В статье рассматривается история развития сетевых устройств защиты и рассказывается о переходе от отдельных специализированных устройств к комплексным решениям для обеспечения безопасности сетей. Также проводится обзор продуктовой линейки Check Point Next Generation Firewalls, входящих в нее устройств и функций, которые они выполняют.
2. Линейка продуктов Check Point Next Generation Firewalls
2.1. Продукты для малого бизнеса в линейке Check Point Next Generation Firewalls
2.2. Продукты корпоративной линейки Check Point Next Generation Firewalls
3. Функциональные возможности и лицензирование
Введение
Средства защиты сети всегда применялись при построении систем безопасности. В начале эры информатизации под сетевой защитой подразумевались простые пакетные фильтры и аппаратные маршрутизаторы. Росло количество различных угроз, направленных на сетевую инфраструктуру, и производители наращивали функциональность своих решений. Впервые термин Next Generation Firewall (NGFW) был введен аналитической компанией Gartner в исследовании Defining the Next-Generation Firewall, опубликованном в конце 2009 года. К этому моменту многие производители уже объединяли в своих продуктах различные функции, которые Gartner относит к NGFW, а исследование просто классифицировало требования к таким устройствам и определило сам термин, который в данный момент является самостоятельным и общепринятым.
Основное отличие сетевых устройств следующего поколения, по версии Gartner, это возможность работы с сетевым трафиком на разных уровнях модели OSI, включая 7 уровень — приложения. Классические сетевые устройства работают с более низкими уровнями OSI, предоставляя возможность фильтрации сетевого трафика на уровне портов и протоколов, но не обладая возможностью разбора трафика отдельных приложений. Кроме того, к NGFW Gartner вводит следующие дополнительные требования:
- Возможность установки в сети любой конфигурации без нарушения топологии и связности сети.
- Выполнение всех функций стандартных сетевых экранов — пакетная фильтрация, трансляция адресов (NAT), инспекция пакетов с хранением состояния (SPI) и реализация виртуальных частных сетей (VPN).
- Применение механизмов сетевого обнаружения и предотвращения вторжений (IDS/IPS).
- Реализация сетевых политик безопасности на уровне протоколов приложений. В качестве примера в исследовании приводится возможность разрешения отправки сообщений в мессенджере Skype, но запрет на передачу файлов через Skype. Еще один пример — полная блокировка приложения для удаленного доступа GoToMyPC вне зависимости от сетевых настроек работы, т. е. даже если приложение обращается через нестандартный TCP-порт.
- Возможность подключения внешних источников для реализации функций фильтрации. Например, использование данных об идентификации пользователей от Active Directory для реализации персональных правил сетевой фильтрации.
- Оперативное обновление программной части устройств для обеспечения защиты от новых, ранее неизвестных атак.
Далеко не все производители сетевых устройств выпускают продукты, соответствующие требованиям Gartner. Кроме того, некоторые производители заявляют свои устройства как NGFW, фактически не выполняя все необходимые условия. В исследовании Gartner специально указывает, какие устройства не являются NGFW, в этот список попали многофункциональные сетевые экраны для малого и среднего бизнеса, UTM-устройства, средства защиты от утечек, защищенные веб-шлюзы и другие устройства.
Линейка продуктов Check Point Next Generation Firewalls по праву носит в своем названии NGFW — данные устройства полностью соответствуют понятию NGFW и не просто выполняют все требуемые функции, перечисленные Gartner, но и обладают гораздо более широким функционалом.
Линейка продуктов Check Point Next Generation Firewalls
Линейка продуктов Check Point Next Generation Firewalls разделяется на две основных группы — корпоративные решения и продукты для малого бизнеса и удаленных офисов. Функциональные возможности обеих групп в целом совпадают, основное отличие заключается в скоростных характеристиках устройств. К тому же, решения для малого бизнеса отличаются более низкой стоимостью и свойствами, достаточными для небольших сетей.
Продукты для малого бизнеса в линейке Check Point Next Generation Firewalls
Устройства для малого бизнеса отличаются компактными разделами и настольным исполнением, не требующим наличия стоек для оборудования. В эту линейку входят две серии простых устройств, а также одно устройство начального уровня из корпоративной линейки. Рассмотрим подробнее эти продукты:
Рисунок 1. Устройство серии CheckPoint 600
- CheckPoint 600 — младшая серия устройств, включающая в себя все основные функции NGFW — классический межсетевой экран, VPN, предотвращение вторжений, антивирус, контроль приложений, веб-фильтрация и защита электронной почты. В серии представлены три устройства, все они имеют слот для SD-карт, два USB-порта, десять Ethernet-портов, поддерживают ADSL, 3G/4G-модемы, в них также может быть добавлен беспроводной адаптер Wi-Fi. Дополнительно в комплект может быть подключено одно устройство PCI Express.
Рисунок 2. Устройство серии CheckPoint 1100
- CheckPoint 1100 — средняя серия устройств, включающая в себя три модели, реализует такие же функции, как и устройства 600 серии, но обладает большей скоростью работы. Как и 600-е, эти устройства располагают десятью портами Ethernet, поддерживают различные модемы, Wi-Fi, USB, SD и PCI Express.
Рисунок 3. Устройство CheckPoint 2200
- CheckPoint 2200 — самое старшее устройство для малого бизнеса и удаленных офисов. По скорости работы приближается к линейке корпоративных устройств, превышая скорость других устройств в линейке до трех раз. В отличие от продуктов 600 и 1100 серии, которые обладают фиксированным набором защитных механизмов, Check Point 2200 поддерживает до трех виртуальных систем защиты, которые могут быть предустановлены на оборудовании или добавлены в процессе эксплуатации. Такие виртуальные системы защиты компания Check Point называет программными блейдами, их описание приводится в следующем разделе. Устройство обладает шестью Ethernet-портами, двумя USB-портами, отдельным портом для управления и встроенным жестким диском большого объема.
Продукты корпоративной линейки Check Point Next Generation Firewalls
В линейке корпоративных продуктов и решений для дата-центров предлагаются самые разные по стоимости и характеристикам устройства, младшим устройством в линейке является одновременно старшее для малого бизнеса устройство Check Point 2200, о котором сказано выше. Характеристики остальных устройств возрастают в соответствии с индексами. Во всех продуктах корпоративной линейки используется технология программных блейдов, а продукты отличаются количеством одновременно работающих комплексов защиты.
Продукты корпоративной линейки Check Point Next Generation Firewalls включают в себя следующие серии устройств:
Рисунок 4. Устройство серии CheckPoint 4000
- CheckPoint 4000 — устройства этой серии насчитывают четыре модели, могут оснащаться различным количеством Ethernet-портов (4–8 в модели 4200 и 8–16 в 4800-й), также могут быть дополнены максимум четырьмя SFP-портами, а старшее устройство в серии может включать до двух портов SFP+. Содержат 4 Гб оперативной памяти и жесткий диск на 250 Гб. В модели 4200 поддерживается 3 программных блейда, в моделях 4400 и 4600 — 10, в старшей модели 4800 — до 25 блейдов. Форм-фактор всех устройств 4000 серии — 1U.
Рисунок 5. Устройство серии CheckPoint 12000
- CheckPoint 12000 — в этой серии предлагается три разных устройства. Младшее оборудование с индексом 12200 поддерживает от 8 до 16 Ethernet-портов, жесткий диск в 500 Гб и возможность запуска до 25 программных блейдов по умолчанию и до 50 при улучшении аппаратной начинки. Среднее устройство 12400 — поддерживает от 10 до 26 Ethernet-портов и позволяет запустить 25 программных блейдов с возможностью увеличения этого числа до 75. Модель 12600 — от 14 до 26 Ethernet-портов и поддержка 75 программных блейдов (максимум — 100). Все устройства серии могут быть дополнительно оснащены портами SFP/SFP+ (до 4 в младшей модели, до 12 в остальных). Форм-фактор младшей модели — 1U, остальных моделей — 2U.
Рисунок 6. Устройство серии CheckPoint 13000
- CheckPoint 13000 — предтоповая серия устройств, состоящая из двух моделей — 13500 и 13800. Обе модели могут оснащаться модулями с разным числом портов, всего в устройстве могут поддерживаться до 26 Ethernet-портов и до 12 портов SPF/SPF+. В зависимости от аппаратного обеспечения поддерживается запуск от 150 до 250 программных блейдов. Форм-фактор — 2U.
Рисунок 7. Устройство серии CheckPoint 21000
- CheckPoint 21000 — самая производительная серия, предназначенная для особо крупных инфраструктур и дата-центров. Она включает в себя три модели — 21400, 21700 и 21800. Они оснащаются 13 Ethernet-портами с возможностью расширения до 37, дополнительно могут быть оборудованы 36 SFP-портами или 13 портами SFP+. Младшая модель поддерживает 125 программных блейдов, остальные модели — 150, для всех моделей это число может быть расширено до 250. Все модели представлены в форм-факторе 2U.
Функциональные возможности и лицензирование
Функциональность всех продуктов Check Point, за исключением двух младших продуктов в линейке для малого бизнеса, строится на технологии программных блейдов. Программные блейды — виртуальные комплексы программного обеспечения, устанавливаемые на аппаратные решения Check Point. Программные блейды делятся на две категории —обеспечивающие защитные механизмы и предоставляющие функции по управлению. Защитные блейды в свою очередь делятся на отдельно лицензируемые подгруппы. Полный список доступных для установки защитных блейдов Next Generation Firewall включает в себя следующие:
- Группа блейдов Next Generation Firewall включает в себя базовые продукты:
- Intrusion Prevention System Software Blade — предотвращение сетевых вторжений за счет использования сигнатурных и эвристических проверок, реализует мощные алгоритмы проактивной защиты, позволяя предотвратить различные сетевые атаки, которые не были известны ранее и не содержатся в сигнатурных базах.
- Application Control Software Blade — реализация политик сетевой безопасности на уровне приложений и отдельных функций в приложениях. Обладает знаниями о более чем 6000 веб-приложений и 30000 социальных сетевых виджетов. Содержит встроенные категории приложений, например сетевые мессенджеры, файлообменники, видеоконференции и т. д., благодаря чему позволяет создавать правила для разных типов приложений без необходимости настройки отдельных приложений. Данный модуль позволяет решать задачи по настройке политик безопасности на уровне протоколов приложений, что Gartner определяет как одно из ключевых отличий NGFW от классических средств сетевой защиты. Именно этот блейд позволяет реализовать правила из примера Gartner – запретить отдельные функции приложений, например, передачу файлов в Skype оставив возможность обмена сообщениями.
- Группа блейдов Next Generation Threat Prevention включает в себя продукты из группы Next Generation Firewall и следующие дополнительные продукты:
- URL Filtering Software Blade — управление доступом к веб-сайтам, автоматическая блокировка фишинговых ссылок, возможность разграничения доступа в интернет для пользователей, сокращение скорости загрузки сайтов путем кеширования.
- Antivirus Software Blade — антивирусное решение, проверяющее весь сетевой трафик на наличие вредоносных файлов и объектов. Позволяет значительно повысить уровень антивирусной защиты в сети организации.
- Anti-Bot Software Blade — специализированное решение по защите от класса вредоносных объектов, использующих компьютеры в целях построения ботнетов и реализации нужных злоумышленнику действий. В отличие от антивирусных решений данный блейд реагирует не на действия вредоноса на компьютере, а на сетевую активность ботов, позволяя обнаружить вирусы, не известные даже антивирусному ПО и антивирусному блейду.
- Anti-Spam & Email Security Software Blade — комплексная защита электронной почты, включает в себя антивирусную проверку всех почтовых сообщений, фильтрацию нежелательной почты (спама) и защиту почтовых серверов от различных атак, в том числе от атак типа «отказ в обслуживании» при отправке чрезмерно большого числа почтовых сообщений.
- Группа блейдов Next Generation Secure Web Gateway включает в себя URL Filtering Software Blade, Application Control Software Blade и Antivirus Software Blade.
- Несколько блейдов не входят в группы и лицензируются отдельно:
- IPSec VPN Software Blade — реализация удаленных подключений между различными сегментами сетей и подключение конечных пользователей к сети по защищенному протоколу IPSec.
- Mobile Access Software Blade — решение для подключения мобильных устройств к корпоративной сети, включает в себя Layer-3 VPN и SSL VPN, поддерживается большинством операционных систем на мобильных устройствах.
В характеристиках устройств, описанных в предыдущих разделах статьи, указано количество программных блейдов, доступных для одновременной работы на каждой из моделей. Заполняя свободные виртуальные ячейки программными блейдами, можно реализовать индивидуальную систему защиты, которая требуется для конкретной инфраструктуры. Установка и настройка программных блейдов делается из общей для всех продуктов Check Point программы управления SmartDashboard. При этом в процессе работы возможно изменение набора блейдов — в любой момент можно удалить один из защитных механизмов и заменить его другим.
Лицензионная политика Check Point предлагает гибкие возможности по выбору и приобретению продуктов. Аппаратные устройства могут быть приобретены как по отдельности, так и в составе одного из решений, в стоимость которых входит одноименная группа программных блейдов. Программные блейды для устройств, купленных отдельно, могут быть приобретены также в виде наборов или по отдельности. Стоимость программных блейдов зависит от серии оборудования, на которое будет производиться установка. Расчет стоимости решения доступен в каталоге продуктов на сайте Check Point после регистрации.
Выводы
Сетевые устройства развиваются и эволюционируют вслед за растущими угрозами информационной безопасности, постоянно появляются новые технологии атак и защиты на сетевом уровне. Новые функциональные возможности требуют классификации и группировки, поэтому компания Gartner, являющаяся лидером в анализе рынка информационной безопасности, взяла на себя роль формализации новых классов продуктов. Так появился класс сетевых экранов нового поколения и требования к продуктам данного класса. Компания Check Point стала одной из первых предлагать продукты Next Generation Firewall и полностью выполняет те требования, которые закладывали для этого класса специалисты из Gartner. При этом Check Point отличается от других производителей не только высоким уровнем защитных механизмов, но и широкой линейкой как аппаратной, так и программной части продуктов.
Check Point Next Generation Firewall — это более 15 устройств для различных бюджетов и задач. Кроме того, большинство устройств имеет множество вариантов компоновки модулей и набора аппаратного обеспечения, что позволяет точно подобрать характеристики устройств для решения конкретных задач.
Программные комплексы защиты, предлагаемые Check Point, позволяют создать оптимальный набор защитных механизмов, требуемых в той или иной ситуации. Благодаря технологии программных блейдов применение защитных механизмов становится легкой и простой задачей, требующей установки всего пары переключателей в общем интерфейсе управления. Продукты и технологии Check Point позволяют гибко изменять и масштабировать защищенность сети, на лету добавлять или убирать защитные механизмы и распределять защитные функции по разным устройствам.