Обзор товарного предложения на рынке средств межсетевого экранирования
Яков Шпунт, научный редактор Intelligent Enterprise Корпоративные системы
Наиболее популярны на рынке средств информационной безопасности такие классы оборудования, как межсетевые экраны, средства детектирования и предотвращения атак (IDS/IPS), комплексы предотвращения утечек информации (DLP-системы) и средства анализа и корреляции событий (SIEM).
Настоящий обзор посвящен первому из обозначенных классов программно-аппаратных комплексов (ПАК) — межсетевым экранам, которые, наряду со средствами защиты от вредоносного ПО, являются наиболее широко используемыми инструментами обеспечения информационной безопасности (ИБ). Уровень их проникновения в организации составляет практически 100%.
Межсетевой экран представляет собой «комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами». Его можно сравнить с оградой вокруг территории, которая ограничивает вход и въезд туда строго определенным и специально оборудованным местом (или местами), закрывая все остальные. Только межсетевой экран, называемый также файрволл (реже брандмауэр) защищает сетевой периметр от проникновения постороннего сетевого трафика, не подпадающего под заранее выставленные ограничения.
Конечно, для решения данной задачи существует большое количество чисто программных решений, но они требуют тщательной настройки правил и хорошего знания особенностей ПО, которое эксплуатируется в компании. При этом любая ошибка или небрежность означает или появление уязвимости и открывает дорогу внешним злоумышленникам или внутренним нарушителям, или то, что ПО не будет нормально работать. Кроме того, программный межсетевой экран обычно выполняет только одну функцию, в то время как аппаратный комплекс часто решает весьма широкий спектр дополнительных задач, включая наличие туннелей для виртуальных частных сетей, очистку трафика от вредоносного кода, а также защиту от фишинга.
Данный сектор рынка весьма обширен. На нижнем полюсе располагаются персональные брандмауэры, которые обычно являются составной частью операционной системы (Windows XP с комплектом обновления Service Pack 2 и новее, все Unix-подобные ОС, включая Linux, xBSD, OS X и др.), программным модулем в прошивке клиентского устройства для обеспечения доступа в Интернет (xDSL и GPON-модемы, точки беспроводного доступа Wi-Fi, многие другие виды телекоммуникационного и сетевого оборудования, в частности, маршрутизаторы и управляемые коммутаторы) или комплекса для защиты конечных точек (наряду с ПО для защиты от вредоносного ПО, спама, фишинга). Данный уровень мы не рассматриваем, поскольку это связанные решения, которые не образуют свободного рынка ПАК межсетевого экранирования.
Верхний уровень занимают аппаратные межсетевые экраны корпоративного уровня, которым и посвящен настоящий обзор. Данные устройства не требуют для запуска длительных пусконаладочных работ, а в дальнейшем — существенных усилий по администрированию и техническому обслуживанию. В идеале сценарий использования выглядит как «включили, через 10 лет выключили и утилизировали». При этом, естественно, данные ПАК при необходимости, например, чтобы закрыть новую выявленную угрозу или уязвимость в штатном ПО, допускают вмешательство в свою работу.
От простого межсетевого экрана к UTM
Аппаратные межсетевые экраны появились в первой половине 90-х годов, вместе с зарождением Интернета (чисто программные средства существовали и раньше). Но практически сразу они перестали ограничиваться одной только этой функцией межсетевого экранирования, описанной выше. С середины 2000-ных годов процесс расширения функциональности систем ускорился. Это было связано с изменением ситуации с угрозами, в частности, с широким распространением атак класса DDoS и появлением сетевых «червей» с чрезвычайно высокой скоростью распространения (Slammer, MS Blast). Одновременно шли процессы распространения портативных систем и расширения практики удаленной работы, что быстро привело к размыванию традиционного понятия периметра корпоративной сети и, соответственно, смене парадигмы модели его защиты. При этом задача обеспечения защищенного удаленного доступа стала актуальной для большой массы компаний, в том числе и относительно небольших, а не только крупных территориально распределенных корпораций.
В итоге все это привело к появлению нового класса оборудования Unified Threat Management (UTM) — средств единого управления угрозами, которые объединяют не только межсетевой экран, но и функции защиты от вредоносного ПО, модули предотвращения вторжений (включая DDoS-атаки), а также средства очистки Web- и почтового трафика от нежелательной рекламы и шпионских модулей. К слову, большая часть устройств, рассматриваемых в ходе данного обзора, позиционируется или фактически являются UTM. Их отнесение к классу именно межсетевых экранов связано, по большей части, с историческими причинами и наличием в них этой функции.
Некоторые такие устройства, в частности, от компании CheckPoint, являются кластерами из виртуальных машин, на каждой из которых установлен модуль, решающий ту или иную задачу. Причем для выполнения каждой из этих отдельных функций можно также создать кластер из виртуальных машин, что, естественно, способствует бесперебойному функционированию. Важно отметить, что для каждой из функций можно выбирать компоненты от разных вендоров, которые наилучшим образом себя зарекомендовали. Так например, в устройствах от CheckPoint можно использовать средства контентной фильтрации не только собственной разработки, но и модуль от компании BlueCoat. Также часто рекомендуется использование двух или больше антивирусных движков от разных вендоров, что практически невозможно при традиционном сценарии развертывания чисто программных средств защиты конечных точек.
На российском рынке представлены UTM-системы от целого ряда компаний, включая (в алфавитном порядке) CheckPoint, Cisco, Dell, Entensys, Fortinet, Juniper Networks, Netask, Sophos, WatchGuard, «А-Реал Консалтинг». Однако, по оценкам портала Anti-Malware.RU, популярность данного класса оборудования в нашей стране пока не слишком высока. Это связано с высокой стоимостью такого рода решений, традиционным недоверием к продукции иностранных поставщиков у многих категорий потенциальных потребителей, которое к тому же довольно долгое время сопровождалась сложностями с сертификацией, а также высоким уровнем затрат для вывода оборудования на рынок (локализация, обучение персонала, маркетинг).
В то же время ряд компаний, в частности, D-Link и ZyXEL, уже довольно давно продвигают более демократичные по цене устройства, рассчитанные на использование в малом и среднем бизнесе, но также позиционируемые как UTM.
Однако и среди систем младшего уровня есть немало комплексов, которые могут решать весьма широкий круг задач. Наиболее типично дополнение ПАК межсетевого экранирования такими функциями, как создание VPN-тоннелей, средствами контентной фильтрации и очистки почтового и web-трафика от вредоносного ПО и непрошенной рекламы. Довольно распространено также оснащение таких комплексов средствами предотвращения атак.
Критерии для сегментации рынка
Как и для других сегментов рынка ИТ-оборудования и ПО, для ПАК межсетевого экранирования можно выделить несколько критериев, позволяющих провести внутреннюю сегментацию этих средств, как то:
количество и быстродействие сетевых портов и интерфейсов (медных, оптоволоконных);
рекомендованное максимальное количество пользователей;
быстродействие (с включенной и выключенной защитой);
возможности по расширению;
форм-фактор;
тип устройства (физическое или виртуальное);
Наличие дополнительных функций и условия их лицензирования.
Количество портов, а также сетевых интерфейсов разных типов и их быстродействие — важнейший параметр для сегментирования любого оборудования, так или иначе ориентированного на использование в сетях, и ПАК межсетевого экранирования не исключение. Однако более важным признается максимальное рекомендуемое количество пользователей. Системы, где это число не превышает 50 (иногда 64) относят к начальному уровню (табл. 1), от 65 до 200 — к среднему (табл. 2), и более 200 — к старшему классу (табл. 3).
Наиболее функциональные решения могут стоить десятки тысяч долларов. Причем установка и внедрение «тяжелых» решений является фактически интеграционным проектом просто в силу масштабов сети, которую они призваны защищать. Тут одна только замена адресов на пользовательских рабочих местах становится довольно трудоемкой задачей, и она еще не самая сложная. В итоге конечная цена оборудования может занимать относительно небольшую долю в общем объеме затрат по проекту. Поэтому мы сочли нецелесообразным приводить цены на оборудование наиболее высокого класса.
Имеет значение и быстродействие. У ряда вендоров есть модели, формально не имеющие ограничений по количеству пользователей, но при этом с низким быстродействием. Естественно, относить эти модели к высшему уровню нельзя. В целом же для систем начального уровня быстродействие не превышает 1,5 Гбит/с, у всех систем среднего уровня, за исключением одной, оно находится в пределах 2–4 Гбит/с, старшего уровня — более 4 Гбит/с.
На принадлежность к младшему уровню устройств указывает также наличие одного порта WAN. Если WAN-порты поддерживают только медный интерфейс, это также однозначно указывает на младший уровень. Для устройств среднего уровня более характерно два порта WAN, причем поддерживаются одновременно медный и оптоволоконный интерфейсы. Оборудование высшего уровня может иметь и 4 порта WAN разных типов. Наличие дополнительных портов WAN, которые являются точками входа сетевого трафика, является очень важным параметром, влияющим на обеспечение бесперебойной работы комплекса.
При этом наличие нескольких портов WAN — не единственный параметр, позволяющий судить о возможностях по обеспечению бесперебойной работы комплекса. Как и в серверном оборудовании или СХД, в ПАК межсетевого экранирования может быть предусмотрено горячее резервирование целого ряда модулей. Наиболее распространено использование дополнительных блоков питания. В системах с использованием блейд-архитектуры возможна замена и физических серверов-лезвий. Однако наличие модулей с горячей заменой является отличительной особенностью только наиболее дорогих систем высшего уровня.
Возможности по расширению — также довольно важный параметр, но от класса оборудования он практически не зависит. Тем более что для разных классов возможности расширения различаются. Так, для устройств начального уровня не редкость возможность подключения дополнительных периферийных устройств с помощью шины USB (например, когда для доступа в Интернет используется 3G/4G-модем, или реализован коллективный доступ к внешнему жесткому диску, что превращает систему в аналог NAS, пусть и начального уровня). Поддержка USB, хоть и редко, встречается и на устройствах среднего уровня. Довольно распространено традиционное для ПК и серверов расширение в виде специальных плат, однако, часто это реализуется в проприетарном форм-факторе, который несовместим с продукцией других вендоров. Таким образом, например, можно добавить в систему дополнительные порты или сетевые интерфейсы.
Для устройств класса UTM возможность расширения понимается особенно широко. Это может быть и возможность установки новых физических лезвий, если система использует такую архитектуру, а также наличие резерва по аппаратной мощности, который позволяет установить дополнительные виртуальные машины с теми или иными модулями, как новыми, так и дополнительно к тем, что уже инсталлированы.
Форм-фактор также может иметь определенное значение. Среди устройств, представленных на российском рынке, имеются как настольные устройства (распространены среди оборудования начального уровня), так и предназначенные для монтажа в 42-дюйм шкафы-стойки. Смежным моментом является электропитание, которое может быть трех типов: постоянного тока 48 В (традиционно для телекоммуникационного оборудования), 220 В (обычная электросеть), 380 В (оборудование для монтажа в стойку).
Как уже было сказано выше, постепенно набирают популярность многофункциональные комплексы, или UTM, которые в одной коробке объединяют функциональность нескольких систем. В ряде UTM могут использоваться системы класса virtual appliance (виртуальный ПАК). Это преднастроенная виртуальная машина, предназначенная для функционирования в том или ином качестве, в том числе межсетевого экранирования, но далеко не ограничиваясь им (табл. 4).
Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.