Межсетевой экран следующего поколения (NGFW) выполняет глубокую проверку пакетов для проверки содержимого данных, проходящих через межсетевой экран. В отличие от более простых межсетевых экранов, которые проверяют только заголовок пакетов данных, NGFW проверяют и оценивают полезные данные внутри пакета. Такая глубокая проверка пакетов обеспечивает основу для различных функций NGFW, которые улучшают блокировку вредоносных программ.
Как работают межсетевые экраны нового поколения
С помощью брандмауэров нового поколения вся информация, передаваемая компьютерами через любую сеть, разбивается на передаваемые фрагменты, известные как часть данных пакета. Данные заключены в инструкции о том, как доставить эти данные (IP-адрес, порт назначения и т. д.), которые известны как заголовок пакета.
Пакеты данных добавляют инструкции заголовка, классифицированные либо по модели взаимодействия открытых систем (OSI), либо по одной из моделей протокола управления передачей/интернет-протокола (TCP/IP). Все брандмауэры фильтруют информацию на основе правил для информации сетевого и транспортного уровня, а многие новые брандмауэры также могут фильтровать на уровне канала передачи данных, чтобы блокировать вредоносные IP-адреса и URL-адреса.
NGFW остаются единственным классом межсетевых экранов, фильтрующих данные на основе информации о пакетах уровня приложения, представления или сеанса. Кроме того, они могут расшифровывать данные, чтобы проверять содержимое самих пакетов на наличие вредоносного содержимого.
Некоторые организации являются идеальными кандидатами на межсетевой экран следующего поколения, в то время как другие могут предпочесть другие типы межсетевых экранов. Факторы, которые следует учитывать, включают особенности и возможности NGFW, а также их ключевые преимущества и недостатки.
Кому нужен межсетевой экран нового поколения?
Каждая организация, которая может позволить себе межсетевой экран следующего поколения, может извлечь выгоду из дополнительной безопасности, обеспечиваемой глубокой проверкой пакетов. Раньше поставщики NGFW ориентировались на крупнейшие предприятия, но теперь большинство межсетевых экранов включают в себя множество возможностей NGFW из-за широких преимуществ, которые удовлетворяют потребности межсетевых экранов в большинстве ситуаций — даже для малого бизнеса и небольших ИТ-команд.
Некоторые организации будут обладать потребностями в высокоскоростной передаче данных, которые не допускают задержек при проверке пакетов NGFW перед серверами приложений, базами данных и т. д. Тем не менее, даже эти организации будут развертывать NGFW в других частях организации, чтобы обеспечить общую защиту пользователей, филиалов, офисов и т. д. и приложения, терпимые к задержкам.
Кому не выгодны NGFW?
Для компаний с ограниченными ресурсами или особыми потребностями NGFW может стоить слишком дорого, развертываться с чрезмерными опциями или вызывать слишком большие задержки при передаче данных. Эти организации рассмотрят различные типы межсетевых экранов , которые могут оказаться более подходящими.
Варианты с ограниченными ресурсами
Хотя большинство продаваемых сегодня межсетевых экранов используют многие возможности NGFW, бюджетные ограничения могут привести к тому, что команды с ограниченными ресурсами будут искать недорогие межсетевые экраны с ограниченным набором функций, аналогичные по возможностям традиционным межсетевым экранам. Некоторые организации с ограниченным количеством ИТ-персонала могут предпочесть использовать решение «брандмауэр как услуга» (FWaaS), которое обеспечивает более надежные возможности в обмен на упрощенные варианты и уменьшенный контроль.
Упрощенные потребности
Иногда сети необходим простой брандмауэр для сегментации сети или для выполнения простой фильтрации пакетов в целях сетевой безопасности . Дополнительные функции и затраты NGFW будут потрачены на решение простых задач, а недорогой и упрощенный межсетевой экран станет более подходящим решением.
Опции высокой пропускной способности данных
Потребности в высокой пропускной способности данных часто требуют нескольких решений брандмауэра, которые могут обеспечить быструю фильтрацию на основе пакетов в качестве первого уровня защиты, за которыми следуют специализированные брандмауэры для обеспечения специализированной защиты облачной безопасности , веб-приложений , баз данных или контейнеров. Эти организации по-прежнему могут использовать NGFW для защиты своих общих сетей, но сочтут проверку пакетов узким местом в производительности перед высокоскоростными серверами приложений.
5 основных функций и возможностей межсетевых экранов следующего поколения
Брандмауэры создают защитные барьеры, и каждая функция обеспечивает защиту от конкретных угроз. Межсетевые экраны следующего поколения обладают пятью ключевыми функциями:
- Традиционные функции межсетевого экрана: Фильтрация на основе заголовков пакетов.
- Глубокая проверка пакетов: фильтрация на основе особенностей приложения, анализ зашифрованного трафика, источников и пунктов назначения, а также интеграция каналов анализа угроз.
- Предотвращение сетевых вторжений: отслеживайте сетевой трафик на предмет потенциальных признаков атаки.
- Фильтрация с учетом пользователей: привязка к активному каталогу для изменения правил пользователями и группами.
- Сетевая изолированная программная среда: изолированно проверяйте неизвестные файлы на предмет вредоносного поведения.
Традиционные функции брандмауэра
Все NGFW включают оригинальные возможности, разработанные для первых поколений межсетевых экранов. Эти возможности пакетов, сеансов и прокси-серверов продолжают обеспечивать быструю фильтрацию, высвобождающую ресурсы для более продвинутых функций.
Фильтрация пакетов
Фильтрация пакетов считывает порт и IP-адреса в заголовке пакета и блокирует трафик на основе определенных правил брандмауэра. Эта функция важна, поскольку она сужает сферу потенциальных атак. Автоматическое удаление несанкционированного и нежелательного трафика также уменьшает количество пакетов, для которых NGFW необходимо будет выполнять глубокую проверку пакетов.
Фильтрация сеансов
Брандмауэры используют правила фильтрации сеансов для мониторинга установленных соединений и блокировки атак с использованием поддельных сеансов. Более старые распределенные атаки типа «отказ в обслуживании» (DDoS) использовали неверные TCP-запросы для перегрузки серверов, а фильтрация сеансов отбрасывала запросы, не связанные с новыми или установленными сеансами.
Государственная инспекция
Брандмауэры с отслеживанием состояния отслеживают поведение активных сетевых подключений, чтобы обнаружить и заблокировать потенциальные риски для данных и трафика. Проверка с отслеживанием состояния требует больше памяти и больше времени для анализа пакетов в контексте других данных, связанных с конкретными соединениями.
Возможности прокси
Возможности прокси-сервера позволяют брандмауэру действовать как единая точка контакта для источников за пределами сети брандмауэра, после чего брандмауэр перенаправляет трафик на определенные активы за брандмауэром. Эту категорию возможностей можно разбить на отдельные подфункции, такие как:
- Шлюз уровня приложения (ALG). Улучшите фильтрацию трансляции сетевых адресов для протоколов уровня приложения, таких как FTP, BitTorrent, Telnet и т. д.
- Шлюзы уровня канала (CLG): предоставляют прокси-сервисы с возможностями фильтрации сеансов или просто обеспечивают фильтрацию сеансов в зависимости от настройки.
- Трансляция сетевых адресов (NAT): действует как маршрутизатор, где только брандмауэр знает, как направлять трафик внутри сети.
- Преобразование адресов портов (PAT): используйте данные порта для перенаправления пакетов на различные активы, например данные маршрутизации на порт 587 на сервер электронной почты.
- Виртуальная частная сеть (VPN): включите зашифрованные туннельные соединения между внутренними и внешними устройствами.
Глубокая проверка пакетов
Глубокая проверка пакетов учитывает информацию прикладного уровня, а также само содержимое пакета, чтобы обеспечить гораздо большую защиту, часто усиливаемую обнаружением аномалий искусственного интеллекта (ИИ). Глубокая проверка пакетов обеспечивает и интегрирует фильтрацию на основе осведомленности о приложениях, содержимого зашифрованных данных, осведомленности о вредоносных сайтах и сигнатур вредоносных программ.
Фильтрация с учетом приложений
Глубокая фильтрация пакетов позволяет распознавать приложение, действия приложения и данные, передаваемые между приложением и пользовательским устройством. Например, если традиционный брандмауэр может либо разрешать, либо блокировать доступ к Facebook, NGFW может разрешать Facebook, но блокировать игры Facebook. Рискованные приложения можно полностью заблокировать, а другие приложения можно разрешить, но заблокировать при попытке доступа к конфиденциальной информации или определенным устройствам.
Проверка зашифрованного трафика
Чтобы обеспечить глубокую проверку пакетов, NGFW расшифровывают уровень защищенных сокетов (SSL), безопасную оболочку (SSH) или другие зашифрованные соединения, чтобы проверить зашифрованные данные на наличие признаков вредоносного поведения. Например, пользователь может щелкнуть ссылку в вредоносном электронном письме, которое пытается установить зашифрованное соединение HTTPS для загрузки вредоносного ПО. NGFW расшифрует данные, обнаружит вредоносный контент и заблокирует его.
Фильтрация с учетом источника и места назначения
NGFW проверяют источники и пункты назначения каждого соединения трафика, используя как информацию заголовка, так и расшифрованную информацию о трафике. Фильтрация URL-адресов, веб-сайтов или IP-адресов применяется для блокировки известных плохих соединений. Подозреваемый плохой или аномальный трафик может быть временно заблокирован или отмечен как подозрительный для служб безопасности.
Ленты информации об угрозах
Каналы аналитики угроз предоставляют списки вредоносных IP-адресов, сигнатур вредоносных программ и других индикаторов угроз, что позволяет NGFW быстро обнаруживать угрозы и предотвращать атаки. NGFW обычно интегрирует поток данных об угрозах от поставщика брандмауэра, но некоторым покупателям также может потребоваться NGFW, который может включать в себя различные каналы данных об угрозах для улучшенного обнаружения.
Система предотвращения вторжений в сеть (IPS)
Хотя NGFW обычно связан с защитой данных, передаваемых между корпоративной сетью и внешним миром, он также может отслеживать трафик, проходящий внутри сети, на предмет признаков атаки. Некоторые NGFW могут бросить вызов возможностям автономных устройств IPS, но перед заменой систем IPS протестируйте возможности NGFW в условиях реальных угроз и нагрузки. Перегруженный NGFW может создать узкие места или вызвать задержки трафика.
Фильтрация с учетом пользователя
NGFW может интегрироваться с каталогами пользователей ИТ (например, Active Directory) и изменять правила брандмауэра в зависимости от пользователей и групп пользователей. Например, сайты и приложения для обмена файлами могут быть разрешены для отдела маркетинга, но заблокированы для отдела исследований и разработок. Хотя эта функция очень эффективна, она зависит от точного назначения групп в каталоге.
Сетевая песочница
Некоторые NGFW предоставляют сетевые или облачные песочницы, в которых подозрительные файлы можно открывать и тестировать на изолированной виртуальной машине. Песочница часто предлагается в качестве дополнительной подписки и является хорошим ресурсом для групп внутренней безопасности. Однако имейте в виду, что некоторые вредоносные программы могут проверять среду безопасности перед выполнением вредоносного поведения, поэтому некоторые результаты в песочнице могут быть неточными.
3 главных преимущества NGFW
Глубокая проверка пакетов NGFW обеспечивает три ключевых преимущества для повышения безопасности, улучшения контроля и снижения сложности.
Повышенная безопасность достигается за счет глубокой проверки источников, пунктов назначения и трафика. NGFW блокирует известные вредоносные источники или места назначения и отфильтровывает все обнаруженные вредоносные программы. Хотя это звучит просто, блокировка вредоносного ПО требует применения нескольких методов анализа, а повышенная безопасность будет основным мотиватором покупок NGFW.
Расширенный контроль обусловлен улучшенной осведомленностью и отслеживанием пользователей, устройств и приложений, а также централизованным управлением. Расширенные возможности брандмауэра понимают более глубокие контексты и нормальное поведение, чтобы обнаруживать и блокировать ненормальное или вредоносное поведение. Централизованное управление также позволяет небольшой команде поддерживать и контролировать сетевую безопасность.
Уменьшение сложности может произойти, если NGFW заменят другие решения безопасности, такие как решения IPS для выделенной сети. Единое решение с централизованным управлением может снизить требования к обучению, установке и обновлению по сравнению со многими различными решениями безопасности.
4 недостатка NGFW
Мощные NGFW предоставляют ценные преимущества, но также требуют компромисса между производительностью, бюджетом, конфигурацией и рисками атак.
Замедление трафика является результатом глубокой проверки пакетов. Для каждой проверки безопасности, примененной к пакету, задержка в микросекунду увеличивает скорость передачи пакета. Надежная безопасность большого количества проверок достигается за счет замедления скорости передачи данных.
Увеличение затрат на развертывание связано с расширением возможностей NGFW. Каждая дополнительная функция предоставляет ряд опций для выбора и интеграций для управления, которые потребуют времени и опыта, а это увеличивает расходы.
Повышенный риск неправильной конфигурации также возникает из-за расширенных возможностей NGFW. Каждая опция каждой функции предоставляет возможность ошибки или непреднамеренных конфликтов. Повышенная сложность потребует более тщательного тестирования для проверки правильности настройки.
Риск консолидированной атаки естественным образом возникает, когда NGFW заменяет другие решения безопасности. Вся нагрузка по защите ложится на решение NGFW, которое становится единой точкой отказа. Например, Агентство кибербезопасности и безопасности инфраструктуры США (CISA) предупреждает, что централизованная проверка шифрования обеспечивает централизованную цель для атак и может ослабить безопасность зашифрованной связи.
NGFW против традиционных межсетевых экранов и других решений
NGFW повышает безопасность по сравнению с большинством других типов межсетевых экранов , но не является лучшим решением для всех задач фильтрации трафика. Кроме того, NGFW обычно заменяет традиционный брандмауэр в традиционной модели безопасности «замок и ров», что может быть не лучшим решением для защиты современной ИТ-инфраструктуры.
В общем, NGFW обеспечивает лучший вариант безопасности. Однако вот краткий список других технологий и тех случаев, когда они лучше подходят:
- Традиционные межсетевые экраны: предоставляют более дешевые варианты простой и быстрой фильтрации данных.
- Унифицированное управление угрозами (UTM): поставка недорогих комплексных решений безопасности «все в одном».
- Брандмауэры веб-приложений (WAF): обеспечивают высокоскоростную специальную защиту приложений.
- Брандмауэры баз данных: поддерживают высокоскоростную и специализированную фильтрацию для обеспечения безопасности базы данных .
- Облачные брандмауэры: предварительно настройте возможности NGFW в брандмауэрах, оптимизированных для облачной безопасности .
- Контейнерные брандмауэры: обеспечивают возможность запуска кода и специализированную защиту контейнеров .
- Брандмауэр как услуга (FWaaS): предоставляет облачный и масштабируемый NGFW как услугу.
- Безопасные веб-шлюзы (SWG): включите защиту от вредоносного ПО для локальных и удаленных ресурсов.
- Secure Service Edge (SSE): расширяет возможности NGFW и многое другое для удаленных активов.
- Пограничная служба безопасного доступа (SASE). Объедините SSE и сетевые операции.
- Доступ к сети с нулевым доверием (ZTNA). Добавьте управление идентификацией и доступом (IAM) к возможностям NGFW как для локальных, так и для удаленных активов.
При сравнении решений обязательно изучите детали. Некоторые функции потребуют дополнительных подписок, и не все функции будут эквивалентными или необходимыми. Например, некоторые NGFW поддерживают до 5000 приложений, а другие — всего 800. Однако, если вам нужны только приложения из 800, вам не нужно платить дополнительную плату за поддержку полных 5000 функций.
Также обязательно учтите в решении функции автоматизации, помощи искусственного интеллекта и отчетности. Современное предприятие зачастую ограничено в ресурсах, а также предъявляет множество различных требований к соответствию. Автоматизация и искусственный интеллект могут помочь небольшим командам добиться большего, а отчетность может снять некоторые трудности с соблюдением требований.
Итог: эффективная защита NGFW требует эффективных правил
Межсетевые экраны следующего поколения часто представляют собой лучший вариант защиты сети. NGFW также может обеспечить эффективную облачную безопасность, безопасность нескольких филиалов или даже возможности FWaaS при развертывании в качестве виртуального устройства. Однако все межсетевые экраны, даже NGFW, зависят от правильной настройки для обеспечения эффективной защиты, и одно неправильно настроенное или плохое правило межсетевого экрана может нанести вред даже самой мощной функции безопасности.