Firewall-uri moderne: de la specializare restrânsă la protecție universală

Firewall Kerio WinRoute

erio WinRoute Firewall (denumit în continuare WinRoute) este un firewall de rețea conceput pentru a proteja perimetrul unei rețele locale de intruziunile distructive și indiscrete din exterior (de exemplu, de pe Internet), pentru a oferi acces utilizatori localiîn Internet, filtrarea traficului, precum și pentru a oferi tot felul de statistici. Pentru a evalua capacitățile produsului, interfața de management și logica funcționării programului, vom lua în considerare mai mult sau mai puțin detaliat funcția sa principală - protecția rețelei locale și controlul traficului. Apoi vom enumera pe scurt caracteristicile suplimentare ale WinRoute.

Computerul pe care este instalat WinRoute trebuie să aibă cel puțin două interfețe de rețea: una conectată la o rețea locală, iar cealaltă la una publică (de exemplu, la Internet). După instalarea și repornirea computerului, ar trebui să porniți consola de gestionare WinRoute, care vă solicită imediat să lansați Expertul Reguli de rețea. În această etapă, lansarea vrăjitorului este foarte importantă, mai ales pentru cei care instalează WinRoute pentru prima dată. Faptul este că vrăjitorul creează un set de bază de reguli de pachete (reguli de politică de trafic), care în viitor vă va permite să înțelegeți mai bine cum funcționează, cum să creați și esența acestor reguli. Regulile de pachete sunt un punct cheie pentru un firewall de rețea, ele determină ce fluxuri de date (pachete de rețea) vor trece liber către (din) rețeaua locală și care vor fi interzise din motive de securitate. Să aruncăm o privire la cei mai importanți pași ai vrăjitorului.

Pasul 3 - selectarea unei interfețe de rețea conectată la o rețea externă, adică la Internet. WinRoute va determina automat cea mai potrivită interfață disponibilă pe o anumită gazdă, pe baza adresei sale IP și o va oferi mai întâi. Dacă gazda are mai multe interfețe cu adrese IP în afara intervalului, atunci poate fi necesar să specificați în mod explicit interfața necesară. (Toate interfețele sunt identificate și afișate de WinRoute prin numele atribuite lor în sistemul de operare.)

Pasul 4 - selectarea serviciilor (protocoalelor) care vor fi disponibile utilizatorilor rețelei locale atunci când accesează Internetul. Două opțiuni sunt disponibile aici: permiteți toate serviciile (fără restricții) sau setați doar anumite servicii. Pentru al doilea caz, WinRoute oferă o listă cu cele mai solicitate servicii (de exemplu, HTTP, FTP, SMTP etc.). Serviciile necesare trebuie bifate. Pentru o analiză suplimentară, observăm prima opțiune - „fără restricții”.

Pasul 6 - selectarea serverelor situate în rețeaua locală la care doriți să deschideți accesul de pe Internet (de exemplu, un server Web, server de e-mail etc.). Chiar dacă nu aveți astfel de servere, este mai bine să spuneți că acestea sunt pentru a revizui ulterior regulile corespunzătoare. Astfel, îi vom oferi maestrului posibilitatea de a le crea pentru a învăța apoi de la el cum să o facă. Pentru a adăuga un server, trebuie să specificați: 1) adresa IP locală a acestuia sau valoarea „Firewall” (dacă serverul rulează pe aceeași gazdă unde este instalat WinRoute); 2) serviciu (HTTP pentru server Web, SMTP pentru server de mail etc.).

Pasul 7 - Permiteți NAT (Network Address Translation Protocol). Trebuie să fie activat pentru ca utilizatorii rețelei locale să poată utiliza Internetul (aceasta este alegerea noastră). Numai în cazuri foarte rare este necesar ca NAT să fie dezactivat - dacă WinRoute este folosit exclusiv ca router normal între două sau mai multe rețele (nu este cazul nostru).

Apoi, lăsați vrăjitorul să-și termine munca. Deoarece vrăjitorul poate fi lansat în orice moment (nu imediat după instalarea WinRoute), toate regulile vechi sunt șterse pentru a evita inconsecvențele în regulile pachetelor. Deci, firewall-ul nostru funcționează deja (!) Și își îndeplinește funcția principală - protejarea rețelei locale (ca o primă aproximare, desigur). Acum vă puteți lua timp pentru a examina și, cel mai important, a înțelege cum funcționează regulile de pachet.

Regulile de pachete din WinRoute sunt colectate într-un singur tabel (Fig. 1) și sunt strict ordonate (regula de sus este prima regulă). Ordinea regulilor poate fi schimbată. Orice pachet venirea la gazda Firewall (termenul „Firewall” este folosit în WinRoute pentru a se referi la gazda pe care este instalat) se verifică respectarea oricărei reguli, începând de la prima. Dacă un pachet nu îndeplinește condițiile regulii curente, atunci i se aplică următoarele și așa mai departe. În cazul în care un pachet a atins ultima regulă, care spune „deny all”, va fi eliminat fără milă (ceea ce nu este permis este interzis). Ultima regulă de respingere nu poate fi ștearsă, mutată sau editată (cu excepții minore). În fața titlului fiecărei reguli este bifată, dacă este bifată, regula este activă (funcționează), altfel regula nu este luată în considerare de procesorul WinRoute, de parcă nu ar fi acolo. Acest lucru este foarte convenabil dacă trebuie să efectuați experimente sau să activați / dezactivați o regulă din când în când din anumite motive - nu trebuie să o ștergeți și să o recreați. Trebuie remarcat faptul că principiul „pornit / oprit” este folosit aproape peste tot în WinRoute - și acesta este avantajul incontestabil al interfeței programului.

Fiecare regulă de pachet constă din mai multe câmpuri: sursa pachetului (de unde a venit), destinația (unde a vrut să ajungă în continuare), serviciu (protocol), acțiune, înregistrare, traducere adrese. Sursa și destinația urmează același format - iată o listă impresionantă de opțiuni posibile:

gazdă;
intervalul IP;
grup de adrese IP;
plasa / masca;
rețeaua conectată la interfață;
utilizatorii;
Gazdă firewall.

Serviciul indică protocolul în care funcționează pachetul. Există 79 de servicii predefinite în WinRoute, pentru care administratorul nici măcar nu are nevoie să cunoască numerele de porturi (vă amintiți numărul portului pentru serviciul terminal Windows - RDP - Remote Desktop Protocol?) - doar selectați-l după nume din tabel . Dar, ca serviciu, puteți seta numărul portului sau puteți defini propriul (nou) protocol, îl puteți adăuga la tabelul de servicii și apoi îl puteți utiliza după nume.

Acțiunea determină trei opțiuni pentru soarta ulterioară a pachetului: permiteți, refuzați (dar notificați expeditorul despre aceasta), renunțați (fără a anunța expeditorul - lăsați-l să creadă că pachetele sale dispar într-o gaură neagră). Apropo, acesta este unul dintre cei doi parametri care pot fi modificați în ultima regulă „deny all” - puteți folosi „deny” sau „reset”. Dezvoltatorii WinRoute recomandă utilizarea „deny” pentru pachetele din rețeaua locală și „discard” pentru pachetele care vin din exterior.

Logging-ul este destul de dezvoltat în WinRoute, dar nu ne vom opri asupra acestui lucru. Apropo, acesta este al doilea parametru care poate fi modificat în regula „deny all”.

Traducerea adresei poate reprezenta două opțiuni: sursă NAT (partajare Internet / mascarare IP) sau destinație NAT (mapping port). Primul este folosit pentru a înlocui adresele locale ale pachetelor care ies către Internet cu adresa externă a uneia dintre interfețele de rețea ale gazdei Firewall. Adresa locală este înlocuită cu o adresă externă (direcționabilă), astfel încât să puteți obține răspunsuri la solicitările dvs. de rețea. Maparea portului este utilizată astfel încât computerele externe să poată accesa un server situat în interiorul rețelei locale.

Acum să ne uităm la regulile prezentate în Fig. 1. Unele dintre ele au fost create de expertul WinRoute, în timp ce altele au fost adăugate manual ulterior.

O regulă numită „NAT” (creată de vrăjitor). În acest tabel, aceasta este singura regulă responsabilă pentru trecerea pachetelor din rețeaua locală (interfața „Local” 10.0.0.0) către Internet (interfața „M” 200.200.200.99). (Vom lua în considerare interfața cu numele „Z” mai târziu.) Deoarece valoarea „Orice” este specificată în câmpul „Serviciu”, sunt permise pachete de orice protocoale, adică nu există restricții pentru utilizatorii locali de a accesa Servicii. NAT este utilizat în câmpul de traducere a adresei. Dacă trebuie să interziceți accesul la orice serviciu, atunci duplicați (butonul dreapta al mouse-ului) această regulă și în noua regulă specificați serviciul interzis sau mai multe deodată. Mutați noua regulă astfel încât să stea deasupra celei vechi - scopul este atins. Dacă, dimpotrivă, este necesar să se permită doar unele servicii specifice, atunci făcând dublu clic pe cuvântul „Orice” din această regulă, va apărea o fereastră în care puteți selecta serviciile permise. După aceea, puteți presupune că ați învățat deja cum să gestionați accesul la Internet al utilizatorilor locali (în legătură cu WinRoute).

Regula numită „Firewall Traffic” (creată de expert) diferă de regula „NAT” doar prin absența traducerii adresei, deoarece gazda Firewall are adrese IP externe. Acordați atenție sursei - „Firewall”, adică regula se aplică numai pachetelor care provin de pe gazda Firewall.

Regula permisivă „Trafic local” (creată de expert) descrie toate combinațiile posibile de sursă și destinație a pachetelor din rețeaua locală, inclusiv computerul pe care este instalat WinRoute.

Regula Service FTP permite accesul extern la serverul dvs. FTP, iar regula Service SMTP permite accesul extern la serverul dvs. de e-mail. Ambele reguli sunt create de vrăjitor. Singura diferență dintre ele este că serverul FTP rulează pe același computer cu WinRoute, iar serverul de e-mail este instalat pe o mașină locală cu o adresă IP de 10.0.0.51. Vă rugăm să rețineți că regula „Service SMTP” nu are o bifă în stânga - nu funcționează, este doar un stub de care nu avem nevoie încă. Deci, acum puteți oferi acces la serverele dvs. prin WinRoute.

Să trecem la regulile pe care a trebuit să le creăm manual. Dorim să refuzăm accesul la rețeaua noastră și, prin urmare, la serverele noastre, unor fani prea zeloși ai propriului nostru server FTP. Pentru aceasta, a fost creată o regulă cu numele „Interzis”, iar numele grupului de adrese IP este specificat în câmpul sursă pentru a nu îngrămădi multe adrese în regula însăși. Adresele pot fi adăugate la acest grup după cum este necesar, sau puteți anula temporar (bifează) acțiunea unei adrese. Un astfel de grup este creat în alt loc, dar pentru noi acum singurul lucru important este faptul că poate fi creat, editat și, de asemenea, aplicat în mai multe reguli. Puteți introduce adrese IP individuale, o rețea cu o mască sau o serie de adrese IP într-un grup de adrese. Vă rugăm să rețineți că această regulă vine înaintea altor reguli care permit accesul la rețeaua locală și, prin urmare, proprietarii unor astfel de adrese nu vor putea accesa niciunul dintre serverele noastre (dacă există). Dacă trebuie să închideți accesul numai la serverul FTP, în câmpul „Serviciu”, în loc de „Orice”, ar trebui să specificați „FTP”, apoi să puneți această regulă înaintea regulii „Serviciu FTP” - locația sa în raport cu alte reguli nu contează.

Trei reguli, intitulate „Server web...”, demonstrează acordarea accesului la un server terminal (serviciu RDP) numai de la o anumită adresă IP și accesul dezvoltatorilor Web dintr-o anumită rețea. Câmpul destinație nu conține numele interfeței, ci o anumită adresă IP, deoarece interfața M are mai multe adrese atribuite, iar utilizarea numelui echivalează cu specificarea doar a adresei primare a interfeței.

WinRoute oferă redundanță a conexiunii. Să presupunem că există două conexiuni externe (una dintre ele poate fi un modem telefonic) și, în consecință, două interfețe (plăci de rețea) în gazda Firewall. WinRoute folosește doar unul dintre ele la un moment dat. Dar dacă acest canal Este „decuplat”, apoi WinRoute comută tot traficul extern la altul. Administratorul stabilește ce conexiune este principală și care este secundară. Conexiunea primară este utilizată ori de câte ori funcționează fizic. Dacă devine necesară trecerea la interfața secundară, atunci din acest moment WinRoute monitorizează constant conexiunea primară și, de îndată ce revine la normal, comută tot traficul înapoi la conexiunea principală. În regulile din fig. 1 interfață numită „Z” oferă canalul de rezervă.

Să aruncăm o privire rapidă la filtrarea traficului. Filtrarea traficului este destul de avansată în WinRoute și este aplicabilă numai traficului HTTP și FTP. Traficul poate fi filtrat după numele site-ului, prin specificarea unui subșir pentru numele site-ului, prin prezența anumitor cuvinte în datele transmise (se pot crea și edita liste de cuvinte), etc. Pentru traficul FTP, puteți utiliza comenzile FTP ca criteriu de filtrare, de exemplu, puteți interzice încărcarea fișierelor din rețeaua locală pe servere FTP externe. Utilizatorii sau grupurile de utilizatori pot fi utilizați ca criteriu de filtrare.

Filtrarea antivirus se aplică protocoalelor HTTP, FTP, SMTP și POP3. Setarile sunt destul de evidente. Trebuie remarcat faptul că WinRoute poate fi furnizat cu un scanner antivirus McAfee ca standard, dar poate fi asociat cu alte scanere terțe (există șapte scanere în listă).

Statisticile din WinRoute sunt prezentate destul de cuprinzător. Volumul traficului poate fi vizualizat în ambele direcții (intrare și ieșire) separat pentru interfețele de rețea sau pentru utilizatori. Deoarece statisticile sunt prezentate sub formă de tabel, datele pot fi sortate după orice coloană în ordine crescătoare sau descrescătoare. Iar coloanele oferă următoarele opțiuni: pe zi, pe săptămână, pe lună, total (pentru tot timpul după instalarea WinRoute). În plus, statisticile privind interfețele de rețea pot fi prezentate grafic pentru perioadele: 2 ore, 1 zi, 1 săptămână, 1 lună; iar statisticile privind utilizatorii vor arăta distribuția traficului pe protocoale (1 zi, 1 săptămână, 1 lună, total). Statisticile privind interfețele de rețea vă vor ajuta să monitorizați traficul de intrare de la furnizorul dvs.

Există două linii speciale în lista de utilizatori: „toți utilizatorii” și „utilizatori nerecunoscuți”. Ideea este că utilizatorii fie trebuie să se conecteze la WinRoute, fie nu. Depinde de setările WinRoute. În primul caz, statisticile sunt colectate pe baza numelor de utilizator, iar în al doilea, pe baza adreselor IP. Dacă nu aveți nevoie de autorizarea utilizatorului, trebuie să specificați în baza de date de utilizatori WinRoute din care adrese IP lucrează fiecare utilizator (puteți defini mai multe adrese pentru un utilizator.). Acest lucru nu este atât de dificil pe cât ar părea, chiar dacă adresele IP sunt distribuite de un server DHCP (o situație comună). Linia „utilizatori nerecunoscuți” va include, de exemplu, traficul serverului DNS, traficul de actualizare a cadrului legal etc. Dar în baza de date de utilizatori WinRoute, puteți adăuga „utilizatori” speciali, le puteți atribui adresele serverelor corespunzătoare și apoi va fi posibil să determinați cât de mult trafic este consumat prin actualizarea cadrului legal sau server DNS... WinRoute poate funcționa cu o bază mixtă de utilizatori - în acest caz, unii utilizatori vor fi importați din Active Directory, în timp ce alții pot fi adăugați ca utilizatori locali WinRoute.

Fiecărui utilizator i se poate atribui o cotă de trafic. Totodată, în funcție de setări, atunci când utilizatorul atinge limita cotei sale, WinRoute fie va întrerupe toate conexiunile, fie va interzice stabilirea unora noi, fie va avertiza doar utilizatorul. În orice caz, WinRoute poate anunța utilizatorul (și/sau administratorul) atunci când cota este depășită prin e-mail. Și fiecare utilizator poate, la rândul său, să-și monitorizeze traficul accesând WinRoute prin interfața Web.

Kerio Server Firewall (KSF)

SF este un firewall de server, adică un firewall care protejează doar gazda pe care este instalat. Spre deosebire de un firewall de rețea (de exemplu, de la WinRoute), acest produs nu direcționează pachetele între rețele (între interfețele gazdă), dar poate proteja mai multe (până la 100) interfețe ale gazdei sale. În primul rând, KSF este conceput pentru a proteja serverele instalate pe site-ul furnizorului (serviciu de colocare). În consecință, KSF are control de la distanță (ca majoritatea firewall-urilor) printr-o interfață web.

Care este diferența dintre un firewall de server și un firewall de rețea? Principala lor diferență este asigurarea protecției aplicațiilor (Application Hardening) care rulează pe server. KSF monitorizează nu numai traficul de rețea, ci și comportamentul aplicațiilor, în primul rând aplicațiilor server, care, prin natura activităților lor, sunt obligate să „asculte” porturile și să răspundă la solicitările rețelei de la clienți.

Pe pagina „Stare rețea” (Fig. 2), toate sunt lansate în acest moment aplicații server care „ascultă” orice porturi, protocoalele de operare ale acestora și numărul de conexiuni stabilite în prezent. În plus, pentru fiecare aplicație, calea sa completă este indicată în Sistemul de fișiere server, data ultimei modificări a fișierului exe, precum și scurte informații de fundal despre scopul acestei aplicații și posibilele puncte slabe de protecție. Într-un panou separat există trei butoane de legătură care vă permit să efectuați următoarele acțiuni: creați o regulă de rețea pe baza procesului selectat, afișați toate regulile de rețea legate de acest proces, afișați o listă de conexiuni pentru procesul selectat.

Să luăm în considerare formatul regulilor de rețea (Fig. 3). Acțiunea oferă două opțiuni: permite sau reseta. Direcția descrie conexiunile de intrare, conexiunile de ieșire și traficul în ambele direcții. Trebuie remarcat faptul că indicarea ambelor direcții este de obicei lipsită de sens și plină de pericol potențial. După cum puteți vedea din figură, doar regula „Regulă implicită” implementează o astfel de opțiune pentru a refuza toate conexiunile care nu se încadrează în regulile anterioare. Această regulă nu poate fi eliminată, dar acțiunea sa poate fi schimbată în „Permite” în scopuri de depanare. O singură regulă din lista prezentată permite conexiuni de ieșire - serverul însuși (în sensul unui computer) are voie să meargă oriunde. Toate celelalte reguli descriu accesul numai în interiorul gazdei noastre, desigur, cu tot felul de restricții. De exemplu, cea mai înaltă regulă permite accesul la procesul inetinfo.exe prin HTTP (portul 80).

Coloana „Local” indică prin ce interfață locală (situată pe gazda noastră) se va stabili conexiunea. În acest caz, serverul are două interfețe, una dintre ele este numită în sistemul de operare „Internet” și este conectată la rețeaua externă, a doua este conectată la rețeaua locală. În regula cea mai de sus, o singură interfață este specificată în mod explicit - toate celelalte reguli se aplică conexiunilor de la orice interfață locală. Coloana „La distanță” specifică adresele clienților de la distanță care accesează serverul. Opțiunile pot fi: adresă IP, interval IP, net / mască, nume grup de adrese. Un grup de adrese poate conține orice număr de combinații de adrese diferite enumerate mai sus. Mai multe grupuri de adrese sunt predefinite în KSF (utilizați ca exemplu). După cum puteți vedea din tabelul de reguli, accesul la serverul Web este posibil de oriunde, gazda în sine are voie să meargă oriunde și, în plus, ultima regulă de refuz ia în considerare în mod natural orice adrese externe. În restul regulilor, adresele de la distanță sunt reprezentate de numele grupurilor de adrese.

Acum să enumerăm cele trei blocuri de bază ale protecției aplicațiilor în KSF.

2. O interdicție privind schimbarea fișierului exe al procesului de rețea al gazdei, inclusiv schimbarea căii de pornire (adică este imposibil să păcăliți KSF încercând să porniți un proces cu același nume dintr-un director diferit, deoarece acesta este deja un fișier exe înlocuit).

3. Interzicerea modificării datelor importante ale sistemului (System tampering). De exemplu, în Fig. 5 arată o listă cu astfel de date.

În fig. 4 prezintă regulile de protecție a aplicațiilor. Unul dintre ele (pentru srvfw.exe) este creat automat în timpul instalării KSF și poate fi folosit ca exemplu pentru antrenament. Excepțiile pot fi definite în reguli, de exemplu, permițând unui proces să înceapă altele, dacă este necesar. Se dovedește a fi foarte simplu să definești astfel de excepții. Creați o regulă care să înregistreze doar acțiunile procesului de care sunteți interesat și, după un timp, uitați-vă la jurnal (Jurnale / Hardening) pentru a determina dacă aceasta sau acea aplicație într-o stare normală (neinfectată) va porni în continuare ceva.

Și încă o caracteristică a KSF este detectarea posibilelor intruziuni. De fapt, nu trebuie să configurați nimic aici, dar trebuie să verificați în mod regulat jurnalul de înregistrare corespunzător. KSF oferă descrieri ale unora dintre cele mai comune tipuri de intruziune, împreună cu gravitatea acestora. Vizualizarea listei de conexiuni pentru un anumit proces poate ajuta, de asemenea, un administrator să observe o amenințare - prea multe conexiuni de la o adresă IP sau o cantitate imensă de date transferate într-o singură conexiune. Din păcate, nu este posibilă sortarea datelor după adresa IP de la distanță sau după volumul de date în fereastra listei de conexiuni.

Kerio Mail Server (KMS)

MS poate fi folosit fie ca un server de e-mail cu drepturi depline care stochează cutiile poștale ale utilizatorilor și oferă acces la clienții de e-mail, fie ca o „stație de e-mail” intermediară (în ceea ce privește Sendmail - Smart Host). În acest din urmă caz, acesta acționează ca o legătură intermediară între serverul de e-mail situat în interiorul rețelei locale (de exemplu, MS Exchange Server) și lumea exterioară. O gazdă cu KMS instalat poate avea două interfețe de rețea, dintre care una este conectată la rețeaua locală, iar cealaltă la cea externă. Astfel, KMS va acționa ca un firewall de e-mail. În acest caz, recepția tuturor e-mailurilor externe care vine în organizație este încredințată KMS, iar trimiterea e-mailurilor utilizatorilor locali către exterior poate fi efectuată atât prin firewall-ul de mail, cât și direct de către serverul intern. Deoarece suntem interesați de modul firewall, vom discuta pe scurt doar această funcționalitate KMS. Și în acest caz, acesta constă din trei componente: filtrarea e-mailurilor nedorite pe baza așa-numitelor liste negre (liste negre), filtrarea spam-ului și protecție antivirus.

Listele negre conțin o listă de servere de e-mail spam. Astfel de servere funcționează cel mai adesea în modul Open relay, care vă permite să trimiteți e-mail oricărui client fără nicio autorizație și indiferent de locația relativă a clientului și a serverului. De exemplu, un spammer din Rusia poate folosi un server de e-mail din America de Sud pentru a trimite mii de scrisori. Uneori, serverele normale sunt incluse pe lista neagră - din cauza trimiterii neglijente de scrisori de afaceri sau setare greșită server de mail. Serverele Blacklist sau Open Relay Data Bases (ORDB) sunt implementate ca servere DNS cu un tip special de înregistrare care stochează liste de servere dăunătoare. De obicei, serverele ORDB sunt conduse de oameni serioși, iar software-ul de pe aceste servere analizează candidații pentru lista neagră. Există însă și astfel de servere care își adună listele la prima plângere. Din acest motiv, multe servere de e-mail obișnuite (și cel mai adesea intervale întregi de adrese IP) sunt pe lista neagră. Deci, atunci când vă configurați serverul de e-mail, principalul lucru este să nu exagerați, cerându-i cât mai multe servere ORDB, altfel aproape toate e-mailurile (și cele utile) pot fi eliminate.

De fapt, configurarea listelor negre în KMS este atât de simplă încât s-ar putea limita la a afirma faptul că această funcționalitate este acceptată. Cu toate acestea, vom face câteva comentarii. Livrarea KMS include deja cinci servere ORDB. Serverul numit SORBS DNSBL (dnsbl.sorbs.net) diferă în astfel de liste „zeloase” încât toate e-mailurile de la aha.ru și mail.ru sunt respinse. Prin urmare, în condițiile noastre specifice, este mai bine să deselectăm opțiunea „blocare” pentru acest server... KMS vă permite, de asemenea, să vă creați propria listă neagră. Din păcate, KMS nu vă permite să creați o așa-numită listă albă, care este opusul listelor negre și, în mod ideal, ar trebui să fie vizualizate înainte de procesarea listelor negre.

Filtrarea spamului se referă la procesul de limitare a spamului (pe lângă lista neagră). KMS are un procesor special, care, pe baza unor reguli (aceste reguli nu pot fi editate), le atribuie fiecăruia scrisoare primită evaluarea spam. Pentru aceasta sau acea caracteristică specifică, litera este adăugată puncte, pentru o altă caracteristică - mai multe puncte. Suma acestor puncte în KMS poate fi de până la 10 pentru fiecare literă. Administratorul stabilește un prag (în mod implicit egal cu 5), peste care un mesaj este considerat spam. Apoi KMS poate face următoarele cu spam: pune un semn de spam în antetul mesajului sau șterge mesajul „în liniște” sau returnează mesajul expeditorului (o idee bună). În orice caz, o copie a scrisorii poate fi trimisă la orice cutie poștală locală (pentru orice eventualitate), care trebuie curățată din când în când. Dacă mesajul este încă omis, o etichetă poate fi adăugată la subiectul său ("** SPAM **" este sugerat în mod implicit). Folosind această etichetă, clientul de e-mail poate amâna scrisorile într-un folder separat.

A doua caracteristică de filtrare a spam-ului vă permite să creați filtre pe baza mai multor criterii (de la, Către, Subiect, expeditor etc. câmpuri și valorile acestora „gol”, „conține adresa”, „conține domeniul”, etc.). Dacă scrisoarea îndeplinește criteriile unui anumit filtru, atunci sunt posibile alte opțiuni: 1) tratați scrisoarea ca non-spam (anulați punctele de spam); 2) tratați scrisoarea ca spam și interziceți-o; 3) adăugați mai multă valoare scorului de spam (valoarea este setată). Și soarta ulterioară a scrisorilor interzise este determinată separat - fie pentru a fi șterse fără zgomot, fie returnate expeditorului (o copie a scrisorii poate fi trimisă la orice căsuță poștală locală).

Protecția antivirus în KMS se realizează după aceleași principii și cu aceleași capacități ca și în WinRoute.

Separat, merită remarcată capacitatea KMS de a rezista atacurilor hackerilor. Iată câteva posibilități: 1) setați numărul maxim de mesaje primite de la o adresă IP într-o oră; 2) setați numărul maxim de conexiuni SMTP simultane de la o adresă IP; 3) setați numărul maxim de destinatari inexistenți și 4) setați lista de excludere a adreselor IP pentru primele trei elemente. În plus, puteți limita numărul maxim de destinatari dintr-o literă, numărul maxim de comenzi eronate într-o sesiune SMTP.

Statisticile și înregistrarea operațiunii KMS sunt implementate destul de complet și convenabil.

În concluzie, aș dori să menționez că toate produsele Kerio sunt furnizate cu o documentație excelentă, versiunile de probă (nu au restricții, cu excepția unei perioade de 1 lună) pot fi descărcate de pe site.

Oricine s-a gândit vreodată la întrebarea „ce firewall să aleagă?” Gartner(o agenție analitică binecunoscută).

La sfârșitul lunii iunie 2017. a fost lansat următorul raport privind starea pieței Unified Threat Management (UTM) - Magic Quadrant pentru Unified Threat Management (SMB Multifunction Firewalls)și în iulie 2017. Firewall-uri pentru întreprinderi - Magic Quadrant pentru firewall-uri de rețea pentru întreprinderi... Dacă sunteți interesat să știți cine a fost printre lideri, cum s-a schimbat situația în ultimul an și ce tendințe sunt observate, atunci bine ați venit sub pisica ...

Piața UTM:

Permiteți-mi să vă reamintesc că prin definiție Gartner:

„Gestionarea unificată a amenințărilor (UTM) este o platformă convergentă de produse de securitate punctuală, potrivită în special pentru întreprinderile mici și mijlocii (IMM-uri). Seturile de caracteristici tipice se împart în trei subseturi principale, toate în cadrul UTM: firewall / sistem de prevenire a intruziunilor (IPS) / rețea privată virtuală, securitate securizată a gateway-ului Web (filtrare URL, antivirus web) și securitate a mesajelor (anti-spam, AV mail). "

Adică, platformele de securitate a rețelei destinate companiilor mici (Small) și companiilor puțin mai mari (Midsize) se încadrează în această definiție (în cadrul companiilor mici (Small and Midsize Business), Gartner numără companiile cu 100 până la 1.000 de angajați). Soluțiile UTM conțin de obicei funcționalitatea tipică actuală a unui firewall, un sistem de prevenire a intruziunilor (IPS), un gateway VPN, un sistem de filtrare a traficului web (filtrare URL, sistem antivirus de streaming pentru traficul web) și un sistem de filtrare a traficului de e-mail (filtrarea spam-ului). mesaje și un sistem antivirus pentru traficul de corespondență), și desigur nu trebuie să uităm sistem de bază rutare și suport pentru diverse tehnologii WAN.

Este interesant că, judecând după predicțiile Gartner, piața de firewall-uri până în 2020. va rămâne aproximativ în aceeași stare ca acum. În 2022. conform previziunilor Gartner, soluțiile de clasă vor începe să intre în viața de zi cu zi în IMM-uri Firewall ca serviciu (FWaaS), adică firewall-uri cloud, unde traficul clienților va fi tunelizat, iar ponderea noilor instalații pe piața IMM-urilor va fi de peste 50%, față de ponderea actuală de 10%. În plus, 2022. 25% dintre utilizatorii din segmentul IMM-urilor își vor folosi firewall-ul ca instrument de monitorizare și ca broker intermediar pentru a oferi inventar și control al utilizării resurselor SaaS, ca instrument de gestionare a dispozitivelor mobile sau de aplicare a politicilor de securitate pe dispozitivele utilizatorilor finali (în prezent, mai puțin peste 2% dintre utilizatori folosesc această funcționalitate pe firewall-uri). Soluțiile FWaaS vor fi mai populare pentru structurile de sucursale distribuite, această decizie va folosi 10% din instalațiile noi, în creștere față de mai puțin de 1% în prezent.

Întrucât soluțiile UTM sunt destinate companiilor relativ mici (după standardele Gartner), este clar că, după ce a primit toate funcționalitățile dintr-o singură cutie, clientul final se va mulțumi cumva cu compromisuri în ceea ce privește performanța, eficiența securității rețelei și funcționalitatea , dar pentru astfel de clienți va fi, de asemenea, important ca soluția să fie ușor de gestionat (management prin intermediul unui browser de exemplu), administratorul soluției poate fi instruit mai rapid datorită managementului simplificat, astfel încât soluția să conțină cel puțin instrumente de raportare de bază încorporat, pentru unii clienți este de asemenea important să aibă software și documentație localizate.

Gartner consideră că nevoile clienților IMM-uri și ale clienților Enterprise sunt foarte diferite în ceea ce privește nevoile Enterprise pentru capacitatea de a implementa politici de management mai sofisticate, capabilități avansate de securitate a rețelei. De exemplu, clienții Enterprise cu o structură de sucursale distribuită au adesea sucursale care pot avea aceeași dimensiune ca întregul segment IMM-uri. Cu toate acestea, criteriile de alegere a echipamentelor pentru o sucursală, de regulă, sunt dictate de alegerea echipamentului la sediul central (de obicei, sucursalele sunt echipamente selectate de la același furnizor care este utilizat în sediul central, adică Low End Enterprise- echipamente de clasă), deoarece clientul trebuie să aibă încredere în asigurarea compatibilității echipamentelor și, în plus, acești clienți folosesc adesea o singură consolă de management pentru a asigura gestionabilitatea rețelei de sucursale (unde este posibil să nu existe specialiști corespunzători) de la sediul central. . În plus, componenta economică este și ea importantă, un client corporativ putând primi reduceri suplimentare pentru „volum” de la producătorii de soluții de internetwork, inclusiv soluții pentru o rețea de sucursale. Din aceste motive, Gartner caută soluții pentru filialele distribuite ale clienților Enterprise în pătrate de soluții pentru segmentul Enterprise (NGFW / Enterprise Firewall, IPS, WAF etc.).

Separat, Gartner selectează clienții cu o rețea distribuită de birouri foarte autonome (un exemplu tipic este o rețea de retail, unde numărul total de angajați poate fi mai mare de 1000 de persoane), care, ca un client obișnuit IMM, au bugete destul de limitate, un număr foarte mare de site-uri la distanță și, de obicei, personal mic de IT/securitate cibernetică. Unii furnizori de UTM chiar se concentrează în mod special pe soluții pentru acești clienți mai mult decât IMM-urile tradiționale.

UTM din iunie 2017:

Dar ce s-a întâmplat acum un an, în august 2016:

Lista liderilor de pe piața UTM are în continuare aceleași fețe cunoscute - Fortinet, Check Point, Sophos. Mai mult, situația se încălzește treptat - pozițiile liderilor se trag treptat una față de alta. Juniper a trecut de la a fi un urmăritor la a fi un jucător de nișă. SonicWall și-a îmbunătățit puțin pozițiile.
Ce părere are Gartner despre liderii pieței segmentului UTM separat:

Este un reprezentant al liderilor de piata UTM, solutia SMB este reprezentata de un firewall de clasa enterprise (Enterprise), care este destul de usor de gestionat si are o interfata grafica intuitiva (GUI).

Sediul central este situat în Tel Aviv (Israel) și San Carlos (SUA). Check Point este un furnizor de securitate de rețea cu peste 1.300 de angajați în cercetare și dezvoltare. Portofoliul de produse include firewall-uri de clasă SMB și Enterprise (Security Gateway), o soluție dedicată de securitate pentru terminale (Sandblast Agent), o soluție de securitate pentru dispozitive mobile (Sandblast Mobile) și firewall-uri virtuale (vSEC pentru cloud-uri private și publice). Linia actuală de firewall-uri din clasa SMB include familiile 700, 1400, 3100, 3200, 5100, 5200, 5400, 5600, toate dispozitivele au fost introduse în 2016/2017.

3. Sophos:

Este un reprezentant al liderilor pieței UTM. Continuă să-și crească cota de piață datorită ușurinței sale de utilizare, funcționalității bune a componentei de securitate și integrării cu succes cu propria soluție de protecție a punctelor finale. Un vizitator frecvent pe listele scurte ale unui client IMM, precum și pentru rețelele distribuite de birouri autonome.

Sediul central este situat în Abingdon (Marea Britanie) și are peste 3000 de angajați în întreaga lume. Portofoliul de produse conține un amestec de soluții de securitate a rețelei și soluții de protecție a punctelor terminale. Linia de firewall-uri Sophos XG conține 19 modele și a fost actualizată ultima dată în trimestrul 4 din 2016, precum și linia învechită Sophos SG din portofoliu. Soluțiile Sophos UTM sunt disponibile ca aplicații virtuale cu integrare cu platforme IaaS - AWS și Azure. Soluțiile de securitate endpoint includ Sophos Endpoint și Intercept X. Soluția de integrare dintre Sophos UTM și Sophos Endpoint se numește Sophos Synchronized Security. Portofoliul furnizorului include și soluții pentru protejarea dispozitivelor mobile și asigurarea criptării datelor.

Piața de firewall pentru întreprinderi:

În 2011. Gartner a introdus o nouă definiție pentru piața Enterprise Firewall - Next Generation Firewall (NGFW):

„Firewall-urile de generație următoare (NGFW) sunt firewall-uri de inspecție profundă a pachetelor care trec dincolo de inspecția și blocarea port/protocoal pentru a adăuga inspecție la nivel de aplicație, prevenire a intruziunilor și aducând informații din afara paravanului de protecție. Un NGFW nu trebuie confundat cu un sistem autonom de prevenire a intruziunilor în rețea (IPS), care include un firewall de bază sau non-întreprindere, sau un firewall și IPS în același dispozitiv care nu sunt strâns integrate.”

Atunci a fost o inovație, în jurul căreia au fost multe controverse. Au trecut câțiva ani, a trecut multă apă pe sub pod, iar acum în 2017. Gartner nu mai consideră că acesta este un avantaj special, ci pur și simplu afirmă faptul că toți jucătorii de top de pe această piață au dobândit această funcționalitate de mult timp, iar acum se diferențiază de alți furnizori din punct de vedere al funcționalității.

Conform previziunilor Gartner până în 2020. Firewall-urile virtualizate de clasă enterprise vor ocupa până la 10% din piață, față de 5% în prezent. Până la sfârșitul anului 2020. 25% dintre firewall-urile vândute vor include integrarea de către brokerii de securitate în cloud la care să se conecteze servicii cloud (Cloud Access Security Broker, CASB), integrat de API-ul corespunzător. Până în 2020 50% dintre noile instalații de firewall vor folosi inspecția TLS de ieșire, în creștere față de mai puțin de 10% în prezent.

Potrivit Gartner, piața Enterprise Firewall constă în primul rând din soluții pentru protejarea rețelelor corporative (Enterprise Networks). Produsele incluse în aceste soluții pot fi implementate ca un singur firewall, precum și în scenarii mari și mai complexe, inclusiv rețele de sucursale, zone demilitarizate cu mai multe straturi (DMZ-uri cu mai multe niveluri), în scenarii tradiționale de implementare sub forma unui „mare” firewall în centrul de date și include, de asemenea, capacitatea de a utiliza firewall-uri virtuale în centrul de date. Clienții trebuie, de asemenea, să poată implementa soluții în infrastructurile cloud publice Amazon Web Services (AWS), Microsoft Azure și furnizorul trebuie să le aibă în foaia de parcurs. suport google Cloud în următoarele 12 luni. Produsele trebuie să poată fi gestionate cu instrumente de management extrem de scalabile (și granulare), să aibă un sistem de raportare puternic și să aibă o gamă largă de soluții pentru marginea rețelei, centru de date, rețea de sucursale și implementare în infrastructura de virtualizare și cloud public. Toți furnizorii dintr-un anumit segment de piață trebuie să accepte reglarea fină și controlul aplicațiilor și utilizatorilor. Funcționalitatea Next Generation Firewall nu mai este un avantaj, ci o necesitate. Așadar, Gartner elimină termenul inventat de ea, deoarece această funcționalitate este considerată destul de comună și absolut necesară pe piața Enterprise Firewall. În esență, Gartner consideră NGFW și Enterprise Firewall sinonime. Producătorii care lucrează pe această piață se concentrează și construiesc o strategie de vânzări și suport tehnic pentru companiile mari (Întreprinderi), iar funcționalitatea pe care o dezvoltă este axată și pe rezolvarea problemelor marilor companii (Enterprise).

Gartner spune că cercetările sale arată că NGFW continuă treptat tendința de a înlocui dispozitivele IPS autonome la perimetrul rețelei, deși unii clienți spun că vor continua să folosească dispozitive IPS de generație următoare (NGIPS) dedicate într-o strategie Best of Breed. Mulți clienți de întreprindere sunt interesați de soluțiile de detectare a malware-ului bazate pe cloud, ca o alternativă mai ieftină la soluțiile sandbox autonome ( Soluții de Sandboxing).

Spre deosebire de piața UTM, piața firewall-ului corporativ nu implică faptul că soluțiile NGFW ar trebui să conțină toate funcționalitățile pentru a proteja rețeaua. În schimb, Gartner vede în firewall-urile pentru întreprinderi nevoia de a se specializa în mod special în funcționalitatea NGFW. De exemplu, firewall-urile de ramuri de clasă întreprindere necesită suport pentru un grad ridicat de granularitate pentru blocarea traficului de rețea, care trebuie să intre în baza de produse, este necesară o abordare integrată a serviciilor de procesare a traficului de rețea, managementul produsului trebuie să fie foarte integrat și nu să arate ca o compilare grăbită a diferitelor motoare într-un singur produs... Nivelul de protecție și ușurința de configurare a firewall-urilor de clasă enterprise pentru rețelele de sucursale nu ar trebui să fie inferior soluțiilor pentru sediul central.

În 2017. Gartner acordă o atenție deosebită soluțiilor pentru a asigura încheierea sesiunilor TLS pentru a se asigura că traficul de ieșire este scanat pentru amenințări, cum ar fi descărcarea de coduri rău intenționate, controlul rețelelor botnet. Într-un fel, capacitatea de a inspecta traficul TLS de ieșire aduce NGFW mai aproape de soluțiile DLP într-o versiune ușoară, deoarece decriptarea și inspecția ulterioară a traficului TLS de ieșire vă permite să vă asigurați că datele sensibile nu sunt trimise. Cu toate acestea, unii clienți care folosesc această caracteristică pot experimenta o degradare semnificativă a performanței la activarea acestei caracteristici din cauza costului ridicat al decriptării TLS.

Unii clienți progresivi fac planuri, iar unii profită deja de paradigma SDN (Software Defined Networking) și valorifică capabilitățile de micro-segmentare într-un centru de date virtualizat. Acești clienți se uită la furnizori cu suport pentru diverse soluții SDN, precum și la planurile lor de dezvoltare ulterioară în direcția SDN. Furnizorii de soluții încorporează abordări din ce în ce mai automatizate pentru orchestrarea politicilor firewall pentru a oferi flexibilitatea și beneficiile de afaceri pe care le promite paradigma SDN.

Acum să ne uităm la situația actuală cu piața Gartner. Firewall Enterprise din iulie 2017:

Dar ce s-a întâmplat acum un an, în mai 2016:

Lista liderilor de lungă durată ai pieței Enterprise Firewall este Palo Alto Networks, Check Point. Anul acesta, Gartner a mutat Fortinet de la Challengers la categoria Leadership. Pasiunile se încălzesc – pozițiile liderilor din acest segment se apropie și ele unul de celălalt. Nici anul acesta Cisco nu a reușit să devină lider, rămânând în urmărire. Dar Huawei este surprinzător, care dintre jucătorii de nișă a fost plasat cu destulă încredere în secțiunea urmăritorilor.

Ce parere are Gartner despre liderii pieței Enterprise Firewall separat:

1. Rețelele Palo Alto:

Este unul dintre liderii de pe piața Enterprise Firewall și este, de asemenea, un furnizor pur de securitate, cu sediul în Santa Clara (SUA, California), cu peste 4.000 de angajați. Produce firewall-uri din 2007, în 2016. veniturile au depășit 1,4 miliarde USD. Portofoliul de soluții include firewall-uri de clasă enterprise în execuții fizice și virtualizate, soluții pentru protejarea nodurilor finale (Traps și GlobalProtect), soluții pentru colectarea, agregarea, corelarea, analize de amenințări în timp real pentru a sprijini măsurile defensive (Amenințări). Intelligence, AutoFocus), soluții de securitate SaaS (Aperture). Producătorul lucrează activ la integrarea soluțiilor într-o platformă unificată de securitate a rețelei.

Palo Alto Networks a lansat recent versiunea 8 a sistemului de operare PAN-OS cu îmbunătățiri pentru WildFire și Panorama, nouă funcționalitate de securitate SaaS și protecție a acreditărilor utilizatorului. A fost lansat și paravanul de protecție PA-220 entry-level, dispozitivul de gamă medie din seria PA-800, iar linia de firewall seria PA 5000 (modele noi 5240, 5250, 5260), care a fost lansată din 2011, a fost, de asemenea, actualizată. .

Reprezentant al liderilor de piață Enterprise Firewall. Portofoliul de produse pentru piața Enterprise conține un număr mare de soluții, inclusiv firewall-uri NGFW și soluții de protecție a punctelor terminale, soluții de securitate în cloud și rețele mobile. Produsele emblematice ale Check Point sunt Enterprise Security Gateways (Enterprise Network Security Gateways includ familiile 5000, 15000, 23000, 44000 și 64000). Securitatea cloud este asigurată prin soluția vSEC pentru cloud-uri private și publice, există și o soluție SandBlast Cloud pentru aplicații SaaS. Soluțiile de securitate endpoint includ SandBlast Agent și soluții de securitate mobilă - Check Point Capsule și SandBlast Mobile. De asemenea, a lansat soluția SandBlast Cloud pentru scanarea traficului de e-mail în Microsoft Office 365. În 2016. modelele 15400 și 15600 au devenit disponibile pentru clienții întreprinderi mari, precum și 23500 și 23800 pentru centrele de date.

Recent, au fost prezentate noi platforme Hi-End 44000 și 64000, vSEC a fost lansat pentru Google Cloud și a fost lansată o nouă versiune de software R80.10 cu îmbunătățiri pentru consola de management, performanță îmbunătățită și SandBlast Anti-Ransomware, care oferă protecție împotriva malware. software din clasa Ransomware. De asemenea, este introdusă noua arhitectură de securitate a rețelei Check Point Infinity care integrează securitatea rețelelor, a norilor și a utilizatorilor de telefonie mobilă.

Check Point și-a extins, de asemenea, soluția de protecție împotriva malware-ului bazată pe cloud, care poate fi integrată în fața serviciilor de e-mail SaaS. Check Point oferă numeroase blade software care extind capacitățile firewall-ului, inclusiv Advanced Mailware Protection (Threat Emulation and Threat Extraction), Threat Intelligence Services - ThreatCloud IntelliStore și Anti-Bot. Check Point își acceptă firewall-urile în cloud-urile publice Amazon Web Services (AWS) și Microsoft Azure; soluțiile de integrare sunt disponibile cu soluții SDN de la VMWare NSX și Cisco Application Centric Infrastructure (ACI).

Soluția Check Point ar trebui să fie selectată de un client de întreprindere pentru care sensibilitatea prețului este mai puțin importantă decât granularitatea funcționalității de securitate a rețelei, împreună cu managementul centralizat de înaltă calitate pentru rețele complexe. Este, de asemenea, un bun candidat pentru clienții care utilizează rețele hibride de hardware la sediu, centre de date virtualizate și cloud.

Numai utilizatorii înregistrați pot participa la sondaj. , Vă rog.

Chiar și o firmă mică poate avea secrete mari de care trebuie să se protejeze priviri indiscrete... Aceasta înseamnă că există o potențială amenințare pentru iubitorii de secrete ale altora. Pentru a proteja împotriva accesului neautorizat la computerele din rețeaua corporativă locală prin accesul la rețea, este necesar un firewall. Dacă sunteți în căutarea unui firewall corporativ, atunci aruncați o privire mai atentă la produsul Kerio - Kerio WinRoute Firewall. Destul de mulți oameni cunosc firewall-ul Kerio pentru un utilizator privat; din toamna anului 2006, utilizatorii ruși au un produs corporativ (în alte țări, acesta a fost vândut înainte).

Kerio WinRoute Firewall de la Kerio Technologies Inc. Este o soluție integrată care include firewall, server VPN, antivirus și filtrare de conținut concepută pentru a proteja rețelele corporative ale întreprinderilor mici și mijlocii.

Principalele caracteristici ale acestui firewall sunt:

firewall-ul propriu-zis cu configurarea foarte flexibilă a politicilor de acces pentru fiecare utilizator;
server VPN încorporat;
protecție antivirus încorporată;
control acces la site;
filtrarea continutului;
suport pentru toate tehnologiile de acces la Internet: DSL, ISDN, cablu, satelit, wireless și conexiuni dialup;
Suport VoIP și UPnP;
posibilitatea de administrare la distanță.

Crearea regulilor este foarte simplă și directă

Administratorul poate configura reguli pentru firewall fie independent, fie folosind un expert în opt pași. Acesta din urmă este deosebit de convenabil pentru administratorii începători: simplifică procesul de configurare. Toate regulile sunt afișate într-o singură filă, ceea ce simplifică și munca de zi cu zi. Singura dificultate potențială pentru administratorii de sistem este lipsa unei interfețe în limba rusă și a unui fișier de ajutor. Dar, după ce ați căutat pe Web, puteți găsi un manual ușor învechit, dar încă actualizat.

O caracteristică a acestui firewall este capacitatea de a monitoriza protocoalele utilizate, inclusiv protocoalele specifice care nu sunt direct legate de traficul IP. Această caracteristică vă permite să controlați și să protejați aplicațiile specifice necesare activităților de afaceri ale companiilor.

Controlul accesului este posibil chiar și prin lățimea de bandă a canalului

Canalul de internet în sine poate fi controlat nu numai prin criterii tipice pentru firewall-uri (protocoale, porturi, utilizatori și așa mai departe), ci și prin lățimea de bandă a canalului. Această oportunitate este deosebit de valoroasă pentru companiile care utilizează în mod activ telefonia IP în activitățile lor. Această funcție de monitorizare se numește Limitator de lățime de bandă și vă permite să setați parametri specifici ai lățimii de bandă de comunicație pentru anumiți utilizatori.

Kerio WinRoute Firewall implementează propria tehnologie pentru lucrul cu canale VPN. Problema compatibilității VPN și NAT a fost rezolvată cu ajutorul funcției NAT Traversal, care asigură funcționarea stabilă a VPN-ului cu NAT, incluzând mai multe gateway-uri NAT. Problemele de incompatibilitate au fost rezolvate permițând aplicațiilor de rețea să detecteze prezența unui dispozitiv NAT, să-l configureze și să mapeze porturile după cum este necesar. Acest lucru face ca configurarea conexiunilor VPN o simplă.

Kerio WinRoute Firewall include antivirus McAfee

Combinarea protecției antivirus și firewall nu este o idee nouă și a fost implementată de mulți dezvoltatori de software. O caracteristică specială a Kerio WinRoute Firewall este că compania nu a produs propriile mecanisme antivirus, ci a integrat o dezvoltare excelentă de la McAfee Security - McAfee antivirus în firewall (precum și în serverul său de e-mail). Această protecție integrată evită conflictele program antivirus dacă pe alte servere ale companiei sunt instalate alte antivirusuri. Mai mult, integrarea motorului antivirus în mecanismul de protecție a făcut posibilă utilizarea suplimentară (pe lângă McAfee încorporat) și alte instrumente antivirus instalate pe server cu Kerio WinRoute Firewall. Pentru a face acest lucru, trebuie doar să selectați antivirusul necesar din listă. Rețineți doar că lista de protecții antivirus secundare acceptate nu este foarte lungă și este limitată la doar șapte produse.

Trebuie remarcat faptul că această combinație de firewall și antivirus adaugă flexibilitate atunci când alegeți produse care să servească o rețea corporativă. Puteți achiziționa Kerio WinRoute Firewall cu sau fără protecție antivirus încorporată dacă aveți deja un vânător de viruși care vi se potrivește.

De asemenea, o opțiune suplimentară utilă poate fi considerată o componentă suplimentară ISS Orange Web Filter. Acest filtru conține o clasificare detaliată a site-urilor web (aproximativ 60 de categorii în total - știri, cumpărături, sport, călătorii, pornografie și așa mai departe). Au fost sortate aproximativ 60 de milioane de site-uri web și peste 4,4 milioane de pagini web în 15 limbi. Această funcție vă permite să configurați Kerio WinRoute Firewall pentru blocare automată accesul utilizatorilor la site-uri dintr-o anumită categorie. Accesul poate fi restricționat atât la nivel de utilizator, cât și la nivel de grup de utilizatori.

Kerio WinRoute Firewall poate refuza accesul la rețelele peer-to-peer

Odată cu creșterea accesului nerestricționat la internet de mare viteză, probabilitatea ca angajații să folosească traficul corporativ pentru a descărca fișiere din rețelele de partajare a fișierelor (KaZaA, eDonkey, eMule sau DC ++) crește. Pentru a facilita munca administratorilor de a identifica astfel de fapte, Kerio WinRoute Firewall are o funcție încorporată pentru blocarea activității clienților P2P. De asemenea, puteți utiliza analiza statistică a traficului pentru a identifica și neutraliza rețelele necunoscute de partajare a fișierelor. Un control similar al traficului este posibil și folosind protocolul FTP.

În ceea ce privește filtrarea traficului HTTP, trebuie menționat că este posibil să se determine ordinea de procesare a obiectelor ActiveX și a scripturilor Java pentru a preveni livrarea de coduri rău intenționate potențial periculoase prin firewall. De asemenea, puteți bloca ferestrele pop-up de orice tip, garantând o navigare confortabilă pe web pentru angajații companiei.

O căutare activă a informațiilor pe Internet cu privire la vulnerabilitățile descoperite în Kerio WinRoute Firewall a dat o singură mențiune. Și apoi vulnerabilitatea identificată a fost eliminată cu ușurință prin actualizarea la cea mai recentă versiune.

rezumat

Kerio WinRoute Firewall 6 de la Kerio Technologies Inc. oferă acces la internet controlat partajat și protecție împotriva atacurilor externe și virușilor. În plus, oferă restricții de acces la site-uri ale diferitelor subiecte și restricții în funcționarea rețelelor peer-to-peer. Proiectat special pentru rețelele corporative ale întreprinderilor mici și mijlocii, acest firewall este atractiv din punct de vedere al raportului preț/performanță, oferind un nivel ridicat de protecție.

Limitări ale sistemului
Firewall Kerio WinRoute:

procesor: Pentium III;
RAM: 256 MB RAM;
liber spatiu pe disc: 20 MB (spațiu suplimentar pe disc este necesar și pentru fișierele de raport și funcțiile cache, în funcție de setările individuale);
două interfețe de rețea (inclusiv dialup);

Client VPN Kerio:

procesor: Pentium III;
RAM: 128 MB RAM;
spațiu liber pe disc: 5 MB;
sistemul de operare Windows 2000 / XP / 2003.

Oricine s-a gândit vreodată la întrebarea „ce firewall să aleagă?” Gartner(o agenție analitică binecunoscută).

Piața UTM:

Permiteți-mi să vă reamintesc că prin definiție Gartner:

Adică, platformele de securitate a rețelei destinate companiilor mici (Small) și companiilor puțin mai mari (Midsize) se încadrează în această definiție (în cadrul companiilor mici (Small and Midsize Business), Gartner numără companiile cu 100 până la 1.000 de angajați). Soluțiile UTM conțin de obicei funcționalitatea tipică actuală a unui firewall, un sistem de prevenire a intruziunilor (IPS), un gateway VPN, un sistem de filtrare a traficului web (filtrare URL, sistem antivirus de streaming pentru traficul web) și un sistem de filtrare a traficului de e-mail (filtrarea spam-ului). mesaje și un sistem anti-virus pentru traficul de corespondență) și, bineînțeles, nu trebuie să uităm de sistemul de bază de rutare și suport pentru diverse tehnologii WAN.

Este interesant că, judecând după predicțiile Gartner, piața de firewall-uri până în 2020. va rămâne aproximativ în aceeași stare ca acum. În 2022. conform previziunilor Gartner, soluțiile de clasă vor începe să intre în viața de zi cu zi în IMM-uri Firewall ca serviciu (FWaaS), adică firewall-uri cloud, unde traficul clienților va fi tunelizat, iar ponderea noilor instalații pe piața IMM-urilor va fi de peste 50%, față de ponderea actuală de 10%. În plus, 2022. 25% dintre utilizatorii din segmentul IMM-urilor își vor folosi firewall-ul ca instrument de monitorizare și ca broker intermediar pentru a oferi inventar și control al utilizării resurselor SaaS, ca instrument de gestionare a dispozitivelor mobile sau de aplicare a politicilor de securitate pe dispozitivele utilizatorilor finali (în prezent, mai puțin peste 2% dintre utilizatori folosesc această funcționalitate pe firewall-uri). Soluțiile FWaaS vor fi, de asemenea, mai populare pentru structurile de sucursale distribuite, această soluție urmând să fie utilizată de 10% dintre instalațiile noi, față de mai puțin de 1% în prezent.

UTM din iunie 2017:

Dar ce s-a întâmplat acum un an, în august 2016:

3. Sophos:

Piața de firewall pentru întreprinderi:

În 2011. Gartner a introdus o nouă definiție pentru piața Enterprise Firewall - Next Generation Firewall (NGFW):

Conform previziunilor Gartner până în 2020. Firewall-urile virtualizate de clasă enterprise vor ocupa până la 10% din piață, față de 5% în prezent. Până la sfârșitul anului 2020. 25% dintre firewall-urile vândute vor include brokeri de securitate pentru integrarea în cloud pentru a se conecta la serviciile cloud ( Cloud Access Security Broker, CASB), integrat de API-ul corespunzător. Până în 2020 50% dintre noile instalații de firewall vor folosi inspecția TLS de ieșire, în creștere față de mai puțin de 10% în prezent.

Potrivit Gartner, piața Enterprise Firewall constă în primul rând din soluții pentru protejarea rețelelor corporative (Enterprise Networks). Produsele incluse în aceste soluții pot fi implementate ca un singur firewall, precum și în scenarii mari și mai complexe, inclusiv rețele de sucursale, zone demilitarizate cu mai multe straturi (DMZ-uri cu mai multe niveluri), în scenarii tradiționale de implementare sub forma unui „mare” firewall în centrul de date și include, de asemenea, capacitatea de a utiliza firewall-uri virtuale în centrul de date. Clienții ar trebui, de asemenea, să poată implementa soluții în infrastructurile cloud publice Amazon Web Services (AWS), Microsoft Azure, iar furnizorul ar trebui să aibă suport Google Cloud în foaia de parcurs pentru următoarele 12 luni. Produsele trebuie să poată fi gestionate cu instrumente de management extrem de scalabile (și granulare), să aibă un sistem de raportare puternic și să aibă o gamă largă de soluții pentru marginea rețelei, centru de date, rețea de sucursale și implementare în infrastructura de virtualizare și cloud public. Toți furnizorii dintr-un anumit segment de piață trebuie să accepte reglarea fină și controlul aplicațiilor și utilizatorilor. Funcționalitatea Next Generation Firewall nu mai este un avantaj, ci o necesitate. Așadar, Gartner elimină termenul inventat de ea, deoarece această funcționalitate este considerată destul de comună și absolut necesară pe piața Enterprise Firewall. În esență, Gartner consideră NGFW și Enterprise Firewall sinonime. Producătorii care lucrează pe această piață se concentrează și construiesc o strategie de vânzări și suport tehnic pentru companiile mari (Întreprinderi), iar funcționalitatea pe care o dezvoltă este axată și pe rezolvarea problemelor marilor companii (Enterprise).

Acum să ne uităm la situația actuală cu piața Gartner. Firewall Enterprise din iulie 2017:

Dar ce s-a întâmplat acum un an, în mai 2016:

Ce parere are Gartner despre liderii pieței Enterprise Firewall separat:

1. Rețelele Palo Alto:

Numai utilizatorii înregistrați pot participa la sondaj. , Vă rog.

Firewall servește pentru funcționarea în siguranță a computerelor în rețeaua locală și pe Internet. Firewallîmpiedică accesul neautorizat la resursele rețelei. Corect configurare firewall face computerul invizibil pe Internet. Firewall restricționează sau interzice accesul la resurse.

Un pic despre firewall

Protector de supratensiune, gateway de securitate, firewall sau firewall, iată câte nume are un program care, ca un zid de foc (foc - foc, zid - perete) stă în cale virușii informaticiși persoanele care doresc să obțină acces neautorizat la computer.

O combinație de software și hardware calculator, firewall face parte din sistemul său cuprinzător de securitate, nu singura componentă de neînlocuit. Deși „zidul de foc” nu a devenit un panaceu pentru toate amenințările, este totuși capabil să creeze o barieră între computer și rețea prin care „intrușii” nu pot pătrunde pe teritoriul computerului tău.

Configurarea firewall-urilor personale și corporative

Există atât firewall-uri software, cât și hardware. Dezavantajele celor dintâi includ faptul că își consumă propriile resurse PC. Însă dispozitivele hardware, deși complet independente și plasate pe poarta de intrare între rețeaua locală și Internet, sunt mult mai scumpe în comparație cu cele personale și sunt folosite de diverse companii pentru a-și proteja rețeaua locală.

Personal firewall este un program care este un element al operațiunii sisteme Windows sau poate fi instalat ca parte a aplicației software. Obișnuit configurare firewall nu este atât de complicat, deoarece programul are o interfață ușor de utilizat. Cu ajutorul acestuia, este ușor să permiteți conexiunea la Internet la toate programele care se referă cu adevărat la acesta (Skype, Torrent, Mail.Ru, Internet Explorer etc.). Și, de asemenea, nu permiteți niciunui notebook (care poate conține parole și informații personale) să trimită sau să primească pachete de date în rețea, pentru care o astfel de activitate nu este deloc naturală.

Corporativ firewall protejează rețelele locale ale diferitelor companii de „cereri neașteptate de rețea”. Acesta blochează toate aceste solicitări și solicită utilizatorului permisiunea de a crea o astfel de conexiune. Dacă nu aveți o întreprindere cu o rețea locală formată din multe computere, atunci nu trebuie să o instalați. Instalarea și configurarea „pereților” corporativi este efectuată de administratorul de sistem.

Caracteristici de configurare a firewallului

Bun Firewall implicit ar trebui să aibă informații despre toate serviciile de sistem și aplicația software care are nevoie de acces la Internet și schimbă pachete de date. Nu trebuie să întrebe tot timpul despre permiterea unor astfel de aplicații să se conecteze. Ar trebui să o facă automat. În general, firewall-ul ar trebui să aibă un expert de configurare bun care să-și automatizeze procesul.

Firewall poate avea mai multe niveluri de protecție. Dacă evaluați amenințarea la mare, atunci puteți seta cel mai „maniacal” nivel, care vă va controla tot traficul și memoria. Dar o astfel de protecție poate afecta semnificativ performanța sistemului (dacă configurația computerului este sub medie). Un nivel scăzut de control va elimina cele mai evidente amenințări. Firewall este considerat bun doar dacă are un efect vizibil asupra performanței sistemului, dar în același timp îi conferă un nivel de protecție mai mare decât mediu.

Pentru a verifica performanța dvs firewall există multe utilitare, de exemplu Atelier Web Firewall Tester. aceasta programe speciale care funcționează pe principiul „cailor troieni” și programe similare. Dacă reușesc să trimită și să primească informații ocolind „peretele”, atunci înseamnă că există un gol în el, iar valoarea acesteia este redusă la zero.