Обзор мирового и российского рынка прокси-серверов Secure Web Gateways (SWG)

На фоне стремительного развития ИБ-технологий стали ускользать из упоминания пионеры обеспечения безопасного сетевого взаимодействия — Secure Web Gateways (SWG). На российском рынке  Secure Web Gateways стали почти незаметны на фоне развивающихся рынков UTM и NGFW. Поэтому в данном обзоре мы напомним о таких компонентах сетевой инфраструктуры, как прокси-серверы с функциями информационной безопасности, и расскажем о существующих на рынке решениях.

 

 

1. Введение

2. Назначение и виды прокси-серверов

3. Мировой рынок прокси-серверов

4. Российский рынок прокси-серверов

5. Обзор SWG-продуктов

5.1. Check Point Next Generation Secure Web Gateway

5.2. Cisco Web Security Appliance

5.3. Forcepoint Web Security

5.4. Smart-Soft Traffic Inspector

5.5. Solar Dozor Web Proxy

5.6. Symantec ProxySG (Blue Coat ProxySG)

5.7. Trend Micro InterScan Web Security

6. Обзор продуктов других производителей — в качестве альтернативы SWG

6.1. Entensys UserGate Web Filter

6.2. Fortinet FortiGate

6.3. Ideco ICS

6.4. Kerio Control

6.5. Интернет Контроль Сервер

7. Обзор бесплатных прокси-серверов

7.1. Squid

7.2. 3proxy

8. Выводы

 

 

Введение

В настоящее время может показаться, что термин «прокси-сервер» исчез из употребления в профессиональных сообществах. Больший интерес сейчас проявляется к средствам защиты такого класса, как DLP, SIEM, SOC, NGFW, WAF, а прокси-серверы как бы остались в стороне. Однако это только первые впечатления. На самом деле прокси-серверы из самостоятельных решений перешли в состав многофункциональных комплексов, например, таких, как шлюзы/серверы безопасности или интернет-шлюзы.

Одним из хороших примеров такого развития является история роста Microsoft Proxy Server до ISA Server и далее до Microsoft Forefront Threat Management Gateway. Возможно, это не самый удачный пример, так как 9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG (основная поддержка прекращена 14.04.2015 года, а расширенная закончится 14.04.2020 года). О возможных вариантах замены Forefront TMG мы уже писали в нашей статье «Незаменимых нет: куда мигрировать с Forefront TMG?». Но речь сейчас не об этом.

В целом решения такого класса, как прокси-серверы — есть. И они представлены либо в виде самостоятельных продуктов (такие все-таки остались), либо в виде комплексных систем. При этом на рынке присутствуют как бесплатные продукты, так и платные. В этом обзоре мы расскажем о таких решениях, существующих на российском рынке.

 

Назначение и виды прокси-серверов

С терминологической точки зрения ничего нового в понятии прокси-сервера не появилось. По-прежнему это посредник между пользователями и интернет-ресурсами. Прокси-сервер предназначен для решения следующих задач:

• Контроль доступа и использования интернет-ресурсов пользователями. Позволяет ограничить доступ к различным сайтам; установить квотирование трафика, полосы пропускания, временные интервалы доступа, выполнить контентную фильтрацию (например, рекламы). Поддерживает ведение журналов регистрации действий пользователя в Сети, включая фиксацию даты, времени и просмотренного содержимого.
• Повышение скорости доступа к ресурсам и экономия трафика с сохранением пропускной способности. Позволяет сжимать трафик и кэшировать данные. Загруженная из интернета информация может быть передана пользователю в сжатом виде. При обращении пользователя к какому-либо интернет-ресурсу прокси-сервер сохраняет копию просмотренных веб-страниц в локальном хранилище. При повторном обращении и после проверки отсутствия изменений на ресурсе прокси-сервер предоставит пользователю сохраненную копию из локального хранилища.
• Обеспечение конфиденциальности пользователей для внешних ресурсов. Позволяет скрывать для внешних ресурсов сведения об истинном источнике запроса. Для внешнего ресурса в качестве источника запроса будет выступать прокси-сервер, а не конечный пользователь.
• Защита внутренней сети организации от внешнего доступа. Позволяет организовать обращения к внешним ресурсам только через прокси-сервер. Тем самым исключается возможность обратного доступа со стороны внешних ресурсов непосредственно на рабочие места внутри организации (так как видеть они будут только прокси-сервер, а не конкретные рабочие места). Кроме того, может поддерживаться шифрование.

На практике выделяют следующие основные типы прокси-серверов:

• Шлюз (gateway), или прокси-сервер туннелирования (tunneling proxy) — к такому типу относятся прокси-серверы, которые передают запросы и ответы между пользователями и интернет-ресурсами без изменений.
• Прямой прокси-сервер (forward proxy) — прокси-сервер, ориентированный на доступ пользователей к внешним ресурсам интернета. Прямые прокси-серверы, по большому счету, можно разделить на два основных вида: внутренние и открытые (open proxy). К внутренним относятся прокси-серверы, устанавливаемые на границе сетевой инфраструктуры организации для управления (ограничения) доступа внутренних пользователей к интернет-ресурсам. Открытые прокси-серверы — это серверы, доступ к которым может получить любой пользователь интернета. В Сети в открытом виде размещаются и поддерживаются в актуальном состоянии перечни таких open-proxy-серверов. Как правило, открытые прокси-серверы пользователями применяются для обхода ограничений доступа к внешним интернет-ресурсам и анонимизации. Одним из представителей такого средства анонимизации выступает Tor — система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение, защищенное от прослушивания. По поводу обеспечения им анонимности мы уже высказывали свое мнение в статье «Действительно ли браузер Tor обеспечивает полную анонимность?». В данном обзоре мы не рассматриваем открытые прокси-серверы.
• Обратный прокси-сервер (reverse proxy) — прокси-сервер, в противоположность прямому, ориентированный на доступ внешних сотрудников к внутренним ресурсам организации через интернет.

В зависимости от способа подключения в сетевой инфраструктуре и дальнейшей работы прокси-сервера выделяют следующие основные варианты его применения:веб-прокси (web proxy), SOCKS-прокси, прозрачный прокси (transparent proxy), DNS-прокси и другие.

 

Мировой рынок прокси-серверов

Исследовательская компания Gartner объединила производителей прокси-серверов с функциями безопасности в сегмент Secure Web Gateways (SWG). Проведя свое исследование в 2017 году, Gartner распределила производителей по магическому квадранту следующим образом:

 

Рисунок 1. Магический квадрант Gartner для SWG

 

В исследованиях указывается, что продукты, предлагаемые в виде облачных услуг (SWG-services), развиваются стремительнее, чем SWG-appliance. Однако, SWG-appliance все еще занимают более 70% рынка решений. Согласно определению, к SWG относятся продукты, обеспечивающие URL-фильтрацию, защиту от вредоносного кода и возможность контроля доступа приложений в интернет.

Важно отметить, что в исследовании Gartner в качестве SWG не рассматриваются UTM-устройства и NGFW-устройства (которые также позволяют обеспечить фильтрацию URL-адресов и защиту от вредоносных программ).

Лидерами мирового рынка, по результатам исследований компании Gartner, являются Symantec и ZScaler. В июне 2016 года компания Symantec сделала довольно хитрый ход, позволяющий ей перепрыгнуть из нишевых игроков рынка сразу в лидеры — она совершила крупную покупку, приобретя Blue Coat Systems Inc.

К претендентам в лидерство, чьи продукты хорошо зарекомендовали себя на рынке, относятся: Cisco, Forcepoint (бывший Websense) и McAfee (бывший Intel Security).

Основными нишевыми игроками рынка являются Barracuda Networks, Trend Micro, Sophos, Sangfor, ContentKeeper.

Из квадранта 2017 года по сравнению с 2016 была исключена компания Trustwave. Это произошло из-за того, что компания не смогла получить заметного дохода от продажи SWG.

По оценкам компании Gartner, совокупный доход вендоров, представленных в квадранте, в 2016 году составил $1,6 млрд. Таким образом, по сравнению с 2015 годом доход вырос на 7%. При этом доход от реализации облачных услуг составляет порядка 29% от общего объема реализованных в 2016 году решений. И, по прогнозам, эта доля будет увеличиваться с каждым годом.

 

Российский рынок прокси-серверов

Если на глобальном рынке такие продукты представлены сегментом SWG, то на российском рынке ситуация немного сложнее. Учитывая менталитет российского потребителя («нам бы все и сразу»), функции безопасности прокси-сервера отечественные вендоры стараются реализовать в составе своих комплексных решений. Явной и, наверное, самой передовой в этом случае альтернативой SWG в России являются UTM- и FW‑решения.

На российском рынке наиболее распространены продукты таких международных компаний, как Blue Coat (с недавних пор Symantec), Cisco, Forcepoint (Websense) и Trend Micro. Бесплатную альтернативу продуктам этих компаний предлагает Squid-cache.org. Все эти компании, по нашей оценке, можно считать лидерами рынка в России. Присутствуют на рынке также ContentKeeper, Sophos, Barracuda Networks, Kerio Technologies.

Отечественные вендоры предлагают решения со сходной функциональностью, но в других рыночных сегментах. К ним можно отнести: Entensys, «Етайп», «А-Реал Консалтинг», «Смарт-Софт» и Solar Security.

Учитывая особенности российского рынка и многообразие представителей, наиболее распространенные в России продукты можно разделить на следующие группы:

• SWG-продукты:
  • Check Point Next Generation Secure Web Gateway
  • Cisco Web Security Appliance (WSA)
  • Forcepoint Web Security (бывший Websense TRITON AP-WEB)
  • Smart Soft Traffic Inspector
  • Solar Dozor Web Proxy (Solar Security)
  • Symantec Corporation (Blue Coat) ProxySG
  • Trend Micro InterScan Web Security
• Альтернатива SWG (UTM-, FW- и другие решения производителей, не вошедших в первую группу):
  • Entensys UserGate Web Filter
  • Fortinet FortiGate
  • Kerio Control
  • Интернет Контроль Сервер (компания «А-Реал Консалтинг», на основе open-source-решений)
• Бесплатные прокси-серверы:
  • Squid (open-source-решение)
  • 3proxy (open-source-решение)

У производителей SWG-продуктов из первой группы есть свои собственные альтернативные решения, реализованные в виде комплексов UTM и NGFW, но мы решили кратко рассказать, что же могут предложить на этом поприще и другие вендоры.

Для укрепления своих позиций на российском рынке вендоры стремятся включить свои продукты в «Единый реестр российских программ для электронных вычислительных машин и баз данных» и сертифицировать их в соответствии с требованиями ФСТЭК России.

Отдельных представителей группы «альтернатива SWG», а именно UTM-решения, мы уже рассматривали ранее (см. «Обзор корпоративных UTM-решений на российском рынке»). Поэтому подобные комплексные решения в нашем обзоре мы будем рассматривать только с точки зрения функции безопасности прокси-сервера.

 

Обзор SWG-продуктов

 

Check Point Next Generation Secure Web Gateway

Компания Check Point предлагает шлюз для защиты доступа к интернет-ресурсам нового поколения (Next Generation Secure Web Gateway). Этот продукт охватывает широкий спектр приложений и обеспечивает безопасное использование web 2.0, защиту от заражения вредоносными программами, гранулированный контроль и функции обучения конечных пользователей.

Преимущества:

• Блокирование доступа к зараженным (вредоносным и фишинговым) сайтам.
• Блокирование использования опасных веб-приложений или их отдельных функций (библиотека 4800 веб-приложений).
• Возможность использования опционально доступной IPS-системы для предотвращения эксплуатации уязвимостей браузера и приложений.
• Проверка защищенного SSL-трафика, позволяет устанавливать исключения в рамках проверки SSL, пропуская без проверки отдельные части зашифрованного контента.
• Фильтрация URL-адресов на основании категорий, пользователей, групп и устройств.
• Единые политики контроля для приложений и фильтрации URL.
• Применение динамически обновляемого облачного сервиса ThreatCloud, который в режиме реального времени передает на интернет-шлюз информацию о новейших угрозах.
• Гибкая система формирования и предоставления отчетов о часто используемых приложениях, посещаемых сайтах, детальной активности пользователей в интернете и многом другом.

Подробнее с Check Point Next Generation Secure Web Gateway можно ознакомиться здесь.

В качестве альтернативы этому продукту вендор предлагает Check Point Next Generation Firewall. Он выполняет контроль за идентификацией, блокирует или ограничивает использование приложений и виджетов для обмена сообщениями, сканирует передаваемые данные, а также обладает функционалом системы предотвращения вторжений (IPS). Этот продукт является одним из пакетов безопасности, поставляемых в составе программно-аппаратных комплексов. Подробнее о нем можно узнать здесь.

 

Cisco Web Security Appliance

Компания Cisco предлагает шлюз для защиты доступа к интернет-ресурсам Cisco Web Security Appliance (WSA). Он объединяет в себе средства защиты от вредоносных программ, средства контроля и управления использованием веб-приложений и средства обеспечения безопасного мобильного доступа. Также WSA помогает защищать и контролировать веб-трафик организации, снижая ее затраты на интернет. Он реализован в виде программно-аппаратного устройства, виртуального образа (virtual appliance) и услуг облачной инфраструктуры.

Преимущества:

• Функционирование в качестве прозрачного прокси и явного прокси (explicit proxy).
• Возможность функционирования в качестве обратного прокси.
• Применение для таких протоколов передачи данных, как: HTTP/HTTPs, SOCKS, FTP, FTP over HTTP, WCCP.
• Проверка защищенного SSL-трафика. Позволяет устанавливать исключения в рамках проверки SSL, пропуская без проверки отдельные части зашифрованного контента.
• Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: basic, NTLM, LDAP.
• Поддержка протокола ICAP — для интеграции с DLP или другими системами безопасности.
• Поддерживается интеграция с Active Directory.
• Кэширование данных.
• Выполнение контентной фильтрации и категорирования интернет-ресурсов.
• Возможность обеспечения оперативной и всесторонней защиты веб-сайтов с помощью Talos Security Intelligence.
• Наличие встроенных функций предотвращения утечки данных (DLP).
• Обнаружение вредоносного кода и рекламного программного обеспечения. Интеграция с платформой защиты от вредоносного кода, поддерживающей в том числе и запуск исследуемого файла в песочнице.
• Настройка ограничений на доступ в интернет по времени и пропускной способности.
• Контроль доступа пользователей в интернет. Позволяет в том числе блокировать не сайты целиком, а отдельные веб-приложения.
• Блокировка доступа к сайтам с опасной активностью (включая блокировку коммуникаций с ботнет-сетями и их командными центрами).
• Поддержка технологий сквозного контроля сетевого доступа Cisco TrustSec.
• Защита и контроль мобильных пользователей.
• Гибкий механизм формирования отчетности. Централизация отчетности при эксплуатации в режиме распределенных офисов и множества устройств.

Подробнее о Cisco Web Security Appliance можно ознакомиться здесь и здесь.

Альтернативой этому продукту от того же вендора является Cisco ASA с сервисами FirePower — Next Generation Firewall с активной защитой от угроз, контролем состояния в сочетании со средствами контроля приложений, системой предотвращения вторжений нового поколения и защитой от сложных вредоносных программ. Поставляется продукт в виде программно-аппаратного устройства. Подробнее с продуктом можно ознакомиться здесь

 

Forcepoint Web Security

Продукты Forcepoint  (более известной в России под старым именем Websense) ориентированы на предоставление сотрудникам организаций беспрепятственного доступа к данным с обеспечением защиты ее интеллектуальной собственности.

Компания предлагает продукт Forcepoint Web Security — раньше он назывался TRITON AP-WEB. Он построен на универсальной платформе, обеспечивающей возможность интеграции с другими продуктами компании. Этот продукт обеспечивает комплексную защиту в режиме реального времени от целевых атак, кражи конфиденциальных данных, внедрения вредоносного кода. Forcepoint Web Security реализован в виде программного и аппаратного обеспечения, а также в форме услуги облачной инфраструктуры.

Преимущества:

• Применение в качестве прозрачного и явного прокси.
• Применение в качестве обратного прокси.
• Применение для таких протоколов, как HTTP/HTTPs, FTP, FTP over HTTP.
• Фильтрация IM-протоколов: Jabber, Yahoo Mail Char/Messenger, MSN, Google Talk.
• Кэширование данных. Возможность использования в качестве DNS proxy cache — позволяет обрабатывать DNS-запросы, уменьшая нагрузку на удаленные DNS-серверы и время отклика на запросы.
• Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: LDAP, RADIUS, Novell eDirectoary, Windows Directory, Microsoft TMG.
• Возможность настройки квотирования времени доступа к интернету и блокирования доступа на определенный период.
• Контентная фильтрация и категорирование интернет-ресурсов (включая новые ресурсы). Поддержка протокола ICAP (Internet Content Adaptation Protocol).
• Мониторинг веб-трафика посредством использования песочницы для исследования поведения с помощью анализа кода в реальном времени, направленного на идентификацию угроз.
• Возможность взаимодействия с вышестоящим (родительским) прокси-сервером. Построение цепочки прокси-серверов.
• Интеграция с DLP-системой Forcepoint DLP.
• Наличие гибкого механизма формирования отчетности.

Подробнее с продуктом Forcepoint Web Security (TRITON AP-WEB) можно ознакомиться здесь и здесь.

Вендор предлагает в том числе и альтернативный продукт — Forcepoint Stonesoft Next Generation Firewall. Он имеет функциональность детального контроля приложений, системы предотвращения вторжений (IPS), встроенной виртуальной частной сети (VPN) и глубокой проверки пакетов. Продукт реализован в виде программного и аппаратного обеспечения, а также в форме услуги облачной инфраструктуры. Подробнее с продуктом можно ознакомиться здесь.

 

Smart-Soft Traffic Inspector

«Смарт-Софт» разрабатывает комплексные средства обеспечения информационной безопасности, организации и контроля интернет-доступа.  Компания предлагает свой флагманский продукт Traffic Inspector — сертифицированный по новым Требованиям ФСТЭК России комплексное решение информационной безопасности. Сертификат ФСТЭК России № 2407 (срок действия 15.08.2011 – 15.08.2020).

Решение реализует следующий состав универсальных функций: организация доступа к интернету из локальной сети, контроль и учет трафика, межсетевой экран, антивирусная защита, блокировка рекламы, сайтов, спама, маршрутизация по условию, прокси-сервер, контентная фильтрация, ограничение скорости работы в интернете, биллинговая система и многое другое.

Traffic Inspector устанавливается на стандартном персональном компьютере, выполняющем функции шлюза для LAN-сети и рассчитано на использование в Windows-среде.

Преимущества:

• Включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных».
• Функционирует как прозрачный прокси.
• Применение для таких протоколов, как HTTP/1.1 (поддержка FTP over HTTP, перенаправление SSL-соединений (метод HTTP CONNECT)), FTP, SOCKS 4/5.
• Разграничение прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: basic (открытым паролем) или интегрированная через домен Windows (NTLM v. 1/2), по IP и MAC-адресам, VLan ID.
• Гибкая настройка кэширования, включая индивидуальную настройку параметров кэширования для отдельных интернет-ресурсов.
• Для фильтрации существует возможность указания типа контента, а также выполнения анализа протокола и URL вплоть до контекстного поиска с помощью регулярных выражений.
• Контроль внешнего трафика посредством использования контролируемых счетчиков, описываемых в качестве IP-сетей.
• Перенаправление HTTP-запросов на другой прокси-сервер (при использовании каскадной организации прокси-серверов) и блокирование HTTP-трафика, направляемого в обход прокси-сервера.
• Ограничение индивидуальной скорости передачи и приема для каждого пользователя, группы пользователей.
• Ограничение трафика по количеству пакетов (для предотвращения перегрузки сети).
• Выставление отдельных ограничений скорости для конкретного типа трафика или исключения определенного типа трафика из состава контролируемых.
• Выборочное включение записи в журнал регистрации всех запросов через прокси-сервер.
• Запись сетевой статистики во внутреннюю СУБД программы, а также синхронизация внутренней СУБД с внешней базой на MSSQL 2005, либо MySQL, либо PosrgreSQL.

Подробнее о Traffic Inspector можно узнать здесь.

Альтернативным продуктом этого же вендора является Traffic Inspector Next Generation. Этот продукт представляет собой UTM-решение, построенное на базе open-sourсe-решения — OPNsense. Traffic Inspector Next Generation обеспечивает межсетевое экранирование с динамической фильтрацией пакетов, мониторинг и управление трафиком, а также анализ трафика на уровне приложений. Он может быть развернут на UNIX-подобных системах. Подробнее о Traffic Inspector Next Generation можно узнать здесь.

 

Solar Dozor Web Proxy

Компания Solar Security предлагает продукт: «Модуль перехвата и анализа интернет-трафика» (Dozor Web Proxy). Он предназначен для защиты корпоративных локальных вычислительных сетей от рисков, связанных с использованием веб-ресурсов, а также для контроля использования сотрудниками ресурсов интернета. Защита обеспечивается комплексом мер, включая фильтрацию содержимого информационного обмена, осуществляемого по протоколам HTTP(s) и FTP over HTTP, авторизацию пользователей и протоколирование их действий.

Dozor Web Proxy работает под управлением Linux (дистрибутивы CentOS 6.7/RHEL 6.7).

Преимущества:

• Включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных» («Модуль перехвата и анализа интернет-трафика» (Dozor Web Proxy))
• Балансировка и отказоустойчивость. Возможность работы в распределенном режиме (продукт развернут на нескольких серверах).
• Работа прокси в прозрачном режиме, в том числе при контроле HTTPS. Возможность прозрачного контроля шифрованного трафика (SSL-трафика). Расшифровка трафика выполняется по технологии Man-in-the-Middle.
• Возможность разграничения прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: basic, NTLM, Kerberos, IP-адреса. Поддерживается интеграция с Active Directory.
• Организация фильтрации на основании более 30 параметров: членство в группе, URL или IP-адрес ресурса, ключевые слова, расписание, порты, протоколы, тип передаваемого файла, категории веб-сайтов.
• Возможность использования для категоризации веб-ресурсов сторонних решений, например, Blue Coat или iAdmin, а также ведения локального списка категорий.
• Возможность принудительного использования протокола HTTPs в случае его поддержки на стороне интернет-ресурса.
• Возможность блокирования рекламных баннеров при помощи специальной базы adBlock.
• Мониторинг деятельности пользователей в интернете и формирование сводных данных об их работе в виде разнообразных статистических отчетов (более 60 готовых шаблонов отчетов).
• Возможность взаимодействия с вышестоящим (родительским) прокси-сервером.
• Возможность интеграции с серверами антивирусов Symantec Scan Engine, DrWeb, Kaspersky Antivirus и ClamAv для защиты от вредоносных кодов, распространяемых через зараженные веб-сайты.
• Контроль веб-запросов и интеграция с корпоративной DLP-системой Solar Dozor.

Подробнее с продуктом Dozor Web Proxy можно ознакомиться здесь.

 

Symantec ProxySG (Blue Coat ProxySG)

Blue Coat ProxySG долгое время является лидером мирового рынка SWG. Фактически ProxySG — это целое семейство устройств, представляющих собой масштабируемую прокси-платформу. ProxySG предназначен для обеспечения безопасности взаимодействия с интернет-ресурсами (web security) и оптимизации работы бизнес-приложений (WAN optimization).

ProxySG работает на основе фирменной операционной системы Blue Coat SGOS и поставляется в виде физических устройств (ProxySG и Advanced Security Gateway) и виртуальных образов (virtual appliance) для ESX/ESXi, Hyper-V или Amazon Web Services.

Преимущества:

• Функционирование в качестве прозрачного и явного прокси одновременно.
• Возможность функционирования в качестве обратного прокси (Web Application Firewall бесплатный).
• Контроль ненадлежащего использования интернет-ресурсов.
• Применение для таких протоколов передачи данных, как: HTTP/HTTPs, CIFS, SSL, FTP, FTP-over-HTTP, MAPI, P2P, MMS, RTMP, RTSP, QuickTime, TCP-Tunnel, DNS, WCCP.
• Поддержка протокола ICAP — для интеграции с DLP или другими системами безопасности.
• Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: на основании локальных списков пользователей; IWA (Basic, NTLM, Microsoft Kerberos), LDAP (Active Directory, eDirectory, SunOne), CA eTrust SiteMinder, Oracle Access Manager, RADIUS; применение сертификатов; поддержка SSO и прозрачной аутентификации, а также последовательная аутентификация в нескольких системах.
• Сжатие и кэширование данных.
• Управления сетевыми протоколами и полосой пропускания каналов связи.
• Позволяет блокировать отдельные приложения и действия в этих приложениях (например, загрузку/выгрузку вложений в веб-почте или отправку писем или сообщений в социальных сетях).
• Выполнение контентной фильтрации и категорирования интернет-ресурсов — BlueCoat WebFilter или BlueCoat Intelligence Services.
• Аппаратное ускорение SSL-трафика. Контроль параметров SSL-соединений: валидности сертификатов серверов, версий протоколов шифрования SSL/TLS, шифрования и контроля целостности SSL/TLS-соединения (cipher suites). Функционал Encrypted TAP позволяет отдать расшифрованный *-over-SSL-трафик (HTTPS, IMAPS и т. д.) на анализ во внешнее устройство безопасности (например, песочницу) в раскрытом виде.
• Использование фирменной операционной системы Blue Coat SGOS.
• Интеграция с такими решениями Blue Coat, как Content Analysis System, Malware Analysis Appliance, SSL Visibility Appliance и Intelligent Services. Интеграция с этими продуктами позволяет значительно повысить уровень сетевой безопасности.
• Возможность сбора статистической информации и формирования отчетов в отношении протоколов передачи данных (более 60 контролируемых параметров), а также для определения эффективности и активности рабочих мест пользователей.

Подробнее с продуктом ProxySG можно ознакомиться здесь и здесь.

 

Trend Micro InterScan Web Security

Trend Micro InterScan Web Security предназначен для обеспечения динамической защиты на уровне интернет-шлюзов как от известных, так и от новейших комбинированных веб-угроз. Функции управления приложениями в сочетании с модулями обнаружения уязвимостей нулевого дня, поиска вредоносных программ, определения репутации веб-сайтов в режиме реального времени, фильтрации URL-адресов и расширенного обнаружения бот-сетей позволяют обеспечивать безопасность систем и эффективную работу пользователей.

Trend Micro InterScan Web Security реализован в виде программного виртуального устройства (virtual appliance) — InterScan Web Security Virtual Appliance (IWSVA) и услуги облачной инфраструктуры, предоставляемой по модели SaaS — InterScan Web Security as a Service (IWSaaS).

Преимущества:

• Применение в качестве прозрачного моста и явного прокси.
• Возможность применения в качестве обратного прокси.
• Применение для мониторинга более чем 1000 интернет-протоколов и приложений, в числе которых: наиболее распространенные протоколы HTTP/HTTPs, FTP, приложения для мгновенного обмена сообщениями (мессенджеры), одноранговые сети (P2P), соцсети и потоковый медиаконтент.
• Контентная фильтрация исходящего трафика с целью предотвращения утечки данных благодаря применению модуля защиты от утечек (DLP).
• Мониторинг опасного контента, включая возможность расшифровки (полной или избирательной) HTTPs-трафика.
• Настройка квотирования времени использования интернет-ресурсов (веб-активности пользователей).
• Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: IP-адрес, наименование хоста, LDAP.
• Блокировка доступа к сайтам с опасной активностью (включая блокировку коммуникаций с ботнет-сетями и их командными центрами).
• Категоризация и оценка репутации URL-адресов.
• Поддержка интеграции со сторонними кэширующими и обычными прокси-серверами, а также сетевыми хранилищами по протоколам ICAP и WCCP, Syslog и SNMP.
• Централизованное управление распределенными шлюзами.
• Гибкий механизм формирования отчетности. Централизация отчетности при эксплуатации в режиме распределенных офисов и множества устройств.

Подробнее с Trend Micro InterScan Web Security можно ознакомиться здесь и здесь.

 

Обзор продуктов других производителей — в качестве альтернативы SWG

 

Entensys UserGate Web Filter

Компания Entensуs (Новосибирск) разрабатывает продукты сетевой безопасности. Ее продукты: Entensys UserGate Web Filter и Entensys UserGate UTM.

Entensys UserGate Web Filter обеспечивает фильтрацию загружаемого контента, блокировку опасных веб-страниц и негативных баннеров, защиту от вредоносов и многих других интернет-угроз. Продукт может быть развернут на виртуальных машинах (VMWare, Virtual Box и др.), в виде виртуального образа или аппаратно-программного комплекса. UserGate Web Filter предоставляет возможность встраивания в сеть на уровне L2, что не требует изменения существующей инфраструктуры.

Преимущества:

• Включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных».
• Обеспечение высокоточной URL-фильтрации. Морфологический анализ контента в реальном времени. Веб-фильтрация осуществляется на уровне обработки DNS- и HTTP-/HTTPs- запросов. Контентная фильтрация обеспечивается на основании технологии Deep Content Inspection (DCI).
• Блокировка сторонней баннерной рекламы, приложений для социальных сетей.
• Обеспечение безопасного поиска. Включает возможность принудительной активации «безопасного режима» в популярных поисковых системах и на YouTube.
• Поддержка запросов на фильтрацию по ICAP-протоколу от любого внешнего прокси-сервера или сетевого шлюза.
• Контроль, фиксация (журналирование) и анализ посещаемые пользователем интернет-ресурсы.
• Антивирусная защита посредством применения собственного облачного антивируса, осуществляющего эффективную проверку трафика в режиме реального времени.
• Работа прокси в прозрачном режиме.
• Возможность контроля/фильтрации шифрованного трафика (HTTPs/SSL-трафика) посредством применения технологии подмены сертификата (trusted man-in-the-middle — MitM).
• Блокировка IP-адресов ботнет-сетей посредством применения репутации адресов.
• Поддержка работы с черными и белыми списками ресурсов.
• Кэширование загружаемого контента.

Подробнее с продуктом UserGate Web Filter можно ознакомиться здесь.

Кроме UserGate Web Filter у вендора есть аналог — это Entensys UserGate UTM. Он представляет собой интернет-шлюз — единое решение, включающее в себя: межсетевой экран нового поколения, систему обнаружения вторжений, защиту от вредоносных программ и вирусов, систему контент-фильтрации, серверный антиспам, VPN-сервер. Продукт может использоваться как программно-аппаратный комплекс или может быть установлен на виртуальной машине. Подробнее с ним можно ознакомиться здесь.

 

Fortinet FortiGate

Fortinet специализируется на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности. В числе решений межсетевые экраны, антивирусные программы, системы предотвращения вторжений и обеспечения безопасности конечных точек.

Fortinet предлагает серию UTM-устройств FortiGate, которые поддерживают такие сервисы, как межсетевой экран (FW), VPN, IPS, контроль приложений, URL-фильтрация, антивирус и антиспам.

Преимущества:

• Функционирует в режиме Sniffer и как прозрачный прокси.
• Применение для таких протоколов, как HTTP/HTTPs, FTP, SMTP/ SMTPs, POP3/ POP3s, IM.
• Настройка ограничения по времени доступа в интернет.
• Контентная фильтрация. Возможность создания собственных категорий фильтрации.
• Настройка балансировки нагрузки.
• Настройка правил трансляции адресов.
• Возможность использования функциональности DLP-решений.
• Временная блокировка IP-адреса сервера (атакующего/атакуемого) или интерфейса с помощью функционала обнаружения и предотвращения вторжений (IPS).
• Настройка записи в журнал доступа к выбранным категориям веб-сайтов.
• Хранение журналов событий и копии трафика. Формирование отчетов (по запросу и по расписанию) на основе собранной информации.
• Собственная операционная система FortiOS.

Подробнее с FortiGate можно ознакомиться здесь, а также в материалах на нашем сайте здесь и здесь.

 

Ideco ICS

Компания «Айдеко» образована в 2005-ом году и является российским производителем программных продуктов для построения сетей и развития сетевых инфраструктур любого уровня сложности.

Флагманский продукт - Шлюз безопасности Ideco ICS - многофункциональное программное и программно-аппаратное UTM-решение для организации защищенного доступа в Интернет в корпоративных и ведомственных сетях.

Преимущества:

• Система предотвращения вторжений: анализ входящего и исходящего трафика, блокирование атак, DDoS, spyware, ботнетов и предупреждение вирусной активности внутри сети.
• Безопасный VPN: несколько протоколов с криптостойким шифрованием и широким списком поддерживаемых клиентов (в том числе мобильными ОС): PPTP, OpenVPN и IPsec.
• Антивирус и антиспам: современные технологии обеспечивают антиспам- и антивирусную проверку трафика.
• Публикация ресурсов: защита (Web Application Firewall) внутренних веб-ресурсов при публикации их в Интернет. Защита и фильтрация почтового трафика для опубликованных почтовых серверов (через почтовый релей).
• Межсетевой экран. Блокирование IP-адресов, пользователей и протоколов по заданным условиям. Защита от сканеров сети, DoS, MIT-атак и блокирование чрезмерной активности с помощью предустановленных правил.
• Контентная фильтрация: управление доступом в более чем 500 млн URL, классифицированных по 140 категориям. Блокировка нецелевого использования ресурсов в интернете, защита от фишинговых, вирусных и мошеннических сайтов.
• HTTPS-фильтрация.  Весь защищенный htpps-трафик доступен всем сервисам проверки на шлюзе: системе контентной фильтрации, антивирусам и системе статистики.
• Система отчётов: удобный инструмент IT-менеджера для анализа эффективности использования интернет-ресурсов. 
• Управление сервером осуществляется из любой точки сети через русскоязычный веб-интерфейс.

Подробнее с продуктом Ideco ICS можно ознакомиться здесь.

 

Kerio Control

Компания Kerio Technologies предлагает продукт Kerio Control (ранее известный как Kerio WinRoute Firewall и WinRoute Pro). Kerio Control — это программный межсетевой экран. Его основными функциями являются: организация безопасного доступа пользователей в интернет, надежная сетевая защита локальной сети, экономия трафика и рабочего времени сотрудников за счет ограничения нецелевого доступа к различным категориям веб-контента. Межсетевой экран сертифицирован ФСТЭК России — сертификат №3351 (срок действия 18.02.2015-18.02.2018).

Kerio Control может быть развернут посредством использования: Software Appliance (основан на Linux kernel v.3.16), VMware Virtual Appliance и Hyper-V Virtual Appliance.

Преимущества:

• Функционирует как обратный прокси.
• Применение для таких протоколов, как HTTP/HTTPs, FTP.
• Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: basic, NTLM, Kerberos.
• Настройка ограничения по количеству подключений и временному интервалу.
• Поддержка трансляции префикса сети для протокола IPv6.
• Балансировка нагрузки между несколькими интернет-каналами с автоматическим переключением активного канала.
• Возможность обеспечения гарантированной скорости передачи данных для трафика с высокой важностью (качество обслуживания QoS) и ограничения скорости передачи данных для трафика низкой важности.
• Настройка квотирования: объема передаваемых данных пользователями, полосы пропускания и скорости передачи данных.
• Возможность блокирования P2P-соединений.
• Контентная фильтрация на основании временных интервалов, имен пользователей, приложений, веб-категорий, URL-групп, типов файлов. В том числе поддерживается применение регулярных выражений в отношении URL-правил.

Подробнее с продуктом Kerio Control можно ознакомиться здесь.

 

Интернет Контроль Сервер

Компания «А-Реал Консалтинг» разрабатывает собственный продукт Интернет Контроль Сервер (далее — ИКС). Это комплексное решение, представляющее собой интернет-шлюз. ИКС может использоваться в качестве прокси-сервера и осуществляет сжатие данных, кэширование веб-страниц и объектов, скачанных из сети, защиту NAT, управление сетевой подсистемой, взаимодействие с вышестоящим (родительским) прокси-сервером, блокировку доступа пользователей к определенным URL-адресам. Возможно применение ИКС в качестве прозрачного прокси в случае отсутствия авторизации пользователей по логину/паролю, а также применение для протоколов HTTP/HTTPs, SOCKS.

Также Интернет Контроль Сервер включает в себя межсетевой экран, VPN, контент-фильтр, DLP, сетевые сервисы, модули антивируса и антиспама. Интернет-шлюз для корпоративной сети может поставляться в виде программного и программно-аппаратного решения (с адаптированной аппаратной частью), также поддерживает виртуальное развертывание. Программный межсетевой экран ИКС является сертифицированной ФСТЭК России версией продукта — сертификат ФСТЭК №2623 (срок действия  19.04.2012 – 19.04.2018).

Преимущества:

• Регистрация Программного межсетевого экрана Интернет Контроль Сервер в Едином реестре российских программ для электронных вычислительных машин и баз данных.
• Возможность объединения серверов в кластер и централизованное управление.
• Система обнаружения вторжений Suricata.
• Разграничение прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: по пользователям, IP-адресам, имени/паролю, через Active Directory, программу-агента, VPN-соединение (PPPoE, PPTP).
• Поддержка функций брандмауэра и фильтрации содержимого (Layer 7-фильтрация, контент-анализ с помощью категорий трафика SkyDNS и KWF, категоризация сайтов).
• Широкие возможности сетевых сервисов (файловый, почтовый, web-, ftp-, jabber-серверы, ip-телефония).
• Учет трафика и формирование детальной статистики по обращениям пользователей к интернет-ресурсам.
• Интеграция с антивирусами ClamAv, DrWeb и Kaspersky Antivirus.
• Использование встроенной операционной системы. Дополнительное программное обеспечение не требуется.

Подробнее с модулем Прокси-сервер продукта Интернет Контроль Сервер можно ознакомиться здесь.

 

Обзор бесплатных прокси-серверов

 

Squid

Проект Squid начинался с NSF-гранта (NCR-9796082), а сейчас поддерживается инициативной группой. Squid представляет собой кэширующий прокси-сервер. Он был разработан как программа с открытым исходным кодом и распространяется в соответствии с лицензией GNU GPL.

Может быть развернут на UNIX-подобных системах и на операционных системах Windows.

Преимущества:

• Бесплатный.
• Использование в качестве прозрачного прокси-сервера в сочетании с некоторыми межсетевыми экранами и маршрутизаторами.
• Использование в качестве обратного прокси-сервера. В данном режиме предоставляется возможность распределения запросов между несколькими серверами, тем самым осуществляется балансировка нагрузки и обеспечивается отказоустойчивость.
• Применение для таких протоколов, как HTTP/HTTPs, FTP, Gopher.
• Возможность интеграции с Active Directory.
• Разграничение прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: по IP-адресу (или доменному имени узла), по логину/паролю, по идентификатору используемого браузера.
• Возможность ограничения максимальной скорости получения данных пользователем. Данная возможность реализована посредством механизма пулов задержки (delay pools).
• Кэширование запросов пользователей.
• Ограничение доступа пользователей к запрещенным ресурсам (или организация доступа только к разрешенным ресурсам).
• Контроль времени доступа.
• Фильтрация (перенаправление) запросов пользователей к баннерам и счетчикам.

Подробнее с прокси-сервером Squid можно ознакомиться здесь.

 

3proxy

Проект разработан и поддерживается инициативной группой. 3proxy — это кроссплатформенный комплект прокси-серверов. Он был разработан как программа с открытым исходным кодом и может использоваться по лицензии GNU GPL. 3proxy поставляется в двух вариантах:

• В виде набора отдельных модулей: proxy, socks, pop3p, tcppm, udppm.
• В виде универсального прокси-сервера (3proxy). Универсальный прокси-сервер представляет собой законченную программу, не требующую отдельных модулей.

В силу кроссплатформенности может быть развернут на UNIX-подобных системах и на операционных системах Windows (включая 64-разрядные).

Преимущества:

• Бесплатный.
• Небольшой по объему в силу отсутствия графического интерфейса. Вся настройка осуществляется с помощью создания и модификации конфигурационного файла.
• Функционирует как прозрачный прокси-сервер.
• Возможно применение в качестве обратного прокси-сервера (режим connect back).
• Применение для таких протоколов, как HTTP/HTTPs, FTP, SOCKS v4/5, POP3, SMTP, IM-протоколов (AIM/ICQ, MSN).
• Применение в качестве кэширующего DNS-прокси.
• Ограничение доступа пользователей к веб-ресурсам с помощью списков доступа, формируемых на основании логинов пользователей, списка сетей (IP-адреса и маски), списка портов. Список пользователей формируется на основании логина (имени) пользователя и пароля (включая тип пароля).
• Управление шириной потребляемого канала.
• Квотирование трафика (по дням, неделям, месяцам) и скорости приема данных.
• Перенаправление соединений на другой прокси-сервер (при использовании каскадной организации прокси-серверов).
• Поддержка IPv6.

 

Выводы

Несмотря на появление новых классов средств защиты информации (DLP, SIEM, SOC ,UTM, NGFW и WAF), прокси-сервер по-прежнему остается востребованным компонентом сетевой инфраструктуры. Производители предлагают решения, реализующие функции прокси-сервера как в виде самостоятельных продуктов, так и в составе многофункциональных комплексов.

На российском рынке много отечественных компаний, чьи продукты включены в «Единый реестр российских программ для электронных вычислительных машин и баз данных». Только в своем обзоре мы привели несколько таких компаний:

• Entensys — решения Entensys UserGate Web Filter и Entensys UserGate UTM.
• «А-Реал Консалтинг» — решение «Программный межсетевой экран «Интернет Контроль Сервер».
• «Смарт-Софт» — решение Traffic Inspector (Traffic Inspector GOLD, Traffic Inspector FSTEC, Traffic Inspector Enterprise, Traffic Inspector Next Generation).
• Solar Security — решение «Модуль перехвата и анализа интернет-трафика» (Dozor Web Proxy).

Все представленные в обзоре продукты в целом обладают схожими по составу функциональными возможностями:

• Ограничение доступа к ресурсам.
• Квотирование трафика, полосы пропускания, временных интервалов доступа.
• Контентная фильтрация (например, рекламные баннеры).
• Сбор статистической информации о действиях пользователей в интернете (фиксация даты, времени и просмотренного содержимого).
• Сжатие трафика и кэширование данных.
• Сокрытие для внешних ресурсов сведений об истинном источнике запроса.
• Разграничения прав доступа к ресурсам посредством различных механизмов аутентификации (авторизации).

Отличия рассмотренных продуктов проявляются в следующем:

• Способ подключения: в качестве прозрачного или обратного прокси, а некоторые могут использоваться в обоих режимах.
• Наличие кэширования данных и способы его организации: в виде файлов или баз данных.
• Механизмы аутентификации/авторизации: basic, NTLM, Kerberos, по IP-адресу, по логину/паролю, по результатам подзапроса, идентификатору используемого браузера, VLan ID.
• Поддерживаемые протоколы: HTTP/HTTPs (поддержка FTP over HTTP), FTP, SOCKS 4/5, POP3, SMTP, SIP и H.323, TCP и UDP, Gopher.
• Поддерживаемые платформы для установки прокси-сервера: физическая или виртуальная машина, UNIX-подобные системы, операционные системы Windows и macOS, собственная ОС, встроенная в продукт и не требующая установки дополнительного программного обеспечения.
• Способах поставки: программные, программно-аппаратные решения.
• Возможности взаимодействия с вышестоящими (родительскими) прокси-серверами.
• Стоимости: бесплатные (Squid), платные — стоимость зависит от вида подписки (лицензии).
• Возможность интеграции с DLP-системами из коробки по стандартным протоколам.

В целом рынок прокси-серверов продолжает развиваться, но по большей части уже в составе комплексных решений, в том числе UTM. А на фоне общего технологического развития (применение облачной инфраструктуры и облачных сервисов, а также распространенность мобильных технологий) спрос на такие решения будет расти.