نشریه اینترنتی در مورد فن آوری های بالا. حفاظت از شبکه های اطراف محیط

راه حل پیشرفته UTM با سهولت راه اندازی، ایستگاه از پیش تنظیم ایمن و همه ماژول های موجود تحلیل عمیقترافیک مورد نیاز برای ارائه فیلترینگ ایمن: سیستم های جلوگیری از نفوذ، کنترل برنامه، فیلتر محتوا. بیایید ببینیم ایدکو چه کاری می تواند انجام دهد.

ویژگی های کلیدی

ویژگی های Ideco ICS:

• محافظت از کاربران و شبکه شرکتی از تهدیدات خارجی- سیستم جلوگیری از نفوذ، کنترل برنامه (DPI)، فیلتر محتوای ترافیک وب (از جمله HTTPS)، آنتی ویروس و آنتی اسپم کسپرسکی، حفاظت از سرورهای وب منتشر شده (فایروال برنامه وب)، یکپارچه سازی با سیستم های DLP و SIEM، فایروال.
• مدیریت جامع ترافیک اینترنت - مجوز کاربر، تعادل کانال، محدودیت، اولویت بندی، گزارش.
• ارتباطات و ایمیل - سرور ایمیل، فیلتر اسپم چند سطحی، محافظت در برابر ویروس ها و لینک های فیشینگ، قابلیت فیلتر کامل هنگام استفاده به عنوان رله، رابط وب مدرن.
• ساخت شبکه شرکتی - اتصال امن کاربران راه دور، سازماندهی کانال های امن بین شعب (پشتیبانی VPN با استفاده از PPTP، OpenVPN، IPsec به شما امکان می دهد تقریباً هر روتر یا دروازه نرم افزاری را به شبکه متصل کنید)، استفاده از چندین اتصال به ارائه دهندگان، مسیریابی ، ادغام با اکتیو دایرکتوری.

Ideco ICS ماژول های امنیتی زیر را ترکیب می کند:
* دیواره آتش؛
* سیستم پیشگیری از نفوذ؛
* کنترل برنامه؛
* فیلتر محتوا (HTTP و HTTPS)؛
* فایروال برنامه وب.
* بررسی ترافیک آنتی ویروس؛
* ضد هرزنامه و بررسی ترافیک ایمیل؛
* محافظت در برابر حملات DoS و brute force.
* دسترسی از راه دور امن از طریق VPN.

Web Application Firewall یک ماژول فایروال برای محافظت از برنامه های کاربردی وب منتشر شده است. لازم به ذکر است که در میان روسی راه حل های Ideco UTM ICS تنها با این قابلیت است.
شما می توانید در مورد همه اینها در وب سایت شرکت بخوانید، بنابراین من پیشنهاد می کنم مستقیماً به تمرین بروید و ببینید Ideco ICS چه شکلی است نه روی کاغذ، بلکه در زندگی واقعی. و ما با نصب آن شروع می کنیم.

نصب Ideco ICS

هیچ چیز پیچیده ای در نصب وجود ندارد - شما باید تصویر ISO را از حساب شخصی کاربر بارگیری کنید، آن را در یک درایو فلش USB یا دیسک (به دلخواه) رایت کنید و بوت کنید.
نصب بسیار سریع و بدون عوارض است. در اینجا نکات برجسته او آمده است:
1. باید بررسی کنید که زمان و تاریخ در بایوس به درستی تنظیم شده باشد - این برای ادغام با اکتیو دایرکتوری بسیار مهم است (اما اگر زمان و تاریخ نادرست باشد، پس از اتصال سرور به سرور به طور خودکار همگام می شوند. اینترنت).
2. شما به حداقل 3800 مگابایت رم نیاز دارید.
3. حالت های نصب، به روز رسانی و بازیابی پشتیبانی می شوند (شکل 1).
4. تمام داده های درایو از بین می رود.
5. در طول مراحل نصب، باید رابط شبکه محلی را پیکربندی کنید (شکل 2) و منطقه زمانی را انتخاب کنید.
6. نصب به 4 گیگابایت فضای دیسک نیاز دارد
7. نصب کننده نام کاربری و رمز عبور مدیر را ارائه می دهد (شکل 3).

نصب با دخالت کم یا بدون دخالت کاربر انجام می شود. تنها چیزی که از کاربر نیاز است وارد کردن آدرس IP دروازه آینده و انتخاب منطقه زمانی است.

کنترل دروازه: کنسول

ما راه اندازی مجدد می کنیم (شکل 4). اگر دقت کنید، می توانید ببینید که Ideco با چه اجزایی ساخته شده است: سوپرسرور xinetd، سرور DNS bind، nginx، Squid، KLMS و موارد دیگر.

برای دسترسی به کنسول دروازه باید رمز سرویس mode را وارد کنید. منوی کنترل دروازه در شکل نشان داده شده است. 5. دستورات منو:
* مانیتور سرور - اطلاعات مربوط به بار CPU، حافظه و استفاده از دیسک را نمایش می دهد (شکل 6).
* نظارت بر شبکه - اطلاعاتی در مورد استفاده از شبکه (bmon).
* تنظیمات شبکه - در اینجا می توانید آدرس IP و ماسک دروازه را تغییر دهید و همچنین پیکربندی فعلی شبکه را مشاهده کنید (شکل 7).
* پشتیبان گیری از پایگاه داده - ابزار ایجاد پشتیبان گیریپایگاه های داده، در اینجا می توانید پایگاه داده را از یک نسخه پشتیبان بازیابی کنید.
* کنسول - یک کنسول تمام عیار که در آن می توانید هر کاری که می خواهید انجام دهید. شخصاً اولین چیزی که به آن نگاه کردم این بود که نصب چقدر فضا را اشغال کرده است. کمی بیش از 3.2 گیگابایت (شکل 8).
* سرویس - یک منوی فرعی را باز می کند که در آن می توانید آدرس IP مدیر را تنظیم کنید، غیرفعال کنید قوانین فایروال، امکان اینترنت برای همه و همه چیز، اجازه دسترسی به سرور از طریق SSH، تنظیم مجدد رمز عبور مدیر.
* تغییر رمز عبور - به شما امکان می دهد رمز عبور مدیر را تغییر دهید.
* راه اندازی مجدد سرور - راه اندازی مجدد سرور، از جمله کامل و نرم، یعنی راه اندازی مجدد فقط سرویس ها، نه کل رایانه.
* خروج - خروج از کنسول مدیریت.

رابط وب

برای دسترسی به رابط وب (بالاخره، فرصت های بیشتری در آن وجود دارد تا در حالت سرویس) از آدرس https://IP URL استفاده می کند که آدرس IP آدرس مشخص شده در تنظیمات است. اطلاعات ورود به سیستم در شکل نشان داده شده است. 3. صفحه اصلی رابط وب در شکل نشان داده شده است. 10.

در واقع پس از ورود به رابط وب چه باید کرد؟ همه چیز بستگی به کار در دست دارد. اگر وظیفه فقط فراهم کردن دسترسی به اینترنت برای گروهی از کاربران است، حداقل باید یک رابط خارجی (که از طریق آن سرور ما دسترسی به اینترنت را فراهم می کند) انتخاب کرده و کاربران را اضافه کنید.

افزودن یک رابط خارجی

برای اضافه کردن یک رابط خارجی، باید به بخش "Servers > Interfaces" بروید، نقش رابط "External" را انتخاب کنید، نام آن را وارد کنید و پارامترهای شبکه را تنظیم کنید. توجه داشته باشید که می توانید یک آدرس IP برای پینگ تنظیم کنید (می توانید استفاده کنید سرور گوگل- 8.8.8.8)، و همچنین در صورت وجود، یک رابط پشتیبان انتخاب کنید. اگر دو رابط خارجی وجود دارد، برای اصلی باید سوئیچ "Main" را تنظیم کنید.

ایجاد کاربران

در قسمت «کاربران» ابتدا باید نوع مجوز را انتخاب کنید (شکل 16). در بسیار مورد سادهشما می توانید مجوز از طریق IP را انتخاب کنید. این گزینه برای یک شبکه کوچک مناسب است، زمانی که مشخص است چه کسی چه کسی است، و همچنین در مواردی که نیاز به استقرار سریع یک دروازه برای دسترسی به اینترنت دارید، و پیکربندی کامل هنوز در آینده انجام می شود.
در نوار کناری سمت چپ دکمه های Add Group و Add User قرار دارند. برای مدیریت راحت تر، کاربران باید در گروه ها ترکیب شوند. بیایید گروه "Office" را ایجاد کنیم (شکل 12).

سپس رابط تنظیمات گروه را نمایش می دهد (شکل 13). برای فراخوانی ابزار اضافه کردن کاربر انبوه، روی دکمه "ایجاد کاربران" کلیک کنید (شکل 14). شما باید پیشوند نام، پیشوند ورود کاربر و محدوده آدرس IP کاربرانی که قرار است اضافه شوند را تنظیم کنید. البته، می‌توانید کاربران را یکی یکی اضافه کنید، اما این خیلی راحت نیست، به خصوص اگر امکان خودکارسازی این وجود داشته باشد.

در واقع، این همه است. تنها بر عهده مشتریان است که آدرس IP سرور Ideco ICS ما را به عنوان دروازه تنظیم کنند. اگر برای انجام این کار خیلی تنبل هستید، در قسمت "Server > DHCP" می توانید سرور DHCP را فعال کرده و پارامترهای آن را تنظیم کنید (شکل 16). حداقل باید محدوده ای از آدرس های IP را مشخص کنید و یک دروازه پیش فرض را به مشتریان اختصاص دهید.

اگر کار صرفاً فراهم کردن دسترسی کاربران به اینترنت باشد، قبلاً تکمیل شده است. برای همه چیز حدود بیست دقیقه طول کشید (همراه با نصب Ideco ICS). اگر نصب خود سیستم عامل را در نظر نگیرید، زمان بیشتری را صرف خواندن این مقاله خواهید کرد تا راه اندازی سرور.

قفل ها و انواع محدودیت ها

هر چیزی که تا این مرحله پیکربندی شده است را می توان به سرعت روی هر سرور Linux/FreeBSD پیکربندی کرد. و اکنون جالب ترین شروع می شود. به بخش «سرور»، «فیلتر محتوا» بروید. در اینجا می توانید انتخاب کنید که کدام محتوا توسط سرور مسدود شود. بنابراین در دسته بندی «مسدود کردن فایل ها» (شکل 17) انواع فایل هایی که در معرض مسدود شدن هستند نشان داده شده است. و در دسته «استاندارد»، می‌توانید VPN (همه سرویس‌ها و برنامه‌های محبوب VPN در هر نسخه مسدود شده‌اند)، تورنت‌ها، پروکسی‌های وب، سایت‌هایی با محتوای بزرگسالان و غیره را مسدود کنید.

راه اندازی چنین فیلتر محتوایی به صورت دستی مدتی طول می کشد. با Ideco ICS، می توانید منابع لازم را با چند کلیک ماوس مسدود کنید. در این حالت، نیازی به پیکربندی فایروال یا پروکسی ندارید.
پایه فیلتر محتوای استاندارد شامل 34 دسته ترافیک و بیش از 900 هزار URL است و فیلتر پیشرفته حاوی 143 دسته و 500 میلیون URL است. هر دو پایگاه داده به طور منظم به روز می شوند و به روز می شوند. علاوه بر امکان مسدودسازی بر اساس انواع سایت ها، همین پایگاه های داده به شما این امکان را می دهد که گزارش های وب در مورد مصرف ترافیک توسط کاربران را دسته بندی کنید. به عبارت دیگر، این امکان وجود خواهد داشت که بفهمیم کارمندان چند ساعت را برای کار و چند ساعت را صرف سرگرمی یا علاقه شخصی خود در طول ساعات کاری می کنند.

مزایای Ideco ICS

ویژگی های اصلی Ideco ICS:

• در ابتدا، تمام ماژول ها، سرویس ها، قوانین فایروال و فیلتر محتوا پیکربندی می شوند تا حداکثر حفاظت از شبکه و سرور را ارائه دهند.
• بسیاری از تنظیمات را نمی توان تغییر داد، یعنی سیستم را نمی توان به طور ناامن پیکربندی کرد، حتی با تمام میل یا بی تجربگی شما.
• سهولت در راه اندازی.
• پشتیبانی از ادغام با Active Directory
• همه کاربران و دستگاه ها باید مجوز دسترسی به اینترنت را داشته باشند. ترافیک غیرمجاز ممنوع است که به شما امکان می دهد همیشه آمار استفاده کاربران و دستگاه ها از اینترنت را دریافت کنید.
• پایگاه‌های داده داخلی فیلتر محتوا (فیلتر محتوای پیشرفته)، مربوط به بخش اینترنت روسیه نسبت به پایگاه‌های داده غربی.
• راه حل کاملا روسی، شامل پایگاه های داده فیلتر محتوا، آنتی ویروس ها (آنتی ویروس کسپرسکی، به شکل 19 مراجعه کنید)، سیستم های جلوگیری از نفوذ (پایگاه های داده) طراحی خود).
• مسدود کردن تلاش برای دور زدن سیستم فیلتر محتوا (ناشناس کننده ها)، از جمله افزونه های محبوب مرورگر، Opera VPN، Yandex.Turbo.
• سیستم گزارش دهی مناسب

سرور پست الکترونیکی

Ideco ICS تنها یک دروازه با ادغام Active Directory نیست. این محصول، در میان چیزهای دیگر، همچنین حاوی یک سرور ایمیل داخلی است که می تواند در بخش "سرور > سرور ایمیل" پیکربندی شود (شکل 20).

سیستم پیشگیری از نفوذ (IDS)

Ideco ICS خارج از جعبه مجهز به سیستم پیشگیری از نفوذ (IDS) است که به شما امکان می دهد ناشناس کننده ها را مسدود کنید. برای پیکربندی IDS، به بخش "Security > Intrusion Prevention" رفته و IDS / IPS را فعال کنید (شکل 21).

تب "قوانین" به شما امکان می دهد گروه هایی از قوانین IDS را تعریف کنید (شکل 22). اینجاست که می‌توانید مسدود کردن Opera VPN، ناشناس‌کننده‌ها، حملات و موارد دیگر را روشن یا خاموش کنید.

برای اینکه IDS کار کند، به حداقل 8 گیگابایت رم روی سرور نیاز دارید.
در میان ویژگی‌ها، توابع مشترک برای یک سیستم پیشگیری از نفوذ (مسدود کردن مهاجمان، بات‌نت‌ها و جستجوی امضاهای خطرناک در ترافیک) وجود دارد، اما علاوه بر این، این سیستم به شما اجازه می‌دهد تا ترافیک را بر اساس اعتبار IP و GeoIP، بدون تجزیه و تحلیل عمیق آن مسدود کنید (که فیلتر کردن ترافیک را سرعت می بخشد و مقاومت در برابر حملات DoS و DDoS را افزایش می دهد و همچنین مسدود می کند تله متری ویندوز(عملکردهایی برای ردیابی کاربران این سیستم عامل که محصولات سایر فروشندگان انجام نمی دهند).

گزارش ها و آمار

بخش "گزارش ها" به شما امکان می دهد اطلاعات آماری مختلف را مشاهده و صادر کنید. گزارش ها را می توان به صادر کرد فرمت های HTML, CSV, XLS. فرمت CSV برای تجزیه و تحلیل بیشتر گزارش ها در سایر محصولات نرم افزاری مناسب است.

اطلاعات تکمیلیرا می توان در بررسی توسعه دهندگان Ideco دریافت کرد:

Ideco ICS Security Gateway یک پیشنهاد منحصربه‌فرد در بازار روسیه از راه‌حل‌های UTM است: یک محصول مدرن که حفاظت همه‌کاره‌ای را در برابر تهدیدات شبکه ارائه می‌کند و عملاً نیازی به پیکربندی ندارد. استقرار این راه حل چند دقیقه طول می کشد و در نتیجه یک دروازه تمام عیار با انواع عملکردها - از محافظت و مسدود کردن گرفته تا پشتیبانی از Active Directory و گزارش گیری پیشرفته دریافت می کنیم.

اخیراً دستگاه های به اصطلاح UTM به طور فزاینده ای در جهان محبوب شده اند و طیف وسیعی از عملکردهای امنیتی فناوری اطلاعات را در یک سیستم سخت افزاری ترکیب می کنند. برای درک بهتر این محصولات و درک مزیت آنها نسبت به راه حل های مرسوم، ما با Rainbow Technologies تماس گرفتیم. به سوالات ما توسط Dejan Momcilovic، رئیس روابط شریک در Rainbow پاسخ داده شده است.

دژان مومسیلوویچ، رئیس روابط شریک در رنگین کمان

الکسی به اشتراک بگذارید:آیا می توانید به طور کلی در مورد محصولات UTM (مدیریت یکپارچه تهدیدات) توضیح دهید؟ چه هستند و چه کاربردی دارند؟

دژان مومچیلوویچ:اخیراً، هنگامی که در مورد امنیت اطلاعات صحبت می شود، رسانه ها به طور فزاینده ای از اصطلاح جدیدی استفاده می کنند - دستگاه های UTM. مفهوم مدیریت یکپارچه تهدید (UTM) به عنوان کلاس جداگانهتجهیزات حفاظت از منابع شبکه، توسط آژانس بین المللی IDC با تحقیق در مورد بازار فناوری اطلاعات معرفی شد. با توجه به طبقه بندی آنها، راه حل های UTM نرم افزارها و سیستم های سخت افزاری چند منظوره هستند که عملکرد دستگاه های مختلف را ترکیب می کنند: دیوار آتش، سیستم تشخیص نفوذ و جلوگیری از نفوذ شبکه، و عملکرد یک دروازه ضد ویروس.
دستگاه های UTM برای ساخت آسان، سریع و کارآمد یک سیستم امنیتی منابع شبکه استفاده می شوند. آنها به دلیل سهولت استفاده و مقرون به صرفه بودن در بین شرکت های SMB (کسب و کارهای کوچک و متوسط) محبوبیت خاصی دارند.
برای اینکه یک دستگاه UTM کامل نامیده شود، باید فعال، یکپارچه و لایه باز باشد. یعنی باید سه عملکرد زیر را انجام دهد. اول، برای ارائه حفاظت چند سطحی در شبکه. در مرحله دوم، برای انجام عملکردهای یک فیلتر ضد ویروس، یک سیستم جلوگیری از نفوذ و محافظت در برابر جاسوس افزار در سطح دروازه شبکه. سوم، محافظت در برابر وب سایت های ناامن و هرزنامه ها. هر تابع مسئول عملیات خاصی است. به عنوان مثال، حفاظت چند لایه، تجزیه و تحلیل ترافیک عمیق فعال را فراهم می کند و اطلاعات مربوط به ترافیک مشکوک را به ماژول های مختلف دستگاه منتقل می کند، که درگیر تشخیص ناهنجاری ترافیک، تجزیه و تحلیل رفتار میزبان و اسکن امضای فایل هستند.
به طور جداگانه، ارزش دارد که در مورد محافظت در برابر وب سایت های ناامن و هرزنامه ها صحبت کنیم. حرکت کنترل نشده کارکنان شرکت در اینترنت احتمال آلودگی به جاسوس افزارها، تروجان ها و بسیاری از ویروس ها را افزایش می دهد. علاوه بر این، بهره وری نیروی کار در حال کاهش است توان عملیاتیشبکه و حتی ممکن است این اتفاق بیفتد که این شرکت برای تخلفات خاص باید در برابر قانون پاسخگو باشد. سرویس فیلتر URL به شما این امکان را می دهد که وب سایت هایی با محتوای ناامن یا قابل اعتراض را مسدود کنید. شما می توانید دسترسی به منابع وب را بر اساس روز هفته، نیازهای بخش، یا درخواست های کاربر فردی سازماندهی کنید. تا آنجا که به هرزنامه مربوط می شود، می تواند سرور ایمیل را به طور کامل پر کند، منابع شبکه را بیش از حد بارگذاری کند و بر بهره وری کارمندان تأثیر منفی بگذارد. همچنین می تواند انواع مختلفی از حملات خطرناک از جمله ویروس ها، مهندسی اجتماعی یا فیشینگ را حمل کند. با استفاده از یک سرویس اختصاصی مسدود کردن هرزنامه، می توانید به طور موثر ترافیک غیر ضروری در دروازه شبکه خود را قبل از ورود به شبکه و ایجاد آسیب متوقف کنید.


الکسی به اشتراک بگذارید:مزیت راه حل های UTM در مقایسه با سایر محصولات امنیتی فناوری اطلاعات چیست؟

دژان مومچیلوویچ:شما می توانید دستگاه های فردی مانند فایروال، دروازه آنتی ویروس، سیستم جلوگیری از نفوذ و غیره را خریداری و نصب کنید. و می توانید از یک دستگاه استفاده کنید که همه این عملکردها را انجام می دهد. در مقایسه با استفاده از سیستم‌های مجزا، کار با مجتمع UTM دارای چندین مزیت است. اول، سود مالی. سیستم‌های یکپارچه، برخلاف راه‌حل‌های امنیتی چندلایه که با استفاده از بسیاری از دستگاه‌های مجزا ساخته می‌شوند، از سخت‌افزار بسیار کمتری استفاده می‌کنند. این در هزینه نهایی منعکس می شود. یک راه حل کاملا یکپارچه می تواند شامل فایروال، VPN، امنیت لایه ای، فیلتر ضد ویروس، جلوگیری از نفوذ، ضد جاسوس افزار، فیلتر URL و سیستم های نظارت و کنترل مرکزی باشد.
ثانیا، حملات به دروازه شبکه را بدون وقفه در جریان کار متوقف کنید. یک رویکرد لایه‌ای با مسدود کردن حملات شبکه در جایی که سعی می‌کنند به شبکه نفوذ کنند، از فاجعه جلوگیری می‌کند. از آنجایی که سطوح به طور مشترک حفاظت را انجام می دهند، ترافیک بررسی شده توسط یک معیار خاص دوباره در سطوح دیگر با همان معیار بررسی نمی شود. بنابراین، سرعت ترافیک کاهش نمی یابد و برنامه های کاربردی حساس به سرعت برای کار در دسترس باقی می مانند.
سوم، سهولت نصب و استفاده. سیستم های یکپارچه و مدیریت مرکزی پیکربندی و مدیریت دستگاه ها و سرویس ها را آسان می کند. این امر کار مدیران را تا حد زیادی ساده می کند و هزینه های عملیاتی را کاهش می دهد. امکان نصب و استقرار آسان سیستم ها با کمک "جادوگران"، تنظیمات "پیش فرض" بهینه و موارد دیگر وسایل خودکار، بسیاری از موانع فنی را از بین ببرید ایجاد سریعسیستم های امنیتی شبکه
تفاوت مهم دیگری بین سیستم های UTM و راه حل های سنتی وجود دارد. واقعیت این است که راه حل های مبتنی بر امضا برای سال ها ستون فقرات زرادخانه راه حل های امنیتی بوده اند و از پایگاه داده ای از الگوهای شناخته شده برای شناسایی و مسدود کردن ترافیک مخرب قبل از ورود به شبکه استفاده می کنند. این سیستم ها در برابر تهدیدات و نقض خط مشی ها مانند اسب های تروجان، سرریزهای بافر، اجرای تصادفی کد SQL مخرب، پیام رسانی فوری و ارتباط نقطه به نقطه (استفاده شده توسط Napster، Gnutella و Kazaa) محافظت می کنند.
در عین حال، هنگامی که یک تهدید مشکوک شناسایی و شناسایی شد، ممکن است از چند ساعت تا چند هفته طول بکشد تا فایل‌های امضای مربوطه برای دانلود در دسترس باشند. این "تأخیر" پنجره ای از آسیب پذیری ایجاد می کند (شکل 1) که در طی آن شبکه ها برای حمله باز هستند:

برنج. 1. "چرخه حیات حمله و پنجره آسیب پذیری"

در دستگاه‌های UTM، امنیت لایه‌ای همراه با راه‌حل‌های مبتنی بر امضا و سایر خدمات برای ارائه حفاظت مؤثرتر در برابر تهدیدات پیشرفته‌ای که با سرعت هشداردهنده ظاهر می‌شوند، کار می‌کند.


الکسی به اشتراک بگذارید:شرکت شما چه راهکارهای UTM را نمایندگی می کند؟ چه وظایفی را انجام می دهند؟

دژان مومچیلوویچ: Rainbow Technologies توزیع کننده شرکت آمریکایی WatchGuard در روسیه و کشورهای CIS است. به گفته آژانس تحلیلی معروف جهان IDC، WatchGuard پیشرو در فروش دستگاه های UTM برای SMB در ایالات متحده و اروپا است (داده های 2005). خطی از دستگاه های Firebox X UTM به بازار ما عرضه می شود که هم برای شرکت های بزرگ و هم برای شرکت های کوچک طراحی شده است.
Firebox X Edge یک فایروال و نقطه پایانی VPN برای مشاغل کوچک است. برای دفاتری طراحی شده است که از یکدیگر دور هستند و کاربران موبایلو از منابع شرکت در برابر "تهدیدات غیر عمد" کاربران راه دور که به شبکه دسترسی دارند محافظت می کند.

فایرباکس x edge

Firebox X Core by WatchGuard سری پرچم‌دار دستگاه‌های UTM است که محافظت در روز صفر را ارائه می‌کند - محافظت در برابر تهدیدات جدید و ناشناخته حتی قبل از اینکه ظاهر شوند و شناسایی شوند. ترافیکی که وارد شبکه می شود در سطوح مختلفی بررسی می شود که به لطف آن به طور فعال مسدود می شود: ویروس ها، کرم ها، جاسوس افزارها، تروجان ها و تهدیدات مختلط بدون استفاده از امضا.

Firebox X Peak یک محافظت UTM برای شبکه های گسترده تر است و پهنای باند فایروال تا 1 گیگابایت را فراهم می کند.


الکسی به اشتراک بگذارید:محصولات UTM شما چه تفاوتی با محصولات UTM رقبا دارند؟

دژان مومچیلوویچ:امروزه فقط دستگاه های UTM از تولید کنندگان خارجی در روسیه ارائه می شود. علاوه بر این، بسیاری از آنها، دستگاه های خود را ارائه می دهند و آنها را UTM می نامند، به سادگی عملکرد را با هم ترکیب می کنند دستگاه های مستقلامنیت شبکه (مانند: فایروال، دروازه ضد ویروس، سیستم تشخیص نفوذ / پیشگیری) در یک مورد با یک سیستم نظارت و کنترل واحد. همچنین مزایای غیر قابل انکارقبلاً ذکر شد، این رویکرد دارای معایب جدی نیز می باشد:

دستگاه های جداگانه، هنگام استفاده از یک پلت فرم مشترک، مقدار زیادی از منابع محاسباتی را مصرف می کنند، که منجر به افزایش الزامات برای جزء سخت افزاری چنین راه حلی می شود و در نتیجه هزینه کلی را افزایش می دهد.

دستگاه های مجزا که به طور رسمی در یک جعبه متحد شده اند، در اصل مستقل از یکدیگر هستند و نتایج تجزیه و تحلیل ترافیک عبوری از آنها را با یکدیگر مبادله نمی کنند. این باعث می‌شود که ترافیک ورودی یا خروجی از شبکه باید از همه دستگاه‌ها عبور کند، که اغلب مشمول بررسی‌های تکراری هستند. در نتیجه سرعت عبور و مرور از طریق دستگاه به شدت کاهش می یابد.

به دلیل عدم تعامل بین فردی بلوک های کاربردیدستگاه، که در بالا ذکر شد، احتمال ورود ترافیک بالقوه خطرناک به شبکه را افزایش می دهد.

در قلب راه‌حل‌های UTM WatchGuard، معماری هوشمند لایه‌ای (ILS) قرار دارد که معایب فوق را از سایر راه‌حل‌های UTM حذف می‌کند. بیایید نگاهی دقیق تر به نحوه عملکرد ILS بیندازیم. این معماری در قلب خط دستگاه های UTM Firebox X WatchGuard قرار دارد و محافظت موثری برای کسب و کارهای در حال رشد فراهم می کند. استفاده كردن تعامل پویابین سطوح، ILS ایمنی را در عملکرد مطلوب دستگاه تضمین می کند.
معماری ILS شامل شش لایه حفاظتی (شکل 2) است که با یکدیگر تعامل دارند. به همین دلیل، ترافیک مشکوک به صورت پویا شناسایی و مسدود می شود، در حالی که ترافیک عادی در داخل شبکه مجاز است. این به شما این امکان را می دهد که در برابر حملات شناخته شده و ناشناخته مقاومت کنید حداکثر حفاظتبا حداقل هزینه

برنج. 2. "معماری امنیت لایه ای هوشمند و UTM"

هر لایه حفاظتی وظایف زیر را انجام می دهد:

1. خدمات امنیت خارجیبا حفاظت داخلی شبکه (آنتی ویروس ها در ایستگاه های کاری و غیره) تعامل داشته باشید.

2. سرویس بررسی یکپارچگی داده ها، یکپارچگی بسته های عبوری از دستگاه و انطباق این بسته ها با پروتکل های انتقال را بررسی می کند.

3. سرویس VPN ترافیک را برای تعلق به رمزگذاری شده بررسی می کند اتصالات خارجیسازمان های.

4. فایروال با تجزیه و تحلیل پویا state ترافیک را به منابع و مقاصد طبق سیاست امنیتی پیکربندی شده محدود می کند.

5. سرویس تجزیه و تحلیل عمیق برنامه، فایل های خطرناک را بر اساس الگوها یا انواع فایل ها برش می دهد، دستورات خطرناک را مسدود می کند، داده ها را تبدیل می کند تا از نشت داده های حیاتی جلوگیری شود.

6. سرویس بازرسی محتوا از فناوری‌های مبتنی بر امضا، مسدود کردن هرزنامه و فیلتر کردن URL استفاده می‌کند.

همه این لایه های حفاظتی به طور فعال با یکدیگر تعامل دارند و داده های به دست آمده از تجزیه و تحلیل ترافیک را در یک لایه به تمام لایه های دیگر منتقل می کنند. چه چیزی اجازه می دهد:

1. استفاده از منابع محاسباتی دستگاه UTM را کاهش داده و با کاهش نیازهای سخت افزاری، هزینه کلی را کاهش دهید.

2. دستیابی به حداقل کاهش سرعت در عبور ترافیک از طریق دستگاه UTM، به دلیل نه همه، بلکه فقط بررسی های لازم.

3. نه تنها در برابر تهدیدات شناخته شده مقاومت کنید، بلکه در برابر حملات جدید و در عین حال ناشناس محافظت کنید.

الکسی به اشتراک بگذارید:کاربران محصولات UTM شما چه پشتیبانی فنی دریافت می کنند؟

دژان مومچیلوویچ:اساس تمامی راهکارهای WatchGuard پشتیبانی مستمر امنیت محیطی شبکه در بالاترین سطح است که با استفاده از سرویس الکترونیکی LiveSecurity به دست می آید. به‌روزرسانی‌های نرم‌افزاری، پشتیبانی فنی، توصیه‌های تخصصی، اقداماتی برای جلوگیری از آسیب‌های احتمالی ناشی از روش‌های حمله جدید و غیره به مشترکان ارائه می‌شود. همه محصولات Firebox X با اشتراک رایگان 90 روزه در سرویس LiveSecurity ارائه می‌شوند که تا حد زیادی بهترین است. سیستم جامع پشتیبانی فنی و خدمات از راه دور در صنعت فناوری اطلاعات.
LiveSecurity از چندین ماژول تشکیل شده است. اینها به نوبه خود عبارتند از: پشتیبانی فنی بلادرنگ، پشتیبانی و به روز رسانی نرم افزار، آموزش ها و راهنماها، و همچنین پیام های ویژه LiveSecurity Broadcasts (اعلان سریع تهدیدها و روش های مقابله با آنها).

فایر باکس X

الکسی به اشتراک بگذارید:راه حل های UTM شما چقدر هزینه دارد و هزینه راه اندازی آنها در سال چقدر است؟ از کجا می توانید محصولات خود را خریداری کنید؟

دژان مومچیلوویچ:ما با کاربران نهایی کار نمی کنیم زیرا ساختار خرده فروشی نداریم - این سیاست تجاری ما است. می توانید دستگاه های WatchGuard Firebox X UTM را از شرکای ما خریداری کنید - یکپارچه سازان سیستم یا فروشندگان، لیستی از آنها در وب سایت http://www.rainbow.msk.ru موجود است. آنها همچنین اطلاعاتی در مورد قیمت خرده فروشی این دستگاه ها ارائه می دهند.


الکسی به اشتراک بگذارید:پیش بینی شما از فروش دستگاه های UTM در کشورمان چیست؟

دژان مومچیلوویچ:فروش جهانی دستگاه های UTM در حال رشد است. و بازار ما نیز از این قاعده مستثنی نیست. در مقایسه با سال 2002، بخش دستگاه های UTM تا سال 2005 160 درصد رشد کرد (طبق تحقیقات بازار جهانی توسط آژانس IDC). این رقم نشان دهنده رشد بسیار سریع است و علیرغم این واقعیت که بازار روسیه به طور قابل توجهی از ایالات متحده و اروپا عقب است، ما همچنین افزایش قابل توجهی در محبوبیت دستگاه های UTM در آینده نزدیک پیش بینی می کنیم.


الکسی به اشتراک بگذارید:از اینکه برای پاسخگویی به تمام سوالات ما وقت گذاشتید متشکریم. موفق باشی با آرزوی بهترین ها!

چندی پیش، Rainbow Technologies، توزیع کننده WatchGuard Technologies در روسیه و کشورهای CIS، حضور خود را در بازار داخلی اعلام کرد. سری جدیددستگاه های UTM سری e-Firebox X. سازمان‌ها اکنون با گروه‌های تهدید پیچیده و دائماً در حال تغییر روبرو هستند که مفهوم شبکه امن را دوباره تعریف می‌کنند. آخرین نسل ابزارهای مدیریت تهدید یکپارچه (UTM) WatchGuard با ادغام ویژگی های امنیتی اصلی در یک دستگاه واحد، مقرون به صرفه و بسیار هوشمند، راه حلی ساده برای این مشکل ارائه می دهد.

UTM چیست؟

UTM یک روند جدید در بازار امنیت اطلاعات است. دستگاه های UTM دارای فایروال، دروازه VPN و بسیاری از ویژگی های پیشرفته مانند فیلتر URL، مسدود کردن هرزنامه، ضد جاسوس افزار، جلوگیری از نفوذ، نرم افزار ضد ویروس، مدیریت متمرکز و سیستم کنترل هستند. یعنی آن دسته از توابعی که به طور سنتی به طور جداگانه پیاده سازی می شوند. اما برای اینکه یک UTM تمام عیار باشد، دستگاه باید فعال، یکپارچه و لایه باز باشد. آن ها این باید یک سیستم پیچیده باشد، نه یک مجموعه راه حل های مختلفمونتاژ شده در یک محفظه، با عملکرد کنترل و نظارت متمرکز.

شرکت تحقیقاتی مشهور جهان IDC، UTM را سریع‌ترین بخش در حال رشد و در حال توسعه بازار دستگاه‌های امنیتی اروپای غربی می‌داند. در بازار ما، در میان راه حل های WatchGuard ارائه شده توسط Rainbow Technologies، دستگاه های Firebox X Core e-Series UTM بیشترین تقاضا را دارند. آنها برای شبکه هایی با اندازه های مختلف طراحی شده اند و در بین مشاغل کوچک و متوسط ​​به دلیل مقرون به صرفه بودن، پیکربندی آسان و سطح بالای محافظت بسیار محبوب هستند.

Firebox X Edge e-Series برای شبکه های کوچک و دفاتر راه دور ایده آل است. Edge را می توان به عنوان یک دستگاه امنیتی شبکه مستقل یا به عنوان راه حل پایان تونل VPN استفاده کرد. Firebox X Edge e-Series شامل: فایروال حالت دار، VPN، فیلتر URL و مدیریت پیشرفته است. تنظیمات شبکهو ترافیک، که به شما امکان می دهد امکانات پیکربندی شبکه را افزایش دهید. این دستگاه دارای یک رابط بصری است که فرآیندهای پیاده سازی و مدیریت را بسیار ساده می کند. مدیریت متمرکز با WSM (WatchGuard System Manager) مدیریت را ساده می کند محیط های شبکه، متشکل از چندین دستگاه Firebox. اینها دستگاه های قابل ارتقا و ارتقا هستند که پهنای باند 100 مگابیت فایروال و 35 مگابیت VPN (شبکه خصوصی مجازی) را ارائه می دهند.

Firebox X Peak e-Series دارای هشت پورت اترنت گیگابیتی است و عمدتاً در شبکه های پیچیده و گسترده استفاده می شود. همچنین مدل هایی وجود دارند که از رابط های فیبر نوری پشتیبانی می کنند. Firebox X Peak e-Series بالاترین عملکرد خط تولید UTM است. این راه حل های WatchGuard حفاظت واقعی Zero Day و توان فایروال تا 2 گیگابیت در ثانیه را ارائه می دهند. Firebox X Peak e-Series با ترکیب فناوری پیشرفته امنیتی با قابلیت های پیشرفته مدیریت شبکه راه حل ایده آل، که با سخت ترین سیاست های امنیتی مطابقت دارد.

در میان راه حل های WatchGuard ارائه شده در بازار داخلی توسط توزیع کننده رسمی Rainbow Technologies، محبوب ترین خط Firebox X Core e-Series است. این دستگاه‌های UTM برای شبکه‌هایی با اندازه‌های مختلف طراحی شده‌اند و به دلیل مقرون به صرفه بودن، پیکربندی آسان و سطح امنیت بالا، تقاضای زیادی در بین مشاغل کوچک و متوسط ​​دارند. اجازه دهید جزئیات و ویژگی های عملکردی آنها را در نظر بگیریم.

Firebox X Core e-Series بیشترین ارائه را دارد امنیت کاملدر یک کلاس خاص خود، ترکیبی از ابزارهای حفاظتی مختلف: فایروال، VPN، حفاظت از روز صفر، سیستم پیشگیری از حمله، آنتی ویروس دروازه، سیستم ضد جاسوس افزار، ضد هرزنامه و فیلتر URL. این رویکرد امکان ارائه را فراهم می کند حفاظت قابل اعتماداز حملات شبکه مختلط، و همچنین صرفه جویی در منابع مالی و انسانی که معمولاً صرف مدیریت و پیکربندی مجموعه کاملی از راه حل های فردی می شود.

حفاظت چند سطحی

سری e-Firebox X Core بر اساس معماری لایه ای ILS (Intelligent Layer Security) ساخته شده است. به لطف آن، سطوح امنیتی با هم حفاظت را انجام می دهند و ترافیکی که در سطوح دیگر طبق معیار خاصی بررسی می شود، بر اساس همان معیار دوباره بررسی نمی شود. بنابراین، سرعت انتقال داده کاهش نمی یابد و برنامه های کاربردی حساس برای عملیات در دسترس باقی می مانند.

معماری WatchGuard ILS از شش لایه امنیتی تشکیل شده است که برای شناسایی پویا، مسدود کردن و گزارش ترافیک مخرب به طور نزدیک با هم کار می کنند و در عین حال به ترافیک عادی اجازه می دهند تا آنجا که ممکن است کارآمد باشد.

برای استدلال بیشتر، اجازه دهید فرض کنیم که یک لایه یک ساختار منطقی است که یک مرز انتزاعی را بین اجزای یک زیرساخت امنیتی شبکه تعریف می‌کند. بنابراین، ما هر نوع فناوری امنیتی را به عنوان یک لایه جداگانه در نظر خواهیم گرفت.

معماری لایه ای ILS

موتور ILS مغز این معماری است. طراحی شده به گونه ای که به هر لایه اجازه می دهد از اطلاعات سایر لایه ها استفاده کند، قابلیت های خود را افزایش دهد و به آنها اجازه دهد اطلاعات مربوط به ترافیک عبوری بین آنها را به اشتراک بگذارند، حداکثر حفاظت، قابلیت اطمینان و عملکرد را فراهم می کند. بیایید نگاهی بیندازیم که هر لایه چیست:

خدمات امنیتی خارجیارائه فناوری هایی برای گسترش حفاظت فراتر از فایروال و اطلاعاتی که کار کاربر نهایی/مدیر کارآمدتر را ممکن می سازد.

یکپارچگی داده.یکپارچگی بسته های داده ارسالی و مطابقت بسته با پروتکل را بررسی می کند

شبکه خصوصی مجازی (VPN).امنیت و حریم خصوصی را برای اتصالات خارجی فراهم می کند

فایروال با تجزیه پویا.ترافیک را فقط به آن دسته از منابع، مقاصد و پورت هایی محدود می کند که توسط خط مشی امنیتی مجاز هستند.

تجزیه و تحلیل عمیق برنامهبا مسدود کردن، انطباق با استانداردهای پروتکل لایه کاربرد مدل ISO را تضمین می کند فایل های مشکوکبر اساس الگو یا نوع فایل، مسدود کردن دستورات خطرناک و تغییر داده ها برای جلوگیری از نشت اطلاعات حیاتی سیستم.

امنیت محتواترافیک را بر اساس محتوا تجزیه و تحلیل و محدود می کند، شامل خدمات متعددی مانند آنتی ویروس، سیستم جلوگیری از نفوذ، حفاظت از نرم افزارهای جاسوسی و هرزنامه، فیلتر URL.

اگرچه در مدل توصیف شده شش سطح از هم متمایز شده است و موتور به عنوان هفتمین سطح امنیت در نظر گرفته شده است، اما هر یک از آنها دارای عملکردها و قابلیت های بسیاری است. همه آنها به راحتی قابل گسترش هستند تا راه های جدیدی برای مقابله با تهدیدات ناشناخته در بر گیرند.

حفاظت از روز صفر

برخلاف راه‌حل‌هایی که صرفاً به اسکن مبتنی بر امضا متکی هستند، Firebox X Core دارای فناوری است که به شما امکان می‌دهد بدون نیاز به امضا، محافظت قابل اعتمادی در برابر انواع مختلف حملات و انواع مختلف آنها ارائه دهید. تا زمانی که سایر شبکه‌ها در طول پنجره آسیب‌پذیری (زمان لازم برای انتشار امضاها) برای حملات باز می‌مانند، شبکه‌ای که از Firebox استفاده می‌کند همچنان محافظت می‌شود.

سیستم کنترل متمرکز

WSM (WatchGuard System Manager) یک رابط کاربری گرافیکی بصری است که برای مدیریت قابلیت های Firebox X Core، Peak و Edge UTM استفاده می شود. WSM ثبت کامل را فراهم می کند، ایجاد یک VPNکشیدن و رها کردن، نظارت بر زمان واقعی سیستم. از آنجایی که یک رابط واحد برای مدیریت تمام عملکردهای سیستم امنیتی کار می کند، صرفه جویی قابل توجهی در زمان و منابع مالی وجود دارد.

پشتیبانی و پشتیبانی تخصصی

WatchGuard LiveSecurity Service جامع ترین خدمات پشتیبانی و نگهداری در بازار امروز است. به‌روزرسانی‌های نرم‌افزاری، پشتیبانی فنی، توصیه‌های تخصصی، اقداماتی برای جلوگیری از آسیب‌های احتمالی ناشی از روش‌های جدید حمله و غیره به مشترکین ارائه می‌شود. سری Firebox X Core e-Series با اشتراک رایگان 90 روزه سرویس LiveSecurity ارائه می‌شود که شامل موارد زیر است. چندین ماژول اینها به نوبه خود شامل پشتیبانی فنی بلادرنگ، پشتیبانی و به روز رسانی نرم افزار، دستورالعمل های آموزشی و عملیاتی، و همچنین پیام های ویژه LiveSecurity Broadcasts - اطلاع رسانی سریع از تهدیدها و روش های مبارزه با آنها است.

خدمات امنیتی اضافی

هر سرویس امنیتی در Firebox X Core e-Series همراه با حفاظت داخلی Zero Day کار می‌کند و ترکیبی بهینه از تمام ویژگی‌های لازم را برای محافظت مؤثر از منابع شبکه ایجاد می‌کند. این ویژگی ها به طور کامل در دستگاه UTM ادغام شده اند، بنابراین نیازی به سخت افزار اضافی نیست.

اشتراک تمام خدمات ضروری بر روی خود دستگاه صادر می شود و نه بر اساس هر کاربر، که به جلوگیری از هزینه های مالی اضافی کمک می کند. فراهم كردن حفاظت مداومهمه سرویس ها به طور مداوم به روز می شوند و می توان با استفاده از سیستم WSM به صورت مرکزی مدیریت کرد.

بیایید نگاهی دقیق تر به ویژگی های عملکردی هر سرویس اضافی بیندازیم:

SpamBlocker تا 97% از ایمیل های ناخواسته را در زمان واقعی مسدود می کند.

سرویس‌های محافظت از SpamBlocker WatchGuard از فناوری Commtouch® Recurrent Pattern Detection™ (RPD) برای محافظت در برابر جریان‌های هرزنامه در زمان واقعی با دقت 99.95 درصد بدون استفاده از امضا یا فیلتر استفاده می‌کنند.

این فناوری به جای کار با کلمات کلیدی و محتوای ایمیل، حجم زیادی از ترافیک اینترنت را تجزیه و تحلیل می کند تا مؤلفه تکراری هر جریان را به محض ظاهر شدن محاسبه کند. روزانه بیش از 500 میلیون پیام پردازش می‌شود و پس از آن الگوریتم‌های ویژه جریان‌های جدید را در عرض 1-2 دقیقه محاسبه، شناسایی و طبقه‌بندی می‌کنند.

همین الگوریتم‌ها پیام‌های اسپم و عادی را از هم جدا می‌کنند. SpamBlocker از این فناوری برای ارائه حفاظت بلادرنگ در برابر حملات هرزنامه با مقایسه مداوم پیام‌های مشکوک به اسپم با پیام‌هایی که در مرکز تشخیص Commtouch (که حدود 20000000 نمونه را در خود نگهداری می‌کند) استفاده می‌کند. این فناوری دارای مزایای زیر است:

• واکنش بسیار سریع به جریان های جدید؛
• احتمال خطای نوع I تقریباً صفر است، که این سرویس را از نظر جداسازی پیام‌های عادی از حملات هرزنامه، بهترین در صنعت می‌کند.
• درصد بالایی از تشخیص هرزنامه - تا 97٪ از ایمیل های ناخواسته مسدود شده است.
• استقلال از زبان پیام به لطف استفاده از ویژگی های اصلی ترافیک ایمیل در زمان واقعی، هرزنامه بدون در نظر گرفتن زبان، محتوا یا قالب پیام به طور موثر مسدود می شود.

SpamBlocker بر اساس ویژگی‌های بخش عمده پیام‌ها به جای محتوا، زبان یا قالب خاص، محافظت بلادرنگ در برابر هرزنامه‌ها، از جمله حملات فیشینگ، را فراهم می‌کند و پهنای باند بالایی را برای سایر ترافیک شبکه حفظ می‌کند.

سرویس ضد ویروس/جلوگیری از نفوذ دروازه با ضد جاسوس افزار

سیستمی مبتنی بر حفاظت از امضای بلادرنگ در دروازه، کار بر علیه ویروس‌ها، تروجان‌ها، جاسوس‌افزارها، سوء استفاده‌های شبکه، خزنده‌های وب، مسدود کردن برنامه‌های IM و P2P و سایر تهدیدات مختلط.

سرویس پیشگیری از نفوذ WatchGuard محافظت داخلی در برابر حملاتی را ارائه می دهد که در عین مطابقت با استانداردهای پروتکل، ممکن است حاوی محتوای ناخواسته باشند. بر اساس امضاها، برای محافظت در برابر طیف وسیعی از حملات، از جمله اسکریپت بین سایتی، سرریز بافر یا تزریق SQL (درج در پرس و جوهای SQL) طراحی شده است.

دو مشکل اصلی مرتبط با استفاده از سیستم های جلوگیری از نفوذ، سرعت و احتمال خطای نوع I است. ادغام شدید سرویس IPS WatchGuard با سایر لایه های ILS عملاً آنها را از بین می برد.

از آنجایی که لایه های دیگر ILS 70 تا 80 درصد از حملات را مسدود می کنند (تحلیل عمیق برنامه به ویژه مؤثر است)، برای مسدود کردن آنها نیازی به امضا نیست. این کار تعداد کل امضاها را کاهش می دهد و سرعت پردازش داده ها را افزایش می دهد و در عین حال احتمال خطای نوع I را کاهش می دهد که متناسب با مقدار داده های بررسی شده و تعداد امضاهای استفاده شده است. سیستم جلوگیری از نفوذ WatchGuard تنها از حدود 1000 امضا برای دستیابی به سطح حفاظتی قابل مقایسه یا حتی بهتر با برخی از سیستم های دیگر که می توانند تا 6000 امضا داشته باشند، استفاده می کند.

نرم افزارهای جاسوسی به غیر از P2P به روش های دیگری از جمله فایل های جاسازی شده، کوکی ها و دانلود کننده ها توزیع می شوند. نرم‌افزارهای جاسوسی می‌توانند هر چیزی را که روی صفحه‌کلید تایپ می‌کنید ردیابی کنند، فایل‌ها را به دنبال گذرواژه‌ها و اعتبارنامه‌ها جستجو کنند و صفحه نمایش شما را با تبلیغات پر کنند. همچنین سیستم ها را کند می کند و ترافیک شبکه را می خورد. سرویس پیشگیری از نفوذ WatchGuard شامل روش‌های اسکن مبتنی بر امضا و منحصربه‌فرد برای مسدود کردن نرم‌افزارهای جاسوسی در نقاط مختلف چرخه عمر آن، از جمله نصب، لحظه ارتباط برای گزارش با میزبان والد، و فعالیت پس از نصب برنامه است. همه اینها با مجموعه ای از رویه های مرتبط انجام می شود:

• مسدود شدن وب سایت موتور سرویس پیشگیری از نفوذ، دسترسی به مخازن نرم افزارهای جاسوسی شناخته شده یا سرورهای فایلی را که نرم افزارهای جاسوسی را در طول جلسات HTTP توزیع می کنند، مسدود می کند.
• اعتبارسنجی محتوای مبتنی بر امضا موتور جلوگیری از نفوذ، به طور مداوم ترافیک را در برابر پایگاه داده امضاها که دائماً به روز می شود، اسکن می کند تا نرم افزارهای جاسوسی قابل دانلود، از جمله نرم افزار بوت استرپ مخفی را شناسایی و مسدود کند.
• در راه اندازی توقف کنید. برای پیکربندی موفقیت آمیز نرم افزارهای جاسوسی، به برنامه خاصی نیاز دارد که برای برقراری ارتباط با داده های نصب و درخواست داده های پیکربندی اولیه از میزبان والد، باید با آن تماس بگیرد. سیستم جلوگیری از نفوذ این ارتباط را شناسایی و مسدود می کند.
• در محل کار متوقف شوید. به محض شروع به کار دستگاه آلوده در شبکه داخلی، جاسوس افزار سعی می کند از اتصال شبکه استفاده کند تا یک کانال ارتباطی ایجاد کند. اقدامات اضافی. سیستم جلوگیری از نفوذ، این فرآیندها را که ممکن است شامل سرقت اطلاعات، نصب نرم افزارهای جاسوسی اضافی و تبلیغات باشد، شناسایی و مسدود می کند.

موتور جلوگیری از نفوذ WatchGuard با سایر عملکردهای فایروال همراه است و گزارش هایی را تولید می کند که به طور کامل در سیستم گزارش ادغام شده اند. این به مدیر سیستم اجازه می دهد تا به راحتی عنصر شبکه آلوده به نرم افزارهای جاسوسی را شناسایی کرده و آن را حذف کند.

WebBlocker با مسدود کردن دسترسی به منابع ناامن در شبکه، بهره وری را افزایش می دهد و خطر را کاهش می دهد و همچنین دسترسی کارکنان به اینترنت را مدیریت می کند.

WebBlocker از پایگاه داده ای از سایت ها و ابزارهای نرم افزاری شرکت برتر فیلترینگ وب SurfControl استفاده می کند. برای طبقه بندی دقیق و پوشش کامل کل طیف صفحات وب WebBlocker از دسته‌های متعددی برای کمک به مسدود کردن محتوایی استفاده می‌کند که نمی‌خواهید وارد شبکه خود شوید. مسدود شده اند

سایت های شناخته شده ای که حاوی نرم افزارهای جاسوسی یا محتوای ناخواسته برای کمک به محافظت از منابع آنلاین شما هستند. سایت های سرگرمی مسدود شده اند که باعث افزایش بهره وری کارمندان می شود.

WebBlocker با لیست های حذف قابل تنظیم، احراز هویت کاربر، و توانایی تنظیم خط مشی های مختلف برای زمان های مختلف روز، سیاست امنیتی را تا حد زیادی افزایش می دهد.

گزینه های ارتقا

اگر بخواهید مجموع سرمایه‌گذاری پولی مورد نیاز برای استقرار، مدیریت و مدرن‌سازی مجموعه‌ای از راه‌حل‌های امنیتی را که برای برآوردن نیازهای گسترده شبکه‌های امروزی طراحی شده‌اند، تخمین بزنید، آشکار می‌شود که استفاده از Firebox X Core e-Series سود بیشتری از دیدگاه مالی

با افزایش نیازها، می توانید به راحتی قابلیت های دستگاه UTM را گسترش دهید. به عنوان مثال برای افزایش سرعت و پهنای باند، یک دستگاه با خرید ارتقا می یابد مجوز ویژه. همچنین امکان تغییر پلت فرم سخت افزاری به یک سیستم عامل کاربردی تر را فراهم می کند.

سیستم عامل

تمامی مدل های سری e Firebox X Core با سیستم عامل Fireware عرضه می شوند. برای محیط‌های شبکه پیچیده، ممکن است لازم باشد به سیستم پیشرفته‌تر Fireware Pro ارتقا دهید که ویژگی‌های اضافی زیر را ارائه می‌کند:

• مدیریت ترافیک؛
• اطمینان می دهد که پهنای باند لازم برای برنامه های کاربردی مهم تخصیص داده می شود.
• سیستم Failover (حالت فعال / غیرفعال)؛
• امکان ساخت یک خوشه شکست.
• مسیریابی پویا (پروتکل های BGP، OSPF، RIP)؛
• حداکثر انعطاف پذیری و کارایی شبکه به لطف جداول مسیریابی به روز شده پویا.

برای نصب مجدد سیستم عامل بر روی یک دستگاه Firebox UTM، تنها نیاز به خرید مجوز ویژه دارید.

ترکیب و تبدیل امنیت سنتی به دستگاه‌های UTM یکپارچه، شرکت‌ها را قادر می‌سازد تا به سطح جدیدی از حفاظت از شبکه‌های محلی خود حرکت کنند. رویکرد WatchGuard، مبتنی بر فناوری ویژه‌ای که در معماری ILS پیاده‌سازی شده است، که امکان ادغام چندین لایه حفاظتی را همزمان با عملکردهای اضافی فراهم می‌کند، بدون شک محافظت مؤثری برای هر کسی است: هم زیرساخت‌های شبکه از قبل تشکیل شده و هم در حال توسعه. استفاده از دستگاه‌های UTM تمام عیار، مانند WatchGuard Firebox، در این روزها که انواع تهدیدات پیچیده‌تر و با فرکانس روزافزون ظاهر می‌شوند، اهمیت خاصی دارد.

اینترنت مدرن مملو از تهدیدات بسیاری است، بنابراین ادمین ها بیشترین سهم خود را صرف امنیت شبکه می کنند. ظاهر دستگاه های حفاظتی چند منظوره UTM بلافاصله توجه متخصصان امنیتی را به خود جلب کرد. آنها چندین ماژول حفاظتی را با سهولت استقرار و مدیریت ترکیب می کنند. امروزه می توانید پیاده سازی های زیادی را ملاقات کنید، بنابراین انتخاب گاهی اوقات چندان آسان نیست. بیایید سعی کنیم ویژگی های راه حل های محبوب را درک کنیم.

UTM چیست؟

با رشد حملات شبکه و ویروس، هرزنامه ها و نیاز به سازماندهی تبادل امن داده ها، شرکت ها به یک ابزار حفاظتی قابل اعتماد و آسان برای مدیریت نیاز دارند. این موضوع به ویژه در شبکه‌های کسب‌وکارهای کوچک و متوسط ​​که اغلب توانایی فنی و مالی برای استقرار سیستم‌های امنیتی ناهمگون وجود ندارد، شدیدتر است. و معمولاً متخصصان آموزش دیده کافی در چنین سازمان هایی وجود ندارد. برای این شرایط است که دستگاه های شبکه چند لایه چند منظوره به نام UTM (مدیریت تهدید یکپارچه، دستگاه حفاظت یکپارچه) توسعه یافتند. امروزه UTM ها که از فایروال ها رشد می کنند، عملکرد چندین راه حل را ترکیب می کنند - یک فایروال با DPI ( بسته عمیقبازرسی)، سیستم حفاظت از نفوذ (IDS / IPS)، آنتی اسپم، آنتی ویروس و فیلتر محتوا. اغلب چنین دستگاه هایی توانایی سازماندهی VPN، احراز هویت کاربر، تعادل بار، حسابداری ترافیک و غیره را دارند. دستگاه های کلاس همه کاره با یک کنسول تنظیمات به شما امکان می دهند به سرعت آنها را عملیاتی کنید و بعداً به روز رسانی آن نیز آسان است. همه توابع یا اضافه کردن موارد جدید. تنها چیزی که از یک متخصص لازم است درک این موضوع است که چه چیزی و چگونه محافظت شود. هزینه UTM به طور کلی کمتر از خرید چندین برنامه/دستگاه است، بنابراین هزینه کلی کمتر است.

اصطلاح UTM توسط چارلز کولودگی از IDC (شرکت بین المللی داده) در سند "پیش بینی تجهیزات امنیتی مدیریت تهدید جهانی 2004-2008" منتشر شده در سپتامبر 2004 برای اشاره به دستگاه های جهانیحفاظتی که می تواند با تعداد روزافزون حملات شبکه مقابله کند. در ابتدا، وجود تنها سه عملکرد (دیوار آتش، DPI و آنتی ویروس) به طور ضمنی مطرح بود، اکنون امکانات ارائه شده توسط دستگاه های UTM بسیار گسترده تر است.

بازار UTM بسیار بزرگ است و افزایش سالانه 25-30٪ را نشان می دهد (به تدریج جایگزین فایروال "تمیز" می شود) و بنابراین تقریباً همه بازیکنان بزرگقبلاً راه حل های خود را اعم از سخت افزاری و نرم افزاری ارائه کرده اند. اینکه کدام یک از آنها استفاده شود اغلب به سلیقه و اعتماد سازنده و همچنین وجود پشتیبانی کافی و البته شرایط خاص بستگی دارد. تنها نکته این است که شما باید با در نظر گرفتن بار برنامه ریزی شده یک سرور قابل اعتماد و سازنده انتخاب کنید، زیرا اکنون یک سیستم چندین بررسی را انجام می دهد و این به منابع اضافی نیاز دارد. در عین حال، باید مراقب باشید، ویژگی‌های راه‌حل‌های UTM معمولاً نشان‌دهنده پهنای باند فایروال است و قابلیت‌های IPS، VPN و سایر مؤلفه‌ها اغلب یک مرتبه کم‌تر است. سرور UTM است تک نقطهدسترسی، که شکست آن در واقع سازمان را بدون اینترنت رها می کند، بنابراین انواع گزینه های بازیابی نیز اضافی نخواهد بود. پیاده‌سازی‌های سخت‌افزاری اغلب دارای پردازنده‌های مشترک اضافی هستند که برای پردازش انواع خاصی از داده‌ها، مانند رمزگذاری یا تجزیه متن، برای تخلیه CPU اصلی استفاده می‌شوند. ولی پیاده سازی نرم افزارقابل نصب بر روی هر رایانه شخصی، با امکان ارتقاء بدون مشکل بیشتر هر جزء. از این نظر، راه حل های OpenSource جالب هستند (Untangle، pfSense، Endian و دیگران)، که باعث صرفه جویی قابل توجهی در نرم افزار می شود. اکثر این پروژه ها نسخه های تجاری با ویژگی های پیشرفته و پشتیبانی فنی را نیز ارائه می دهند.

پلتفرم: FortiGate
وب سایت پروژه: fortinet-russia.ru
مجوز: پرداخت شده
پیاده سازی: سخت افزار

شرکت کالیفرنیایی Fortinet که در سال 2000 تأسیس شد، امروزه یکی از بزرگترین تامین کنندگان دستگاه های UTM است که برای بارهای کاری مختلف از یک دفتر کوچک (FortiGate-30) تا مراکز داده (FortiGate-5000) طراحی شده است. لوازم فورتی گیت یک پلتفرم سخت افزاری است که در برابر تهدیدات شبکه محافظت می کند. این پلتفرم مجهز به فایروال، IDS/IPS، بررسی ترافیک آنتی ویروس، آنتی اسپم، فیلتر وب و کنترل برنامه است. برخی از مدل ها از DLP، VoIP، شکل دهی ترافیک، بهینه سازی WAN، تحمل خطا، احراز هویت کاربر برای دسترسی به خدمات شبکه، PKI و موارد دیگر پشتیبانی می کنند. مکانیسم پروفایل فعال به شما امکان می دهد ترافیک غیر معمول را با پاسخ خودکار به چنین رویدادی شناسایی کنید. آنتی ویروس می تواند فایل ها را با هر اندازه ای، از جمله آنهایی که در بایگانی هستند، اسکن کند و در عین حال عملکرد بالایی را حفظ کند. مکانیسم فیلتر وب به شما امکان می دهد تا دسترسی به بیش از 75 دسته از وب سایت ها را تنظیم کنید، سهمیه ها را مشخص کنید، از جمله مواردی که بسته به زمان روز است. به عنوان مثال، دسترسی به پورتال های سرگرمیفقط می توان اجازه ورود داد ساعات غیر کاری. ماژول کنترل برنامه ترافیک معمولی (Skype، P2p، IM، و غیره) را بدون توجه به پورت تشخیص می دهد، قوانین شکل دهی ترافیک برای برنامه ها و دسته های جداگانه مشخص شده است. مناطق امنیتی و دامنه های مجازی به شما این امکان را می دهند که شبکه خود را به زیرشبکه های منطقی تقسیم کنید. برخی از مدل ها دارای رابط سوئیچ LAN لایه 2 و رابط های WAN هستند و مسیریابی RIP، OSPF و BGP پشتیبانی می شود. دروازه را می توان در یکی از سه گزینه پیکربندی کرد: حالت شفاف، استاتیک و پویا NAT، که به شما امکان می دهد فورتی گیت را بدون دردسر در هر شبکه ای پیاده سازی کنید. برای محافظت از نقاط دسترسی، از یک اصلاح ویژه با WiFi استفاده می شود - FortiWiFi.
برای پوشش سیستم‌هایی (کامپیوترهای ویندوزی، تلفن‌های هوشمند اندروید) که خارج از شبکه محافظت شده کار می‌کنند، می‌توان عامل FortiClient را روی آنها نصب کرد، از جمله مجموعه کامل(دیوار آتش، آنتی ویروس، SSL و IPsec VPN، IPS، فیلتر وب، آنتی اسپم و موارد دیگر). FortiManager و FortiAnalyzer برای مدیریت مرکزی چندین دستگاه تولید شده توسط Fortinet و تجزیه و تحلیل گزارش رویدادها استفاده می شوند.
علاوه بر رابط وب و CLI، برای پیکربندی اولیه FortiGate/FortiWiFi، می‌توانید از برنامه FortiExplorer (موجود در Win و Mac OS X) استفاده کنید که دسترسی به رابط کاربری گرافیکی و CLI را ارائه می‌دهد (فرمان‌هایی شبیه Cisco هستند).
یکی از ویژگی های فورتی گیت مجموعه تخصصی تراشه های FortiASIC ​​است که تجزیه و تحلیل محتوا و پردازش ترافیک شبکه را ارائه می دهد و امکان شناسایی بلادرنگ تهدیدات شبکه را بدون تأثیرگذاری بر عملکرد شبکه فراهم می کند. همه دستگاه ها از یک سیستم عامل تخصصی - FortiOS استفاده می کنند.

پلتفرم: Check Point UTM-1
سایت پروژه: rus.checkpoint.com
مجوز: پرداخت شده
پیاده سازی: سخت افزار

Check Point 3 خط از دستگاه های کلاس UTM را ارائه می دهد: UTM-1، UTM-1 Edge (دفاتر راه دور) و [ایمیل محافظت شده](شرکت های کوچک). راه حل ها شامل همه چیزهایی هستند که برای محافظت از شبکه خود نیاز دارید - فایروال، IPS، دروازه ضد ویروس، ضد هرزنامه، ابزارهایی برای ساخت SSL VPN و دسترسی از راه دور. فایروال قادر است بین ترافیک ذاتی اکثر برنامه ها و سرویس ها (بیش از 200 پروتکل) تمایز قائل شود، مدیر به راحتی می تواند دسترسی به شبکه های IM، P2P یا Skype را مسدود کند. پایگاه داده Check Point حاوی چندین میلیون سایت است که دسترسی به آنها را می توان به راحتی مسدود کرد. آنتی ویروس جریان های HTTP/FTP/SMTP/POP3/IMAP را اسکن می کند، محدودیت اندازه فایل ندارد و می تواند با آرشیو کار کند. مدل های UTM-1 با حرف W با یک هات اسپات وای فای داخلی در دسترس هستند.
IPS از روش های مختلفی برای تشخیص و تجزیه و تحلیل استفاده می کند: امضاهای آسیب پذیری، تجزیه و تحلیل پروتکل ها و رفتار اشیا، تشخیص ناهنجاری. موتور تجزیه و تحلیل قادر به محاسبه داده های مهم است، بنابراین 10٪ از ترافیک به دقت بررسی می شود، بقیه بدون بررسی های اضافی عبور می کند. این باعث کاهش بار روی سیستم و بهبود کارایی UTM می شود. سیستم ضد هرزنامه از چندین فناوری استفاده می کند - شهرت IP، تجزیه و تحلیل محتوا، لیست سیاه و سفید. مسیریابی پویا OSPF، BGP و RIP پشتیبانی می شود، چندین روش احراز هویت کاربر (رمز عبور، RADUIS، SecureID و غیره) پشتیبانی می شود، یک سرور DHCP پیاده سازی می شود.
این راه حل از یک معماری ماژولار استفاده می کند، به اصطلاح تیغه های نرم افزاری (نرم افزار تیغه ها) اجازه می دهد تا در صورت لزوم، عملکرد را به سطح مورد نظر گسترش داده و سطح مورد نیاز امنیت و هزینه را فراهم کند. بنابراین می‌توانید گیت‌وی را با تیغه‌های Web Security (کشف و حفاظت از زیرساخت‌های وب)، VoIP (محافظت VoIP)، شبکه‌های پیشرفته، شتاب‌دهی و خوشه‌بندی (حداکثر عملکرد و در دسترس بودن در محیط‌های شاخه‌دار) بازسازی کنید. مثلا، فناوری های وبفایروال برنامه و بازرسی جریان پیشرفته، که در امنیت وب استفاده می شود، امکان پردازش بلادرنگ زمینه را فراهم می کند، حتی اگر به چندین بسته TCP تقسیم شود، جایگزینی هدرها، پنهان کردن داده ها در مورد برنامه های کاربردی استفاده شده، هدایت کاربر به صفحه ای با یک صفحه شرح دقیق خطا
کنترل از راه دور با استفاده از وب و Telnet/SSH امکان پذیر است. برای پیکربندی متمرکز چندین دستگاه، می‌توان از Check Point SmartCenter استفاده کرد که از فناوری معماری مدیریت امنیت (SMART) برای مدیریت تمام عناصر Check Point موجود در یک خط‌مشی امنیتی استفاده می‌کند. قابلیت‌های SmartCenter با ماژول‌های الحاقی که تجسم خط‌مشی، ادغام LDAP، به‌روزرسانی‌ها، گزارش‌ها و موارد دیگر را ارائه می‌دهند، گسترش می‌یابد. همه به‌روزرسانی‌های UTM به‌طور مرکزی با استفاده از سرویس به‌روزرسانی نقطه چک دریافت می‌شوند.

پلتفرم: ZyWALL 1000
وب سایت پروژه: zyxel.ru
مجوز: پرداخت شده
پیاده سازی: سخت افزار

بسیاری از دروازه‌های امنیتی تولید شده توسط ZyXEL را می‌توان با خیال راحت به UTM نسبت داد، اگرچه طبق طبقه‌بندی رسمی امروز پنج مدل ZyWALL USG 50/100/300/1000/2000 در این خط وجود دارد که برای کوچک و شبکه های متوسط ​​(حداکثر 500 کاربر). در اصطلاح ZyXEL از این دستگاه ها به عنوان "مرکز امنیت شبکه" یاد می شود. بنابراین، برای مثال، ZyWALL 1000 یک دروازه دسترسی پرسرعت است که برای حل مشکلات امنیت شبکه و کنترل ترافیک طراحی شده است. شامل آنتی ویروس استریم کسپرسکی، IDS/IPS، فیلتر محتوا و محافظت از هرزنامه (کت آبی و Commtouch)، کنترل پهنای باند و VPN (IPSec، SSL و L2TP از طریق IPSec VPN). به هر حال، هنگام خرید، باید به سیستم عامل - بین المللی یا روسیه توجه کنید. دومی به دلیل محدودیت های اتحادیه گمرکی از یک کلید 56 بیتی DES برای تونل های IPsec VPN و SSL VPN استفاده می کند.
سیاست های دسترسی بر اساس چندین معیار (IP، کاربر و زمان) است. ابزارهای فیلتر محتوا، محدود کردن دسترسی به سایت های موضوعی خاص و عملکرد برخی از برنامه های IM، P2P، VoIP، ایمیل و غیره را آسان می کند. سیستم IDS از امضاها استفاده می کند و در برابر محافظت کرم های شبکه، تروجان ها، درهای پشتی، DDoS و اکسپلویت ها. فناوری تشخیص و پیشگیری از ناهنجاری، بسته‌های عبوری از دروازه در لایه‌های 2 و 3 OSI را تجزیه و تحلیل می‌کند، ناسازگاری‌ها را شناسایی می‌کند، 32 نوع حمله شبکه را شناسایی و مسدود می‌کند. ویژگی های End Point Security به شما این امکان را می دهد که به طور خودکار نوع سیستم عامل، وجود آنتی ویروس و فایروال فعال و وجود آن را بررسی کنید. به روز رسانی های نصب شده، فرآیندهای در حال اجرا، تنظیمات رجیستری و موارد دیگر. مدیر می تواند دسترسی به شبکه را برای سیستم هایی که پارامترهای خاصی را برآورده نمی کنند غیرفعال کند.
پیاده سازی چندگانه رزرو دسترسی به اینترنت و تعادل بار. امکان انتقال VoIP از طریق پروتکل های SIP و H.323 در سطوح فایروال و NAT و در تونل های VPN وجود دارد. سازماندهی ساده VLAN ها و ایجاد رابط های مستعار مجازی ارائه شده است. احراز هویت با استفاده از LDAP، AD، RADIUS پشتیبانی می‌شود که به شما امکان می‌دهد سیاست‌های امنیتی را بر اساس قوانینی که قبلاً در سازمان اتخاذ شده است، پیکربندی کنید.
به روز رسانی پایه های اجزای اصلی و فعال سازی برخی از عملکردها (ضد اسپم Commtouch، افزایش تعداد تونل های VPN) با استفاده از کارت های اتصال انجام می شود. پیکربندی با استفاده از CLI و رابط وب انجام می شود. تنظیمات اولیهبه تولید استاد کمک می کند.

سیستم عامل: Untangle Server 9.2.1 Cruiser
وب سایت پروژه: untangle.com
مجوز: GPL
پیاده سازی: نرم افزار
پلتفرم های سخت افزاری: x86، x64
سیستم مورد نیاز: پنتیوم 4 یا معادل AMD، 1 گیگابایت رم، 80 گیگابایت دیسک، 2 کارت شبکه.

هر توزیع *nix را می توان به عنوان یک راه حل کامل UTM پیکربندی کرد، هر آنچه برای این کار نیاز دارید در مخازن بسته موجود است. اما معایبی نیز وجود دارد: شما باید همه اجزا را خودتان نصب و پیکربندی کنید (و این قبلاً به تجربه نیاز دارد) و مهمتر از همه ، به این ترتیب ما یک رابط مدیریت واحد را از دست می دهیم. بنابراین، در این زمینه، راه حل های آماده ساخته شده بر اساس سیستم های منبع باز بسیار جالب است.
توزیع Untangle که توسط شرکتی به همین نام تولید شد، در سال 2008 ظاهر شد و بلافاصله با رویکرد خود توجه جامعه را به خود جلب کرد. دبیان به عنوان پایه آن عمل می کند، تمام تنظیمات با استفاده از یک رابط ساده و بصری انجام می شود. در ابتدا، کیت توزیع Untangle Gateway نام داشت و برای استفاده در سازمان‌های کوچک (حداکثر 300 کاربر) به عنوان جایگزینی کامل برای Forefront TMG اختصاصی برای ارائه دسترسی امن به اینترنت و محافظت از شبکه داخلی در برابر تعدادی از تهدیدها طراحی شد. با گذشت زمان، کارکردها و قابلیت های کیت توزیع گسترده تر شد و نام آن به Untangle Server تغییر یافت و کیت توزیع در حال حاضر قادر است برای کاربران بیشتری (تا 5000 و بیشتر، بسته به ظرفیت سرور) کار ارائه دهد.
در ابتدا، توابع حفاظتی Untangle به عنوان ماژول پیاده سازی می شوند. پس از نصب سیستم پایه، هیچ ماژول حفاظتی وجود ندارد، مدیر آنچه را که نیاز دارد به تنهایی انتخاب می کند. برای راحتی، ماژول ها به 5 بسته (Premium، Standard، Education Premium Education Standard و Lite) تقسیم می شوند که در دسترس بودن آنها با مجوز تعیین می شود و بسته ها با توجه به هدف خود به دو گروه تقسیم می شوند: فیلتر و خدمات. . همه برنامه های OpenSource در کامپایل شده اند رایگان Liteکه شامل 13 برنامه کاربردی است که اسکن ترافیک برای ویروس ها و نرم افزارهای جاسوسی، فیلتر محتوا، مسدود کردن بنر و هرزنامه، فایروال، کنترل پروتکل، IDS / IPS، OpenVPN، سیاست های دسترسی (Captive Portal) را ارائه می دهد. ماژول گزارش‌ها که در بسته لایت گنجانده شده است، به مدیر اجازه می‌دهد تا گزارش‌هایی را در مورد تمام موقعیت‌های ممکن دریافت کند - فعالیت شبکه، پروتکل‌ها، هرزنامه‌ها و ویروس‌های شناسایی شده، فعالیت کاربر با قابلیت ارسال نتیجه از طریق ایمیل و صادرات به PDF، HTML، XLS. ، CSV و XML. آنها بر اساس برنامه های OpenSource محبوب مانند Snort، ClamAV، SpamAssasin، Squid و غیره هستند. علاوه بر این، سرور Untangle تمام عملکردهای شبکه را فراهم می کند - مسیریابی، NAT، DMZ، QoS، دارای سرورهای DHCP و DNS.
موجود در بسته های تجاری: متعادل کننده بار و Failover، کنترل پهنای باند کانال و برنامه، ماژول کار با Active Directory، پشتیبان گیری تنظیمات و برخی عملکردهای دیگر. پشتیبانی نیز با پرداخت هزینه ارائه می شود، اگرچه پاسخ به بسیاری از سوالات را می توان در انجمن رسمی یافت. علاوه بر این، پروژه ارائه می دهد سرورهای آمادهبا Untangle از پیش تعیین شده.
یک رابط کاربر پسند نوشته شده در جاوا برای پیکربندی ارائه شده است، تمام تغییرات و آمار کار به صورت بلادرنگ نمایش داده می شود. هنگام کار با Untangle، مدیر نیازی به دانش عمیق *nix ندارد، کافی است بفهمید که در نتیجه به چه چیزی نیاز دارید. نصب کیت توزیع بسیار ساده است، فقط باید دستورات جادوگر را دنبال کنید، جادوگر دیگری بعداً به شما در پیکربندی دروازه کمک می کند.

فایروال اندیان

سیستم عامل: Endian Firewall Community 2.5.1
وب سایت پروژه: endian.com/en/community
مجوز: GPL
پلتفرم های سخت افزاری: x86
سیستم مورد نیاز: پردازنده 500 مگاهرتز، 512 مگابایت رم، 2 گیگابایت

توسعه دهندگان فایروال اندیان چندین نسخه از محصول خود را ارائه می دهند که هم به صورت سخت افزاری و هم به صورت پیاده سازی شده است پلت فرم نرم افزاری. یک نسخه برای ماشین های مجازی نیز وجود دارد. همه نسخه ها تحت مجوز GPL هستند، اما فقط تصویر ISOنسخه جامعه و منبع. این سیستم عامل مبتنی بر CentOS است و شامل تمام برنامه های کاربردی لینوکس است که عملکردهای فایروال، IDS/IPS، بررسی آنتی ویروسترافیک HTTP/FTP/POP3/SMTP، حفاظت از هرزنامه، فیلتر محتوا، ماژول های ضد جعل و فیشینگ، سیستم گزارش دهی. امکان ایجاد وجود دارد VPN یعنی OpenVPN و IPsec با احراز هویت کلید یا گواهی. فیلتر محتوا شامل تنظیمات آماده برای بیش از 20 دسته و زیر مجموعه سایت ها، لیست سیاه و توابع فیلتر متنی وجود دارد. با استفاده از ACL، می‌توانید گزینه‌های دسترسی را برای یک کاربر، گروه، IP، زمان و مرورگر مشخص کنید. آمار در مورد اتصالات، ترافیک، کار کاربر نگهداری می شود. هنگامی که رویدادهای خاصی رخ می دهد، پیامی به ایمیل مدیر ارسال می شود. احراز هویت کاربر محلی، اکتیو دایرکتوری، LDAP و RADIUS را فراهم می کند. این رابط ایجاد VLAN ها، مدیریت QoS، پشتیبانی از SNMP را آسان می کند. در ابتدا، توزیع با آنتی ویروس ClamAV، به صورت اختیاری از موتور آنتی ویروس Sophos استفاده می شود.
برای تنظیمات، از رابط وب و خط فرمان استفاده می شود. تنظیمات اولیه با استفاده از یک جادوگر انجام می شود که به شما امکان می دهد نوع اتصال به اینترنت را تنظیم کنید، رابط های اختصاص دهید (LAN، WiFi، DMZ). چندین آدرس IP را می توان به رابط خارجی اختصاص داد، MultiWAN پشتیبانی می شود. برای راحتی تنظیمات، رابط های شبکه به مناطق تقسیم می شوند - قرمز، نارنجی، آبی و سبز، قوانین فایروال از قبل حاوی تنظیماتی است که تبادل بین آنها را تعیین می کند. تنظیمات به گروه‌هایی تقسیم می‌شوند که نام آن‌ها برای خود صحبت می‌کنند؛ با دقت لازم، تشخیص آن بسیار آسان است.

نتیجه

مجتمع سیستم های UTMبه تدریج جایگزین راه حل های سنتی مانند فایروال ها می شوند، بنابراین باید نگاه دقیق تری به آنها بیندازید. بسته به شرایط خاص مناسب است انواع مختلف. OpenSource Endian Firewall و Untangle کاملاً قادر به محافظت از شبکه های کوچک و متوسط ​​هستند. البته، UTM جایگزین نمی شود، بلکه مکمل محافظت های نصب شده بر روی رایانه های شخصی است و یک خط دفاعی اضافی در ورودی LAN ایجاد می کند.

ایلیا روزنکرانتز، مدیر محصول ALTELL NEO AltEl LLC، متخصص امنیت اطلاعات گواهی شده (Check Point Sales Professional، McAfee Sales Professional)، دارای گواهینامه های سیسکو (CCNA، CCNP، IPTX)، [ایمیل محافظت شده]

حفاظت از شبکه های اطراف محیط
مروری بر فناوری های UTM محلول ALTELL NEO

تاریخچه توسعه دستگاه های UTM (مدیریت تهدید یکپارچه، حفاظت از تهدید یکپارچه) حدود 25 سال پیش آغاز شد، زمانی که در سال 1988 DEC فیلتر بسته خود را اختراع کرد، که در سطح سوم مدل OSI (اتصال سیستم باز) عمل می کند و فقط تجزیه و تحلیل می کند. هدر بسته

او اولین "فایروال" تجاری (ME) شد. در آن زمان، چنین رویکرد حداقلی کاملاً با واقعیت های تهدید موجود توجیه می شد، در نتیجه چنین فایروال های بازرسی بدون وضعیت به بخشی جدایی ناپذیر از سیستم امنیت اطلاعات تبدیل شد.

تقریباً همزمان با این رویدادها، در سال‌های 1989-1990، جهان به جهان ME معرفی شد که با داده‌های سطح چهارم OSI، به اصطلاح فایروال بازرسی stateful کار می‌کرد. اگرچه تصور اینکه متخصصان امنیت اطلاعات امکان نظارت و فیلتر کردن ترافیک در سطح برنامه را در نظر نگرفتند، اشتباه است، اما در آن زمان (اوایل دهه 1990) اجرای این روش به دلیل عملکرد ناکافی سیستم های محاسباتی منتفی بود. تنها در آغاز دهه 2000، عملکرد پلتفرم های سخت افزاری امکان انتشار اولین راه حل های تجاری UTM را فراهم کرد.

در حال حاضر، فایروال‌ها که مدت‌ها کارآمدی خود را ثابت کرده‌اند، در حد نرم‌افزار ضد ویروس، یکی از رایج‌ترین ابزارهای محافظت از سیستم‌های اطلاعاتی هستند. با این حال، ظهور انواع جدید حملات پیچیده و رشد ترافیک در سطح برنامه (تلفن IP، پخش ویدئو، برنامه های کاربردی شرکت های ابری) اغلب اثربخشی فایروال های سنتی را به صفر می رساند. به منظور مقابله مناسب با چنین تهدیداتی، شرکت های پیشرو IT در جهان در حال توسعه فناوری های جدید با هدف شناسایی و جلوگیری از حملات انجام شده در سطوح مختلف (از حملات از طریق کانال های ارتباطی تا برنامه های کاربردی) هستند.

یکی از راه حل های مشکل توصیف شده، ادغام عملکرد سایر دستگاه های تخصصی در فایروال بود، به عنوان مثال، یک فیلتر وب و یک دروازه رمزنگاری. نوع دستگاه حاصل UTM تعیین شده است. اصطلاح "فایروال های نسل جدید" (NGFW، فایروال نسل بعدی) نیز در حال محبوب شدن است و ترافیک را در سطح هفتم مدل OSI فیلتر می کند.

در طلوع عصر دستگاه های UTM (2004-2005)، تمام اجزای آنها قبلاً ایجاد شده بود: فایروال ها با حالت بازرسی حالت، مکانیسم هایی برای ایجاد شبکه های امن از طریق کانال های ارتباطی عمومی (VPN - شبکه خصوصی مجازی)، تشخیص نفوذ مجتمع های شبکه /سیستم پیشگیری (IDS/IPS)، فیلترهای وب.

در همان زمان، محل کار توسط مجموعه ای از ابزارهای حفاظتی در سطح برنامه (ضد ویروس، ضد هرزنامه، ضد فیشینگ) محافظت می شد. اما راه حل یک مشکل (ارائه سطح مورد نیازامنیت اطلاعات) منجر به ظهور دیگران شد: الزامات برای صلاحیت پرسنل فنی به شدت افزایش یافته است، مصرف انرژی تجهیزات افزایش یافته است، نیاز به حجم اتاق های سرور افزایش یافته است و مدیریت آن دشوارتر شده است. فرآیند به روز رسانی نرم افزار و سخت افزار یک سیستم امنیتی یکپارچه.

علاوه بر این، مشکلات مربوط به ادغام ابزارهای جدید امنیت اطلاعات در یک زیرساخت موجود، اغلب متشکل از محصولات است توسعه دهندگان مختلف. به همین دلیل، این ایده به وجود آمد که همه عملکردهای ذکر شده را در یک دستگاه ترکیب کنیم، به خصوص که در آن زمان پلت فرم های سخت افزاری به سطح عملکرد کافی رسیده بودند و می توانستند به طور همزمان با چندین کار کنار بیایند.

در نتیجه، راه‌حل‌هایی در بازار ظاهر شده‌اند که امکان کاهش هزینه‌های حفاظت از اطلاعات و در عین حال افزایش سطح امنیت اطلاعات را فراهم می‌کنند، زیرا «پر کردن» UTM در ابتدا اشکال‌زدایی و بهینه‌سازی می‌شود. عملیات همزمانتمام ویژگی هایی که شامل می شود

ارتباط و صحت این رویکرد توسط ارقام شرکت تحقیقاتی بین‌المللی IDC تأیید می‌شود که بر اساس آن در سه ماهه اول سال 2014 رشد بخش دستگاه‌های UTM 36.4 درصد (در مقایسه با مدت مشابه) بوده است. پارسال). برای مقایسه: رشد کلی بازار دستگاه های امنیت اطلاعات در مدت مشابه 3.4 درصد بوده و اکنون دستگاه های UTM 37 درصد از این بازار را به خود اختصاص داده اند. در همان زمان، کاهش درآمد در جهت فایروال/VPN به 21.2 درصد رسید.

بر اساس روندهای فوق در بازار امنیت اطلاعات، در پایان دهه اول قرن جدید، بسیاری از تولیدکنندگان فایروال های نسل بعدی خود را معرفی کردند. بدین ترتیب شرکت روسی "AltEl" محصول ALTELL NEO را عرضه کرده است.

در عین حال، استفاده از سیستم های یکپارچه در راه حل های امنیت اطلاعات در حال افزایش است. تولید کنندگان مختلفبرای افزایش سطح حفاظت: فروشندگان ابزارهای حفاظت سخت افزاری شروع به همکاری فعال تر با توسعه دهندگان نرم افزارهای تخصصی کردند. به عنوان مثال، فناوری‌های Kaspersky Lab برای حفاظت از داده‌ها در سطح برنامه در محصول ALTELL NEO پیاده‌سازی شدند: Kaspersky Anti-Virus/Anti-Spam SDK (کیت توسعه نرم‌افزار).

در حال حاضر، بسیاری از بازیگران بازار فایروال‌های نسل بعدی را ارائه می‌کنند، از جمله Palo Alto، Check Point، Cisco، Intel Security. در واقعیت‌های کنونی که نرخ دلار به شدت نوسان است، بسیاری از مشتریان و در درجه اول سازمان‌های دولتی، جایگزینی واردات را فرصتی برای برآورده کردن الزامات تنظیم‌کننده‌ها و رویه‌های امنیت اطلاعات داخلی می‌دانند. در این شرایط، توجه سازندگان روسی راه حل های UTM منطقی به نظر می رسد.

بیایید عملکردهای اصلی فایروال های ALTELL NEO UTM را در نظر بگیریم.

آنتی ویروس / آنتی اسپم

در حال حاضر، بسیاری از شرکت ها دستگاه های UTM را برای محافظت از محیط شبکه، از جمله قابلیت فیلتر کردن ایمیل های دریافتی و خروجی، انتخاب می کنند.

اولین راه حل روسی با امکانات کامل در این زمینه، فایروال نسل جدید ALTELL NEO با کارایی بالا است. او دو در زرادخانه خود دارد. آنتی ویروس مستقلو راه حل های ضد هرزنامه: ClamAV (محصول رایگان) و Kaspersky AV، SpamAssassin و Kaspersky AS به ترتیب.

ویژگی ها و عملکردهای استاندارد دستگاه های UTM:

• پشتیبانی از کار در حالت شفاف (غیر قابل مشاهده برای کاربر نهایی).
• پشتیبانی از لیست سیاه DNS
• پشتیبانی از لیست های "سیاه"، "سفید" و "خاکستری".
• بررسی یک رکورد DNS در مورد سرور ارسال کننده.
• فناوری SPF (Sender Policy Framework, sender Policy Framework) یک فرمت پروتکل برای ارسال ایمیل از طریق SMTP است که به شما امکان می دهد صحت دامنه فرستنده را تعیین کنید. SPF یکی از راه‌های شناسایی فرستنده ایمیل است و یک گزینه اضافی برای فیلتر کردن جریان ایمیل برای پیام‌های هرزنامه ارائه می‌کند. با کمک SPF، نامه ها بر اساس دامنه گیرنده یا فرستنده به دو دسته مجاز و ممنوع تقسیم می شوند.
• سرویس SURBL (فهرست‌های بلادرنگ URI هرزنامه) سرویسی است که حاوی اطلاعاتی نیست در مورد آدرس‌های IP که هرزنامه از آن‌ها می‌آید، بلکه درباره سایت‌هایی است که در پیام‌های هرزنامه تبلیغ می‌شوند. از آنجایی که اکثر ایمیل‌های هرزنامه (و به‌ویژه ایمیل‌های فیشینگ) شما را به بازدید از یک سایت دعوت می‌کنند، و سایت‌های کمتری نسبت به آدرس‌های IP فرستنده‌های هرزنامه وجود دارد، SURBL می‌تواند کارآمدتر از RBL کار کند و تا ۸۰ تا ۹۰ درصد از هرزنامه‌ها را در صورت مثبت بودن نادرست فیلتر کند. بالاتر از 0.001-0.05٪ نیست.
• غیبت امکان سنجی فنیاز دست دادن پیام ها در فیلتر
• استفاده از EDS در نامه های ارسالی با استفاده از فناوری DKIM (DomainKeys Identified Mail). این تکنولوژیبه شما امکان می دهد صحت (اصالت) فرستنده نامه را تأیید کنید و همچنین عدم تغییر در ایمیل را در حین ارسال آن از فرستنده به گیرنده تأیید کنید.
• روش های فیلتر پیشرفته: فیلتر بیزی، Razor.

استفاده از فناوری ضد ویروس/ضد هرزنامه به شرکت‌هایی مانند بانک‌ها این امکان را می‌دهد تا از الزامات بانک روسیه برای محافظت در برابر آن پیروی کنند. کد مخرب. برخلاف، مثلاً STO BR IBBS و 382-P، جایی که به این موضوع فضای کمی داده شد، بیش از یک سال است که ما یک سند کامل داریم: نامه 49-T مورخ 24 مارس 2014 "در مورد توصیه هایی برای سازماندهی استفاده از محافظت در برابر کدهای مخرب در پیاده سازی بانکداری". اسناد الزامات فنی و سازمانی را شرح می دهند.

استفاده از راه‌حل‌های UTM با آنتی‌ویروس به ISP اجازه می‌دهد تا ترافیک پاکی را ارائه دهد و بانک نیز از توصیه‌های تنظیم‌کننده در مورد تقسیم‌بندی و امکان بومی‌سازی اپیدمی‌های بدافزار پیروی کند.

سیستم تشخیص نفوذ و پیشگیری - IDPS

سیستم های تشخیص و پیشگیری از نفوذ، IDS / IPS یا IDPS (سیستم تشخیص / پیشگیری از نفوذ، اصطلاح مشابه روسی - IDS / SPV)، پیوند ضروری در حفاظت از شبکه داخلی یک سازمان است. هدف اصلی چنین سیستم هایی شناسایی حقایق دسترسی غیرمجاز به شبکه شرکت و اتخاذ اقدامات متقابل است: اطلاع رسانی به متخصصان امنیت اطلاعات در مورد واقعیت نفوذ، قطع ارتباط، پیکربندی مجدد دیوار آتش برای جلوگیری از اقدامات بیشتر مهاجم.

ALTELL NEO چندین فناوری IDPS را پیاده‌سازی می‌کند که در انواع رویدادهای شناسایی‌شده و روش‌شناسی مورد استفاده برای شناسایی حوادث متفاوت است. IDPS از AltEl علاوه بر عملکرد نظارت و تجزیه و تحلیل رویدادها برای شناسایی حوادث، وظایف زیر را انجام می دهد:

• ثبت اطلاعات رویداد معمولاً اطلاعات به صورت محلی ذخیره می شوند، اما می توانند به هر یک از آنها ارسال شوند سیستم متمرکزجمع آوری سیاهههای مربوط یا یک سیستم SIEM.
• اطلاع رسانی به مدیران امنیتی در مورد حوادث امنیت اطلاعات. این نوع اعلان هشدار نامیده می شود و می تواند از طریق چندین کانال انجام شود: ایمیل، تله های SNMP، پیام ها. گزارش سیستم، کنسول مدیریت سیستم IDPS. یک واکنش قابل برنامه ریزی با استفاده از اسکریپت ها نیز امکان پذیر است.
• تولید گزارش گزارش ها برای خلاصه کردن تمام اطلاعات مربوط به رویداد(های) درخواستی ایجاد می شوند.

فناوری IPS مکمل فناوری IDS است زیرا نه تنها به طور مستقل یک تهدید را شناسایی می کند، بلکه می تواند با موفقیت آن را مسدود کند. در این سناریو، عملکرد IPS پیاده‌سازی شده در ALTELL NEO بسیار گسترده‌تر از IDS است و شامل ویژگی‌های زیر است:

• مسدود کردن یک حمله (شکستن جلسه کاربری که خط مشی امنیتی را نقض می کند، مسدود کردن دسترسی به منابع، میزبان ها، برنامه ها).
• تغییر محیط محافظت شده (تغییر پیکربندی دستگاه های شبکه برای جلوگیری از حمله).
• خنثی کردن یک حمله (به عنوان مثال، حذف یک فایل آلوده از یک پیام و ارسال آن به گیرنده ای که قبلاً پاک شده است، یا کار در حالت پروکسی، به عنوان مثال تجزیه و تحلیل درخواست های دریافتی و قطع کردن داده ها در هدر بسته ها).

مزایای هر فناوری به ناچار با معایبی همراه است. به عنوان مثال، سیستم IDPS ممکن است همیشه یک حادثه امنیت اطلاعات را به درستی شناسایی نکند، و گاهی اوقات قادر است رفتار عادی ترافیک/کاربر را با یک حادثه اشتباه بگیرد.

در نوع اول مرسوم است که در مورد منفی کاذب صحبت می کنند (نتیجه منفی کاذب) ، در نوع دوم از مثبت کاذب صحبت می کنند ( مثبت کاذب). هیچ یک از راه حل هایی که امروزه وجود دارد نمی تواند رویدادهای FP یا FN را به طور کامل حذف کند. بنابراین سازمان باید به صورت موردی تصمیم بگیرد که کدام یک از این گروه های خطر بزرگ ترین تهدید را ایجاد می کند و سپس راه حل را بر اساس آن تنظیم کند.

روش های مختلفی برای تشخیص حوادث با استفاده از فناوری IDPS وجود دارد. اکثر پیاده سازی های IDPS از ترکیبی از این فناوری ها برای ارائه درجه بالاتری از تشخیص تهدید استفاده می کنند. لازم به ذکر است که تجهیزات ALTELL NEO تمامی فناوری های شرح داده شده در زیر را پیاده سازی می کند.

تشخیص حمله ایمیل بر اساس امضا

امضا الگویی است که وقتی در ترافیک یا ایمیل یافت می شود، به طور منحصر به فرد یک حمله خاص را شناسایی می کند. تشخیص حمله امضا فرآیند مقایسه محتوا با پایگاه داده امضا ذخیره شده در راه حل است. نمونه هایی از امضاها عبارتند از:

• اتصال telnet کاربر ریشه، که نقض برخی از سیاست های امنیتی شرکت است.
• ایمیل دریافتی با موضوع " تصاویر رایگان» به همراه فایل ضمیمه freepics.exe;
• لاگ سیستم عامل با کد 645 که به این معنی است که ممیزی میزبان غیرفعال است.

این روش در شناسایی تهدیدات شناخته شده بسیار موثر است، اما در حملاتی که هنوز امضا ندارند بسیار ناکارآمد است.

سیستم ضد ویروس/ضد اسپم داخلی در ALTELL NEO به شما امکان می دهد بین 120 تا 800 پیام در دقیقه را فیلتر کنید.

تشخیص حمله با رفتار غیرعادی

این روش مبتنی بر مقایسه فعالیت عادی عناصر شبکه با رویدادهایی است که از سطح عادی منحرف می شوند. IPS با استفاده از این روش به اصطلاح دارند. پروفایل هایی که رفتار عادی کاربران، گره های شبکه، اتصالات، برنامه ها و ترافیک را منعکس می کنند. این پروفایل ها در طی یک «دوره یادگیری» در یک دوره زمانی ایجاد می شوند.

به عنوان مثال، یک نمایه ممکن است 13 درصد افزایش در ترافیک وب در روزهای هفته ثبت کند. سپس IDPS از روش های آماری برای مقایسه ویژگی های مختلف فعالیت واقعی در برابر یک آستانه معین استفاده می کند. هنگامی که از این آستانه فراتر رفت، پیام مربوطه به کنسول مدیریت مدیر امنیت ارسال می شود. نمایه ها را می توان بر اساس ویژگی های برگرفته از تجزیه و تحلیل رفتار کاربر، مانند تعداد ایمیل های ارسال شده، تعداد تلاش های ناموفق برای ورود به سیستم، استفاده از CPU سرور در یک بازه زمانی معین، و بسیاری موارد دیگر ایجاد کرد.

این روش به شما امکان می دهد حملاتی را که فیلتر تجزیه و تحلیل امضا را دور زده اند، مسدود کنید.

IDS/IPS مورد استفاده شرکت ما در فایروال‌های نسل جدید ALTELL NEO مبتنی بر فناوری Suricata باز است که مطابق با نیازهای شرکت اصلاح شده است. برخلاف معمول‌تر باز IDS/IPS Snort، Suricata دارای مزایای متعددی است، به عنوان مثال، به شما امکان می‌دهد بیشتر به دست آورید. عملکرد بالابه دلیل موازی سازی پردازش ترافیک در هسته های پردازنده و تعداد کمتری از موارد مثبت کاذب.

باید در نظر گرفت که برای عملکرد صحیح IDS / IPS، به پایگاه های داده امضا به روز نیاز دارد. ALTELL NEO از پایگاه داده ملی آسیب پذیری باز و Bugtraq برای این منظور استفاده می کند. پایگاه های داده دو یا سه بار در روز به روز می شوند که سطح بهینه ای از امنیت اطلاعات را تضمین می کند.

سیستم ALTELL NEO می تواند در دو حالت کار کند: حالت تشخیص نفوذ (IDS) و حالت پیشگیری از نفوذ (IPS). فعال کردن هر دو عملکرد IDS و IPS در رابط دستگاه انتخاب شده توسط سرپرست - یک یا چند مورد اتفاق می افتد. همچنین هنگام پیکربندی قوانین فایروال برای نوع خاصی از ترافیکی که می خواهید بررسی کنید، می توان توابع IPS را فراخوانی کرد. تفاوت عملکردی IDS و IPS در این است که در حالت IPS، حملات شبکه را می توان در زمان واقعی مسدود کرد.

قوانین امنیتی توسط جامعه تهدیدات نوظهور ایجاد شده است. قوانین مبتنی بر چندین سال تجربه ترکیبی متخصصان در زمینه امنیت شبکه است و به طور مداوم در حال بهبود است. قوانین به طور خودکار به روز می شوند (برای این، اتصال اینترنت باید در ALTELL NEO پیکربندی شود). در صورت لزوم، می توانید یک به روز رسانی دستی تنظیم کنید.

هر قانون با توجه به کلاس حمله از نظر فراوانی استفاده و اهمیت، اولویتی دارد. سطوح استاندارداولویت ها از 1 تا 3، با اولویت 1 زیاد، اولویت 2 متوسط ​​و اولویت 3 پایین.

با توجه به این اولویت‌ها، می‌توان اقدامی را تعیین کرد که سیستم IDS/IPS در زمان شناسایی ترافیک شبکه که با امضای قانون مطابقت دارد، به‌صورت بلادرنگ انجام دهد. عمل می تواند یکی از موارد زیر باشد:

• هشدار (حالت IDS) - ترافیک مجاز است و به گیرنده ارسال می شود. یک هشدار در گزارش رویداد نوشته می شود. این عمل به طور پیش فرض برای همه قوانین تنظیم شده است.
• Drop (حالت IPS) - تجزیه و تحلیل بسته متوقف می شود، مقایسه بیشتر برای انطباق با قوانین باقی مانده انجام نمی شود. بسته حذف می شود و یک هشدار در گزارش نوشته می شود.
• Reject (حالت IPS) - در این حالت، بسته دور انداخته می شود و یک هشدار در گزارش نوشته می شود. در این صورت پیام مربوطه برای فرستنده و گیرنده بسته ارسال می شود.
• پاس (حالت IDS و IPS) - در این حالت، تجزیه و تحلیل بسته متوقف می شود، مقایسه بیشتر برای انطباق با قوانین باقی مانده توسط سیستم انجام نمی شود. بسته به مقصد ارسال می شود، هیچ هشداری ایجاد نمی شود.

گزارش‌های مربوط به ترافیک عبوری از سیستم تشخیص نفوذ و جلوگیری از نفوذ ALTELL NEO را می‌توان در سیستم نظارت و کنترل خارجی (SVMiU) طراحی شده خودمان تولید کرد. SVMIU داده های اولیه (هشدار) را از یک یا چند دستگاه ALTELL NEO جمع آوری می کند.

سیستم تشخیص و جلوگیری از نفوذ ALTELL NEO با سرعت 80 مگابیت در ثانیه کار می کند.
تا 3200 مگابیت بر ثانیه

سیستم فیلترینگ وب

ALTELL NEO دارای یک ماژول پروکسی وب داخلی (واسطه) برای فیلتر کردن درخواست های کاربر و ذخیره داده های دریافتی از شبکه جهانی وب است.

میانجی می تواند در چندین حالت عمل کند که می تواند برای حل مشکلات مختلف ترکیب شود.

• تعامل با نرم افزار مشتری (به عنوان مثال، مرورگرهای وب کاربران): "شفاف" و "مات"؛
• احراز هویت کاربر پروکسی: بدون احراز هویت، احراز هویت مبتنی بر LDAP، احراز هویت مبتنی بر NTLM.
• پردازش درخواست های کاربر (URL محتوا، آدرس IP منبع، و غیره): با و بدون فیلتر؛
• پردازش محتوای وب دریافتی در پاسخ به درخواست های کاربر: با و بدون حافظه پنهان.
• با پروکسی SSL فعال و غیرفعال شده است.

بازار UTM بسیار بزرگ است و همچنان در حال رشد است و راه حل های سخت افزاری و نرم افزاری را ارائه می دهد. استفاده از کدام یک سوال برای هر متخصص است، هر سازمان بر اساس ترجیحات و توانایی های خود تصمیم می گیرد. نکته اصلی داشتن سروری است که از نظر پارامترها مناسب باشد، زیرا اکنون یک سیستم چندین بررسی را انجام می دهد و بار به میزان قابل توجهی افزایش می یابد.

یکی از مزایای دستگاه های مدرن UTM تطبیق پذیری آنها است و ALTELL NEO نمونه خوبی از این رویکرد است. بسته به اندازه شرکت، می توان از راه حل های کلاس های مختلف استفاده کرد: از سیستم های دسکتاپ تا سرور 2U با عملکرد حداکثر 18.5 گیگابیت در ثانیه. فناوری‌های آزمایشگاه کسپرسکی که زیربنای عملکرد ضد ویروس ALTELL NEO هستند، امکان به‌روزرسانی پایگاه‌های داده ضد ویروس را از 10 تا 25 بار در روز فراهم می‌کنند. در عین حال، میانگین اندازه به روز رسانی معمولاً از 50 کیلوبایت تجاوز نمی کند که یکی از بهترین نسبت های فرکانس / اندازه در صنعت است.

در تماس با