Moderné firewally: od úzkej špecializácie po univerzálnu ochranu

Kerio WinRoute Firewall

erio WinRoute Firewall (ďalej len WinRoute) je sieťový firewall určený na ochranu perimetra lokálnej siete pred deštruktívnymi a zvedavými prienikmi zvonku (napríklad z internetu), na zabezpečenie prístupu lokálnych používateľov na internete, filtrovanie návštevnosti, ako aj poskytovanie všetkých druhov štatistík. Na posúdenie schopností produktu, riadiaceho rozhrania a logiky činnosti programu sa budeme viac či menej podrobne zaoberať jeho hlavnou funkciou - ochranou lokálnej siete a riadením prevádzky. Potom stručne uvedieme ďalšie funkcie WinRoute.

Počítač, na ktorom je WinRoute nainštalovaný, musí mať aspoň dve sieťové rozhrania: jedno pripojené do lokálnej siete a druhé na verejnú (napríklad do Internetu). Po inštalácii a reštartovaní počítača by ste mali spustiť správcovskú konzolu WinRoute, ktorá vás okamžite vyzve na spustenie Sprievodcu pravidlami siete. V tejto fáze je spustenie sprievodcu veľmi dôležité, najmä pre tých, ktorí inštalujú WinRoute prvýkrát. Faktom je, že sprievodca vytvára základný súbor pravidiel pre pakety (pravidlá dopravnej politiky), ktoré vám v budúcnosti umožnia lepšie pochopiť, ako fungujú, ako sa vytvárajú a podstata týchto pravidiel. Pravidlá pre pakety sú kľúčovým bodom sieťového firewallu, určujú, ktoré dátové toky (sieťové pakety) budú voľne prechádzať do (z) lokálnej siete a ktoré budú z bezpečnostných dôvodov zakázané. Poďme sa pozrieť na najdôležitejšie kroky sprievodcu.

Krok 3 - výber sieťového rozhrania pripojeného k externej sieti, tj k internetu. WinRoute na základe IP adresy automaticky určí najvhodnejšie dostupné rozhranie na danom počítači a ponúkne ho ako prvé. Ak má hostiteľ viacero rozhraní s adresami IP vo vonkajšom rozsahu, možno budete musieť explicitne špecifikovať požadované rozhranie. (Všetky rozhrania sú WinRoute identifikované a zobrazené podľa názvov, ktoré sú im priradené v operačnom systéme.)

Krok 4 - výber služieb (protokolov), ktoré budú dostupné používateľom lokálnej siete pri prístupe na internet. K dispozícii sú dve možnosti: povoliť všetky služby (bez obmedzení) alebo nastaviť len niektoré. V druhom prípade WinRoute poskytuje zoznam najžiadanejších služieb (napríklad HTTP, FTP, SMTP atď.). Požadované služby je potrebné zaškrtnúť. Pre ďalšie zváženie si všimneme prvú možnosť - "bez obmedzení".

Krok 6 - výber serverov umiestnených v lokálnej sieti, ku ktorým chcete otvoriť prístup z internetu (napríklad webový server, poštový server atď.). Aj keď takéto servery nemáte, je lepšie povedať, že sú, aby ste si neskôr mohli prezrieť príslušné pravidlá. Dáme teda majstrovi možnosť ich vytvoriť, aby sa potom od neho naučil, ako na to. Ak chcete pridať server, musíte zadať: 1) jeho lokálnu IP-adresu alebo hodnotu "Firewall" (ak server beží na tom istom počítači, na ktorom je nainštalovaný WinRoute); 2) služba (HTTP pre webový server, SMTP pre poštový server atď.).

Krok 7 – Povoľte protokol NAT (Network Address Translation Protocol). Musí byť povolená, aby mohli používatelia lokálnej siete používať internet (toto je naša voľba). Iba vo veľmi zriedkavých prípadoch je potrebné vypnúť NAT - ak sa WinRoute používa výlučne ako bežný router medzi dvoma alebo viacerými sieťami (toto nie je náš prípad).

Ďalej nechajte sprievodcu dokončiť svoju prácu. Keďže sprievodcu je možné spustiť kedykoľvek (nie len hneď po inštalácii WinRoute), všetky staré pravidlá sa vymažú, aby sa predišlo nezrovnalostiam v pravidlách pre pakety. Náš firewall už teda funguje (!) a plní svoju hlavnú funkciu - ochranu lokálnej siete (samozrejme ako prvé priblíženie). Teraz si môžete nájsť čas na preskúmanie a, čo je najdôležitejšie, pochopiť, ako pravidlá pre pakety fungujú.

Pravidlá pre pakety vo WinRoute sú zhromaždené v jednej tabuľke (obr. 1) a sú striktne usporiadané (hlavné pravidlo je prvé pravidlo). Poradie pravidiel je možné zmeniť. Akýkoľvek balík prichádzajúce na hostiteľa Firewallu (pojem "Firewall" sa vo WinRoute používa na označenie počítača, na ktorom je nainštalovaný) sa kontroluje, či je v súlade s ktorýmkoľvek pravidlom, počnúc prvým. Ak paket nespĺňa podmienky aktuálneho pravidla, platí preň nasledovné atď. V prípade, že paket dosiahne posledné pravidlo, ktoré hovorí „zaprieť všetko“, bude nemilosrdne odstránený (čo nie je povolené, je zakázané). Posledné pravidlo odmietnutia všetkých nemožno odstrániť, presunúť ani upraviť (až na malé výnimky). Pred hlavičkou každého pravidla je zaškrtnutie, ak je zaškrtnuté, pravidlo je aktívne (funguje), v opačnom prípade nebude pravidlo procesorom WinRoute zohľadnené, ako keby tam nebolo. To je veľmi výhodné, ak potrebujete z času na čas z nejakého dôvodu vykonať experimenty alebo zapnúť / vypnúť pravidlo - nemusíte ho odstraňovať a znova vytvárať. Treba si uvedomiť, že princíp „on / off“ sa vo WinRoute používa takmer všade – a to je nepochybná výhoda programového rozhrania.

Každé pravidlo pre pakety pozostáva z niekoľkých polí: zdroj paketu (odkiaľ prišiel), cieľ (kam chcel ísť ďalej), služba (protokol), akcia, protokolovanie, preklad adries. Zdroj a cieľ majú rovnaký formát – tu je pôsobivý zoznam možných možností:

hostiteľ;
rozsah IP;
skupina IP adries;
sieť / maska;
sieť pripojená k rozhraniu;
používateľov;
Hostiteľ brány firewall.

Služba označuje protokol, v rámci ktorého balík funguje. Vo WinRoute je preddefinovaných 79 služieb, pri ktorých správca ani nepotrebuje poznať čísla portov (pamätáte si číslo portu pre terminálovú službu Windows - RDP - Remote Desktop Protocol?) - stačí vybrať podľa názvu z tabuľky . Ale ako službu môžete nastaviť číslo portu alebo definovať svoj vlastný (nový) protokol, pridať ho do tabuľky služieb a potom ho použiť podľa názvu.

Akcia určuje tri možnosti ďalšieho osudu paketu: povoliť, zamietnuť (ale upozorniť na to odosielateľa), zahodiť (bez upozornenia odosielateľa - nech si myslí, že jeho pakety zmiznú v čiernej diere). Mimochodom, toto je jeden z dvoch parametrov, ktoré je možné zmeniť v poslednom pravidle „zaprieť všetko“ – môžete použiť „zaprieť“ alebo „resetovať“. Vývojári WinRoute odporúčajú použiť „deny“ pre pakety z lokálnej siete a „discard“ pre pakety prichádzajúce zvonku.

Logovanie je vo WinRoute dosť rozvinuté, ale tým sa nebudeme zaoberať. Mimochodom, toto je druhý parameter, ktorý je možné zmeniť v pravidle „zaprieť všetko“.

Preklad adries môže predstavovať dve možnosti: zdroj NAT (zdieľanie internetu / maškaráda IP) alebo cieľ NAT (mapovanie portov). Prvá sa používa na nahradenie lokálnych adries paketov odchádzajúcich do internetu externou adresou jedného zo sieťových rozhraní hostiteľa brány firewall. Lokálna adresa sa nahradí externou (smerovateľnou) adresou, aby ste mohli získať odpovede na svoje sieťové požiadavky. Mapovanie portov sa používa na to, aby externé počítače mali prístup k serveru umiestnenému v lokálnej sieti.

Teraz sa pozrime na pravidlá znázornené na obr. 1. Niektoré z nich boli vytvorené pomocou sprievodcu WinRoute, iné boli pridané manuálne neskôr.

Pravidlo s názvom „NAT“ (vytvorené sprievodcom). V tejto tabuľke je toto jediné pravidlo zodpovedné za prechod paketov z lokálnej siete (rozhranie „Local“ 10.0.0.0) do internetu (rozhranie „M“ 200.200.200.99). (Rozhranie s názvom „Z“ zvážime neskôr.) Keďže v poli „Služba“ je uvedená hodnota „Akýkoľvek“, pakety akýchkoľvek protokolov sú povolené, to znamená, že pre miestnych používateľov neexistujú žiadne obmedzenia pre prístup k externým služby. NAT sa používa v poli prekladu adresy. Ak potrebujete zakázať prístup k niektorým službám, duplikujte (pravé tlačidlo myši) toto pravidlo a v novom pravidle uveďte zakázanú službu alebo niekoľko naraz. Presuňte nové pravidlo tak, aby sedelo nad starým - cieľ je dosiahnutý. Ak je naopak potrebné povoliť len niektoré špecifické služby, potom dvojitým kliknutím na slovo „Akýkoľvek“ tohto pravidla sa zobrazí okno, kde môžete vybrať povolené služby. Potom môžete predpokladať, že ste sa už naučili spravovať prístup lokálnych používateľov na internet (vo vzťahu k WinRoute).

Pravidlo s názvom „Premávka brány firewall“ (vytvorené sprievodcom) sa od pravidla „NAT“ líši len absenciou prekladu adries, keďže hostiteľ brány firewall má externé adresy IP. Venujte pozornosť zdroju - "Firewall", to znamená, že pravidlo sa vzťahuje iba na pakety pochádzajúce zo samotného hostiteľa Firewallu.

Povoľovacie pravidlo "Local Traffic" (vytvorené sprievodcom) popisuje všetky možné kombinácie zdroja a cieľa paketov v rámci lokálnej siete, vrátane počítača, na ktorom je WinRoute nainštalovaný.

Pravidlo Service FTP umožňuje externý prístup k vášmu FTP serveru a pravidlo Service SMTP umožňuje externý prístup k vášmu poštovému serveru. Obe pravidlá vytvára sprievodca. Jediný rozdiel medzi nimi je, že FTP server beží na rovnakom počítači ako WinRoute a poštový server je nainštalovaný na lokálnom počítači s IP adresou 10.0.0.51. Upozorňujeme, že pravidlo "Služba SMTP" nemá vľavo začiarknutie - nefunguje, je to len útržok, ktorý zatiaľ nepotrebujeme. Takže teraz môžete poskytnúť prístup k vašim serverom cez WinRoute.

Poďme k pravidlám, ktoré sme museli vytvoriť ručne. Niektorým príliš horlivým fanúšikom nášho vlastného FTP servera chceme odoprieť prístup do našej siete, a teda aj na naše servery. Na tento účel bolo vytvorené pravidlo s názvom „Zakázané“ a názov skupiny IP adries je uvedený v zdrojovom poli, aby sa do samotného pravidla nehromadilo veľa adries. Do tejto skupiny je možné podľa potreby pridávať adresy, prípadne môžete dočasne zrušiť (zaškrtnúť) akciu niektorej adresy. Takáto skupina vzniká na inom mieste, no pre nás je teraz dôležitý len fakt, že ju možno vytvárať, upravovať a aj aplikovať vo viacerých pravidlách. Do skupiny adries môžete zadať jednotlivé adresy IP, sieť s maskou alebo rozsah adries IP. Upozorňujeme, že toto pravidlo má prednosť pred ostatnými pravidlami, ktoré umožňujú prístup do lokálnej siete, a preto vlastníci takýchto adries nebudú mať prístup k žiadnemu z našich serverov (ak existujú). Ak potrebujete zatvoriť prístup iba k serveru FTP, v poli „Služba“ namiesto „Akýkoľvek“ by ste mali zadať „FTP“ a potom jednoducho umiestniť toto pravidlo pred pravidlo „Služba FTP“ - jeho umiestnenie vzhľadom na na iných pravidlách nezáleží.

Tri pravidlá s názvom „Webový server ...“ demonštrujú udelenie prístupu k terminálovému serveru (služba RDP) iba z konkrétnej IP adresy a prístup pre vývojárov webu z konkrétnej siete. Cieľové pole neobsahuje názov rozhrania, ale konkrétnu IP adresu, keďže rozhranie M má priradených viacero adries a použitie názvu je ekvivalentné zadávaniu iba primárnej adresy rozhrania.

WinRoute poskytuje redundanciu pripojenia. Predpokladajme, že v hostiteľovi brány firewall sú dve externé pripojenia (jedným z nich môže byť telefónny modem) a teda dve rozhrania (sieťové karty). WinRoute používa vždy iba jeden z nich. Ale ak tento kanál WinRoute prepne všetku externú komunikáciu na inú. Administrátor určí, ktoré pripojenie je primárne a ktoré sekundárne. Primárne pripojenie sa používa vždy, keď je fyzicky funkčné. Ak je potrebné prejsť na sekundárne rozhranie, od tohto momentu WinRoute neustále monitoruje primárne pripojenie a akonáhle sa vráti do normálu, prepne všetku komunikáciu späť na primárne pripojenie. V pravidlách na obr. 1 rozhranie s názvom "Z" poskytuje záložný kanál.

Poďme sa rýchlo pozrieť na filtrovanie návštevnosti. Filtrovanie komunikácie je vo WinRoute pomerne pokročilé a je použiteľné iba pre HTTP a FTP komunikáciu. Návštevnosť možno filtrovať podľa názvov stránok, zadaním podreťazca pre názov stránky, podľa prítomnosti určitých slov v prenášaných údajoch (je možné vytvárať a upravovať zoznamy slov) atď. Pre FTP prenos môžete použiť FTP príkazy ako kritérium filtrovania, napríklad môžete zakázať nahrávanie súborov z lokálnej siete na externé FTP servery. Používatelia alebo skupiny používateľov môžu byť použité ako kritérium filtrovania.

Antivírusové filtrovanie sa vzťahuje na protokoly HTTP, FTP, SMTP a POP3. Nastavenia sú celkom zrejmé. Treba podotknúť, že WinRoute je možné štandardne dodať s antivírusovým skenerom McAfee, ale je možné ho spárovať s inými skenermi tretích strán (v zozname je sedem skenerov).

Štatistiky vo WinRoute sú prezentované pomerne komplexne. Objem prevádzky je možné zobraziť v oboch smeroch (vstup aj výstup) samostatne pre sieťové rozhrania alebo pre používateľov. Keďže štatistiky sú prezentované v tabuľkovej forme, údaje možno triediť podľa ľubovoľného stĺpca vo vzostupnom alebo zostupnom poradí. A stĺpce ponúkajú nasledovné možnosti: za deň, za týždeň, za mesiac, spolu (za celý čas po inštalácii WinRoute). Okrem toho je možné graficky prezentovať štatistiky o sieťových rozhraniach za obdobia: 2 hodiny, 1 deň, 1 týždeň, 1 mesiac; a štatistiky o používateľoch budú zobrazovať rozloženie návštevnosti podľa protokolov (1 deň, 1 týždeň, 1 mesiac, spolu). Štatistiky o sieťových rozhraniach vám pomôžu sledovať prichádzajúcu prevádzku od vášho poskytovateľa.

V zozname používateľov sú dva špeciálne riadky: „všetci používatelia“ a „nerozpoznaní používatelia“. Ide o to, že používatelia sa buď musia do WinRoute prihlásiť, alebo nie. Závisí to od nastavení WinRoute. V prvom prípade sa štatistiky zhromažďujú na základe používateľských mien a v druhom na základe IP adries. Ak nepožadujete autorizáciu užívateľa, musíte v databáze užívateľov WinRoute špecifikovať, z ktorých IP adries každý užívateľ pracuje (pre jedného užívateľa môžete definovať viacero adries.). Nie je to také ťažké, ako by sa mohlo zdať, aj keď sú adresy IP distribuované serverom DHCP (bežná situácia). Riadok „nerozpoznaní používatelia“ bude zahŕňať napríklad návštevnosť servera DNS, návštevnosť aktualizácie právneho rámca atď. Do databázy užívateľov WinRoute však môžete pridať špeciálnych "užívateľov", priradiť im adresy príslušných serverov a potom bude možné určiť, koľko prevádzky spotrebuje aktualizácia právneho rámca resp. DNS server... WinRoute môže pracovať so zmiešanou používateľskou základňou – v tomto prípade budú niektorí používatelia importovaní z Active Directory, zatiaľ čo iní môžu byť pridaní ako lokálni používatelia WinRoute.

Každému používateľovi je možné prideliť kvótu návštevnosti. Zároveň, v závislosti od nastavení, keď používateľ dosiahne limit svojej kvóty, WinRoute buď ukončí všetky pripojenia, alebo zakáže nadväzovanie nových, alebo používateľa iba upozorní. V každom prípade môže WinRoute informovať používateľa (a/alebo správcu) o prekročení kvóty e-mailom. Každý používateľ môže zase sledovať svoju premávku prístupom k WinRoute cez webové rozhranie.

Kerio Server Firewall (KSF)

SF je serverový firewall, teda firewall, ktorý chráni iba hostiteľa, na ktorom je nainštalovaný. Na rozdiel od sieťového firewallu (napr. od WinRoute) tento produkt nesmeruje pakety medzi sieťami (medzi hostiteľskými rozhraniami), ale dokáže ochrániť niekoľko (až 100) rozhraní svojho hostiteľa. Po prvé, KSF je navrhnutý tak, aby chránil servery nainštalované na mieste poskytovateľa (služba kolokácie). V súlade s tým má KSF diaľkové ovládanie (ako väčšina firewallov) cez webové rozhranie.

Aký je rozdiel medzi serverovým firewallom a sieťovým firewallom? Ich hlavným rozdielom je poskytovanie ochrany pre aplikácie (Application Hardening) bežiace na serveri. KSF monitoruje nielen sieťovú prevádzku, ale aj správanie aplikácií, predovšetkým serverových aplikácií, ktoré podľa povahy svojej činnosti musia „počúvať“ porty a reagovať na sieťové požiadavky klientov.

Na stránke „Stav siete“ (obr. 2) sú všetky spustené v tento moment serverové aplikácie, ktoré „počúvajú“ akékoľvek porty, ich prevádzkové protokoly a počet aktuálne vytvorených spojení. Okrem toho je pre každú aplikáciu uvedená jej úplná cesta systém súborov server, dátum poslednej úpravy exe súboru, ako aj stručné základné informácie o účele tejto aplikácie a možných slabých miestach ochrany. Na samostatnom paneli sú tri tlačidlá odkazov, ktoré vám umožňujú vykonávať nasledujúce akcie: vytvoriť sieťové pravidlo na základe zvoleného procesu, zobraziť všetky sieťové pravidlá súvisiace s týmto procesom, zobraziť zoznam pripojení pre vybraný proces.

Zoberme si formát pravidiel siete (obr. 3). Akcia poskytuje dve možnosti: povoliť alebo resetovať. Smer popisuje prichádzajúce spojenia, odchádzajúce spojenia a premávku v oboch smeroch. Treba poznamenať, že označenie oboch smerov je zvyčajne nezmyselné a plné potenciálneho nebezpečenstva. Ako môžete vidieť na obrázku, iba pravidlo „Predvolené pravidlo“ implementuje takúto možnosť odmietnutia všetkých spojení, ktoré nespadajú pod predchádzajúce pravidlá. Toto pravidlo nie je možné odstrániť, ale jeho činnosť možno zmeniť na „Povoliť“ na účely ladenia. Iba jedno pravidlo v prezentovanom zozname povoľuje odchádzajúce spojenia - samotný server (v zmysle počítača) má povolené ísť kamkoľvek. Všetky ostatné pravidlá popisujú prístup len do vnútra nášho hostiteľa, samozrejme s najrôznejšími obmedzeniami. Napríklad najvyššie pravidlo umožňuje prístup k procesu inetinfo.exe cez HTTP (port 80).

Stĺpec "Miestne" označuje, cez ktoré lokálne (umiestnené na našom hostiteľovi) rozhranie bude spojenie nadviazané. V tomto prípade má server dve rozhrania, jedno z nich sa v OS nazýva „Internet“ a je pripojené k externej sieti, druhé je pripojené k lokálnej sieti. V najvyššom pravidle je explicitne špecifikované iba jedno rozhranie - všetky ostatné pravidlá platia pre pripojenia z akéhokoľvek lokálneho rozhrania. Stĺpec "Vzdialené" špecifikuje adresy vzdialených klientov pristupujúcich na server. Možnosti môžu byť: IP adresa, rozsah IP, sieť / maska, názov skupiny adries. Skupina adries môže obsahovať ľubovoľný počet rôznych kombinácií adries uvedených vyššie. V KSF je preddefinovaných niekoľko skupín adries (použite ako príklad). Ako vidíte z tabuľky pravidiel, prístup na webový server je možný odkiaľkoľvek, samotný hostiteľ môže ísť kamkoľvek a navyše posledné pravidlo odmietnutia prirodzene zohľadňuje akékoľvek externé adresy. V ostatných pravidlách sú vzdialené adresy reprezentované názvami skupín adries.

Teraz si uveďme tri stavebné bloky ochrany aplikácií v KSF.

2. Zákaz meniť exe súbor sieťového procesu hostiteľa, vrátane zmeny štartovacej cesty (to znamená, že nie je možné oklamať KSF pokusom spustiť proces s rovnakým názvom z iného adresára, pretože to už je nahradený exe súbor).

3. Zákaz zmeny dôležitých údajov systému (Manipulácia so systémom). Napríklad na obr. 5 znázorňuje zoznam takýchto údajov.

Na obr. 4 sú uvedené pravidlá ochrany aplikácií. Jeden z nich (pre srvfw.exe) sa vytvorí automaticky počas inštalácie KSF a možno ho použiť ako príklad na školenie. Výnimky môžu byť definované v pravidlách, napríklad tak, že v prípade potreby povolíte niektorým procesom spustiť iné. Ukazuje sa, že je veľmi jednoduché definovať takéto výnimky. Vytvorte si pravidlo, ktoré zaprotokoluje iba akcie procesu, ktorý vás zaujíma, a po chvíli sa pozrite do protokolu (Logs / Hardening), aby ste zistili, či tá alebo tá aplikácia v normálnom (neinfikovanom) stave ešte niečo spustí.

A ešte jedna vlastnosť KSF je detekcia možných prienikov. V skutočnosti tu nemusíte nič konfigurovať, ale musíte pravidelne kontrolovať príslušný protokol. KSF poskytuje popisy niektorých najbežnejších typov vniknutia spolu s ich závažnosťou. Zobrazenie zoznamu pripojení pre konkrétny proces môže tiež pomôcť správcovi spozorovať hrozbu – príliš veľa pripojení z jednej IP adresy alebo obrovské množstvo dát prenesených v rámci jedného pripojenia. Bohužiaľ nie je možné triediť dáta podľa vzdialenej IP adresy alebo podľa objemu dát v okne zoznamu pripojení.

Kerio Mail Server (KMS)

MS je možné použiť buď ako plnohodnotný poštový server, ktorý ukladá poštové schránky používateľov a poskytuje prístup k poštovým klientom, alebo ako medziľahlú "poštovú stanicu" (v zmysle Sendmail - Smart Host). V druhom prípade funguje ako medzičlánok medzi poštovým serverom umiestneným vo vnútri lokálnej siete (napríklad MS Exchange Server) a vonkajším svetom. Hostiteľ s nainštalovaným KMS môže mať dve sieťové rozhrania, z ktorých jedno je pripojené k lokálnej sieti a druhé k externej sieti. KMS teda bude fungovať ako poštový firewall. V tomto prípade je príjem všetkej externej pošty, ktorá prichádza do organizácie, zverený KMS a odosielanie pošty lokálnych používateľov von môže byť vykonávané ako poštovým firewallom, tak priamo interným serverom. Keďže nás zaujíma režim brány firewall, v krátkosti si rozoberieme iba túto funkcionalitu KMS. A v tomto prípade pozostáva z troch komponentov: filtrovanie nevyžiadanej pošty na základe takzvaných čiernych listín (Black list), filtrovanie spamu a antivírusová ochrana.

Blacklisty obsahujú zoznam spamových poštových serverov. Takéto servery najčastejšie pracujú v režime Open relay, ktorý vám umožňuje posielať poštu ľubovoľnému klientovi bez akejkoľvek autorizácie a bez ohľadu na relatívnu polohu klienta a servera. Napríklad spamer v Rusku môže použiť poštový server z Južnej Ameriky na odoslanie tisícok listov. Niekedy sa na čiernu listinu dostanú aj bežné servery - kvôli neopatrnému zasielaniu obchodných listov resp nesprávne nastavenie poštový server. Servery čiernej listiny alebo databázy Open Relay Data Base (ORDB) sú implementované ako servery DNS so špeciálnym typom záznamu, ktorý ukladá zoznamy škodlivých serverov. Servery ORDB zvyčajne prevádzkujú seriózni ľudia a softvér na týchto serveroch skúma kandidátov na čiernu listinu. Existujú však aj také servery, ktoré zbierajú zoznamy pri prvej sťažnosti. Z tohto dôvodu sú mnohé bežné poštové servery (a najčastejšie celé rozsahy IP adries) na čiernej listine. Takže pri nastavovaní vášho poštového servera je hlavnou vecou nepreháňať to a žiadať od neho čo najviac ORDB serverov, inak môže byť takmer všetka pošta (a tiež užitočná) vylúčená.

V skutočnosti je nastavenie čiernych zoznamov v KMS také jednoduché, že by sa mohlo obmedziť na uvedenie skutočnosti, že táto funkcia je podporovaná. Urobíme však niekoľko pripomienok. Dodávka KMS už obsahuje päť ORDB serverov. Server s názvom SORBS DNSBL (dnsbl.sorbs.net) sa líši v takých „horlivých“ zoznamoch, že všetka pošta z aha.ru a mail.ru je odmietnutá. Preto je v našich špecifických podmienkach lepšie zrušiť výber možnosti „blokovať“. tento server... KMS vám tiež umožňuje vytvoriť si vlastnú čiernu listinu. Bohužiaľ, KMS neumožňuje vytvárať takzvaný whitelist, ktorý je opakom blacklistov a ideálne by ste si ho mali pozrieť pred spracovaním blacklistov.

Filtrovanie spamu sa vzťahuje na proces obmedzovania spamu (okrem uvedenia na čiernu listinu). KMS má špeciálny procesor, ktorý na základe nejakých pravidiel (tieto pravidlá nie je možné editovať) pridelí každému prichádzajúci list hodnotenie spamu. Za túto alebo tú špecifickú vlastnosť sa písmenu pridávajú body, za inú vlastnosť - viac bodov. Súčet týchto bodov v KMS môže byť až 10 za každé písmeno. Administrátor nastaví hranicu (štandardne 5), nad ktorou sa správa považuje za spam. Potom môže KMS so spamom urobiť nasledovné: dať do hlavičky správy označenie spamu, alebo správu „potichučky“ vymazať alebo vrátiť správu odosielateľovi (dobrý nápad). V každom prípade je možné kópiu listu poslať do ktorejkoľvek miestnej poštovej schránky (pre každý prípad), ktorú je potrebné z času na čas vyčistiť. Ak sa správa stále preskočí ďalej, k jej predmetu možno pridať menovku (predvolene sa navrhuje „** SPAM **“). Pomocou tohto označenia môže poštový klient odložiť listy do samostatného priečinka.

Druhá funkcia filtrovania spamu vám umožňuje vytvárať filtre na základe niekoľkých kritérií (polia Od, Komu, Predmet, Odosielateľ atď. a ich hodnoty „prázdne“, „obsahuje adresu“, „obsahuje doménu“ atď.). Ak list spĺňa kritériá určitého filtra, potom sú možné ďalšie možnosti: 1) považovať list za nevyžiadanú poštu (zrušiť body za spam); 2) považovať list za spam a zakázať ho; 3) pridajte ďalšiu hodnotu k spamovému skóre (hodnota je nastavená). A ďalší osud zakázaných listov sa určuje samostatne - buď sa odstránia bez hluku, alebo sa vrátia odosielateľovi (kópiu listu možno poslať do ktorejkoľvek miestnej poštovej schránky).

Antivírusová ochrana v KMS prebieha podľa rovnakých princípov a s rovnakými možnosťami ako vo WinRoute.

Samostatne stojí za zmienku schopnosť KMS odolávať útokom hackerov. Tu je niekoľko možností: 1) nastaviť maximálny počet správ prijatých z jednej IP adresy za 1 hodinu; 2) nastaviť maximálny počet súčasných pripojení SMTP z jednej IP adresy; 3) nastaviť maximálny počet neexistujúcich príjemcov a 4) nastaviť zoznam vylúčených adries IP pre prvé tri položky. Okrem toho môžete obmedziť maximálny počet príjemcov v jednom liste, maximálny počet chybných príkazov v relácii SMTP.

Štatistiky a protokolovanie prevádzky KMS sú implementované celkom plne a pohodlne.

Na záver by som rád poznamenal, že všetky produkty Kerio sú dodávané s výbornou dokumentáciou, skúšobné verzie (nemajú žiadne obmedzenia, okrem 1-mesačného obdobia) si môžete stiahnuť z webovej stránky

Každý, kto sa niekedy zamyslel nad otázkou "aký firewall si vybrať?" Gartner(známa analytická agentúra).

Koncom júna 2017. bola zverejnená ďalšia správa o stave trhu Unified Threat Management (UTM) – Magic Quadrant pre Unified Threat Management (Multifunkčné brány pre malé a stredné podniky) a v júli 2017. Firewally – magický kvadrant pre podnikové sieťové brány... Ak vás zaujíma, kto patril medzi lídrov, ako sa situácia za posledný rok zmenila a aké trendy sa sledujú, vitajte pod mačkou ...

Trh UTM:

Dovoľte mi pripomenúť, že podľa definície Gartner:

„Unifikovaná správa hrozieb (UTM) je konvergovaná platforma produktov bodovej bezpečnosti, ktorá je vhodná najmä pre malé a stredné podniky (SMB). Typické sady funkcií spadajú do troch hlavných podskupín, všetky v rámci UTM: firewall / systém prevencie vniknutia (IPS) / virtuálna súkromná sieť, zabezpečenie zabezpečenej webovej brány (filtrovanie URL, webový antivírus) a zabezpečenie správ (anti-spam, poštové AV). "

To znamená, že pod túto definíciu spadajú platformy zabezpečenia siete zamerané na malé spoločnosti (Small) a o niečo väčšie spoločnosti (Stredná veľkosť) (v rámci malých spoločností (Small and Midsize Business) počíta Gartner spoločnosti so 100 až 1 000 zamestnancami. Riešenia UTM zvyčajne obsahujú typickú dnešnú funkcionalitu firewallu, systém prevencie vniknutia (IPS), bránu VPN, systém filtrovania webovej návštevnosti (filtrovanie URL, streamingový antivírusový systém pre webovú návštevnosť) a systém filtrovania poštovej prevádzky (filtrovanie spamu správy a antivírusový systém pre poštovú prevádzku) a samozrejme nesmieme zabúdať na základný systém smerovanie a podpora pre rôzne technológie WAN.

Je zaujímavé, že podľa predpovedí spoločnosti Gartner bude trh s firewallmi až do roku 2020. zostane v približne rovnakom stave ako teraz. V roku 2022 podľa predpovedí Gartneru začnú triedne riešenia vstúpiť do každodenného života v SMB Firewall ako služba (FWaaS), t.j. cloudové firewally, kde bude vytunelovaná návštevnosť klientov a podiel nových inštalácií na trhu SMB bude viac ako 50% oproti súčasnému podielu 10%. Okrem toho 2022. 25 % používateľov segmentu SMB použije svoj firewall ako monitorovací nástroj a sprostredkovateľa na poskytovanie inventára a kontroly využívania zdrojov SaaS, ako nástroj na správu mobilných zariadení alebo presadzovanie bezpečnostných zásad na zariadeniach koncových používateľov (v súčasnosti menej viac ako 2 % používateľov používa túto funkciu na firewalloch). FWaaS riešenia budú populárnejšie pre distribuované pobočkové štruktúry, toto rozhodnutie bude využívať 10 % nových inštalácií v porovnaní s menej ako 1 % v súčasnosti.

Keďže riešenia UTM sú zamerané na relatívne malé spoločnosti (podľa štandardov Gartner), je jasné, že po získaní všetkej funkcionality z jednej krabice si koncový zákazník ako-tak vystačí s kompromismi v oblasti výkonu, efektívnosti zabezpečenia siete a funkčnosti. , no pre takýchto zákazníkov bude dôležité aj to, aby sa riešenie dalo ľahko spravovať (napr. správa cez prehliadač), vďaka zjednodušenej správe je možné rýchlejšie zaškoliť správcu riešenia, takže riešenie obsahuje vstavané v nástrojoch na aspoň základný reporting, pre niektorých zákazníkov je dôležitý aj lokalizovaný softvér a dokumentácia.

Gartner je presvedčený, že potreby zákazníkov SMB a Enterprise zákazníkov sú veľmi odlišné, pokiaľ ide o potreby Enterprise týkajúce sa schopnosti implementovať sofistikovanejšie politiky správy a pokročilé funkcie zabezpečenia siete. Napríklad podnikoví zákazníci s distribuovanou štruktúrou pobočiek majú často pobočky, ktoré môžu mať rovnakú veľkosť ako celý segment SMB. Kritériá pre výber vybavenia pre pobočku sú však spravidla diktované výberom vybavenia v centrále (zvyčajne sú pobočky vybrané zariadenia od rovnakého predajcu, ktorý sa používa v centrále, tj. vybavenie triedy), keďže zákazník potrebuje mať dôveru v zabezpečenie kompatibility zariadení a navyše títo zákazníci často používajú jednu riadiacu konzolu na zabezpečenie spravovateľnosti siete pobočiek (kde nemusia byť vhodní špecialisti) z centrály . Okrem toho je dôležitá aj ekonomická zložka, firemný zákazník môže získať ďalšie zľavy za „objem“ od výrobcov sieťových riešení vrátane riešení pre pobočkovú sieť. Z týchto dôvodov Gartner zvažuje riešenia pre distribuované pobočkové štruktúry Enterprise zákazníkov v štvorcoch riešení pre segment Enterprise (NGFW / Enterprise Firewall, IPS, WAF atď.).

Samostatne Gartner vyčleňuje zákazníkov s distribuovanou sieťou vysoko autonómnych kancelárií (typickým príkladom je maloobchodná sieť, kde celkový počet zamestnancov môže byť viac ako 1000 ľudí), ktorí majú podobne ako typický SMB zákazník dosť obmedzené rozpočty. veľmi veľký počet vzdialených lokalít a zvyčajne malý personál IT / kybernetickej bezpečnosti. Niektorí predajcovia UTM sa dokonca špeciálne zameriavajú na riešenia pre týchto zákazníkov viac ako tradičné malé a stredné podniky.

UTM od júna 2017:

Čo sa však stalo pred rokom, v auguste 2016:

V zozname lídrov na trhu UTM sú stále tie isté známe tváre – Fortinet, Check Point, Sophos. Situácia sa navyše postupne vyhrotí – pozície lídrov sa postupne priťahujú k sebe. Juniper sa zmenil z prenasledovateľa na okrajového hráča. SonicWall svoju pozíciu trochu zlepšil.
Čo si Gartner myslí o lídroch na trhu segmentu UTM samostatne:

Je zástupcom lídrov na trhu UTM, SMB riešenie zastupuje firewall podnikovej triedy (Enterprise), ktorý sa pomerne jednoducho ovláda a má intuitívne grafické rozhranie (GUI).

Ústredie sa nachádza v Tel Avive (Izrael) a San Carlos (USA). Check Point je dodávateľ sieťovej bezpečnosti s viac ako 1 300 zamestnancami v oblasti výskumu a vývoja. Portfólio produktov zahŕňa firewally triedy SMB a Enterprise (Security Gateway), špecializované riešenie zabezpečenia koncových bodov (Sandblast Agent), riešenie zabezpečenia mobilných zariadení (Sandblast Mobile) a virtuálne firewally (vSEC pre súkromné a verejné cloudy). Súčasný rad firewallov triedy SMB zahŕňa rodiny 700, 1400, 3100, 3200, 5100, 5200, 5400, 5600, všetky zariadenia boli predstavené v roku 2016/2017.

3. Sophos:

Je zástupcom lídrov trhu UTM. Pokračuje v zvyšovaní svojho podielu na trhu vďaka jednoduchému použitiu, dobrej funkčnosti bezpečnostného komponentu a úspešnej integrácii s vlastným riešením ochrany koncových bodov. Častý návštevník shortlistov SMB zákazníka, ako aj pre distribuované siete autonómnych kancelárií.

Centrála sa nachádza v Abingdone (Veľká Británia) a zamestnáva viac ako 3000 zamestnancov po celom svete. Portfólio produktov obsahuje zmes riešení zabezpečenia siete a riešení ochrany koncových bodov. Rad firewallov Sophos XG obsahuje 19 modelov a bol naposledy aktualizovaný v 4. štvrťroku 2016, ako aj zastaraný rad Sophos SG v portfóliu. Riešenia Sophos UTM sú dostupné ako virtuálne aplikácie s integráciou s platformami IaaS – AWS a Azure. Riešenia zabezpečenia koncových bodov zahŕňajú Sophos Endpoint a Intercept X. Integračné riešenie medzi Sophos UTM a Sophos Endpoint sa nazýva Sophos Synchronized Security. Portfólio predajcu zahŕňa aj riešenia na ochranu mobilných zariadení a zabezpečenie šifrovania dát.

Enterprise Firewall Market:

V roku 2011. Gartner zaviedol novú definíciu pre trh Enterprise Firewall – Next Generation Firewall (NGFW):

„Brány firewall novej generácie (NGFW) sú brány firewall na hĺbkovú kontrolu paketov, ktoré prekračujú rámec kontroly portov/protokolov a blokovania a pridávajú kontrolu na úrovni aplikácie, prevenciu narušenia a prinášajú informácie z prostredia mimo brány firewall. NGFW by sa nemal zamieňať so samostatným systémom prevencie vniknutia do siete (IPS), ktorý zahŕňa komoditný alebo nepodnikový firewall, alebo firewall a IPS v rovnakom zariadení, ktoré nie sú úzko integrované.“

Potom to bola inovácia, okolo ktorej bolo veľa polemík. Prešlo niekoľko rokov, pod mostom pretieklo veľa vody a teraz v roku 2017. Gartner to už nepovažuje za žiadnu zvláštnu výhodu, len konštatuje, že túto funkcionalitu si dlhodobo osvojili všetci poprední hráči na tomto trhu a teraz sa od ostatných predajcov odlišujú práve funkcionalitou.

Podľa prognóz Gartner do roku 2020. Virtualizované firewally podnikovej triedy budú zaberať až 10 % trhu, v porovnaní s 5 % v súčasnosti. Do konca roka 2020. 25 % predaných brán firewall bude zahŕňať integráciu sprostredkovateľov zabezpečenia cloudu, ku ktorým sa možno pripojiť cloudové služby (Cloud Access Security Broker, CASB), integrované príslušným API. Do roku 2020 50 % nových inštalácií brány firewall bude využívať odchádzajúce kontroly TLS, zatiaľ čo v súčasnosti je to menej ako 10 %.

Trh Enterprise Firewall podľa Gartner pozostáva predovšetkým z riešení na ochranu podnikových sietí (Enterprise Networks). Produkty zahrnuté v týchto riešeniach je možné nasadiť ako jeden firewall, tak aj vo veľkých a komplexnejších scenároch, vrátane pobočkových sietí, viacvrstvových demilitarizovaných zón (Multitiered DMZ), v tradičných scenároch nasadenia vo forme „veľkého“ firewall v dátovom centre a zahŕňajú aj možnosť používať virtuálne firewally v dátovom centre. Zákazníci tiež musia byť schopní nasadiť riešenia v rámci verejných cloudových infraštruktúr Amazon Web Services (AWS), Microsoft Azure a predajca musí mať vo svojom pláne podpora google Cloud v priebehu nasledujúcich 12 mesiacov. Produkty sa musia dať spravovať pomocou vysoko škálovateľných (a granulárnych) nástrojov na správu, musia mať silný systém výkazníctva a mať širokú škálu riešení pre okraj siete, dátové centrá, pobočkovú sieť a nasadenie vo virtualizačnej infraštruktúre a verejnom cloude. Všetci predajcovia v danom segmente trhu musia podporovať jemné ladenie a ovládanie aplikácií a používateľov. Funkcionalita Next Generation Firewall už nie je výhodou, ale nevyhnutnosťou. Gartner teda preškrtáva termín, ktorý vymyslela, keďže táto funkcia je na trhu Enterprise Firewall považovaná za celkom bežnú a absolútne nevyhnutnú. Gartner v podstate považuje NGFW a Enterprise Firewall za synonymá. Výrobcovia pôsobiaci na tomto trhu sa zameriavajú a budujú stratégiu predaja a technickú podporu pre veľké spoločnosti (Enterprises) a funkcionalita, ktorú vyvíjajú, je zameraná aj na riešenie problémov veľkých spoločností (Enterprise).

Gartner tvrdí, že jeho výskum ukazuje, že NGFW postupne pokračujú v trende nahrádzania samostatných IPS zariadení na perimetri siete, hoci niektorí zákazníci tvrdia, že budú aj naďalej používať špecializované IPS zariadenia novej generácie (NGIPS) v rámci stratégie Best of Breed. Mnoho podnikových zákazníkov má záujem o cloudové riešenia na detekciu malvéru ako lacnejšiu alternatívu k samostatným riešeniam sandbox ( Sandboxing riešenia).

Na rozdiel od trhu UTM trh podnikových firewallov neznamená, že riešenia NGFW by mali obsahovať všetky funkcie na ochranu siete. Namiesto toho Gartner vidí v podnikových firewalloch potrebu špecializovať sa špeciálne na funkcie NGFW. Napríklad pobočkové firewally podnikovej triedy vyžadujú podporu pre vysoký stupeň granularity na blokovanie sieťovej prevádzky, ktorá musí byť súčasťou produktovej základne, vyžaduje sa integrovaný prístup k službám na spracovanie sieťovej prevádzky, správa produktov musí byť vysoko integrovaná a nesmie vyzerať ako ako narýchlo skladanie rôznych motorov do jedného produktu. ... Úroveň ochrany a jednoduchosť konfigurácie firewallov podnikovej triedy pre pobočkové siete by nemala byť nižšia ako riešenia pre ústredie.

V roku 2017 Gartner venuje osobitnú pozornosť riešeniam na zabezpečenie ukončenia relácií TLS, aby sa zabezpečilo, že odchádzajúca prevádzka bude kontrolovaná na hrozby, ako je sťahovanie škodlivého kódu, kontrola botnetov. Schopnosť kontrolovať odchádzajúcu prevádzku TLS určitým spôsobom približuje NGFW k riešeniam DLP v odľahčenej verzii, pretože dešifrovanie a následná kontrola odchádzajúcej prevádzky TLS vám umožňuje zabezpečiť, aby sa neodosielali citlivé údaje. Niektorí zákazníci používajúci túto funkciu však môžu zaznamenať výrazné zníženie výkonu pri aktivácii tejto funkcie z dôvodu vysokých nákladov na dešifrovanie TLS.

Niektorí progresívni zákazníci plánujú a niektorí už využívajú paradigmu Software Defined Networking (SDN) a využívajú možnosti mikrosegmentácie vo virtualizovanom dátovom centre. Títo zákazníci sledujú predajcov s podporou rôznych riešení SDN, ako aj ich plány ďalšieho rozvoja smerom k SDN. Dodávatelia riešení začleňujú čoraz viac automatizované prístupy k organizovaniu firewallových politík, aby poskytli flexibilitu a obchodné výhody, ktoré sľubuje paradigma SDN.

Teraz sa pozrime na aktuálnu situáciu s trhoviskom Gartner. Enterprise Firewall od júla 2017:

Čo sa však stalo pred rokom, v máji 2016:

Zoznam dlhoročných lídrov na trhu Enterprise Firewall je Palo Alto Networks, Check Point. Gartner tento rok posunul Fortinet z Challengers aj do kategórie Leadership. Vášne sa roztápajú – aj pozície lídrov v tomto segmente sa k sebe približujú. Cisco sa ani tento rok nedokázalo stať lídrom a pokračovalo v prenasledovaní. Huawei však prekvapuje, ktorý z nich sa celkom suverénne umiestnil v sekcii prenasledovateľov.

Čo si Gartner myslí o lídroch na trhu Enterprise Firewall samostatne:

1. Palo Alto Networks:

Je jedným z lídrov na trhu Enterprise Firewall a je tiež čisto predajcom zabezpečenia so sídlom v Santa Clare (USA, Kalifornia) s viac ako 4 000 zamestnancami. Firewally vyrába od roku 2007, v roku 2016. výnosy presiahli 1,4 miliardy USD. Portfólio riešení zahŕňa firewally podnikovej triedy vo fyzickom a virtualizovanom prevedení, riešenia na ochranu koncových uzlov (Traps a GlobalProtect), riešenia na zhromažďovanie, agregáciu, koreláciu a analýzu hrozieb v reálnom čase na podporu obranných opatrení (Threat Intelligence, AutoFocus), bezpečnostné riešenia SaaS (Aperture). Výrobca aktívne pracuje na integrácii riešení do jednotnej platformy zabezpečenia siete.

Palo Alto Networks nedávno vydala verziu 8 operačného systému PAN-OS s vylepšeniami pre WildFire a Panorama, novou funkcionalitou zabezpečenia SaaS a ochranou poverení používateľa. Vydaný bol aj firewall základnej úrovne PA-220, zariadenie strednej triedy PA-800 a aktualizovaný bol aj rad firewallov radu PA 5000 (nové modely 5240, 5250, 5260), ktorý je uvedený na trh od roku 2011. .

Zástupca lídrov na trhu Enterprise Firewall. Portfólio produktov pre trh Enterprise obsahuje veľké množstvo riešení, vrátane firewallov NGFW a riešení ochrany koncových bodov, cloudových riešení a riešení zabezpečenia mobilných sietí. Vlajkovou loďou produktov Check Point sú brány podnikovej bezpečnosti (brány podnikovej bezpečnosti zahŕňajú rodiny 5000, 15000, 23000, 44000 a 64000). Bezpečnosť cloudu je zabezpečená prostredníctvom riešenia vSEC pre privátne a verejné cloudy, existuje aj riešenie SandBlast Cloud pre aplikácie SaaS. Riešenia zabezpečenia koncových bodov zahŕňajú SandBlast Agent a mobilné bezpečnostné riešenia – Check Point Capsule a SandBlast Mobile. Tiež uvoľnené riešenie SandBlast Cloud na skenovanie poštovej prevádzky v Microsoft Office 365. V roku 2016. modely 15400 a 15600 sa stali dostupnými pre veľkých podnikových zákazníkov, ako aj modely 23500 a 23800 pre dátové centrá.

Nedávno boli predstavené nové Hi-End platformy 44000 a 64000, vSEC bola vydaná pre Google Cloud a bola vydaná nová softvérová verzia R80.10 s vylepšeniami pre správcovskú konzolu, vylepšený výkon a SandBlast Anti-Ransomware, ktorý poskytuje ochranu proti škodlivým softvér triedy Ransomware. Predstavená je aj nová architektúra zabezpečenia siete Check Point Infinity, ktorá integruje bezpečnosť sietí, cloudov a mobilných používateľov.

Check Point tiež rozšíril svoje cloudové riešenie ochrany proti malvéru, ktoré možno integrovať pred e-mailové služby SaaS. Check Point ponúka množstvo softvérových blade serverov, ktoré rozširujú možnosti brány firewall, vrátane pokročilej ochrany poštového softvéru (emulácia hrozieb a extrakcia hrozieb), služieb spravodajstva o hrozbách – ThreatCloud IntelliStore a Anti-Bot. Check Point podporuje svoje firewally vo verejných cloudoch Amazon Web Services (AWS) a Microsoft Azure; integračné riešenia sú dostupné s riešeniami SDN od VMWare NSX a Cisco Application Centric Infrastructure (ACI).

Riešenie Check Point by sa malo dostať do užšieho výberu pre podnikových zákazníkov, pre ktorých je cenová citlivosť menej dôležitá ako granularita funkcií zabezpečenia siete, spojená s vysokokvalitným centralizovaným riadením pre zložité siete. Je tiež dobrým kandidátom pre zákazníkov využívajúcich hybridné siete s hardvérom na mieste, virtualizované dátové centrá a cloudy.

Do prieskumu sa môžu zapojiť iba registrovaní užívatelia. , prosím.

Aj malá firma môže mať veľké tajomstvá, pred ktorými musí chrániť zvedavými očami... To znamená, že existuje potenciálna hrozba pre milovníkov tajomstiev iných ľudí. Na ochranu pred neoprávneným prístupom k počítačom lokálnej podnikovej siete prostredníctvom prístupu do siete je potrebný firewall. Ak hľadáte firemný firewall, potom sa bližšie pozrite na produkt spoločnosti Kerio - Kerio WinRoute Firewall. Pomerne veľa ľudí pozná firewall Kerio pre súkromného používateľa, od jesene 2006 majú ruskí používatelia firemný produkt (v iných krajinách sa predával predtým).

Kerio WinRoute Firewall od spoločnosti Kerio Technologies Inc. Je integrované riešenie, ktoré zahŕňa firewall, VPN server, antivírus a filtrovanie obsahu určené na ochranu podnikových sietí malých a stredných podnikov.

Hlavné funkcie tohto firewallu sú:

skutočný firewall s veľmi flexibilnou konfiguráciou prístupových politík pre každého užívateľa;
vstavaný server VPN;
vstavaná antivírusová ochrana;
kontrola prístupu na webové stránky;
filtrovanie obsahu;
podpora všetkých technológií prístupu na internet: DSL, ISDN, káblové, satelitné, bezdrôtové a vytáčané pripojenie;
podpora VoIP a UPnP;
možnosť vzdialenej správy.

Tvorba pravidiel je veľmi jednoduchá a priamočiara

Správca môže konfigurovať pravidlá pre firewall buď samostatne, alebo pomocou sprievodcu v ôsmich krokoch. Ten je vhodný najmä pre začínajúcich správcov: zjednodušuje proces konfigurácie. Všetky pravidlá sa zobrazujú na jednej karte, čo tiež zjednodušuje každodennú prácu. Jediným možným problémom pre správcov systému je nedostatok rozhrania v ruskom jazyku a súboru pomocníka. Ale po prehrabávaní sa na webe môžete nájsť trochu zastaraný, ale stále aktuálny návod.

Funkciou tohto firewallu je schopnosť monitorovať používané protokoly, vrátane špecifických protokolov, ktoré priamo nesúvisia s IP prevádzkou. Táto funkcia vám umožňuje ovládať a chrániť konkrétne aplikácie potrebné pre obchodné aktivity spoločností.

Riadenie prístupu je možné aj podľa šírky pásma kanála

Samotný internetový kanál možno riadiť nielen kritériami typickými pre firewally (protokoly, porty, používatelia atď.), ale aj šírkou pásma kanála. Táto príležitosť je obzvlášť cenná pre spoločnosti, ktoré aktívne využívajú IP telefóniu vo svojich aktivitách. Táto monitorovacia funkcia sa nazýva Bandwidth Limiter a umožňuje nastaviť špecifické parametre šírky komunikačného pásma pre konkrétnych používateľov.

Kerio WinRoute Firewall implementuje vlastnú technológiu pre prácu s kanálmi VPN. Problém kompatibility VPN a NAT bol vyriešený pomocou funkcie NAT Traversal, ktorá zabezpečuje stabilnú prevádzku VPN s NAT, vrátane viacerých NAT brán. Problémy s nekompatibilitou boli vyriešené tým, že sieťovým aplikáciám bolo umožnené zistiť prítomnosť zariadenia NAT, nakonfigurovať ho a podľa potreby mapovať porty. Vďaka tomu je nastavenie pripojení VPN hračkou.

Kerio WinRoute Firewall obsahuje antivírus McAfee

Spojenie antivírusovej a firewallovej ochrany nie je nový nápad a implementovalo ho mnoho vývojárov softvéru. Zvláštnosťou Kerio WinRoute Firewallu je, že spoločnosť nevyrábala vlastné antivírusové mechanizmy, ale integrovala do firewallu (ako aj do svojho poštového servera) vynikajúci vývoj od McAfee Security - antivírus McAfee. Táto integrovaná ochrana zabraňuje konfliktom antivirusový softvér ak sú na iných serveroch spoločnosti nainštalované iné antivírusy. Navyše integrácia antivírusového jadra do ochranného mechanizmu umožnila dodatočne použiť (okrem vstavaného McAfee) a ďalšie antivírusové nástroje nainštalované na serveri s Kerio WinRoute Firewallom. Ak to chcete urobiť, stačí vybrať požadovaný antivírus zo zoznamu. Upozorňujeme len, že zoznam podporovaných sekundárnych antivírusových ochrán nie je príliš dlhý a je obmedzený len na sedem produktov.

Je potrebné poznamenať, že táto kombinácia brány firewall a antivírusu pridáva flexibilitu pri výbere produktov na obsluhu podnikovej siete. Kerio WinRoute Firewall si môžete zakúpiť so vstavanou antivírusovou ochranou alebo bez nej, ak už máte vhodného lovca vírusov.

Za ďalšiu užitočnú možnosť možno považovať aj doplnkový komponent ISS Orange Web Filter. Tento filter obsahuje podrobnú kategorizáciu webových stránok (celkom asi 60 kategórií – správy, nakupovanie, šport, cestovanie, pornografia atď.). Zoradených bolo asi 60 miliónov webových stránok a viac ako 4,4 milióna webových stránok v 15 jazykoch. Táto funkcia vám umožňuje nakonfigurovať Kerio WinRoute Firewall pre automatické blokovanie užívateľský prístup na stránky určitej kategórie. Prístup je možné obmedziť na úrovni používateľa aj na úrovni skupiny používateľov.

Kerio WinRoute Firewall môže zakázať prístup k sieťam typu peer-to-peer

S rastom neobmedzeného vysokorýchlostného prístupu na internet sa zvyšuje pravdepodobnosť, že zamestnanci budú využívať firemnú prevádzku na sťahovanie súborov zo sietí na zdieľanie súborov (KaZaA, eDonkey, eMule alebo DC ++). Pre uľahčenie práce administrátorov pri zisťovaní takýchto skutočností má Kerio WinRoute Firewall zabudovanú funkciu blokovania práce P2P klientov. Môžete tiež použiť štatistickú analýzu návštevnosti na identifikáciu a neutralizáciu neznámych sietí na zdieľanie súborov. Podobné riadenie prevádzky je možné aj pomocou protokolu FTP.

Čo sa týka filtrovania HTTP prevádzky, treba poznamenať, že je možné určiť poradie spracovania ActiveX objektov a Java skriptov, aby sa zabránilo doručeniu potenciálne nebezpečných škodlivých kódov cez firewall. Môžete tiež blokovať vyskakovacie okná akéhokoľvek typu, čo zaručí zamestnancom spoločnosti pohodlné surfovanie po webe.

Aktívne vyhľadávanie informácií na internete o zistených zraniteľnostiach v Kerio WinRoute Firewall obsahovalo iba jednu zmienku. A potom bola identifikovaná zraniteľnosť ľahko eliminovaná inováciou na najnovšiu verziu.

Zhrnutie

Kerio WinRoute Firewall 6 od spoločnosti Kerio Technologies Inc. poskytuje zdieľaný kontrolovaný prístup na internet a ochranu pred vonkajšími útokmi a vírusmi. Okrem toho zabezpečuje obmedzenie prístupu na stránky rôznych subjektov a obmedzenie prevádzky peer-to-peer sietí. Tento firewall, navrhnutý špeciálne pre podnikové siete malých a stredných podnikov, je atraktívny z hľadiska pomeru cena/výkon a poskytuje vysokú úroveň ochrany.

Obmedzenia systému
Kerio WinRoute Firewall:

procesor: Pentium III;
RAM: 256 MB RAM;
zadarmo miesto na disku: 20 MB (ďalší priestor na disku je potrebný aj pre súbory správ a funkcie vyrovnávacej pamäte, v závislosti od individuálnych nastavení);
dve sieťové rozhrania (vrátane telefonického pripojenia);

Klient Kerio VPN:

procesor: Pentium III;
RAM: 128 MB RAM;
voľné miesto na disku: 5 MB;
operačný systém Windows 2000 / XP / 2003.

Každý, kto sa niekedy zamyslel nad otázkou "aký firewall si vybrať?" Gartner(známa analytická agentúra).

Trh UTM:

Dovoľte mi pripomenúť, že podľa definície Gartner:

To znamená, že pod túto definíciu spadajú platformy zabezpečenia siete zamerané na malé spoločnosti (Small) a o niečo väčšie spoločnosti (Stredná veľkosť) (v rámci malých spoločností (Small and Midsize Business) počíta Gartner spoločnosti so 100 až 1 000 zamestnancami. Riešenia UTM zvyčajne obsahujú typickú dnešnú funkcionalitu firewallu, systém prevencie vniknutia (IPS), bránu VPN, systém filtrovania webovej návštevnosti (filtrovanie URL, streamingový antivírusový systém pre webovú návštevnosť) a systém filtrovania poštovej prevádzky (filtrovanie spamu správ a antivírusový systém pre poštovú prevádzku) a samozrejme nesmieme zabudnúť na základný smerovací systém a podporu rôznych WAN technológií.

Je zaujímavé, že podľa predpovedí spoločnosti Gartner bude trh s firewallmi až do roku 2020. zostane v približne rovnakom stave ako teraz. V roku 2022 podľa predpovedí Gartneru začnú triedne riešenia vstúpiť do každodenného života v SMB Firewall ako služba (FWaaS), t.j. cloudové firewally, kde bude vytunelovaná návštevnosť klientov a podiel nových inštalácií na trhu SMB bude viac ako 50% oproti súčasnému podielu 10%. Okrem toho 2022. 25 % používateľov segmentu SMB použije svoj firewall ako monitorovací nástroj a sprostredkovateľa na poskytovanie inventára a kontroly využívania zdrojov SaaS, ako nástroj na správu mobilných zariadení alebo presadzovanie bezpečnostných zásad na zariadeniach koncových používateľov (v súčasnosti menej viac ako 2 % používateľov používa túto funkciu na firewalloch). FWaaS riešenia budú populárnejšie aj pre distribuované pobočkové štruktúry, toto riešenie využije 10 % nových inštalácií v porovnaní s menej ako 1 % dnes.

UTM od júna 2017:

Čo sa však stalo pred rokom, v auguste 2016:

Je zástupcom lídrov na trhu UTM, SMB riešenie zastupuje firewall podnikovej triedy (Enterprise), ktorý sa pomerne jednoducho ovláda a má intuitívne grafické rozhranie (GUI).

3. Sophos:

Enterprise Firewall Market:

V roku 2011. Gartner zaviedol novú definíciu pre trh Enterprise Firewall – Next Generation Firewall (NGFW):

Podľa prognóz Gartner do roku 2020. Virtualizované firewally podnikovej triedy budú zaberať až 10 % trhu, v porovnaní s 5 % v súčasnosti. Do konca roka 2020. 25 % predaných firewallov bude zahŕňať sprostredkovateľov zabezpečenia integrácie cloudu na pripojenie ku cloudovým službám ( Cloud Access Security Broker, CASB), integrované príslušným API. Do roku 2020 50 % nových inštalácií brány firewall bude využívať odchádzajúce kontroly TLS, zatiaľ čo v súčasnosti je to menej ako 10 %.

Trh Enterprise Firewall podľa Gartner pozostáva predovšetkým z riešení na ochranu podnikových sietí (Enterprise Networks). Produkty zahrnuté v týchto riešeniach je možné nasadiť ako jeden firewall, tak aj vo veľkých a komplexnejších scenároch, vrátane pobočkových sietí, viacvrstvových demilitarizovaných zón (Multitiered DMZ), v tradičných scenároch nasadenia vo forme „veľkého“ firewall v dátovom centre a zahŕňajú aj možnosť používať virtuálne firewally v dátovom centre. Zákazníci by tiež mali mať možnosť nasadiť riešenia v rámci verejných cloudových infraštruktúr Amazon Web Services (AWS), Microsoft Azure a dodávateľ by mal mať vo svojom pláne na nasledujúcich 12 mesiacov podporu Google Cloud. Produkty sa musia dať spravovať pomocou vysoko škálovateľných (a granulárnych) nástrojov na správu, musia mať silný systém výkazníctva a mať širokú škálu riešení pre okraj siete, dátové centrá, pobočkovú sieť a nasadenie vo virtualizačnej infraštruktúre a verejnom cloude. Všetci predajcovia v danom segmente trhu musia podporovať jemné ladenie a ovládanie aplikácií a používateľov. Funkcionalita Next Generation Firewall už nie je výhodou, ale nevyhnutnosťou. Gartner teda preškrtáva termín, ktorý vymyslela, keďže táto funkcia je na trhu Enterprise Firewall považovaná za celkom bežnú a absolútne nevyhnutnú. Gartner v podstate považuje NGFW a Enterprise Firewall za synonymá. Výrobcovia pôsobiaci na tomto trhu sa zameriavajú a budujú stratégiu predaja a technickú podporu pre veľké spoločnosti (Enterprises) a funkcionalita, ktorú vyvíjajú, je zameraná aj na riešenie problémov veľkých spoločností (Enterprise).

Teraz sa pozrime na aktuálnu situáciu s trhoviskom Gartner. Enterprise Firewall od júla 2017:

Čo sa však stalo pred rokom, v máji 2016:

Čo si Gartner myslí o lídroch na trhu Enterprise Firewall samostatne:

1. Palo Alto Networks:

Do prieskumu sa môžu zapojiť iba registrovaní užívatelia. , prosím.

POŽARNE dvere slúži na bezpečnú prevádzku počítačov v lokálnej sieti a na internete. POŽARNE dvere zabraňuje neoprávnenému prístupu k sieťovým zdrojom. Správne nastavenie firewallu robí počítač neviditeľným na internete. POŽARNE dvere obmedzuje alebo zakazuje prístup k zdrojom.

Trochu o firewalle

Prepäťová ochrana, bezpečnostná brána, firewall, príp POŽARNE dvere, toľko mien má program, ktorý ako ohnivá stena (oheň - oheň, stena - stena) stojí v ceste počítačové vírusy a ľudí, ktorí chcú získať neoprávnený prístup k vášmu počítaču.

Kombinácia softvéru a hardvér počítač, POŽARNE dvere je súčasťou jeho komplexného bezpečnostného systému, nie jediným nenahraditeľným komponentom. Hoci sa „požiarna stena“ nestala všeliekom na všetky hrozby, stále je schopná vytvoriť bariéru medzi počítačom a sieťou, cez ktorú sa „votrelci“ nemôžu dostať na územie vášho počítača.

Konfigurácia osobných a firemných firewallov

Existujú softvérové aj hardvérové brány firewall. Medzi nevýhody prvých patrí skutočnosť, že spotrebúvajú vlastné zdroje počítača. Hardvérové zariadenia, aj keď sú úplne nezávislé a sú umiestnené na bráne medzi lokálnou sieťou a internetom, sú v porovnaní s osobnými oveľa drahšie a používajú ich rôzne spoločnosti na ochranu svojej lokálnej siete.

Osobné POŽARNE dvere je program, ktorý je prvkom operačného systémy Windows alebo ho možno nainštalovať ako súčasť aplikačného softvéru. Zvyčajne nastavenie firewallu nie je tak zložité, pretože program má užívateľsky prívetivé rozhranie. S jeho pomocou je ľahké povoliť internetové pripojenie všetkým programom, ktoré sa ho skutočne týkajú (Skype, Torrent, Mail.Ru, internet Explorer atď.). A tiež nedovoľte žiadnemu notebooku (ktorý môže obsahovať heslá a osobné údaje) odosielať alebo prijímať paketové dáta do siete, pre ktorú takáto činnosť vôbec nie je prirodzená.

korporátne POŽARNE dvere chráni lokálne siete rôznych spoločností pred „neočakávanými sieťovými požiadavkami“. Zablokuje všetky takéto požiadavky a požiada používateľa o povolenie na vytvorenie takéhoto pripojenia. Ak nemáte podnik s lokálnou sieťou pozostávajúcou z mnohých počítačov, nemusíte ju inštalovať. Inštaláciu a konfiguráciu firemných „stenov“ vykonáva správca systému.

Funkcie konfigurácie brány firewall

Dobre POŽARNE dvere predvolene by mal mať informácie o všetkých systémových službách a aplikácii softvér ktorý potrebuje prístup na internet a vymieňa si paketové dáta. Nemusí sa neustále pýtať na povolenie pripojenia takýchto aplikácií. Mal by to robiť automaticky. Vo všeobecnosti by firewall mal mať dobrého sprievodcu konfiguráciou, ktorý automatizuje jeho proces.

POŽARNE dvere môže mať niekoľko úrovní ochrany. Ak hodnotíte hrozbu vysoko, môžete si nastaviť „najmanickejšiu“ úroveň, ktorá bude kontrolovať všetku vašu premávku a pamäť. Takáto ochrana však môže výrazne ovplyvniť výkon systému (ak je konfigurácia počítača podpriemerná). Nízka úroveň kontroly odstráni najočividnejšie hrozby. POŽARNE dvere sa považuje za dobrý iba vtedy, ak má citeľný vplyv na výkon systému, no zároveň mu poskytuje vyššiu ako priemernú úroveň ochrany.

Ak chcete skontrolovať výkon svojho POŽARNE dvere existuje veľa nástrojov, napríklad Atelier Web Firewall Tester. to špeciálne programy ktoré fungujú na princípe „trójskych koní“ a podobných programov. Ak sa im podarí odosielať a prijímať informácie obchádzajúc vašu „stenu“, znamená to, že je v nej medzera a jej hodnota je znížená na nulu.