité de réseau d'entreprise comprennent les familles 5000, 15000, 23000, 44000 et 64000). La sécurité du cloud est assurée via la solution vSEC pour les clouds privés et publics, il existe également une solution SandBlast Cloud pour les applications SaaS. Les solutions de sécurité des terminaux incluent SandBlast Agent et les solutions de sécurité mobile - Check Point Capsule et SandBlast Mobile. A également publié la solution SandBlast Cloud pour analyser le trafic de messagerie dans Microsoft Office 365. En 2016. les modèles 15400 et 15600 sont devenus disponibles pour les grandes entreprises, ainsi que les modèles 23500 et 23800 pour les centres de données.

Récemment, de nouvelles plates-formes Hi-End 44000 et 64000 ont été présentées, vSEC a été publié pour Google Cloud et une nouvelle version du logiciel R80.10 a été publiée avec des améliorations pour la console de gestion, des performances améliorées et SandBlast Anti-Ransomware, qui offre une protection contre logiciel malveillant de la classe Ransomware. La nouvelle architecture de sécurité réseau Check Point Infinity qui intègre la sécurité des réseaux, des clouds et des utilisateurs mobiles est également présentée.

Check Point a également étendu sa solution de protection contre les logiciels malveillants basée sur le cloud qui peut être intégrée aux services de messagerie SaaS. Check Point propose de nombreuses lames logicielles qui étendent les capacités de pare-feu, notamment Advanced Mailware Protection (Threat Emulation et Threat Extraction), Threat Intelligence Services - ThreatCloud IntelliStore et Anti-Bot. Check Point prend en charge ses pare-feu dans les clouds publics Amazon Web Services (AWS) et Microsoft Azure, des solutions sont disponibles pour l'intégration avec les solutions SDN de VMWare NSX et Cisco Application Centric Infrastructure (ACI).

La solution de Check Point doit être présélectionnée par une entreprise cliente pour laquelle la sensibilité au prix n'est pas aussi importante que la granularité des fonctionnalités de sécurité du réseau, associée à une gestion centralisée de haute qualité pour les réseaux complexes. C'est également un bon candidat pour les clients utilisant des réseaux hybrides de matériel sur site, des centres de données virtualisés et des clouds.

Seuls les utilisateurs enregistrés peuvent participer à l'enquête. , s'il te plaît.

Même une petite entreprise peut avoir de grands secrets qu'elle doit protéger contre regards indiscrets... Cela signifie qu'il existe une menace potentielle pour les amoureux des secrets des autres. Pour protéger contre l'accès non autorisé aux ordinateurs du réseau d'entreprise local via l'accès au réseau, un pare-feu est nécessaire. Si vous recherchez un pare-feu d'entreprise, examinez de plus près le produit Kerio - Kerio WinRoute Firewall. Peu de gens connaissent le pare-feu Kerio pour un utilisateur privé ; depuis l'automne 2006, les utilisateurs russes ont également un produit d'entreprise (dans d'autres pays, il était vendu auparavant).

Pare-feu Kerio WinRoute par Kerio Technologies Inc. Est une solution intégrée qui comprend un pare-feu, un serveur VPN, un antivirus et un filtrage de contenu conçu pour protéger les réseaux d'entreprise des petites et moyennes entreprises.

Les principales caractéristiques de ce pare-feu sont :

le pare-feu proprement dit avec une configuration très flexible des politiques d'accès pour chaque utilisateur ;
serveur VPN intégré ;
protection antivirus intégrée ;
contrôle d'accès au site Web;
filtrage du contenu;
prise en charge de toutes les technologies d'accès à Internet : connexions DSL, RNIS, câble, satellite, sans fil et accès commuté ;
Prise en charge VoIP et UPnP ;
la possibilité d'administration à distance.

Faire les règles est très simple et direct

L'administrateur peut configurer des règles pour le pare-feu soit indépendamment, soit à l'aide d'un assistant en huit étapes. Ce dernier est particulièrement pratique pour les administrateurs novices : il simplifie le processus de configuration. Toutes les règles sont affichées dans un seul onglet, ce qui simplifie également le travail au quotidien. La seule difficulté potentielle pour les administrateurs système est l'absence d'une interface en russe et d'un fichier d'aide. Mais, en fouillant sur le Web, vous pouvez trouver un manuel légèrement obsolète, mais toujours à jour.

Une caractéristique de ce pare-feu est la possibilité de surveiller les protocoles utilisés, y compris des protocoles spécifiques qui ne sont pas directement liés au trafic IP. Cette fonctionnalité vous permet de contrôler et de protéger des applications spécifiques nécessaires aux activités commerciales des entreprises.

Le contrôle d'accès est possible même par bande passante de canal

Le canal Internet lui-même peut être contrôlé non seulement par des critères typiques des pare-feu (protocoles, ports, utilisateurs, etc.), mais également par la bande passante du canal. Cette opportunité est particulièrement intéressante pour les entreprises qui utilisent activement la téléphonie IP dans leurs activités. Cette fonction de surveillance est appelée limiteur de bande passante et vous permet de définir des paramètres spécifiques de la bande passante de communication pour des utilisateurs spécifiques.

Kerio WinRoute Firewall implémente sa propre technologie pour travailler avec les canaux VPN. Le problème de la compatibilité VPN et NAT a été résolu à l'aide de la fonction NAT Traversal, qui garantit un fonctionnement stable du VPN avec NAT, y compris plusieurs passerelles NAT. Les problèmes d'incompatibilité ont été résolus en permettant aux applications réseau de détecter la présence d'un périphérique NAT, de le configurer et de mapper les ports selon les besoins. Cela rend la configuration des connexions VPN un jeu d'enfant.

Le pare-feu Kerio WinRoute inclut l'antivirus McAfee

La combinaison d'une protection antivirus et pare-feu n'est pas une idée nouvelle et a été mise en œuvre par de nombreux développeurs de logiciels. Une caractéristique de Kerio WinRoute Firewall est que la société n'a pas produit ses propres mécanismes antivirus, mais a intégré un excellent développement de McAfee Security - McAfee antivirus dans le pare-feu (ainsi que dans son serveur de messagerie). Cette protection intégrée évite les conflits Logiciel antivirus si d'autres antivirus sont installés sur d'autres serveurs de l'entreprise. De plus, l'intégration du moteur antivirus dans le mécanisme de protection a permis d'utiliser en plus (en plus du McAfee intégré) et d'autres outils antivirus installés sur le serveur avec Kerio WinRoute Firewall. Pour ce faire, sélectionnez simplement l'antivirus requis dans la liste. Notez seulement que la liste des protections antivirus secondaires prises en charge n'est pas très longue et se limite à sept produits seulement.

Il convient de noter que cette combinaison de pare-feu et d'antivirus ajoute de la flexibilité lors du choix des produits pour desservir un réseau d'entreprise. Vous pouvez acheter Kerio WinRoute Firewall avec ou sans protection antivirus intégrée si vous disposez déjà d'un chasseur de virus qui vous convient.

Une option supplémentaire utile peut également être considérée comme un composant supplémentaire ISS Orange Web Filter. Ce filtre contient une catégorisation détaillée des sites Web (environ 60 catégories au total - actualités, shopping, sports, voyages, pornographie, etc.). Environ 60 millions de sites Web et plus de 4,4 millions de pages Web en 15 langues ont été triés. Cette fonction vous permet de configurer le pare-feu Kerio WinRoute pour blocage automatique l'accès des utilisateurs aux sites d'une catégorie particulière. L'accès peut être restreint à la fois au niveau de l'utilisateur et au niveau du groupe d'utilisateurs.

Le pare-feu Kerio WinRoute peut refuser l'accès aux réseaux peer-to-peer

Avec la croissance de l'accès Internet haut débit sans restriction, la probabilité que les employés utilisent le trafic de l'entreprise pour télécharger des fichiers à partir de réseaux de partage de fichiers (KaZaA, eDonkey, eMule ou DC ++) augmente. Afin de faciliter le travail des administrateurs pour identifier de tels faits, le pare-feu Kerio WinRoute dispose d'une fonction intégrée pour bloquer le travail des clients P2P. Vous pouvez également utiliser l'analyse statistique du trafic pour identifier et neutraliser les réseaux de partage de fichiers inconnus. Un contrôle de trafic similaire est également possible en utilisant le protocole FTP.

Quant au filtrage du trafic HTTP, il est à noter qu'il est possible de déterminer l'ordre de traitement des objets ActiveX et des scripts Java pour empêcher la livraison de codes malveillants potentiellement dangereux à travers le pare-feu. Vous pouvez également bloquer les pop-ups de tout type, garantissant une navigation Web confortable pour les employés de l'entreprise.

Une recherche active d'informations sur Internet concernant les vulnérabilités découvertes dans Kerio WinRoute Firewall n'a donné qu'une seule mention. Et puis la vulnérabilité identifiée a été facilement éliminée en passant à la dernière version.

Sommaire

Kerio WinRoute Firewall 6 de Kerio Technologies Inc. fournit un accès Internet contrôlé partagé et une protection contre les attaques externes et les virus. En outre, il prévoit une restriction d'accès aux sites de divers sujets et une restriction dans le fonctionnement des réseaux peer-to-peer. Conçu spécifiquement pour les réseaux d'entreprise des petites et moyennes entreprises, ce pare-feu est assez attractif en termes de rapport prix/performances, tout en offrant un niveau de protection élevé.

Limites du système
Pare-feu Kerio WinRoute :

processeur : Pentium III ;
RAM : 256 Mo de RAM ;
libre espace disque: 20 Mo (un espace disque supplémentaire est également requis pour les fichiers de rapport et les fonctions de cache, en fonction des paramètres individuels) ;
deux interfaces réseau (y compris l'accès commuté) ;

Client VPN Kerio :

processeur : Pentium III ;
RAM : 128 Mo de RAM ;
espace disque libre : 5 Mo ;
système d'exploitation Windows 2000 / XP / 2003.

Quiconque s'est déjà posé la question « quel pare-feu choisir ? » Gartner(une agence d'analyse bien connue).

Marché UTM :

Permettez-moi de vous rappeler que par définition Gartner :

C'est-à-dire que les plates-formes de sécurité réseau destinées aux petites entreprises (Petites) et aux entreprises légèrement plus grandes (Moyennes) relèvent de cette définition (sous les petites entreprises (Petites et moyennes entreprises), Gartner compte les entreprises de 100 à 1000 employés). Les solutions UTM contiennent généralement une fonctionnalité de pare-feu typique, des systèmes de prévention des intrusions (IPS), une passerelle VPN, un système de filtrage du trafic Web (filtrage d'URL, système antivirus en continu pour le trafic Web) et un système de filtrage du trafic de messagerie (filtrage des messages de spam et un antivirus système pour le trafic de courrier), et bien sûr, nous ne devons pas oublier le système de routage de base et la prise en charge de diverses technologies WAN.

Il est intéressant de noter que, à en juger par les prédictions de Gartner, le marché des pare-feu jusqu'en 2020. restera à peu près dans le même état que maintenant. En 2022. selon les prédictions de Gartner, les solutions de classe commenceront à entrer dans le quotidien des PME Pare-feu en tant que service (FWaaS), c'est à dire. les pare-feux cloud, où le trafic client sera tunnelé, et la part des nouvelles installations sur le marché des PME sera supérieure à 50 %, contre 10 % actuellement. De plus, 2022. 25 % des utilisateurs du segment PME utiliseront leur pare-feu comme outil de surveillance et comme courtier intermédiaire pour fournir l'inventaire et le contrôle de l'utilisation des ressources SaaS, comme outil de gestion des appareils mobiles ou d'application des politiques de sécurité sur les appareils des utilisateurs finaux (actuellement, moins plus de 2% des utilisateurs utilisent cette fonctionnalité sur les pare-feux). Les solutions FWaaS seront également plus populaires pour les structures de succursales distribuées, avec 10 % des nouvelles installations utilisant cette solution, contre moins de 1 % aujourd'hui.

UTM en juin 2017 :

Mais que s'est-il passé il y a un an, en août 2016 :

3. Sophos :

Marché des pare-feu d'entreprise :

En 2011. Gartner a introduit une nouvelle définition sur le marché du pare-feu d'entreprise - le pare-feu de nouvelle génération (NGFW) :

Selon les prévisions de Gartner d'ici 2020. Les pare-feux virtualisés de classe entreprise occuperont jusqu'à 10 % du marché, contre 5 % actuellement. D'ici fin 2020. 25 % des pare-feu vendus comprendront des courtiers de sécurité d'intégration cloud pour se connecter aux services cloud ( Courtier en sécurité d'accès au cloud, CASB), intégré par l'API correspondante. D'ici 2020 50 % des nouvelles installations de pare-feu utiliseront l'inspection TLS sortante, contre moins de 10 % actuellement.

Selon Gartner, le marché des Enterprise Firewalls se compose principalement de solutions de protection des réseaux d'entreprise (Enterprise Networks). Les produits inclus dans ces solutions peuvent être déployés en tant que pare-feu unique, ainsi que dans des scénarios vastes et plus complexes, notamment des réseaux de succursales, des zones démilitarisées multicouches (DMZ multiniveaux), dans des scénarios de déploiement traditionnels en tant que « grand » pare-feu dans le centre de données et incluent la possibilité d'utiliser des pare-feu virtuels dans le centre de données. Les clients devraient également être en mesure de déployer des solutions au sein des infrastructures de cloud public Amazon Web Services (AWS), Microsoft Azure, et le fournisseur devrait avoir le support de Google Cloud dans sa feuille de route pour les 12 prochains mois. Les produits doivent pouvoir être gérés avec des outils de gestion hautement évolutifs (et granulaires), disposer de rapports avancés et disposer d'une large gamme de solutions pour la périphérie du réseau, le centre de données, le réseau de succursales et le déploiement dans l'infrastructure de virtualisation et le cloud public. Tous les fournisseurs d'un segment de marché donné doivent prendre en charge le réglage et le contrôle des applications et des utilisateurs. La fonctionnalité du pare-feu de nouvelle génération n'est plus un avantage, mais une nécessité. Gartner raye donc le terme qu'elle a inventé, car cette fonctionnalité est considérée comme assez courante et absolument nécessaire sur le marché des pare-feu d'entreprise. Essentiellement, Gartner considère NGFW et Enterprise Firewall comme synonymes. Les fabricants travaillant sur ce marché se concentrent et construisent une stratégie de vente et un support technique pour les grandes entreprises (Entreprises), et la fonctionnalité qu'ils développent est également axée sur la résolution des problèmes des grandes entreprises (Entreprise).

Regardons maintenant la situation actuelle avec le carré Gartner sur le marché. Pare-feu d'entrepriseà partir de juillet 2017 :

Et voici ce qui s'est passé il y a un an, en mai 2016 :

Que pense Gartner des leaders du marché des pare-feu d'entreprise séparément :

1. Réseaux de Palo Alto :

Seuls les utilisateurs enregistrés peuvent participer à l'enquête. , s'il te plaît.

Pare-feu sert au fonctionnement sûr des ordinateurs du réseau local et d'Internet. Pare-feu empêche l'accès non autorisé aux ressources du réseau. Correct configuration du pare-feu rend l'ordinateur invisible sur Internet. Pare-feu restreint ou refuse l'accès aux ressources.

Un peu sur le pare-feu

Parasurtenseur, passerelle de sécurité, pare-feu ou pare-feu, c'est le nombre de noms qu'un programme a qui, comme un mur de feu (feu - feu, mur - mur) se dresse sur le chemin virus informatiques et les personnes cherchant à obtenir un accès non autorisé à votre PC.

Une combinaison de logiciels et Matériel ordinateur, pare-feu fait partie de son système de sécurité complet, pas le seul composant irremplaçable. Bien que le "mur de feu" ne soit pas devenu une panacée pour toutes les menaces, il est toujours capable de créer une barrière entre l'ordinateur et le réseau à travers laquelle les "intrus" ne peuvent pas pénétrer sur le territoire de votre PC.

Configuration des pare-feu personnels et d'entreprise

Il existe à la fois des pare-feu logiciels et matériels. Les inconvénients des premiers incluent le fait qu'ils consomment leurs propres ressources PC. Mais les dispositifs matériels, bien que complètement indépendants et placés sur la passerelle entre le réseau local et Internet, sont beaucoup plus chers par rapport aux personnels et sont utilisés par diverses entreprises pour protéger leur réseau local.

Personnel pare-feu est un programme qui est un élément de la salle d'opération Systèmes Windows ou il peut être installé dans le cadre du logiciel d'application. D'habitude configuration du pare-feu n'est pas si compliqué, puisque le programme a une interface conviviale. Avec son aide, il est facile d'autoriser la connexion Internet à tous les programmes qui s'y rapportent vraiment (Skype, Torrent, Mail.Ru, Internet Explorer etc.). Et également ne pas autoriser un ordinateur portable (qui peut contenir des mots de passe et des informations personnelles) à envoyer ou recevoir des données par paquets sur le réseau, pour lequel une telle activité n'est pas du tout naturelle.

Entreprise pare-feu protège les réseaux locaux de diverses entreprises des "demandes de réseau inattendues". Il bloque toutes ces demandes et demande à l'utilisateur l'autorisation de créer une telle connexion. Si vous n'avez pas d'entreprise avec un réseau local composé de plusieurs ordinateurs, vous n'avez pas besoin de l'installer. L'installation et la configuration des « murs » d'entreprise sont effectuées par l'administrateur système.

Fonctionnalités de configuration du pare-feu

Bon Pare-feu par défaut devrait avoir des informations sur tous les services et applications du système Logiciel qui a besoin d'un accès Internet et échange des données par paquets. Il ne devrait pas demander tout le temps d'autoriser de telles applications à se connecter. Il devrait le faire automatiquement. En général, le pare-feu doit avoir un bon assistant de configuration qui automatise son processus.

Pare-feu peut avoir plusieurs niveaux de protection. Si vous évaluez la menace comme étant élevée, vous pouvez définir le niveau le plus « maniaque », qui contrôlera tout votre trafic et votre mémoire. Mais une telle protection peut affecter considérablement les performances du système (si la configuration de l'ordinateur est inférieure à la moyenne). Un faible niveau de contrôle éliminera les menaces les plus évidentes. Pare-feu n'est considéré comme bon que s'il a un effet notable sur les performances du système, mais lui confère en même temps un niveau de protection supérieur à la moyenne.

Afin de vérifier les performances de votre pare-feu il existe de nombreux utilitaires, par exemple Atelier Web Firewall Tester. ce programmes spéciaux qui fonctionnent sur le principe des « chevaux de Troie » et des programmes similaires. S'ils parviennent à envoyer et à recevoir des informations en contournant votre "mur", cela signifie qu'il y a un espace dans celui-ci et que sa valeur est réduite à zéro.