Современные файрволы: от узкой специализации к универсальной защите

Kerio WinRoute Firewall

erio WinRoute Firewall (далее WinRoute) это сетевой брандмауэр, предназначенный для защиты периметра локальной сети от разрушительных и любопытствующих вторжений извне (например, из Интернета), для обеспечения доступа локальных пользователей в Интернет, фильтрации трафика, а также для предоставления всевозможной статистики. Чтобы оценить возможности продукта, интерфейс управления, логику работы программы, рассмотрим более-менее подробно его главную функцию защиту локальной сети и управление трафиком. Затем кратко перечислим дополнительные возможности WinRoute.

Компьютер, на который устанавливается WinRoute, должен иметь по меньшей мере два сетевых интерфейса: один подключенный к локальной сети, а второй к общедоступной (например, к Интернету). После установки и перезагрузки компьютера следует запустить консоль управления WinRoute, которая сразу же предложит запустить сетевой мастер (Network Rules Wizard). На этом этапе запуск мастера очень важен, особенно для тех, кто устанавливает WinRoute впервые. Дело в том, что мастер создает базовый набор пакетных правил (traffic policy rules), что в дальнейшем позволит лучше понять принцип работы, способы создания и суть этих правил. Пакетные правила это ключевой момент для сетевого брандмауэра, именно они определяют, какие потоки данных (сетевые пакеты) будут свободно проходить в (из) локальную сеть, а какие будут запрещены в целях безопасности. Рассмотрим наиболее важные шаги мастера.

Шаг 3 выбор сетевого интерфейса, подключенного к внешней сети, то есть к Интернету. WinRoute сам определит наиболее подходящий из имеющихся на данном хосте интерфейсов, основываясь на его IP-адресе, и предложит его в первую очередь. Если же на хосте есть несколько интерфейсов с IP-адресами внешнего диапазона, то, возможно, придется явно указать требуемый интерфейс. (Все интерфейсы WinRoute идентифицирует и отображает по именам, которые назначены им в операционной системе.)

Шаг 4 выбор сервисов (протоколов), которые будут доступны для пользователей локальной сети при обращении в Интернет. Здесь доступны два варианта: разрешить все сервисы (нет ограничений) или задать только определенные. Для второго случая WinRoute предоставляет список наиболее востребованных сервисов (например, HTTP, FTP, SMTP и т.д.). Необходимые сервисы нужно отметить галочкой. Для дальнейшего рассмотрения отметим первый вариант «нет ограничений».

Шаг 6 выбор серверов, расположенных в локальной сети, к которым необходимо открыть доступ из Интернета (например, Web-сервер, почтовый сервер и т.п.). Даже если у вас нет таких серверов, лучше сказать, что они есть, чтобы потом рассмотреть соответствующие правила. Таким образом, предоставим мастеру возможность их создать, чтобы потом учиться у него, как это делается. Чтобы добавить сервер, необходимо указать: 1) его локальный IP-адрес или значение «Firewall» (если сервер выполняется на том же хосте, где установлен WinRoute); 2) сервис (HTTP для Web-сервера, SMTP для почтового сервера и т.д.).

Шаг 7 разрешить NAT (протокол трансляции сетевых адресов). Его необходимо разрешить, чтобы пользователи локальной сети могли пользоваться Интернетом (это наш выбор). Только в очень редких случаях NAT требуется запретить если WinRoute используется исключительно как обычный маршрутизатор между двумя или более сетями (это не наш случай).

Далее позволим мастеру завершить свою работу. Поскольку мастер может быть запущен в любое время (а не только сразу после установки WinRoute), то, чтобы избежать противоречивости пакетных правил, все старые правила уничтожаются. Итак, наш брандмауэр уже работает (!) и выполняет свою главную функцию защиту локальной сети (в первом приближении, конечно). Теперь можно не спеша рассмотреть и, главное, понять, как работают пакетные правила.

Пакетные правила в WinRoute собраны в одну таблицу (рис. 1) и строго упорядочены (верхнее правило первое правило). Порядок правил можно изменять. Любой пакет, приходящий на хост Firewall (термин «Firewall» применяется в WinRoute для обозначения хоста, на котором он сам установлен), проходит проверку на соответствие какому-либо правилу, начиная с первого. Если пакет не удовлетворяет условиям текущего правила, то к нему применяется следующее и т.д. В том случае, когда пакет достиг последнего правила, которое гласит «запретить все», он будет беспощадно удален (что не разрешено, то запрещено). Последнее правило «запретить все» нельзя удалить, переместить или редактировать (за несущественным исключением). Перед заголовком каждого правила есть галочка, если она установлена правило активно (работает), иначе правило не принимается во внимание процессором WinRoute, словно его и нет. Это очень удобно, если необходимо проводить эксперименты или время от времени включать/выключать правило по каким-нибудь соображениям, не требуется его удалять и создавать заново. Следует отметить, что принцип «включено/выключено» применяется в WinRoute практически повсеместно и в этом несомненное достоинство интерфейса программы.

Каждое пакетное правило состоит из нескольких полей: источник пакета (откуда пришел), назначение (куда он хотел идти дальше), сервис (протокол), действие, протоколирование, трансляция адресов. Источник и назначение имеют один и тот же формат приведем впечатляющий список возможных вариантов:

хост;
IP-диапазон;
группа IP-адресов;
сеть/маска;
сеть, подключенная к интерфейсу;
пользователи;
хост Firewall.

Сервис указывает на протокол, в рамках которого работает пакет. В WinRoute предопределены 79 сервисов, для которых администратору даже не нужно знать номера портов (а вы помните номер порта для терминального сервиса Windows RDP Remote Desktop Protocol?) достаточно выбрать его по имени из таблицы. Но в качестве сервиса можно задать и номер порта или определить свой (новый) протокол, добавить его в таблицу сервисов, а затем использовать его по имени.

Действие определяет три варианта дальнейшей судьбы пакета: разрешить, запретить (но уведомить отправителя об этом), сбросить (без уведомления отправителя пусть он думает, что его пакеты исчезают в черной дыре). Кстати, это один из двух параметров, которые можно изменить в последнем правиле «запретить все», можно использовать «запретить» или «сбросить». Разработчики WinRoute рекомендуют употребление «запретить» для пакетов из локальной сети и «сбросить» для пакетов, поступающих извне.

Протоколирование достаточно развито в WinRoute, но не будем на этом останавливаться. Это, кстати, второй параметр, который можно менять в правиле «запретить все».

Трансляция адресов может представлять два варианта: NAT источника (Internet sharing/IP masquerade) или NAT назначения (port mapping). Первый применяется для подмены локальных адресов выходящих в Интернет пакетов на внешний адрес одного из сетевых интерфейсов хоста Firewall. Локальный адрес подменяется на внешний (маршрутизируемый) для того, чтобы можно было получить ответы на свои сетевые запросы. Port mapping служит для того, чтобы внешние компьютеры могли обратиться к серверу, который стоит внутри локальной сети.

Теперь рассмотрим правила, показанные на рис. 1. Некоторые из них были созданы мастером WinRoute, а другие добавлены вручную позже.

Правило с именем «NAT» (создано мастером). В данной таблице это единственное правило, отвечающее за прохождение пакетов из локальной сети (интерфейс «Local» 10.0.0.0) в Интернет (интерфейс «M» 200.200.200.99). (Интерфейс с именем «Z» рассмотрим позже.) Поскольку в поле «Service» указано значение «Any», то разрешены пакеты любых протоколов, то есть отсутствуют ограничения для локальных пользователей на обращение к внешним сервисам. В поле трансляции адресов используется протокол NAT. Если нужно запретить обращение к каким-либо сервисам, то продублируйте (правая кнопка мыши) данное правило и в новом правиле укажите запрещаемый сервис или сразу несколько. Передвиньте новое правило так, чтобы оно расположилось выше старого, цель достигнута. Если же необходимо, наоборот, разрешить только некоторые определенные сервисы, то по двойному щелчку мыши на слове «Any» этого правила появится окошко, где можно выбрать разрешаемые сервисы. После этого вы можете считать, что уже научились управлять выходом в Интернет локальных пользователей (применительно к WinRoute).

Правило с именем «Firewall Traffic» (создано мастером) отличается от правила «NAT» только отсутствием трансляции адресов, поскольку хост Firewall имеет внешние IP-адреса. Обратите внимание на источник «Firewall», то есть правило применимо только к пакетам, зарождающимся на самом хосте Firewall.

Разрешающее правило «Local Traffic» (создано мастером) описывает все возможные комбинации источника и назначения пакетов в пределах локальной сети, включая компьютер, на котором установлен WinRoute.

Правило «Service FTP» разрешает доступ извне к вашему FTP-серверу, а правило «Service SMTP» разрешает доступ извне к вашему почтовому серверу. Оба правила созданы мастером. Различие между ними состоит только в том, что FTP-сервер выполняется на том же компьютере, что и WinRoute, а почтовый сервер стоит на локальной машине с IP-адресом 10.0.0.51. Обратите внимание, что у правила «Service SMTP» нет галочки слева оно не работает, это просто заглушка, которая нам пока не нужна. Итак, теперь вы умеете предоставлять доступ к своим серверам через WinRoute.

Обратимся к правилам, которые пришлось создавать вручную. Мы хотим запретить доступ в нашу сеть, а следовательно, и к нашим серверам некоторым чересчур рьяным поклонникам нашего же FTP-сервера. Для этого создано правило с именем «Запрещено», а в поле источника указано имя группы IP-адресов, чтобы не громоздить множество адресов в само правило. Адреса в эту группу можно добавлять по мере необходимости, а можно временно отменять (галочки) действие некоторого адреса. Создается такая группа в другом месте, но для нас сейчас важен только тот факт, что ее можно создать, редактировать, а также применять в нескольких правилах. В адресную группу можно вносить отдельные IP-адреса, сеть с указанием маски или диапазон IP-адресов. Обратите внимание, что это правило стоит до других правил, разрешающих вход в локальную сеть, а следовательно, обладатели таких адресов не смогут попасть ни на один из наших серверов (если таковые есть). При необходимости закрыть доступ только к FTP-серверу в поле «Service» вместо «Any» следует указать «FTP», а затем достаточно поставить это правило перед правилом «Service FTP» расположение его относительно других правил не имеет значения.

Три правила, озаглавленные «Web server…», демонстрируют предоставление доступа к терминальному серверу (сервис RDP) только с определенного IP-адреса и доступ Web-разработчиков из определенной сети. Поле назначения содержит не имя интерфейса, а конкретный IP-адрес, поскольку интерфейсу M назначено несколько адресов, а употребление имени равносильно указанию только первичного адреса интерфейса.

WinRoute обеспечивает резервирование соединения. Предположим, что есть два внешних соединения (одно из них может быть телефонным модемом) и соответственно два интерфейса (сетевые карты) в хосте Firewall. В каждый момент времени WinRoute использует только одно из них. Но если данный канал «обрывается», то WinRoute переключает весь внешний трафик на другой. Администратор определяет, какое соединение является первичным, а какое вторичным. Первичное соединение используется всегда, когда оно физически работает. Если же возникла необходимость переключиться на вторичный интерфейс, то с этого момента WinRoute постоянно следит за первичным соединением и, как только оно придет в норму, переключает весь трафик назад на первичное соединение. В правилах на рис. 1 интерфейс с именем «Z» как раз и обеспечивает резервный канал.

Кратко остановимся на фильтрации трафика. Фильтрация трафика представлена в WinRoute довольно развитыми возможностями и применима только к HTTP- и FTP-трафику. Трафик можно фильтровать по именам сайтов, по указанию подстроки для имени сайта, по наличию в передаваемых данных определенных слов (списки слов можно создавать и редактировать) и т.д. Для FTP-трафика в качестве критерия фильтрации можно применять FTP-команды, например можно запретить выгрузку файлов из локальной сети на внешние FTP-серверы. В качестве критерия фильтрации могут выступать пользователи или группы пользователей.

Антивирусная фильтрация применима к HTTP-, FTP-, SMTP- и POP3-протоколам. Настройки совершенно очевидны. Стоит отметить, что стандартно WinRoute может поставляться с антивирусным сканером McAfee, но может работать в паре с другими сканерами сторонних производителей (в списке значится семь сканеров).

Статистика в WinRoute представлена достаточно полно. Объем трафика можно посмотреть в обоих направлениях (входной и выходной) отдельно для сетевых интерфейсов или для пользователей. Поскольку статистика представляется в табличном виде, то данные можно отсортировать по любой колонке по возрастанию или убыванию. А колонки предлагают следующие варианты: за день, за неделю, за месяц, всего (за все время после установки WinRoute). Кроме того, статистика по сетевым интерфейсам может быть представлена в графическом виде за периоды: 2 часа, 1 день, 1 неделя, 1 месяц; а статистика по пользователям покажет распределение трафика по протоколам (1 день, 1 неделя, 1 месяц, всего). Статистика по сетевым интерфейсам поможет следить за входящим трафиком от провайдера.

В списке пользователей имеются две специальные строки: «все пользователи» и «нераспознанные пользователи». Дело в том, что пользователи либо обязаны авторизоваться в WinRoute, либо нет. Это зависит от настроек WinRoute. В первом случае статистика собирается на основе имен пользователей, а во втором на основе IP-адресов. Если вы не требуете авторизации пользователей, то должны в базе данных пользователей WinRoute указать, с каких IP-адресов работает каждый пользователь (можно определить несколько адресов для одного пользователя.). Это не так трудно, как может показаться, даже если IP-адреса раздаются DHCP-сервером (обычная ситуация). В строку «нераспознанные пользователи» попадут, например, трафик сервера DNS, трафик обновления правовой базы и т.п. Но в БД пользователей WinRoute можно добавить специальных «пользователей», назначить им адреса соответствующих серверов, и тогда можно будет определить, сколько трафика потребляет обновление правовой базы или сервер DNS. WinRoute может оперировать смешанной базой пользователей в этом случае одни пользователи будут импортированы из Active Directory, а другие могут быть добавлены как локальные пользователи WinRoute.

Каждому пользователю можно назначить квоту трафика. При этом, в зависимости от настроек, при достижении пользователем лимита своей квоты WinRoute либо оборвет все соединения, либо запретит устанавливать новые, либо только предупредит пользователя. В любом случае WinRoute может известить пользователя (и/или администратора) о превышении квоты по электронной почте. А каждый пользователь может, в свою очередь, следить за своим трафиком, обратившись к WinRoute по Web-интерфейсу.

Kerio Server Firewall (KSF)

SF представляет собой серверный брандмауэр, то есть такой брандмауэр, который защищает только тот хост, на котором он установлен. В отличие от сетевого брандмауэра (например, от WinRoute), данный продукт не осуществляет маршрутизацию пакетов между сетями (между интерфейсами хоста), однако может защищать несколько (до 100) интерфейсов своего хоста. В первую очередь KSF предназначен для защиты серверов, установленных на площадке провайдера (услуга collocation). Соответственно KSF имеет удаленное управление (впрочем, как и большинство брандмауэров) через Web-интерфейс.

Чем же отличается серверный брандмауэр от сетевого? Главное их различие обеспечение защиты приложений (Application Hardening), запущенных на сервере. KSF следит не только за сетевым трафиком, но и за поведением приложений, в первую очередь серверных, которые по роду своей деятельности обязаны «прослушивать» порты и отвечать на сетевые запросы клиентов.

На странице «Сетевой статус» (рис. 2) перечислены все запущенные в данный момент серверные приложения, которые «прослушивают» какие-либо порты, их рабочие протоколы и количество соединений, установленных в текущий момент. Кроме того, для каждого приложения указывается его полный путь в файловой системе сервера, дата последней модификации exe-файла, а также краткая справочная информация о назначении данного приложения и возможных слабых местах защиты. В отдельной панели расположены три ссылки-кнопки, позволяющие выполнить следующие действия: создать сетевое правило на основе выбранного процесса, показать все сетевые правила, имеющие отношение к данному процессу, выдать список соединений выбранного процесса.

Рассмотрим формат сетевых правил (рис. 3). Действие предусматривает два варианта: разрешить или сбросить. Направление описывает входящие соединения, исходящие соединения и трафик в обоих направлениях. Следует отметить, что указание обоих направлений обычно не имеет смысла и таит в себе потенциальную опасность. Как видно из рисунка, только правило «Default rule» реализует такой вариант, чтобы запретить все соединения, не подпадающие под предыдущие правила. Данное правило нельзя удалить, но его действие можно изменить на «разрешить» с целью отладки. Только одно правило в представленном списке разрешает исходящие соединения самому серверу (в смысле компьютеру) разрешено обращаться куда угодно. Все остальные правила описывают доступ только внутрь нашего хоста, естественно со всевозможными ограничениями. Так, самое верхнее правило разрешает доступ к процессу inetinfo.exe по протоколу HTTP (порт 80).

Столбец «Local» указывает, через какой локальный (расположенный на нашем хосте) интерфейс будет устанавливаться соединение. В данном случае на сервере установлено два интерфейса, один из них именуется в ОС «Internet» и подключен к внешней сети, второй подключен к локальной сети. В самом верхнем правиле указан явно только один интерфейс все остальные правила распространяются на соединения от любого локального интерфейса. Столбец «Remote» задает адреса удаленных клиентов, обращающихся к серверу. Варианты могут быть такими: IP-адрес, диапазон IP-адресов, сеть/маска, имя адресной группы. Адресная группа может содержать сколь угодно различных адресных комбинаций, перечисленных выше. В KSF предопределены несколько адресных групп (используйте в качестве примера). Как видно из таблицы правил, доступ к Web-серверу возможен отовсюду, самому хосту разрешается идти куда угодно, и, кроме того, последнее запрещающее правило, естественно, учитывает любые внешние адреса. В остальных правилах удаленные адреса представлены именами адресных групп.

Теперь перечислим три составные части защиты приложений в KSF.

2. Запрет на изменение exe-файла сетевого процесса хоста, включая изменение пути запуска (то есть невозможно обмануть KSF, пытаясь запустить процесс с тем же именем из другого каталога, поскольку это уже подмененный exe-файл).

3. Запрет изменения важных системных данных (System tampering). Для примера на рис. 5 показан список таких данных.

На рис. 4 представлены правила защиты приложений. Одно из них (для srvfw.exe) создано автоматически в процессе установки KSF, и его можно использовать в качестве примера для обучения. В правилах можно задавать исключения, например позволяя некоторому процессу запускать другие, если имеется такая необходимость. Определить такие исключения, оказывается, очень просто. Создайте правило, которое только протоколирует действия интересующего вас процесса, а через некоторое время просмотрите журнал (Logs/Hardening), чтобы определить, будет ли то или иное приложение в нормальном (незараженном) состоянии еще что-нибудь запускать.

И еще одна особенность KSF определение возможных вторжений. Собственно, настраивать здесь ничего не нужно, однако необходимо регулярно проверять соответствующий журнал протоколирования. KSF предоставляет описание некоторых наиболее распространенных видов вторжения с указанием их серьезности. Просмотр списка соединений определенного процесса также может помочь администратору заметить угрозу слишком большое количество соединений с одного IP-адреса или огромный объем переданных данных в рамках одного соединения. К сожалению, в окне списка соединений невозможно отсортировать данные по удаленному IP-адресу или по объему данных.

Kerio Mail Server (KMS)

MS может использоваться либо как полноценный почтовый сервер, который хранит почтовые ящики пользователей и обеспечивает доступ почтовых клиентов, либо в качестве промежуточной «почтовой станции» (в терминах Sendmail Smart Host). В последнем случае он выполняет функции промежуточного звена между почтовым сервером, расположенным внутри локальной сети (например, MS Exchange Server), и внешним миром. Хост с установленным KMS может иметь два сетевых интерфейса, один из которых подключен к локальной сети, а второй к внешней. Таким образом, KMS будет выполнять функции почтового брандмауэра. При этом прием всей внешней почты, которая приходит в организацию, возлагается на KMS, а отправка почты локальных пользователей наружу может выполняться как почтовым брандмауэром, так и внутренним сервером напрямую. Поскольку нас интересует режим брандмауэра, то кратко рассмотрим только эту функциональность KMS. А она в данном случае состоит из трех компонентов: отсеивание нежелательной почты на основе так называемых черных списков (Black lists), фильтрация спама и антивирусная защита.

Черные списки содержат перечень почтовых серверов-спамеров. Подобные серверы чаще всего работают в режиме Open relay, который позволяет отправлять почту любым клиентам без какой-либо авторизации и независимо от взаимного расположения клиента и сервера. Так, спамер, находящийся в России, может воспользоваться почтовым сервером из Южной Америки для рассылки тысяч писем. Иногда в черный список попадают и нормальные серверы из-за неосторожной рассылки деловых писем или неверной настройки почтового сервера. Серверы черных списков, или Open Relay Data Bases (ORDB), реализованы как DNS-серверы со специальным видом записи, которые и хранят списки вредных серверов. Обычно серверы ORDB администрируются серьезными людьми, а программное обеспечение этих серверов тщательно проверяет кандидатов на занесение в черный список. Но существуют и такие серверы, которые собирают свои списки по первой жалобе. Именно по этой причине многие нормальные почтовые серверы (а чаще всего целые диапазоны IP-адресов) попадают в черные списки. Так что при настройке своего почтового сервера главное не перестараться, задавая ему как можно больше серверов ORDB, иначе практически вся почта (и полезная тоже) может быть отсеяна.

Собственно, настройка черных списков в KMS настолько проста, что вполне можно было бы ограничиться констатацией факта поддержки данной функциональности. Однако сделаем несколько замечаний. В поставке KMS уже предусмотрены пять серверов ORDB. Сервер под именем SORBS DNSBL (dnsbl.sorbs.net) отличается настолько «рьяными» списками, что вся почта из aha.ru и mail.ru отвергается. Поэтому в наших конкретных условиях лучше отменить опцию «block» для данного сервера. KMS также позволяет создать свой черный список. К великому сожалению, KMS не позволяет создать так называемый белый список, который является противоположностью черному и в идеале должен просматриваться до обработки черных списков.

Под фильтрацией спама подразумевают процесс ограничения нежелательной почты (в дополнение к черным спискам). KMS обладает специальным процессором, который на основе некоторых правил (эти правила не подлежат редактированию) присваивает каждому входящему письму спамовый рейтинг. За ту или иную конкретную особенность письму добавляются баллы, за другую особенность еще баллы. Сумма этих баллов в KMS может доходить до 10 для каждого письма. Администратор устанавливает порог (по умолчанию равный 5), при превышении которого письмо считается спамом. Далее KMS может сделать со спамом следующее: поставить спам-отметку в заголовке письма, или удалить письмо «не поднимая шума», или возвратить письмо отправителю (хорошая идея). В любом случае копия письма может быть направлена в какой-либо локальный почтовый ящик (на всякий случай), который необходимо время от времени чистить. Если письмо все же пропускается дальше, то в его тему может быть добавлена метка (по умолчанию предлагается «**SPAM**»). По этой метке почтовый клиент может откладывать письма в отдельную папку.

Вторая возможность фильтрации спама позволяет создавать фильтры на основе нескольких критериев (поля From, To, Subject, Sender и т.д. и их значения «пусто», «содержит адрес», «содержит домен» и т.п.). Если письмо удовлетворяет критериям определенного фильтра, то далее возможны варианты: 1) трактовать письмо как неспам (аннулировать спамовые баллы); 2) трактовать письмо как спам и запретить его; 3) добавить к спамовым баллам еще некоторое значение (значение задается). И отдельно определяется дальнейшая судьба запрещенных писем либо удалить без шума, либо возвратить отправителю (копия письма может быть направлена в какой-либо локальный почтовый ящик).

Антивирусная защита в KMS осуществляется по таким же принципам и с теми же возможностями, что в WinRoute.

Отдельно стоит отметить способность KMS противостоять хакерским атакам. Вот некоторые возможности: 1) задать максимальное число сообщений, принимаемых с одного IP-адреса за 1 час; 2) задать максимальное число одновременных SMTP-соединений с одного IP-адреса; 3) задать максимальное число несуществующих получателей и 4) задать список исключений IP-адресов для первых трех пунктов. Кроме того, можно ограничить максимальное число получателей в одном письме, максимальное число ошибочных команд в SMTP-сессии.

Статистика и протоколирование работы KMS реализованы достаточно полно и удобно.

В заключение хочется отметить, что все продукты компании Kerio снабжены отличной документацией, пробные версии (не имеют никаких ограничений, кроме срока работы 1 месяц) можно скачать с сайта

Любой, кто хоть раз задумывался над вопросом «какой firewall выбрать?», наверняка сталкивался с магическим квадратном Gartner (известное аналитическое агентство).

В конце июня 2017г. вышел очередной отчет по состоянию рынка Unified Threat Management (UTM) - Magic Quadrant for Uniﬁed Threat Management (SMB Multifunction Firewalls) и в июле 2017г. Enterprise Firewalls - Magic Quadrant for Enterprise Network Firewalls . Если вам интересно узнать, кто оказался среди лидеров, как изменилась ситуация за последний год и какие тенденции наблюдаются, то добро пожаловать под кат...

Рынок UTM:

Напомню, что по определению Gartner:

“Unified threat management (UTM) is a converged platform of point security products, particularly suited to small and midsize businesses (SMBs). Typical feature sets fall into three main subsets, all within the UTM: firewall/intrusion prevention system (IPS)/virtual private network, secure Web gateway security (URL filtering, Web antivirus ) and messaging security (anti-spam, mail AV).”

То есть под это определение попадают платформы сетевой безопасности, ориентированные на небольшие компании (Small) и компании чуть побольше (Midsize) (под небольшими компаниями (Small and Midsize Business) Gartner считает компании с численностью сотрудников от 100 до 1000 человек). UTM решения обычно содержат типовую на сегодняшний день функциональность межсетевого экрана, системы предотвращения вторжений (IPS), VPN-шлюз, систему фильтрации веб-трафика (фильтрация по URL, потоковую антивирусную систему для веб-трафика), так и систему фильтрации почтового трафика (фильтрация спам-сообщений и антивирусную систему для почтового трафика), ну и конечно нельзя забывать про базовую систему маршрутизации и поддержку различных WAN-технологий.

Интересно то, что, судя по предсказаниям Gartner, рынок межсетевых экранов до 2020г. останется примерно в таком же состоянии, как и сейчас. В 2022г. по предсказаниям Gartner в обиход в SMB начнут плотно входить решения класса Firewall as a Service (FWaaS) , т.е. облачные межсетевые экраны, куда будет туннелироваться клиентский трафик, причем доля новых инсталляций по SMB-рынку будет составлять более 50%, по сравнению с текущей долей в 10%. К тому же 2022г. 25% пользователей сегмента SMB будут использовать свой межсетевой экран как средство мониторинга и промежуточного брокера для обеспечения инвентаризации и контроля использования ресурсов SaaS, как средство управления мобильными устройствами или средство обеспечения политик безопасности на конечных пользовательских устройствах (на текущий момент менее 2% пользователей используют данный функционал на межсетевых экранах). Решения FWaaS будет более популярно и для распределенных филиальных структур, данное решение будут использовать 10% новых инсталляций по сравнению с менее чем 1% на сегодняшний день.

Поскольку решения UTM ориентированы на относительно небольшие компании (по меркам Gartner), то понятно, что получив весь функционал из одной коробки, конечный заказчик так и или иначе будет довольствоваться компромиссами с точки зрения производительности, эффективности сетевой безопасности и функциональности, однако для таких заказчиков также важно, чтобы решение легко управлялось (управление через браузер как пример), администратора решения можно было быстрее обучить ввиду упрощенного управления, чтобы решение содержало в себе встроенные средства хотя бы базовой отчетности, для некоторых заказчиков также важно наличие локализованного ПО и документации.

Gartner считает, что потребности заказчиков SMB и заказчиков Enterprise сильно отличаются с точки зрения потребностей у Enterprise в возможностях реализации более сложных политик управления, расширенных возможностях в реализации сетевой безопасности. К примеру заказчики сегмента Enterprise, имеющие распределенную филиальную структуру, часто имеют филиалы, которые могут совпадать по размеру с целой компанией SMB-сегмента. Однако критерии выбора оборудования для филиала, как правило, диктуются выбором оборудования в головном офисе (обычно в филиалы выбирается оборудование того же вендора, что используется в головном офисе, т.е. Low End оборудование Enterprise класса), так как заказчику необходимо иметь уверенность в обеспечении совместимости оборудования, а кроме того такие заказчики часто используют единую консоль управления для обеспечения управляемости филиальной сети (где может и не быть специалистов соответствующего профиля) из головного офиса. Кроме того, немаловажным является и экономическая составляющая, корпоративный заказчик может получить дополнительные скидки за «объем» от производителей межсетевых решений, включая решения для филиальной сети. По этим причинам Gartner рассматривает решения для распределенных филиальных структур Enterprise заказчиков в квадратах решений для Enterprise-сегмента (NGFW/Enterprise Firewall, IPS, WAF и т.д.).

Отдельно Gartner выделяет заказчиков с распределенной сетью высоко автономных офисов (типичный пример – ритейл сети, где общее количество сотрудников может быть более 1000 человек), у которых, как и у типичного SMB-заказчика, есть довольно ограниченные бюджеты, очень большое количество удаленных площадок и обычно небольшой ИТ/ИБ-персонал. Некоторые UTM производители даже специально делают акцент на решениях для таких заказчиков более чем для традиционного SMB.

UTM по состоянию на июнь 2017:

А вот, что было год назад, в августе 2016:

В списке лидеров рынка UTM все те же знакомые лица – Fortinet, Check Point, Sophos. Причем ситуация постепенно накаляется – позиции лидеров постепенно подтягиваются друг к другу. Juniper из преследователей перешел в нишевых игроков. Подтянул немного свои позиции SonicWall.
Что же думает Gartner о лидерах рынка UTM-сегмента в отдельности:

Является представителем лидеров рынка UTM, SMB решение представлено межсетевым экраном корпоративного класса (Enterprise), которое достаточно легко управляется и имеет интуитивный графический интерфейс (GUI).

Штаб-квартиры находятся в г.Тель-Авив (Израиль) и г.Сан-Карлос (США). Check Point является вендором, ориентированным на обеспечение сетевой безопасности, имеет в штате более 1300 сотрудников в R&D. Портфолио продуктов содержит межсетевые экраны SMB и Enterprise класса (Security Gateway), специализированное решение для защиты конечных узлов (Sandblast Agent), решение для защиты мобильных устройств (Sandblast Mobile) и виртуальные межсетевые экраны (vSEC для частных и публичных облаков). Текущая линейка межсетевых экранов SMB класса включает в себя семейства 700, 1400, 3100, 3200, 5100, 5200, 5400, 5600, все устройства были представлены в 2016/2017 годах.

3. Sophos:

Является представителем лидеров рынка UTM. Продолжает увеличивать долю на рынке, благодаря легкости в использовании, хорошей функциональности Security составляющей, успешной интеграцией со своим же решением по защите конечных узлов. Частый гость в шорт-листах SMB-заказчика, а также для распределенных сетей автономных офисов.

Штаб-квартира находится в г. Абингдон (Великобритания), имеет в своем штате более 3000 сотрудников по всему миру. Портфолио продуктов содержит смесь решений по обеспечению сетевой безопасности и решений для защиты конечных узлов. Линейка межсетевых экранов Sophos XG содержит 19 моделей и была обновлена в последний раз в 4-ом квартале 2016, также в портфолио имеется и устаревшая линейка Sophos SG. Решения Sophos UTM доступны как виртуальные апплайнсы с интеграцией платформами IaaS - AWS и Azure. Решения для обеспечения защиты конечных узлов включают в себя Sophos Endpoint и Intercept X. Интеграционное решение между Sophos UTM и Sophos Endpoint вышло под названием Sophos Synchronized Security. Есть в портфолио вендора также решения для защиты мобильных устройств и обеспечения шифрования данных.

Рынок Enterprise Firewall:

В 2011г. Gartner ввел новое определение на рынке Enterprise Firewall – Next Generation Firewall (NGFW):

«Next-generation firewalls (NGFWs) are deep-packet inspection firewalls that move beyond port/protocol inspection and blocking to add application-level inspection, intrusion prevention, and bringing intelligence from outside the firewall. An NGFW should not be confused with a stand-alone network intrusion prevention system (IPS), which includes a commodity or nonenterprise firewall, or a firewall and IPS in the same appliance that are not closely integrated.»

Тогда это было новшеством, вокруг чего было много споров. Прошло несколько лет, утекло много воды, и вот в 2017г. Gartner уже не считает это каким либо особым преимуществом, а просто констатирует факт, что все ведущие игроки этого рынка давно обзавелись данным функционалом, а теперь дифференцируют себя от других вендоров в части функциональности.

По прогнозам Gartner к 2020г. виртуализированные межсетевые экраны Enterprise класса займут до 10% рынка по сравнению с 5% на текущий момент. К концу 2020г. 25% проданных межсетевых экранов будут включать интеграцию облачными брокерами безопасности подключения к облачным сервисам (Cloud Access Security Broker, CASB ), интегрированных по соответствующим API. К 2020г. 50% новых инсталляций межсетевых экранов будут использовать исходящую TLS инспекцию, по сравнению с менее чем 10% на текущий момент.

По мнению Gartner рынок Enterprise Firewall состоит в основном из решений для защиты корпоративных сетей (Enterprise Networks). Продукты, входящие в эти решения, могут быть развернуты как виде одиночного межсетевого экрана, так и больших и более сложных сценариях, включая филиальные сети, многослойные демилитаризованные зоны (Multitiered DMZs), в традиционных сценариях развертывания в виде «большого» межсетевого экрана в ЦОД, а также включать возможности использования виртуальных межсетевых экранов в ЦОД. У заказчиков также должна быть возможность развертывать решения внутри инфраструктур публичных облаков Amazon Web Services (AWS), Microsoft Azure, а также вендор должен иметь в своем роадмэпе поддержку Google Cloud в течении ближайших 12 месяцев. Продукты должны иметь возможность управляться при помощи высокомасштабируемых (и гранулярных) средств управления, иметь развитую систему отчетности, а также иметь широкую гамму решений для периметра сети, ЦОД, филиальной сети и развертывания в инфраструктуре виртуализации и публичном облаке. Все производители в данном рыночном сегменте должны поддерживать тонкое определение и контролирование приложений и пользователей. Функциональность Next Generation Firewall – уже не преимущество, а необходимость. Так Gartner вычеркивает придуманный ей же термин, поскольку данная функциональность считается вполне обычной и абсолютно необходимой на рынке Enterprise Firewall. По сути Gartner считает NGFW и Enterprise Firewall синонимами. Производители, работающие на данном рынке, делают упор и строят стратегию продаж и техническую поддержку на большие компании (Enterprises), а разрабатываемая ими функциональность ориентирована также на решение задач больших компаний (Enterprise).

Gartner заявляет, что по ее исследованиям, NGFW постепенно продолжают тенденцию по замене отдельно стоящих устройств IPS на периметре сети, хотя некоторые заказчики заявляют, что будут продолжать использовать специализированные устройства Next Generation IPS (NGIPS), придерживаясь стратегии Best of Breed. Много корпоративных заказчиков интересуются облачными решениями обнаружения Malware в качестве более дешевой альтернативы отдельно установленным решениям класса песочниц (Sandboxing Solutions ).

В отличие от рынка UTM рынок корпоративных межсетевых экранов не подразумевает, что решения NGFW должны содержать в себе весь функционал по защите сети. Вместо этого Gartner видит в корпоративных межсетевых экранах необходимость специализации именно на NGFW функциональности. Например для филиальных межсетевых экранов класса Enterprise требуется поддержка высокой степени гранулярности блокирования сетевого трафика, которая должна идти в базе продукта, требуется интегрированный сервисный подход к обработке сетевого трафика, управление продуктом должно быть высокоинтегрированным, а не выглядеть как сделанная наспех компиляция разных движков в одном продукте. Уровень защиты и удобство конфигурирования межсетевых экранов корпоративного класса для филиальных сетей не должно уступать решениям для головного офиса.

В 2017г. Gartner уделяет особое внимание решениям для обеспечения терминирования TLS-сессий для обеспечения проверки исходящего трафика на наличие угроз, таких как загрузки вредоносного кода, управления ботнетами. В некотором роде возможности по проверке исходящего TLS трафика сближают NGFW с DLP-решениями в облегченном варианте, так как дешифрация и последующая инспекция исходящего TLS трафика позволяют убедиться, что чувствительные данные не отправлены наружу. Тем не менее, некоторые заказчики, использующие данную возможность, могут заметить значительное снижение производительности при активации данной функции из-за больших затрат на дешифрацию TLS.

Некоторые прогрессивные заказчики планируют, а некоторые уже используют возможности, предоставляемые парадигмой программно-определяемых сетей (Software Defined Networking, SDN), и используют возможности по микросегментации в виртуализированном ЦОД-е. Такие заказчики смотрят на производителей с поддержкой различных SDN-решений, а также на их планы по дальнейшему развитию в направлении SDN. Производители решений включают все более и более автоматизированные подходы к оркестрации политик межсетевого экранирования для обеспечения гибкости и преимуществ для бизнеса, которые обещает парадигма SDN.

Посмотрим теперь на текущую ситуацию с квадратом Gartner по рынку Enterprise Firewall по состоянию на июль 2017:

А вот, что было год назад, в мае 2016:

В списке давнишних лидеров рынка Enterprise Firewall – Palo Alto Networks, Check Point. В этом году Gartner переместил Fortinet из преследователей (Challengers) также в категорию лидеров. Страсти накаляются - позиции лидеров в этом сегменте также приближаются друг к другу. Cisco и в этом году не смогла перейти в лидеры, оставшись в преследователях. Зато удивляет Huawei, который из нишевых игроков довольно уверенно был помещен в раздел преследователей.

Что же думает Gartner о лидерах рынка Enterprise Firewall в отдельности:

1. Palo Alto Networks:

Является одним из лидеров рынка Enterprise Firewall, также является чисто Security вендором, базируется в г. Санта-Клара (США, Калифорния), штат превышает 4000 сотрудников. Производит межсетевые экраны с 2007г., в 2016г. доходы превысили $1.4 млрд. В портфолио решений имеются межсетевые экраны Enterprise класса в физическом и виртуализированном исполнениях, решения для защиты конечных узлов (Traps и GlobalProtect), решения по сбору, агрегации, корреляции, аналитики угроз в реальном времени для поддержки оборонительных мер (Threat Intelligence, AutoFocus), решений обеспечения безопасности для SaaS (Aperture). Производитель активно ведет работу над интеграцией решений в единую платформу сетевой безопасности.

Palo Alto Networks выпустила недавно 8-ую версию операционной системы PAN-OS с улучшениями для WildFire и Panorama, нового функционала безопасности SaaS, защиты пользовательских учетных данных. Также была выпущена модель межсетевого экрана начального уровня PA-220, устройства среднего класса PA-800 Series, также была обновлена линейка межсетевых экранов PA 5000 Series (новые модели 5240, 5250, 5260), которая выпускается с 2011г.

Является представителем лидеров рынка Enterprise Firewall. Портфолио продуктов для Enterprise рынка содержит большое количество решений, включая межсетевые экраны NGFW и решения для защиты конечных узлов, облачные и мобильные решения сетевой безопасности. Флагманские продукты Check Point - шлюзы безопасности уровня предприятия (Enterprise Network Security Gateways включают в себя семейства 5000, 15000, 23000, 44000 и 64000). Облачная безопасность обеспечивается посредством решения vSEC для частных и публичных облаков, также есть решение SandBlast Cloud для SaaS приложений. Решения для защиты конечных узлов включают в себя SandBlast Agent и решения для мобильной защиты – Check Point Capsule и SandBlast Mobile. Также выпущено решение SandBlast Cloud для сканирования почтового трафика в Microsoft Office 365. В 2016г. стали доступными модели 15400 и 15600 для крупных корпоративных заказчиков, а также 23500 и 23800 для ЦОД.

Недавно были представлены новые Hi-End платформы 44000 и 64000, выпущен vSEC для Google Cloud, а также вышла новая версия ПО R80.10 с усовершенствованиями для консоли управления, улучшена производительность и SandBlast Anti-Ransomware, обеспечивающая защиту от зловредного ПО класса Ransomware. Также представлена новая архитектура сетевой безопасности Check Point Infinity, объединяющая безопасность сетей, облаков и мобильных пользователей.

Также Check Point было расширено облачное решение защиты от Malware, которое может быть интегрировано перед SaaS сервисами электронной почты. Check Point предлагает многочисленные программные блейды, расширяющие возможности межсетевого экрана, включающие в себя расширенную защиту от зловредных программ – Advanced Mailware Protection (Threat Emulation и Threat Extraction), cервисы Threat Intelligence - ThreatCloud IntelliStore и Anti-Bot. Сheck Point поддерживает свои межсетевые экраны в публичных облаках Amazon Web Services (AWS) и Microsoft Azure, доступны решения по интеграции с SDN-решениями от VMWare NSX и Сisco Application Centric Infrastructure (ACI).

Решение Check Point должно быть в шорт-листе корпоративного заказчика, для которого чувствительности к цене не настолько важна как гранулярность функциональности сетевой безопасности, вкупе с высококачественным централизованным управлением для сложных сетей. Также это хороший кандидат для заказчиков, использующих гибридные сети, состоящие из оборудования, установленного у заказчика, виртуализированных ЦОД и облаков.

Только зарегистрированные пользователи могут участвовать в опросе. , пожалуйста.

Даже у маленькой фирмы могут быть большие секреты, которые ей надо защищать от посторонних глаз. А значит, есть потенциальная угроза для любителей чужих секретов. Для защиты от несанкционированого доступа на компьютеры локальной корпоративной сети через доступ в Сеть нужен файрвол. Если вы ищете корпоративный файрвол, то присмотритесь к продукту компании Kerio — Kerio WinRoute Firewall. Довольно многим известен брандмауэр Kerio для частного пользователя, с осени 2006 года у русских пользователей есть и корпоративный продукт (в других странах он продавался и раньше).

Kerio WinRoute Firewall от Kerio Technologies Inc. – это интегрированное решение, включающее брандмауэр, VPN-сервер, антивирус и контентный фильтр и предназначенное для защиты корпоративных сетей предприятий малого и среднего бизнеса.

Основные возможности этого брандмауэра:

собственно межсетевой экран с очень гибкой настройкой политик доступа для каждого пользователя;
встроенный VPN-сервер;
встроенная антивирусная защита;
управление доступом к веб-сайтам;
контентная фильтрация;
поддержка всех технологий доступа в Интернет: DSL, ISDN, кабельных, спутниковых, беспроводных и диалап-соединений;
поддержка VoIP и UPnP;
возможность удаленного администрирования.

Составление правил очень простое и понятное

Правила для межсетевого экрана администратор может настроить как самостоятельно, так и с помощью мастера в восемь шагов. Последнее особенно удобно для начинающих администраторов: упрощается процесс настройки. Все правила отображаются в одной-единственной закладке, что также упрощает повседневную работу. Единственной потенциальной трудностью для сисадминов можно назвать отсутствие русскоязычного интерфейса и файла помощи. Но, покопавшись в Сети, можно найти немного устаревший, но все же актуальный мануал .

Особенностью данного файрвола можно назвать возможность мониторинга используемых протоколов, в том числе и специфических протоколов, не относящихся непосредственно к IP-трафику. Эта функция позволяет контролировать и защищать специфические приложения, необходимые для бизнес-деятельности компаний.

Контроль доступа возможен даже по пропускной способности канала

Сам же интернет-канал может контролироваться не только по типовым для брандмауэров критериям (протоколам, портам, пользователям и так далее), но и по пропускной способности канала. Эта возможность особо ценна для фирм, активно использующих в своей деятельности IP-телефонию. Такая функция контроля называется Bandwidth Limiter и позволяет устанавливать конкретные параметры пропускной способности канала связи для определенных пользователей.

В Kerio WinRoute Firewall реализована своя технология работы с VPN-каналами. Проблему совместимости технологий VPN и NAT удалось решить с помощью функции NAT Traversal, которая обеспечивает стабильную работу VPN с NAT, в том числе множественными NAT-шлюзами. Проблемы несовместимости решены за счет того, что теперь разрешается сетевым приложениям определять присутствие устройства NAT, настраивать его и устанавливать необходимые соответствия между портами. Благодаря этому настройка VPN-соединений теперь очень проста.

Kerio WinRoute Firewall включает в себя антивирус McAfee

Совмещение антивирусной и межсетевой защиты — идея далеко не новая и реализованная у многих разработчиков ПО. Особенностью Kerio WinRoute Firewall можно назвать то, что компания не производила собственных разработок антивирусных механизмов, а интегрировала в брандмауэр (как и в свой почтовый сервер ) отличную разработку от компании McAfee Security — антивирус McAfee. Такая интегрированная защита позволяет избежать конфликтов антивирусных программ, если иные антивирусы установлены на других серверах компании. Более того, интегрирование антивирусного движка в механизм защиты позволило дополнительно использовать (помимо встроенного McAfee) и другие антивирусные средства, инсталлированные на сервере с Kerio WinRoute Firewall. Для этого достаточно выбрать нужный антивирус из списка. Заметим только, что список поддерживаемых вторичных антивирусных защит не очень большой и ограничивается только семью продуктами.

Надо заметить, что такое совмещение брандмауэра и антивируса добавляет гибкости при выборе продуктов для обслуживания корпоративной сети. Можно приобрести Kerio WinRoute Firewall как со встроенной антивирусной защитой, так и без нее, если у вас уже есть удовлетворяющий вас охотник за вирусами.

Также дополнительной полезной опцией можно рассматривать дополнительный компонент ISS Orange Web Filter. Этот фильтр содержит подробную категоризацию веб-сайтов (всего около 60 категорий — новости, покупки, спорт, путешествия, порнография и так далее). Сортировке подверглись около 60 млн веб-сайтов и более 4,4 млн веб-страниц на 15 языках. Эта функция позволяет настроить Kerio WinRoute Firewall для автоматической блокировки доступа пользователей к сайтам той или иной категории. Доступ можно ограничивать как на уровне пользователей, так и на уровне групп пользователей.

Kerio WinRoute Firewall может запрещать доступ к пиринговым сетям

С ростом неограниченного доступа в Интернет по высокоскоростным каналам растет вероятность использования сотрудниками корпоративного трафика в целях загрузки файлов из файлообменных сетей (KaZaA, eDonkey, eMule или DC++). С целью облегчения работы администраторов по выявлению таких фактов в Kerio WinRoute Firewall встроена функция блокировки работы P2P-клиентов. Также можно воспользоваться статистическим анализом трафика для выявления и нейтрализации неизвестных файлообменных сетей. Возможен аналогичный контроль трафика и по протоколу FTP.

Что касается фильтрации HTTP-трафика, то надо отметить возможность определять порядок обработки ActiveX-объектов и Java-скриптов для предотвращения доставки потенциально опасных вредоносных кодов через межсетевой экран. Также можно блокировать всплывающие окна любых типов, гарантируя комфортный веб-серфинг для сотрудников компании.

Активный поиск информации в Интернете по поводу обнаруженных уязвимостей Kerio WinRoute Firewall дал только одно упоминание . И то выявленная уязвимость легко устранялась апгрейдом до последней версии.

Резюме

Шлюзовый брандмауэр Kerio WinRoute Firewall 6 от компании Kerio Technologies Inc. обеспечивает общий контролируемый доступ в Интернет и защиту от внешних атак и вирусов. Кроме того, он обеспечивает ограничение доступа к сайтам различной тематики и ограничение в работе пиринговых сетей. Разработанный специально для корпоративных сетей предприятий среднего и малого размера, этот файрвол является достаточно привлекательным в плане соотношения цена/качество, обеспечивая высокий уровень защиты.

Системные ограничения
Kerio WinRoute Firewall:

процессор: Pentium III;
оперативная память: 256 Mб RAM;
свободное дисковое пространство: 20 Mб (также необходим дополнительный объем диска для файлов-отчетов и кеш-функции в зависимости от индивидуальных настроек);
два сетевых интерфейса (включая диалап);

Kerio VPN Client:

процессор: Pentium III;
оперативная память: 128 Mб RAM;
свободное дисковое пространство: 5 Mб;
операционная система Windows 2000/XP/2003.

Рынок UTM:

Напомню, что по определению Gartner:

UTM по состоянию на июнь 2017:

А вот, что было год назад, в августе 2016:

3. Sophos:

Рынок Enterprise Firewall:

В 2011г. Gartner ввел новое определение на рынке Enterprise Firewall – Next Generation Firewall (NGFW):

Посмотрим теперь на текущую ситуацию с квадратом Gartner по рынку Enterprise Firewall по состоянию на июль 2017:

А вот, что было год назад, в мае 2016:

Что же думает Gartner о лидерах рынка Enterprise Firewall в отдельности:

1. Palo Alto Networks:

Только зарегистрированные пользователи могут участвовать в опросе. , пожалуйста.

Firewall служит для безопасной работы компьютеров в локальной сети и Интернет. Firewall предотвращает несанкционированный доступ к ресурсам сети. Правильная настройка firewall делает компьютер невидимым в сети Интернет. Firewall ограничивает или запрещает доступ к ресурсам.

Немного о firewall

Сетевой фильтр, шлюз безопасности, брандмауэр или firewall , вот, сколько названий имеет программа, которая словно огненная стена (fire – огонь, wall – стена) стоит на пути компьютерных вирусов и людей, стремящихся получить несанкционированный доступ к вашему ПК.

Будучи сочетанием программного и аппаратного обеспечения компьютера, файрвол является частью его комплексной системы безопасности, а не единственным незаменимым компонентом. Хотя «огненная стена» не стала панацеей от всех угроз, но всё же она способна создавать между компьютером и сетью преграду, через которую не смогут проникнуть на территорию вашего ПК «незваные гости».

Настройка персонального и корпоративного файрвола

Существуют как программные, так и аппаратные брандмауэры. К недостаткам первых можно отнести то, что они потребляют собственные ресурсы ПК. Но аппаратные устройства, хотя и полностью независимы и ставятся на шлюз между локальной сетью и сетью интернета, в сравнении с персональными стоят намного дороже и используются различными компаниями для защиты своей локальной сети.

Персональный файрвол представляет собой программу, которая является элементом операционной системы Windows или же она может быть установлена как часть прикладного программного обеспечения. Обычно настройка firewall не является столь сложной, поскольку программа имеет понятный для простых пользователей интерфейс. С его помощью несложно разрешить подключение к интернету всем программам, которые действительно имеют к нему отношение (Skype, Torrent, Mail.Ru, Internet Explorer и т.д.). А также не позволить отправлять в сеть или принимать из неё пакетные данные какому-нибудь блокноту (в котором могут быть пароли и личная информация), для которого вообще такая деятельность является не естественной.

Корпоративный файрвол защищает локальные сети различных компаний от «непредусмотренных сетевых запросов». Он блокирует все такие запросы и спрашивает пользователя о разрешении создания такого подключения. Если у вас нет предприятия с локальной сетью, состоящей из многих компьютеров, то у вас нет необходимости его устанавливать. Установку и настройку корпоративных «стен» производит системный администратор.

Особенности настройки firewall

Хороший Firewall по умолчанию должен владеть информацией обо всех системных службах и прикладном программном обеспечении, нуждающемся в доступе в интернет и производящем обмен пакетными данными. Он не должен всё время спрашивать о разрешении подключения таким приложениям. Он должен делать это автоматически. В общем, брандмауэр должен иметь хороший Мастер настройки, который автоматизирует её процесс.

Файрвол может иметь несколько уровней защиты. Если вы оцениваете угрозу высоко, то можете поставить самый «маниакальный» уровень, который будет контролировать весь ваш трафик и память. Но такая защита может заметно оказывать влияние на производительность системы, (если конфигурация компьютера ниже среднего уровня). Уровень низкого контроля будет отсекать самые явные угрозы. Firewall считается хорошим, только в том случае, если он оказывает заметное влияние на производительность системы, но при этом даёт ей степень защиты выше среднего.

Для того чтобы проверить эффективность работы вашего файрвола существует множество утилит, например Atelier Web Firewall Tester . Это специальные программы, которые работают по принципу «троянских коней» и им подобных программ. Если им удаётся отправлять и получать информацию в обход вашей «стены» то, значит в ней есть брешь, и её ценность сводится к нулю.