Системы сетевой безопасности класса UTM. Критерии выбора UTM-системы

Не так давно Rainbow Technologies — дистрибьютор компании WatchGuard Technologies на территории России и стран СНГ, объявила о появлении на отечественном рынке новой серии UTM-устройств Firebox X e-Series. В настоящее время организации сталкиваются со сложными и постоянно изменяющимися группами угроз, что изменяет само понятие «безопасная сеть». Последнее поколение устройств Unified Threat Management (UTM) от компании WatchGuard обеспечивает простое решение этой проблемы, объединяя основные функции защиты в едином, доступном, высокоинтеллектуальном устройстве.

Что такое UTM?

UTM — это новое направление на рынке средств информационной безопасности. UTM-устройства объединяют в себе межсетевой экран, VPN шлюз и много дополнительных возможностей, таких как фильтрация URL, блокировка спама, защита от шпионских программ, функция предотвращения вторжений, антивирусное программное обеспечение, система централизованного управления и контроля. То есть те функции, которые традиционно реализуются по отдельности. Но, чтобы быть полноценным UTM, устройство должно быть активным, интегрированным и многоуровневым. Т.е. это должна быть комплексная система, а не набор различных решений, собранных в одном корпусе, с функцией централизованного управления и мониторинга.

Всемирно известная аналитическая фирма IDC считает направление UTM наиболее быстрорастущим, энергично развивающимся сегментом рынка устройств безопасности для Западной Европы. На нашем рынке, среди представленных Rainbow Technologies решений WatchGuard, наиболее востребованы UTM-устройства Firebox X Core e-Series. Они рассчитаны на сети различного масштаба и пользуются большой популярностью у предприятий среднего и малого бизнеса за свою экономичность, легкость настройки и высокий уровень защиты.

Firebox X Edge e-Series — идеальное решение для малых сетей и удаленных офисов. Edge может быть использован как отдельное устройство, обеспечивающее безопасность сети, а также, как решение для терминирования тоннеля VPN. Firebox X Edge e-Series включает в себя: межсетевой экран с запоминанием состояний, VPN, фильтрацию URL, а также расширенное управление сетевыми настройками и трафиком, что позволяет увеличить возможности конфигурирования сети. Это устройство обладает интуитивно понятным интерфейсом, что значительно упрощает процессы внедрения и администрирования. Централизованное управление при помощи WSM (WatchGuard System Manager) упрощает администрирование сетевых окружений, состоящих из нескольких устройств Firebox. Это модернизируемые и расширяемые устройства, которые обеспечивают 100 мегабитную пропускную способность межсетевого экрана и 35-ти мегабитную пропускную способность VPN (Virtual Private Network).

Firebox X Peak e-Series выпускается с восемью гигабитными Ethernet-портами и используется преимущественно в сложных, разветвленных сетях. Также есть модели, поддерживающие оптоволоконные интерфейсы. Firebox X Peak e-Series — линейка UTM-устройств с наибольшей производительностью. Эти решения WatchGuard обладают настоящей защитой Zero Day и пропускной способностью межсетевого экрана до 2-х гигабит в секунду. Объединяя передовые технологии в области обеспечения безопасности с расширенными возможностями управления сетью, Firebox X Peak e-Series является идеальным решением, отвечающим запросам наиболее требовательных политик безопасности.

Среди решений WatchGuard, представленных на отечественном рынке официальным дистрибьютором — компанией Rainbow Technologies, самой популярной является линейка Firebox X Core e-Series. Эти UTM-устройства рассчитаны на сети различного масштаба и пользуются большим спросом у предприятий среднего и малого бизнеса за свою экономичность, легкость настройки и высокий уровень защиты. Рассмотрим детально их возможности и функциональные характеристики.

Firebox X Core e-Series обеспечивают наиболее полную безопасность в своём классе, объединяя в себе множество средств защиты: межсетевой экран, VPN, защиту Zero Day, систему предотвращения атак, шлюзовой антивирус, систему противодействия шпионскому ПО, антиспам и URL-фильтрацию. Такой подход позволяет обеспечить надежную защиту от смешанных сетевых атак, а также сэкономить финансовые и трудовые ресурсы, которые обычно уходят на управление и настройку целого комплекса отдельных решений.

Многоуровневая защита

Firebox X Core e-Series базируется на многоуровневой архитектуре ILS (Intelligent Layer Security). Благодаря ей, уровни безопасности осуществляют защиту совместно, и проверенный на других уровнях по определенному критерию трафик, по тому же критерию повторно не проверяется. Поэтому скорость передачи данных не снижается и чувствительные к ней приложения остаются доступными для работы.

Архитектура WatchGuard ILS состоит из шести слоев безопасности, плотно взаимодействующих друг с другом, что позволяет динамически обнаруживать, блокировать и сообщать о вредоносном трафике, при этом пропуская нормальный трафик с максимально возможной эффективностью.

Для дальнейших рассуждений примем, что уровень — это логическая конструкция, которая определяет абстрактную границу между составляющими инфраструктуры сетевой безопасности. Таким образом, мы будем рассматривать каждый вид технологии обеспечения безопасности как отдельный уровень.

Многоуровневая архитектура ILS

Движок ILS является мозгом этой архитектуры. Спроектированный так, чтобы дать возможность каждому слою воспользоваться информацией от других слоев, усилить их возможности и дать возможность обменяться информацией между собой о проходящем между ними трафике, он обеспечивает максимальную защиту, надежность и производительность. Давайте взглянем на то, что из себя представляет каждый слой:

Внешние службы безопасности. Обеспечивают технологии по расширению защиты вне межсетевого экрана и информацию, которая дает возможность более эффективной работы конечного пользователя/администратора.

Целостность данных. Проверяет целостность проходящих пакетов данных и соответствие пакета протоколу

Виртуальная частная сеть (VPN). Обеспечивает безопасность и конфиденциальность внешних соединений

Межсетевой экран с динамическим разбором. Ограничивает трафик только теми источниками, назначениями и портами, которые разрешены политикой безопасности.

Глубокий анализ приложений. Обеспечивает соответствие стандартам протокола уровня приложений модели ISO, блокируя подозрительные файлы по шаблону или типу файла, блокируя опасные команды и изменяя данные, чтобы избежать утечки критически важной системной информации.

Безопасность содержимого. Анализирует и ограничивает трафик в соответствие с содержимым, включает в себя многочисленные службы, такие как: антивирус, систему предотвращения вторжений, защиту от шпионского ПО и спама, фильтрацию URL.

Хотя в описываемой модели выделены шесть уровней, а движок принимается за седьмой уровень безопасности, каждый из них включает в себя множество функционалов и возможностей. Все они легко расширяемы, чтобы включать в себя новые способы противостояния неизвестным угрозам.

Защита Zero Day

В отличие от решений, которые опираются исключительно на сканирование, основанное на сигнатурах, Firebox X Core обладает технологией, позволяющей обеспечивать надежную защиту от различных видов атак и их всевозможных вариаций, не нуждаясь в сигнатурах. Пока остальные сети остаются открытыми для атак в период действия окна уязвимости (время, требующееся для выпуска сигнатур), сеть, в которой используется Firebox, продолжает оставаться защищенной.

Система централизованного управления

WSM (WatchGuard System Manager) — интуитивно понятный графический интерфейс пользователя, используемый для управления возможностями UTM-решений линеек Firebox X Core, Peak и Edge. WSM предоставляет полное логирование, создание VPN в режиме «drag-and-drop», мониторинг системы в режиме реального времени. Поскольку, для управления всеми функциями системы безопасности работает единый интерфейс, происходит значительная экономия временных и финансовых ресурсов.

Экспертное сопровождение и поддержка

WatchGuard LiveSecurity Service — наиболее полная служба поддержки и сопровождения, предлагаемая сегодня на рынке. Подписчикам регулярно предоставляются обновления ПО, техническая поддержка, рекомендации экспертов, меры по предупреждению возможного ущерба от новых способов атак и пр. Firebox X Core e-Series обеспечены бесплатной 90-дневной подпиской на службу LiveSecurity, которая состоит из нескольких модулей. Они, в свою очередь, включают в себя техническую поддержку в режиме реального времени, поддержку ПО и его обновление, тренинги и руководства по эксплуатации, а также специальные сообщения LiveSecurity Broadcasts — оперативное оповещение об угрозах и методах борьбы с ними.

Дополнительные службы безопасности

Каждая служба безопасности на Firebox X Core e-Series работает совместно со встроенной защитой Zero Day, создавая оптимальное сочетание всех необходимых возможностей для эффективной защиты сетевых ресурсов. Эти функции полностью интегрированы в UTM-устройство, благодаря чему не требуется дополнительного оборудования.

Подписки на все необходимые службы оформляются на само устройство, а не на каждого пользователя, что позволяет избежать дополнительных финансовых расходов. Для предоставления непрерывной защиты все службы постоянно обновляются и имеют возможность централизованного управления при помощи системы WSM.

Рассмотрим подробнее функциональные характеристики каждой дополнительной службы:

SpamBlocker блокирует до 97 % нежелательной электронной почты в режиме реального времени.

Служба защиты spamBlocker фирмы WatchGuard используют технологию фирмы Commtouch ® Recurrent Pattern Detection™ (RPD) для защиты от потоков спама в режиме реального времени с точностью 99,95 % без использования сигнатур и фильтров.

Вместо того, чтобы работать с ключевыми словами и содержимым электронной почты, эта технология анализирует большие объемы трафика интернета, чтобы вычислить повторяющийся компонент для каждого потока, как только он появляется. В день обрабатываются до 500 миллионов сообщений, после чего специальные алгоритмы вычисляют, идентифицируют и классифицируют новые потоки в течении 1-2 минут.

Эти же алгоритмы разделяют спам и нормальные сообщения. SpamBlocker использует эту технологию для предоставления защиты от спамерских атак в режиме реального времени, постоянно сравнивая сообщения, подозреваемые на спам с хранящимися в центре обнаружения Commtouch (в нем храниться порядка 20000000 образцов). Эта технология несет в себе следующие преимущества:

• Чрезвычайно быстрый отклик на новые потоки;
• Практически нулевая вероятность ошибки первого рода, что характеризует эту службу, как лучшую в отрасли по показателю разделения нормальных сообщений от спамерских атак;
• Большой процент определения спама — блокируется до 97 % нежелательной электронной почты;
• Независимость от языка сообщений. Благодаря использованию основных характеристик почтового трафика в режиме реального времени, спам эффективно блокируется вне зависимости от языка, содержимого или формата сообщений.

Основываясь на свойствах основной массы сообщений, а не на конкретном содержимом, языке или формате, SpamBlocker обеспечивает защиту в реальном времени от спама, в том числе и от фишинговых атак и поддерживает высокую пропускную способность для остального сетевого трафика.

Шлюзовой антивирус/Служба предотвращения вторжений с противодействием шпионскому ПО

Система, основанная на постоянной сигнатурной защите на шлюзе, работающая против вирусов, троянов, шпионского ПО, сетевых эксплойтов, Web-cканеров, блокирующая IM и Р2Р приложения и другие смешанные угрозы.

Служба предотвращения вторжений фирмы WatchGuard обеспечивает встроенную защиту от атак, которые, хотя и соответствуют стандартам протокола, могут нести нежелательное содержимое. Основанная на сигнатурах, она предназначена для защиты от широкого спектра атак, включая cross-site scripting, переполнение буфера или SQL injections (вставки в запросы SQL).

Двумя основными проблемами, связанными с использованием систем предотвращения вторжений являются скорость работы и вероятность ошибки первого рода. Тесная интеграция службы IPS фирмы WatchGuard с другими слоями ILS их практически исключает.

Поскольку другие слои ILS блокируют 70-80 % атак (особенно эффективно применение глубокого анализа приложений), сигнатур для их блокирования не требуется. Это уменьшает общее количество сигнатур и увеличивает скорость обработки данных, одновременно уменьшая вероятность ошибки первого рода, которая пропорциональна количеству проверяемых данных и числу используемых сигнатур. Система предотвращения вторжений фирмы WatchGuard использует только порядка 1000 сигнатур для достижения сравнимого или даже лучшего уровня защиты с некоторыми другим системами, число сигнатур в которых может достигать 6000.

Шпионское ПО распространяется и многими другими способами помимо P2P, включая внедренные файлы, cookies и самоскачивающиеся программы. Шпионское ПО может отслеживать все, что вы вводите на клавиатуре, рыться в файлах в поисках паролей и идентификационных данных, заполнять экран дисплея рекламными объявлениями. Оно также замедляет работу систем и отъедает сетевой трафик. Служба предотвращения вторжений фирмы WatchGuard включает как сигнатурные, так и уникальные сканирующие способы блокирования шпионского ПО в различных точках его жизненного цикла, включая установку, момент связи для отчета с родительским хостом и послеустановочную активность приложения. Все это производится набором взаимосвязанных процедур:

• Блокирование сайтов. Движок службы предотвращения вторжений блокирует доступ к известным хранилищам шпионского ПО или файловым серверам, с которых распространяются шпионские программы во время HTTP сессий.
• Проверка содержимого, основанная на сигнатурах. Движок системы предотвращения вторжений будет постоянно сканировать трафик с помощью постоянно обновляемой базы сигнатур для определения и блокирования загружаемых шпионских программ, включая завуалированное самозагружающееся ПО.
• Остановка при настройке. Для успешной настройки шпионского ПО ему необходимо специальное приложение, с которым нужно связаться для передачи данных об установке и запроса начальных настроечных данных с родительского хоста. Система предотвращения вторжений определяет и блокирует эту связь.
• Остановка при работе. Как только зараженная машина начинает работать во внутренней сети, шпионское ПО попытается использовать сетевое соединение с целью создания канала связи для дополнительных действий. Система предотвращения вторжений будет определять и блокировать эти процессы, которые могут включать кражу информации, установку дополнительного шпионского ПО и рекламу.

Движок системы предотвращения вторжений фирмы WatchGuard тесно взаимосвязан с другими функциями межсетевого экрана и выдает отчеты, которые полностью интегрируются в систему отчетности. Это позволяет системному администратору легко вычислить элемент сети, зараженный шпионским ПО и удалить его.

WebBlocker увеличивает производительность и снижает риск, блокируя доступ к небезопасным источникам в сети, а также управляет доступом сотрудников в интернет.

WebBlocker использует базу данных сайтов и программные средства мирового лидера Web фильтрации — компании SurfControl. Чтобы наиболее точно классифицировать и полностью охватить весь спектр Web страниц, WebBlocker использует многочисленные категории, чтобы помочь блокировать то содержимое, которое вы не хотите пропустить в свою сеть. Блокируются

известные сайты, содержащие шпионское ПО или нежелательное содержимое, что помогает защитить ваши сетевые ресурсы; блокируются развлекательные сайты, что увеличивает производительность труда сотрудников.

При помощи настраиваемых списков исключений, идентификации пользователей и возможностей задать различные политики для различного времени суток, WebBlocker значительно усиливает политику безопасности.

Возможности модернизации

Если попробовать оценить итоговую сумму денежных инвестиций, необходимых для развёртывания, управления и модернизации комплекса решений безопасности, призванного удовлетворять широким требованиям сегодняшних сетей, то станет очевидным, что использование Firebox X Core e-Series более выгодно с финансовой точки зрения.

С ростом требований, можно легко расширить возможности UTM — устройства. Например, для увеличения скорости и пропускной способности устройство модернизируется путем приобретения специальной лицензии. Также предусмотрена возможность перехода аппаратной платформы на более функциональную операционную систему.

Операционная система

Вместе со всеми моделями Firebox X Core e-Series поставляется операционная система Fireware. Для сложных сетевых окружений может возникнуть необходимость модернизации до более усовершенствованной системы Fireware Prо, которая предоставляет следующие дополнительные возможности:

• Управление трафиком;
• Даёт уверенность, что для критических приложений будет выделяться необходимая полоса пропускания;
• Система отказоустойчивости (активный/пассивный режим);
• Возможность построения отказоустойчивого кластера;
• Динамическая маршрутизация (протоколы BGP, OSPF, RIP);
• Максимальная гибкость сети и эффективность её работы, благодаря динамически обновляемым таблицам маршрутизации.

Для переустановки операционной системы на UTM-устройстве Firebox достаточно приобрести специальную лицензию.

Объединение и преобразование традиционных средств безопасности в интегрированные UTM-устройства дает возможность предприятиям перейти на новый, более высокий уровень защиты своих локальных сетей. Подход компании WatchGuard, основанный на специальной технологии, реализованной в архитектуре ILS, позволяющей интегрировать сразу несколько уровней защиты совместно с дополнительными функциями, несомненно, является эффективной защитой для любой: как уже сформированной, так и развивающейся сетевой инфраструктуры. Использование полноценных UTM-устройств, таких как, WatchGuard Firebox приобретает особую актуальность в настоящие дни, когда с увеличивающейся частотой появляются все более изощренные виды угроз.

Современное UTM-решение, отличающееся простотой настройки, безопасными предустановленными настройками и наличием всех модулей глубокого анализа трафика, необходимых для обеспечения безопасной фильтрации: системы предотвращения вторжений, контроля приложений, контент-фильтра. Давай посмотрим, что умеет Ideco.

Основные возможности

Возможности Ideco ICS:

• Защита пользователей и корпоративной сети от внешних угроз - система предотвращения вторжений, контроль приложений (DPI), контентная фильтрация веб-трафика (включая HTTPS), антивирус и антиспам Касперского, защита опубликованных веб-серверов (Web Application Firewall), интеграция с DLP- и SIEM-системами, межсетевой экран.
• Комплексное управление интернет-трафиком - авторизация пользователей, балансировка каналов, ограничение, приоритизация, отчеты.
• Средства коммуникации и почта - почтовый сервер, многоуровневая фильтрация спама, защита от вирусов и фишинговых ссылок, полные возможности фильтрации при использовании в качестве релея, современный веб-интерфейс.
• Построение корпоративной сети - безопасное подключение удаленных пользователей, организация защищенных каналов между филиалами (поддержка VPN с использованием PPTP, OpenVPN, IPsec позволяет соединить в сеть практически любые маршрутизаторы или программные шлюзы), использование нескольких подключений к провайдерам, маршрутизация, интеграция с Active Directory.

Ideco ICS объединяет в себе следующие модули безопасности:
* межсетевой экран;
* система предотвращения вторжений;
* контроль приложений;
* контент-фильтр (протокол HTTP и HTTPS);
* Web Application Firewall;
* антивирусная проверка трафика;
* антиспам и проверка почтового трафика;
* защита от DoS и брутфорс-атак;
* защищенный удаленный доступ по VPN.

Web Application Firewall - это модуль межсетевого экрана для защиты опубликованных веб-приложений. Нужно отметить, что среди российских UTM-решений Ideco ICS - единственное, где присутствует такая функциональность.
Обо всем этом ты можешь прочитать и на сайте компании, поэтому предлагаю перейти сразу к практике и посмотреть, как же выглядит Ideco ICS не на бумаге, а в реальной жизни. И начнем мы с его установки.

Установка Ideco ICS

В установке нет ничего сложного - нужно скачать ISO-образ из личного кабинета пользователя , записать его на флешку или диск (как кому нравится) и загрузиться.
Установка проходит очень быстро и без осложнений. Вот ее основные моменты:
1. Нужно проверить правильность установки времени и даты в BIOS - это очень важно для интеграции с Active Directory (впрочем, если время и дата неверные, они будут автоматически синхронизированы после подключения сервера к интернету).
2. Необходимо как минимум 3800 Мбайт оперативки.
3. Поддерживаются режимы установки, обновления и восстановления (рис. 1).
4. Все данные на накопителе будут уничтожены.
5. В процессе установки нужно настроить локальный сетевой интерфейс (рис. 2) и выбрать часовой пояс.
6. Установка потребует около 4 Гбайт дискового пространства
7. Инсталлятор сообщит имя пользователя администратора и пароль (рис. 3).

Установка проходит практически без вмешательства пользователя. Все, что нужно от пользователя, - ввести IP-адрес будущего шлюза и выбрать часовой пояс.

Управление шлюзом: консоль

Перезагружаемся (рис. 4). Если присмотреться, то видно, с использованием каких компонентов построен Ideco: суперсервер xinetd, bind DNS server, nginx, Squid, KLMS и другие.

Для доступа к консоли шлюза нужно ввести пароль servicemode. Меню управления шлюзом показано на рис. 5. Команды меню:
* Мониторинг сервера - отображает информацию о загрузке процессора, использовании памяти и диска (рис. 6).
* Мониторинг сети - информация об использовании сети (bmon).
* Сетевые параметры - здесь можно изменить IP-адрес и маску шлюза, а также просмотреть текущую конфигурацию сети (рис. 7).
* Резервные копии БД - средство создания резервных копий базы данных, здесь же можно восстановить БД из резервной копии.
* Консоль - полноценная консоль, в которой можно делать все, что хочется. Лично я первым делом посмотрел, сколько места заняла установка. Чуть более 3,2 Гбайт (рис. 8).
* Сервис - открывает подменю, где можно установить IP-адрес администратора, отключить правила firewall, разрешить интернет всем и вся, разрешить доступ к серверу по SSH, сбросить пароль администратора.
* Смена пароля - позволяет изменить пароль администратора.
* Перезагрузка сервера - перезагрузка сервера, в том числе полная и мягкая, то есть перезагрузка только служб, а не всего компьютера.
* Выход - выход из консоли управления.

Веб-интерфейс

Для доступа к веб-интерфейсу (все-таки возможностей в нем больше, чем в сервисном режиме) используется URL https://IP-адрес, где IP-адрес - это адрес, указанный в настройках. Для входа используются данные, изображенные на рис. 3. Главная страница веб-интерфейса изображена на рис. 10.

Собственно, что делать после того, как вошел в веб-интерфейс? Все зависит от поставленной задачи. Если задача заключается только в предоставлении доступа к интернету группе пользователей, то нужно как минимум выбрать внешний интерфейс (через который наш сервер будет предоставлять доступ к интернету) и добавить пользователей.

Добавление внешнего интерфейса

Чтобы добавить внешний интерфейс, нужно перейти в раздел «Серверы > Интерфейсы», выбрать роль интерфейса «Внешний», ввести его название и установить сетевые параметры. Обрати внимание, что можно установить IP-адрес для проверки связи (можно использовать сервер Google - 8.8.8.8), а также выбрать резервный интерфейс, если он есть. Если имеется два внешних интерфейса, то для основного нужно установить переключатель «Основной».

Создание пользователей

В разделе «Пользователи» нужно первым делом выбрать тип авторизации (рис. 16). В самом простом случае можно выбрать авторизацию по IP. Этот вариант подойдет для небольшой сети, когда понятно, кто есть кто, а также в случаях, когда нужно быстро развернуть шлюз для доступа к интернету, а полноценная настройка еще предстоит в будущем.
На боковой панели слева находятся кнопки «Добавить группу» и «Добавить пользователя». Пользователей целесообразно объединять в группы для более простого управления ими. Создадим группу «Офис» (рис. 12).

Затем интерфейс отобразит настройки группы (рис. 13). Нажми кнопку «Создать пользователей», чтобы вызвать инструмент группового добавления пользователей (рис. 14). Нужно задать префикс имени, префикс логина пользователя, а также диапазон IP-адресов добавляемых пользователей. Конечно, можно добавлять пользователей по одному, но это не очень удобно, особенно если есть возможность это автоматизировать.

Собственно, на этом все. Осталось только на клиентах установить IP-адрес нашего сервера Ideco ICS в качестве шлюза. Если тебе лень этим заниматься, в разделе «Сервер > DHCP» можно включить DHCP-сервер и установить его параметры (рис. 16). Как минимум нужно указать диапазон IP-адресов и назначение шлюза по умолчанию клиентам.

Если поставленная задача - просто предоставить пользователям доступ к интернету, то она уже выполнена. На все про все ушло минут двадцать (вместе с установкой Ideco ICS). Если не учитывать установку самой ОС, то на чтение этой статьи ты потратишь больше времени, чем на настройку сервера.

Блокировки и всевозможные ограничения

Все, что настраивалось до этого момента, можно довольно быстро настроить на любом Linux/FreeBSD-сервере. А вот сейчас начинается самое интересное. Перейди в раздел «Сервер», «Контент-фильтр». Здесь можно выбрать, какой именно контент будет блокироваться сервером. Так, в категории «Блокировка файлов» (рис. 17) показаны типы файлов, подлежащие блокировке. А в категории «Стандартные» можно заблокировать VPN (блокируются все популярные VPN-службы и программы в любых исполнениях), торренты, веб-прокси, сайты с контентом для взрослых и прочее.

Настройка подобного контент-фильтра вручную займет определенное время. С помощью Ideco ICS можно выполнить блокировку необходимых ресурсов за пару щелчков мыши. При этом тебе не нужно настраивать ни файрвол, ни прокси.
База стандартного контент-фильтра содержит 34 категории трафика и более чем 900 тысяч URL, а расширенного еще больше - 143 категории и 500 миллионов URL. Обе базы регулярно обновляются и поддерживаются в актуальном состоянии. Кроме возможности блокировки по типам сайтов, эти же базы позволяют категоризировать веб-отчетность по потреблению пользователями трафика. Другими словами, можно будет понять, сколько часов сотрудники тратят на работу, а сколько - на развлечения или собственные интересы в рабочее время.

Преимущества Ideco ICS

Основные фишки Ideco ICS:

• Изначально все модули, службы, правила файрвола и контентной фильтрации настроены для обеспечения максимальной защиты сети и сервера.
• Многие настройки нельзя изменить, то есть систему не получится настроить небезопасно, даже при всем своем желании или неопытности.
• Простота настройки.
• Поддержка интеграции с Active Directory.
• Все пользователи и устройства должны быть обязательно авторизованы для выхода в интернет. Неавторизованный трафик запрещен, что позволяет всегда получать статистику по использованию интернета пользователями и устройствами.
• Отечественные базы контентной фильтрации (расширенного контент-фильтра), более релевантные для российского интернет-сегмента, чем западные базы.
• Полностью российское решение, включая базы фильтрации контента, антивирусов (антивирус Касперского, см. рис. 19), системы предотвращения вторжений (базы собственной разработки).
• Блокировка попыток обхода системы контентной фильтрации (анонимайзеров), включая популярные плагины к браузерам, Opera VPN, Яндекс.Турбо.
• Удобная система отчетности.

Почтовый сервер

Ideco ICS - это не только шлюз с возможностью интеграции с Active Directory. Продукт, помимо всего прочего, содержит еще и встроенный почтовый сервер, настроить который можно в разделе «Сервер > Почтовый сервер» (рис. 20).

Система предотвращения вторжений (IDS)

Ideco ICS «из коробки» оснащен системой предотвращения вторжений (IDS), которая позволяет еще и блокировать анонимайзеры. Для настройки IDS нужно перейти в раздел «Безопасность > Предотвращение вторжений» и включить IDS/IPS (рис. 21).

Вкладка «Правила» позволяет определить группы правил IDS (рис. 22). Именно здесь можно включить/выключить блокировку Opera VPN, анонимайзеров, атак и прочего.

Для работы IDS нужно минимум 8 Гбайт оперативки на сервере.
В числе возможностей - функции, обычные для системы предотвращения вторжений (блокировка атакующих, ботнетов и поиск опасных сигнатур в трафике), но, кроме того, система позволяет блокировать трафик по базе IP Reputation и GeoIP, без его глубокого анализа (что ускоряет фильтрацию трафика и повышает устойчивость к DoS- и DDoS-атакам), а также блокировать телеметрию Windows (функции слежения за пользователями данной операционной системы, что не делают продукты других вендоров).

Отчеты и статистика

Раздел «Отчеты» позволяет просмотреть и экспортировать различную статистическую информацию. Доступен экспорт отчетов в форматах HTML, CSV, XLS. Формат CSV удобен для последующего анализа отчетов в других программных продуктах.

Дополнительную информацию можно получить в обзоре от разработчиков Ideco:

Шлюз безопасности Ideco ICS - уникальное предложение на российском рынке UTM-решений: современный продукт, обеспечивающий разностороннюю защиту от сетевых угроз и при этом практически не требующий настройки. Развертывание данного решения занимает считаные минуты, а на выходе получаем полноценный шлюз со всевозможными функциями - от защиты и блокировки до поддержки Active Directory и развернутой отчетности.

Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим мировой ИТ-рынок. По введенной классификации, UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного шлюза.

Российский рынок UTM-устройств представлен только иностранными производителями. Причем, некоторые компании, представляя свои решения и называя их UTM - просто объединяют функционал независимых устройств сетевой безопасности (таких как: межсетевой экран, антивирусный шлюз, система обнаружения/предотвращения вторжений) в одном корпусе с единой системой мониторинга и управления. Подобные устройства нельзя считать полноценной UTM-системой.

Аббревиатура UTM обозначает Unified Threat Management, что дословно можно перевести на русский язык примерно как: объединенное управление угрозами. В данной статье мы рассмотрим, какие же именно функции должно выполнять устройство, чтобы считаться полноценным UTM, каковы преимущества использования таких систем и от каких видов угроз они могут защитить.

Именно такой результат дал опрос более 1000 руководителей IT-подразделений крупных и средних европейских компаний, проведенный по заказу корпорации Intel. Целью опроса было желание определить проблему, которая в большей степени волнует специалистов отрасли. Ответ был вполне ожидаемый, более половины респондентов назвали проблему сетевой безопасности, проблему, требующей незамедлительного решения. Так же вполне ожидаемым можно назвать и другие результаты опроса. Например, фактор сетевой безопасности лидирует среди других проблем в области информационных технологий; степень его важности возросла на 15% по сравнению с ситуацией, существовавшей пять лет тому назад .
По результатам опроса, свыше 30% своего времени высококвалифицированные IT-специалисты тратят на решение как раз именно вопросов обеспечения безопасности . Ситуация, сложившаяся в крупных компаниях (со штатом свыше 500 сотрудников), еще более тревожна - около четверти респондентов тратят половину своего времени на решение этих вопросов.

Баланс угроз и защиты

Увы, но проблематика сетевой безопасности неразрывно связана с основополагающими технологиями, используемыми в современных телекоммуникациях. Так уж случилось, что при разработке семейства IP-протоколов приоритет был отдан надежности функционирования сети в целом. Во времена появления этих протоколов сетевая безопасность обеспечивалась совершенно другими способами, которые просто нереально использовать в условиях Глобальной сети. Можно громко сетовать на недальновидность разработчиков, но кардинально изменить ситуацию практически невозможно. Сейчас просто надо уметь защищаться от потенциальных угроз .
Главным принципом в этом умении должен быть баланс между потенциальными угрозами для сетевой безопасности и уровнем необходимой защиты . Должна быть обеспечена соизмеримость между затратами на безопасность и стоимостью возможного ущерба от реализованных угроз.
Для современного крупного и среднего предприятия информационные и телекоммуникационные технологии стали основой ведения бизнеса. Поэтому они оказались наиболее чувствительны к воздействию угроз. Чем масштабнее и сложнее сеть, тем больших усилий требует ее защита. При этом стоимость создания угроз на порядки меньше затрат на их нейтрализацию. Такое положение дел заставляет компании тщательно взвешивать последствия возможных рисков от различных угроз и выбирать соответствующие способы защиты от наиболее опасных.
В настоящее время наибольшие угрозы для корпоративной инфраструктуры представляют действия связанные с несанкционированным доступом к внутренним ресурсам и с блокированием нормальной работы сети. Существует довольно большое число таких угроз, но в основе каждой из них лежит совокупность технических и человеческих факторов. Например, проникновение вредоносной программы в корпоративную сеть может произойти не только вследствие пренебрежения со стороны администратора сети правилами безопасности, но также в силу излишнего любопытства сотрудника компании, решившего воспользоваться заманчивой ссылкой из почтового спама. Поэтому не стоит надеяться, что даже самые лучшие технические решения в области безопасности станут панацеей от всех бед.

Решения класса UTM

Безопасность всегда является относительным понятием. Если ее слишком много, то заметно усложняется пользование самой системой, которую мы собираемся защитить. Поэтому разумный компромисс становится первоочередным выбором в деле обеспечения сетевой безопасности. Для средних предприятий по российским меркам такой выбор вполне могут помочь сделать решения класса UTM (Unified Threat Management или United Threat Management) , позиционируемы как многофункциональные устройства сетевой и информационной безопасности. По своей сути эти решения представляют собой программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана (firewall), системы обнаружения и предотвращения вторжений в сеть (IPS), а также функции антивирусного шлюза (AV). Часто на эти комплексы возлагается решение дополнительных задач, например маршрутизации, коммутации или поддержки VPN сетей.
Зачастую поставщики решений UTM предлагают использовать их в малом бизнесе. Возможно, такой подход отчасти оправдан. Но все же малому бизнесу в нашей стране и проще, и дешевле воспользоваться сервисом безопасности от своего интернет-провайдера.
Как любое универсальное решение оборудование UTM имеет свои плюсы и минусы . К первым можно отнести экономию средств и времени на внедрение по сравнению с организацией защиты аналогичного уровня из отдельных устройств безопасности. Так же UTM представляет собой предварительно сбалансированное и протестированное решение, которое вполне может решить широкий круг задач по обеспечению безопасности. Наконец, решения этого класса не столь требовательны к уровню квалификации технического персонала. С их настройкой, управлением и обслуживанием вполне может справиться любой специалист.
Основным минусом UTM является факт, что любая функциональность универсального решения зачастую менее эффективна, чем аналогичная функциональность специализированного решения. Именно поэтому когда требуется высокая производительность или высокая степень защищенности специалисты по безопасности предпочитают использовать решения на основе интеграции отдельных продуктов.
Однако, несмотря на этот минус решения UTM становятся востребованными многими организациями, сильно отличающимися по масштабу и роду деятельности. По данным компании Rainbow Technologies, такие решения были успешно внедрены, например, для защиты сервера одного из Интернет магазинов бытовой техники, который подвергался регулярным DDoS-атакам. Так же решение UTM позволило заметно сократить объем спама в почтовой системе одного из автомобильных холдингов. Помимо решения локальных задач, есть опыт построения систем безопасности на базе решений UTM для распределенной сети, охватывающей центральный офис пивоваренной компании и ее филиалы.

Производители UTM и их продукты

Российский рынок оборудования класса UTM сформирован только предложениями зарубежных производителей. К сожалению, никто из отечественных производителей пока не смог предложить собственных решений в данном классе оборудования. Исключение составляет программное решение Eset NOD32 Firewall, которое по сообщению компании было создано российскими разработчиками.
Как уже отмечалось, на российском рынке решения UTM могут быть интересны главным образом средними компаниями, в корпоративной сети которых насчитывается до 100-150 рабочих мест. При отборе оборудования UTM для представления в обзоре главным критерием выбора стала его производительность в различных режимах работы, которая смогла бы обеспечить комфортную работы пользователей. Часто производители указывают характеристики производительности для режимов Firewall, предотвращения вторжения IPS и защиты от вирусов AV.

Решение компании Check Point носит название UTM-1 Edge и представляет собой унифицированное устройство защиты, объединяющее межсетевой экран, систему предотвращения вторжений, антивирусный шлюз, а так же средства построения VPN и удаленного доступа. Входящий в решение firewall контролирует работу с большим числом приложений, протоколов и сервисов, а так же имеет механизм блокировки трафика, явно не вписывающегося в категорию бизнес-приложений. Например, трафика систем мгновенных сообщений (IM) и одноранговых сетей (P2P). Антивирусный шлюз позволяет отслеживать вредоносный код в сообщениях электронной почты, трафика FTP и HTTP. При этом нет ограничений на объем файлов и осуществляется декомпрессия архивных файлов "на лету".
Решение UTM-1 Edge обладает развитыми возможностями работы в VPN сетях. Поддерживается динамическая маршрутизация OSPF и подключение VPN клиентов. Модель UTM-1 Edge W выпускается со встроенной точкой WiFi доступа IEEE 802.11b/g.
При необходимости крупномасштабных внедрений, UTM-1 Edge легко интегрируется с системой Check Point SMART, благодаря чему управление средствами безопасности значительно упрощается.

Компания Cisco традиционно уделяет вопросам сетевой безопасности повышенное внимание и предлагает широкий набор необходимых устройств. Для обзора мы решили выбрать модель Cisco ASA 5510 , которая ориентирована на обеспечение безопасности периметра корпоративной сети. Это оборудование входит в серию ASA 5500, включающую модульные системы защиты класса UTM. Такой подход позволяет адаптировать систему обеспечения безопасности к особенностям функционирования сети конкретного предприятия.
Cisco ASA 5510 поставляется в четырех основных комплектах — межсетевого экрана, средств построения VPN, системы предотвращения вторжений, а так же средств защиты от вирусов и спама. В решение входят дополнительные компоненты, такие как система Security Manager для формирования инфраструктуры управления при разветвленной корпоративной сети, и система Cisco MARS, призванная осуществлять мониторинг сетевой среды и реагировать на нарушение безопасности в режиме реального времени.

Словацкая компания Eset поставляет программный комплекс Eset NOD32 Firewall класса UTM, включающий, помимо функций корпоративного файервола, систему антивирусной защиты Eset NOD32, средства фильтрации почтового (антиспам) и веб-трафика, системы обнаружения и предупреждения сетевых атак IDS и IPS. Решение поддерживает создание сетей VPN. Этот комплекс построен на основе серверной платформы, работающей под управлением Linux. Программная часть устройства разработана отечественной компанией Leta IT , подконтрольной российскому представительству Eset.
Данное решение позволяет контролировать сетевой трафик в режиме реального времени, поддерживается фильтрация контента по категориям веб-ресурсов. Обеспечивается защиту от атак типа DDoS и блокируются попытки сканирования портов. В решение Eset NOD32 Firewall включена поддержка серверов DNS, DHCP и управление изменением пропускной способности канала. Контролируются трафик почтовых протоколов SMTP, POP3.
Так же данное решение включает возможность создания распределенных корпоративных сетей с помощью VPN-соединений. При этом поддерживаются различные режимы объединения сетей, алгоритмы аутентификации и шифрования.

Компания Fortinet предлагает целое семейство устройств FortiGate класса UTM, позиционируя свои решения как способные обеспечить защиту сети при сохранении высокого уровня производительности, а так же надежной и прозрачной работы информационных систем предприятия в режиме реального времени. Для обзора мы выбрали модель FortiGate-224B , которая ориентирована для защиты периметра корпоративной сети с 150 - 200 пользователями.
Оборудование FortiGate-224B включает функциональность межсетевого экрана, сервера VPN, фильтрацию web-трафика, системы предотвращения вторжения, а так же антивирусную и антиспамовскую защиту. Эта модель имеет встроенные интерфейсы коммутатора локальной сети второго уровня и WAN-интерфейсы, что позволяет обойтись без внешних устройств маршрутизации и коммутации. Для этого поддерживается маршрутизация по протоколам RIP, OSPF и BGP, а так же протоколы аутентификации пользователей перед предоставлением сетевых сервисов.

Компания SonicWALL предлагает широкий выбор устройств UTM, из которого в данный обзор попало решение NSA 240 . Это оборудование является младшей моделью в линейке, ориентированной на использование в качестве системы защиты корпоративной сети среднего предприятия и филиалов крупных компаний.
В основе данной линейки лежит использование всех средств защиты от потенциальных угроз. Это межсетевой экран, система защиты от вторжения, шлюзы защиты от вирусов и шпионского программного обеспечения. Есть фильтрация web-трафика по 56 категориям сайтов.
В качестве одной из изюминок своего решения компания SonicWALL отмечает технологию глубокого сканирования и анализа поступающего трафика. Для исключения снижения производительности данная технология использует параллельную обработку данных на многопроцессорном ядре.
Это оборудование поддерживает работу с VPN, обладает развитыми возможностями маршрутизации и поддерживает различные сетевые протоколы. Так же решение от SonicWALL способно обеспечить высокий уровень безопасности при обслуживании трафика VoIP по протоколам SIP и Н.323.

Из линейки продукции компания WatchGuard для обзора было выбрано решение Firebox X550e , которое позиционируется как система, обладающая развитой функциональностью для обеспечения сетевой безопасности и ориентирована на использовании в сетях малых и средних предприятий.
В основе решений класса UTM этого производителя лежит использование принципа защиты от смешенных сетевых атак. Для этого оборудование поддерживает межсетевой экран, систему предотвращения атак, антивирусный и антиспамовский шлюзы, фильтрацию web-ресурсов, а так же систему противодействия шпионскому программному обеспечению.
В этом оборудовании используется принцип совместной защиты, согласно которому сетевой трафик, проверенный по определенному критерию на одном уровне защиты не проверятся по этому же критерию на другом уровне. Такой подход позволяет обеспечивать высокую производительность оборудования.
Другим достоинством своего решения производитель называет поддержку технологии Zero Day, которая обеспечивает независимость обеспечения безопасности от наличия сигнатур. Такая особенность важна при появлении новых видов угроз, на которые еще не найдено эффективное противодействие. Обычно "окно уязвимости" длится от нескольких часов до нескольких дней. При использовании технологии Zero Day вероятность негативных последствий окна уязвимости заметно снижается.

Компания ZyXEL предлагает свое решение сетевого экрана класса UTM, ориентированного на использование в корпоративных сетях, насчитывающих до 500 пользователей. Это решение ZyWALL 1050 предназначено для построения системы сетевой безопасности, включающую полноценную защиту от вирусов, предотвращение вторжений и поддержку виртуальных частных сетей. Устройство имеет пять портов Gigabit Ethernet, которые могут настраиваться для использования в качестве интерфейсов WAN, LAN, DMZ и WLAN в зависимости конфигурации сети.
Устройство поддерживает передачу трафика VoIP приложений по протоколам SIP и Н.323 на уровне firewall и NAT, а так же передачу трафика пакетной телефонии в туннелях сети VPN. При этом обеспечивается функционирование механизмов предотвращения атак и угроз для всех видов трафика, включая VoIP-трафик, работа антивирусной системы с полной базой сигнатур, контентная фильтрация по 60 категориям сайтов и защита от спама.
Решение ZyWALL 1050 поддерживает различных топологий частных сетей, рабоуа в режиме VPN-концентратора и объединение виртуальных сетей в зоны с едиными политиками безопасности.

Основные характеристики UTM

Мнение специалиста

Дмитрий Костров, директор по проектам Дирекции технологической защиты корпоративного центра ОАО "МТС"

Сфера применения решений UTM главным образом распространяется на компании, относящиеся к предприятиям малого и среднего бизнеса. Само понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, согласно которому UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств. Обычно это межсетевой экран, VPN, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного и антиспамовского шлюзов и фильтрации URL.
Для того чтобы добиться действительно эффективной защиты устройство должно быть многоуровневым, активным и интегрированным. При этом многие производители средств защиты уже имеют достаточно широкую линейку продуктов, относящихся к UTM. Достаточная простота развертывания систем, а также получение системы "все в одном" делает рынок указанных устройств достаточно привлекательным. Совокупная стоимость владения и сроки возврата инвестиций при внедрении данных устройств кажутся очень привлекательными.
Но это решение UTM похоже на "швейцарский нож" - есть инструмент на каждый случай, но чтобы пробить в стене дырку нужна настоящая дрель. Есть также вероятность, что появление защиты от новых атак, обновление сигнатур и т.п. не будет столь быстрыми, в отличие от поддержки отдельных устройств, стоящих в "классической" схеме защиты корпоративных сетей. Также остается проблема единой точки отказа.

В статье рассматривается роль UTM-систем в условиях требований к сетевой безопасности, предъявляемых бизнесом. Проводится базовый анализ «расстановки сил» на мировом и российском рынке. Под UTM-системами (универсальными шлюзами безопасности) будем подразумевать класс многофункциональных сетевых устройств, преимущественно фаерволов, которые содержат в себе множество функций, таких как антиспам, антивирус, защиту от вторжений (IDS/IPS) и контентную фильтрацию.

Введение

Риски использования сетей известны. Однако в современных условиях отказаться от последних уже не представляется возможным. Тем самым, остаётся лишь минимизировать их до приемлемого уровня.

Принципиально можно выделить два подхода в обеспечении комплексной безопасности. Первый часто называют классическим или традиционным. Его суть базируется на аксиоме «специализированный продукт лучше многофункционального комбайна».

Однако, вместе с ростом возможностей различных решений, начали проявляться и «узкие места» их совместного использования. Так, за счёт автономности каждого продукта, происходило дублирование функционального наполнения, что, в конечном счёте, сказывалось на быстродействии и итоговой стоимости не в лучшую сторону. Кроме того, не было гарантий, что различные решения от различных производителей будут «мирно соседствовать» друг с другом, а не конфликтовать. Это, в свою очередь, также порождало дополнительные трудности для внедрения, управления и обслуживания систем. Наконец, вставал вопрос взаимодействия различных решений между собой (обмен информацией для выстраивания «общей картины», корреляция событий и т.п.) и удобства управления ими.

С точки зрения бизнеса, любое решение должно быть эффективным не только в практическом аспекте. Важно, чтобы оно, с одной стороны, позволяло снизить итоговую стоимость владения, а с другой, не увеличило сложность инфраструктуры. Поэтому вопрос появления UTM-систем, был лишь вопросом времени.

Что такое универсальные шлюзы безопасности (UTM)?

Дадим краткое описание для наиболее популярных решений.

Fortinet (есть сертификация ФСТЭК)

Компания Fortinet предлагает широкий модельный ряд устройств, начиная с серии FortiGate-20 для небольших предприятий и офисов и заканчивая серией FortiGate-5000, предназначенной для очень больших предприятий и провайдеров. Платформы FortiGate используют операционную систему FortiOS с сопроцессорами FortiASIC и другим аппаратным обеспечением. Каждое устройство FortiGate включает в себя:

• Межсетевой экран, VPN и Traffic Shaping;
• Систему предотвращения вторжений (IPS);
• Антивирус/Противодействие действию вредоносных программ;
• Интегрированный Wi-Fi контроллер;
• Контроль приложений;
• Защиту от утечек данных;
• Поиск уязвимостей;
• Поддержку IPv6;
• Web-фильтрацию;
• Антиспам;
• Поддержку VoIP;
• Маршрутизацию/коммутацию;
• WAN-оптимизацию и web-кеширование.

Устройства получают динамические обновления от глобального исследовательского центра FortiGuard Labs. Также продукты на базе FortiGate обладают сложным сетевым функционалом, включая кластеризацию (active/active, active/passive) и виртуальные домены (VDOM), которые дают возможностью разделять сети, требующие различных политик безопасности.

Check Point (есть сертификация ФСТЭК)

Компания Check Point выделяет следующие преимущества для своих устройств Check Point UTM-1:

• Проверенные технологии, пользующиеся доверием компаний из списка Fortune 500;
• Все необходимое для защиты Вашей сети: функционал, обновления и управление безопасностью;
• Защита сетей, систем и пользователей от множества видов атак из Интернета
• Обеспечение конфиденциальности путем защиты удаленного доступа и связи между узлами;
• Быстрое и простое развертывание системы безопасности и ее администрирование благодаря наличию многих функций безопасности в одном устройстве и широкой линейке устройств для компаний любого размера - от малого офиса до крупного предприятия;
• Защита от появляющихся новых угроз при помощи службы обновлений Check Point Update Service.

Все устройства UTM могут включать такие программные блейды, как: FireWall, VPN, систему предотвращения вторжений, SSL VPN, защиту от вирусов, программ-шпионов и спама, специализированный межсетевой экран для защиты web-приложений и web-фильтрацию. По желанию, можно добавить другие программные блейды. Подробнее с техническими характеристиками можно ознакомиться .

Dell

Ещё один лидер отрасли, больше ориентированный на крупные компании, чем на средний и малый бизнес. Приобретение в 2012 компании Sonicwall благоприятно сказалось на портфеле предлагаемых решений. Все решения, от SuperMassive E10800 до TZ 100, строятся на собственной платформе Network Security SonicOS Platform и включают в себя:

• Next-Generation Firewall;
• Контроль приложений;
• Глубокое исследование пакетов (в том числе и зашифрованных с помощью SSL);
• Организация VPN и SSL VPN;
• Антивирус;
• Веб-фильтрация;
• Система предотвращения вторжений (IPS).

Подробнее с техническими характеристиками можно ознакомиться .

WatchGuard (есть сертификат ФСТЭК)

В линейке UTM компания WatchGuard представлена устройствами Firebox X на базе многоуровневой архитектуры Intelligent Layered Security. Архитектура состоит из шести слоев защиты, взаимодействующих друг с другом:

• «Внешние службы безопасности» - предлагают технологии, расширяющие защиту сети за межсетевой экран;
• «Целостность данных» - проверяет целостность пакетов и их соответствие протоколам;
• «VPN» - проверяет зашифрованные внешние соединения организации;
• Межсетевой экран с динамическим анализом ограничивает трафик от источников, до тех пунктов назначения и портов, которые разрешены в соответствии с политикой безопасности;
• «Глубокий анализ приложений» - обеспечивает их соответствие с уровнем приложений модели ISO, отсекает опасные файлы по шаблону или по типу файла, блокирует опасные команды и преобразует данные для избежания утечки;
• «Безопасность содержимого» - анализирует и упорядочивает трафик для соответствующего приложения. Примером этого являются технологии, основанные на применении сигнатур, службы блокирования спама и фильтрации URL.

Благодаря этому, подозрительный трафик динамически выявляется и блокируется, а нормальный пропускается внутрь сети.

В системе также используются собственные:

• Антивирус/система предотвращения вторжений на шлюзе;
• WebBlocker;
• SpamBlocker.

Подробнее с техническими характеристиками можно ознакомиться .

Sophos (есть сертификат ФСТЭК)

Модельный ряд устройств компании представлен линейкой UTM xxx (от младшей модели UTM 100 до старшей UTM 625). Основные отличия заключаются в пропускной способности.

Решения включают ряд интегрированных сетевых приложений:

• DPI межсетевой экран;
• Система обнаружения вторжений и веб-фильтрация;
• Безопасность и защита электронной почты
• Контент-фильтры;
• Антивирусный контроль трафика;
• Сетевой сервис (VLAN, DNS, DHCP, VPN);
• Отчетность.

Решения позволяют обеспечить безопасность и защиту сетевых сегментов и сетевых сервисов в телекоммуникационной инфраструктуре SOHO, SME, Enterprise, ISP и обеспечить контроль и тонкую очистку IP-трафика на сетевом уровне. уровнях приложений (FW, IDS/IPS, VPN, Mail Security, WEB/FTP/IM/P2P Security, Анти-вирус, Анти-спам).

Подробнее с техническими характеристиками можно ознакомиться .

NETASQ

Компания NETASQ, входящая в корпорацию EADS, специализируется на создании межсетевых экранов оборонного класса для надёжной защиты сетей любого масштаба. UTM-устройства NETASQ имеют сертификаты НАТО и Евросоюза, а также соответствуют классу EAL4+ «Общих критериев оценки защищенности информационных технологий».

В преимущества своих продуктов компания выделяет:

1. NETASQ Vulnerability Manager;
2. Антиспам с фильтрацией рассылок;
3. Интеграцию с «Антивирусом Касперского»;
4. Фильтрацию URL с непрерывным обновлением из облака;
5. Фильтрацию внутри SSL/TLS;
6. VPN-решения с аппаратным ускорением;

В портфеле компании присутствуют как аппаратные, так и виртуальные UTM-экраны (серия U и серия V соответственно). Серия V сертифицирована Citrix и VMware. Серия U, в свою очередь, имеет внушительное время наработки на отказ (MTBF) - 9-11 лет.

Подробнее с техническими характеристиками можно ознакомиться .

Cisco (есть сертификат ФСТЭК)

Компания предлагает решения как для крупного (Cisco ASA ХХХХ Series), так и для малого/среднего бизнеса (Cisco Small Business ISA ХХХ Series). Решения поддерживают функции:

• Контроля приложений и поведения приложений;
• Веб-фильтрации;
• Защиты от ботнетов;
• Защиты от интернет-угроз в режиме, максимально приближенному к реальному времени;

Также обеспечивается:

• Поддержка двух сетей VPN для связи между офисами и партнерами, с расширением до 25 (ASA 5505) или 750 (ASA 5520) сотрудников
• Поддержка от 5 (ASA 5505) до 250 (ASA 5550) пользователей локальной сети из любой точки

Подробнее с техническими характеристиками можно ознакомиться .

Juniper Networks

Функциональное направление UTM поддерживают линейки устройств SRX Series и J Series.

В основные преимущества относят:

• Всестороннюю многоуровневую защиту, включающую защиту от вредоносного ПО, IPS, фильтрацию URL-адресов, контентную фильтрацию и анти-спам;
• Контроль и защиту приложений с применением политик на основе пользовательских ролей для противодействия атакам на приложения и сервисы Web 2.0;
• Предустановленные, быстро подключаемые инструменты UTM;
• Минимальные затраты на приобретение и содержание защищённого шлюза в рамках единого производителя защитного комплекса.

Решение состоит из нескольких компонент:

• Антивирус. Защищает сеть от вредоносніх программ, вирусов, шпионских программ, червей, троянов и других атак, а также от почтовых и веб-угроз, которые могут подвергнуть риску бизнес предприятия и корпоративные активы. В основе встроенной в UTM системы защиты от вредоносных программ лежит антивирусное ядро «Лаборатории Касперского».
• IPS . Применяются различные методы детектирования, в т.ч. выявление аномалий протокола и трафика, контекстные сигнатуры, распознавание SYN-флуда, спуфинг-мошенничества, а также обнаружение бэкдоров.
• AppSecure . Ориентированный на приложения (application-aware) комплекс сервисов по обеспечению безопасности, который анализирует трафик, предоставляет широкие возможности мониторинга приложений (application visibility), обеспечивает применение правил сетевого экрана для приложений, позволяет контролировать использование приложений и защищает сеть.
• Улучшенная фильтрация веб-трафика (Enhanced Web Filtering, EWF) обеспечивает защиту от потенциально вредоносных веб-сайтов несколькими способами. Технология использует 95 категорий URL-адресов, что позволяет организовать их гибкий контроль, помогает администраторам отслеживать сетевую активность и обеспечивает выполнение корпоративных политик использования веб-ресурсов. В работе EWF применяется оперативный, осуществляемый в режиме реального времени репутационный анализ на базе сети последнего поколения, которая проверяет на наличие вредоносного кода более 40 млн. веб-сайтов в час. EWF также ведёт совокупный учёт опасности для всех URL-адресов – как категоризированных, так и некатегоризированных, позволяя компаниям отслеживать и/или блокировать сайты с плохой репутацией.
• Антиспам.

Подробнее с техническими характеристиками можно ознакомиться .

Выводы

Российский рынок UTM-систем определённо представляет интерес, как для производителей, так и для потенциальных покупателей. Однако в силу устоявшихся «традиций», производителям приходится вести одновременную «битву» как на фронте сертификации и выстраивания партнёрского канала, так и на ниве маркетинга и продвижения.

Так, можно уже сегодня наблюдать, как практически все из рассмотренных компаний ведут работу над переводами материалов на русский язык, обзаводятся новыми партнёрами, а также проводят сертификацию своих решений. К примеру, в 2012 году Dell учредила отдельную компанию Dell Russia специально для российского рынка (компания не будет заниматься даже «ближайшими соседями» - Украиной и Беларусью). Отечественные разработчики тоже не стоят на месте, развивая свои решения. Примечательно, что многие производители (как отечественные, так и зарубежные) интегрируют сторонние модули в свои продукты. Показательным в этом плане является антивирусный модуль: различные UTM-системы используют ClamAV, Антивирус Касперского, Avira AV, Dr.Web и.т.д.

Тем не менее, вывод очевиден: российский рынок рассматривается всерьёз и на долгосрочную перспективу. Пока отступать не планирует никто, а значит, впереди нас ждут борьба за место под отечественным солнцем. Ведь «№1 в Мире» - это совсем не то же самое, что «№1 в России».