بر اساس نتایج سال 2015 آزمایشگاه کسپرسکیآمار ناامیدکننده ای ذکر کرد: حدود 58 درصد از رایانه های شخصی شرکت ها حداقل یک بار مورد حمله بدافزار قرار گرفتند. و اینها فقط مواردی هستند که با موفقیت منعکس شده اند. از این تعداد، یک سوم (29٪) از طریق اینترنت مورد حمله قرار گرفتند. اشاره شد که سه برابر بیشتر رایانه‌های خانگی نیستند که در معرض تهدید قرار می‌گیرند، بلکه رایانه‌های شرکتی در معرض تهدید قرار می‌گیرند، بنابراین مشاغل در خطر از دست دادن یا از بین بردن داده‌ها هستند.

در سال 2017، وضعیت امن‌تر نشده است: بیایید هیاهوی اخیر ویروس‌های بدنام Petya، WannaCry و BadRabbit را به یاد بیاوریم. و هنوز هم، حدود 80 درصد از شرکت ها سیستم های امنیتی خود را به روز نمی کنند و حدود 30 درصد دارای آسیب پذیری های واضح هستند.

امنیت شبکه در تئوری و عمل

چندی پیش، یک فایروال ساده برای کاربران اینترنت کافی بود. با این حال، زمان تغییر کرده است، و اکنون یک راه حل جدی تر مورد نیاز است - یک دستگاه UTM که ترکیبی از تمام عملکردهای طراحی شده برای محافظت از شبکه های شرکتی در برابر تهاجم است. با استفاده از یک سیستم جامع مدیریت تهدید، یک شرکت آنتی ویروس، فایروال، سیستم پیشگیری از تهدید، حفاظت ضد هرزنامه و موارد دیگر را در یک بسته دریافت می کند.

بر خلاف روش کلاسیک، که شامل خرید تعدادی دستگاه جداگانه و ادغام آنها در یک سیستم واحد است، این یک گزینه اقتصادی تر و سازنده تر است که اساساً بر سه ستون استوار است:

• حفاظت چند سطحی در زمان واقعی.
• یک فیلتر جهانی که به جاسوس افزارها و ویروس ها اجازه عبور نمی دهد.
• محافظت در برابر هرزنامه و محتوای ناخواسته.

این رویکرد نیاز به افزایش هزینه‌های سخت‌افزاری را از بین می‌برد، متخصصان فناوری اطلاعات را استخدام می‌کند که می‌توانند کل این سیستم را به درستی کار کند، و شما را از مشکلات ناشی از کاهش منظم سرعت ترافیک نجات می‌دهد.

در عمل، شرکت های بزرگ و کوچک عملکردهای متفاوتی را در اولویت قرار می دهند. سازمان های کوچک امیدوارند با روی آوردن به سیستم های پیچیده، ابتدا مشکل دسترسی به شبکه ایمن برای کارکنان و مشتریان را حل کنند. برای شبکه های شرکتی با پیچیدگی متوسط، یک کانال ارتباطی پایدار مورد نیاز است. شرکت های بزرگ نگران حفظ اسرار هستند. هر کار در نهایت یک راه حل کاملاً فردی دارد.

رویه شرکت های بزرگ

مثلا برای یک شرکت گازپرومو سازمان‌های مشابهی که به نرم‌افزار روسی ترجیح می‌دهند، این به معنای کاهش خطرات ناشی از استفاده از نرم‌افزارهای خارجی است. علاوه بر این، ارگونومی نیاز به استفاده از تجهیزاتی را که با ساختار سخت افزاری در حال استفاده استاندارد شده است، دیکته می کند.

مشکلاتی که کسب و کارهای بزرگ با آن مواجه هستند دقیقاً به دلیل اندازه سازمان است. UTM در اینجا به حل مسائل مربوط به تعداد زیادی کارمند، حجم زیادی از داده های منتقل شده از طریق شبکه داخلی و نیاز به دستکاری خوشه های فردی با دسترسی به اینترنت کمک می کند.

عملکرد مورد نیاز مشاغل بزرگ:

• کنترل گسترده بر کار کاربران رایانه شخصی، دسترسی آنها به شبکه و منابع فردی.
• شبکه داخلی خود را در برابر تهدیدات، از جمله فیلتر URL و احراز هویت دو مرحله ای کاربر، محافظت کنید.
• فیلتر کردن محتوای منتقل شده از طریق شبکه داخلی، مدیریت شبکه های Wi-Fi.

نمونه ای دیگر از تمرین ما. در مدیریت ایستگاه های راه آهن شرکت "راه آهن روسیه"(نمونه ای کلاسیک از یک پروژه تجاری بزرگ با ترافیک محدود)، این راه حل تعدادی از مشکلات امنیتی را حل کرد، از نشت داده ها جلوگیری کرد و همچنین باعث افزایش پیش بینی شده کارایی کار به دلیل نصب انسداد داخلی شد.

برای شرکت های بانکی، در تجربه ما، اطمینان از ترافیک اینترنت پایدار، پرسرعت و بدون وقفه که از طریق توانایی تعادل و توزیع مجدد بارها به دست می آید، اهمیت ویژه ای دارد. محافظت در برابر نشت اطلاعات و کنترل ایمنی آن نیز مهم است.

مجتمع های خرید، به ویژه کلومنا "ریو"، همچنین به طور دوره ای در معرض خطر حملات خارجی در شبکه خود قرار می گیرند. با این حال، اغلب مدیریت بازار علاقه مند به امکان معرفی کنترل داخلی بر کارمندانی است که بسته به وظایف خود محدودیت هایی در کار با اینترنت دارند. علاوه بر این، اینترنت به طور فعال در سراسر منطقه مرکز خرید توزیع می شود که خطر نقض محیط را افزایش می دهد. و برای جلوگیری از چنین موقعیت هایی، راه حل UTM استفاده از مدیریت برنامه را پیشنهاد می کند.

در حال حاضر، مجتمع خرید ریو به طور فعال از فیلترها، مسدود کردن چند سطحی و حذف برنامه ها و برنامه هایی که در لیست سیاه هستند استفاده می کند. نتیجه اصلی در این مورد افزایش راندمان نیروی کار و صرفه جویی در زمان است زیرا دیگر حواس کارمندان توسط شبکه های اجتماعی و فروشگاه های آنلاین شخص ثالث پرت نمی شود.

نیازهای صنعت خدمات

کافه ها، رستوران ها و هتل ها با نیاز به توزیع آزادانه وای فای مواجه هستند که در حال حاضر طبق نظرات مشتریان، یکی از محبوب ترین خدمات است. از جمله مشکلاتی که نیاز به راه حل های فوری دارد عبارتند از: دسترسی به اینترنت با کیفیت بالا و مطابقت با قوانین فدراسیون روسیه. علاوه بر این، هتل های زنجیره ای برخی از ویژگی های خاص مرتبط با افزایش بار را دارند. شبکه های اجتماعی، ارسال عکس و فیلم از تعطیلات و فقط گشت و گذار نباید باعث خرابی و خاموش شدن کل سیستم شود.

تمام این مشکلات را می توان با یک سیستم UTM به درستی پیکربندی شده حل کرد. به عنوان راه حل، پیشنهاد می شود شناسایی دستگاه از طریق پیامک، فیلتر محتوا و ترافیک و جریان های جداگانه مورد استفاده مشتریان و کارکنان با توجه به سانسور و شاخص های سنی معرفی شود. همچنین نصب محافظ برای دستگاه های متصل به شبکه ضروری است.

بیمارستان ها، کلینیک ها و سایر موسسات پزشکی به یک سیستم امنیتی یکپارچه نیاز دارند که از یک مرکز واحد با در نظر گرفتن ساختار شعبه مدیریت می شود. راه حل UTM روسیه در ارتباط با سیاست جایگزینی واردات و انطباق با قانون حفاظت از داده های شخصی، برای چنین سازمان های دولتی اولویت دارد.

مزایای راه حل های UTM

نکته اصلی واضح است: یک دستگاه به طور همزمان چندین دستگاه را جایگزین می کند و عملکرد هر یک را به خوبی انجام می دهد. علاوه بر این، اتصال و راه اندازی چنین دستگاهی بسیار ساده تر است و هرکسی می تواند با آن کار کند. راه حل یکپارچه چندین مزیت دارد:

• مالی.خرید جداگانه ابزارهای امنیتی با کیفیت بالا (سیستم امنیتی، واحد آنتی ویروس، VPN و سرور پروکسی، فایروال و ...) چندین برابر هزینه تجهیزات است. به خصوص وقتی صحبت از گزینه های وارداتی می شود. دستگاه‌های UTM بسیار مقرون‌به‌صرفه‌تر هستند و محصولات داخلی باکیفیت‌تر از این هم مقرون به صرفه‌تر هستند.
• عملکردی.از تهدیدات در سطح دروازه شبکه جلوگیری می شود، که جریان کار را قطع نمی کند یا بر کیفیت ترافیک تأثیر نمی گذارد. سرعت ثابت و ثابت است، برنامه های حساس به این همیشه در دسترس هستند و به درستی کار می کنند.
• سادگی و دسترسی.یک سیستم مبتنی بر UTM نه تنها به سرعت نصب می شود، بلکه به راحتی مدیریت می شود، که مدیریت را ساده می کند. و راه حل های داخلی به زبان روسی ساخته شده اند، که درک بخش فنی را بدون تکان دادن غیر ضروری با اصطلاحات خاص آسان می کند.
• نظارت و مدیریت متمرکزراه حل UTM به شما امکان می دهد شبکه های راه دور را از یک مرکز واحد بدون هزینه اضافی برای تجهیزات و پرسنل مدیریت کنید.

به طور کلی، دستگاه های UTM در حال تبدیل شدن به یک عنصر مرکزی امنیت اطلاعات برای هر شرکتی با شبکه ای از چندین رایانه تا ده ها هزار نقطه دسترسی هستند که به طور موثر از بروز مشکلات جلوگیری می کند و به جلوگیری از فرآیند پاکسازی عواقب عفونت ها و هک ها کمک می کند.

با این حال، باید در نظر گرفت که UTM همه مشکلات را حل نمی کند، زیرا دستگاه های نهایی را که در برابر کاربران بی پروا بی دفاع هستند، مدیریت نمی کند. تهدید محلی ویروس مستلزم وجود برنامه های ضد ویروس، علاوه بر دروازه ضد ویروس است و برای تضمین جلوگیری از نشت اطلاعات، نصب سیستم های DLP ضروری است. ماجرای اخیر فرودگاه در این زمینه گویای این موضوع است. هیترو، جایی که پس از کشف فلش مموری حاوی اطلاعات مربوط به اقدامات امنیتی و ضد تروریستی در فرودگاه در یکی از خیابان های لندن، تحقیقات در این زمینه آغاز شد.

معیارهای انتخاب سیستم UTM

سیستم باید چندین پارامتر را داشته باشد. این حداکثر راحتی، قابلیت اطمینان، سهولت راه اندازی، کنترل های بصری، پشتیبانی فنی مداوم از سازنده و هزینه نسبتا کم است. علاوه بر این، یک الزام سخت برای صدور گواهینامه اجباری توسط FSTEC (FZ-149، FZ-152، FZ-188) وجود دارد. این برای مؤسسات آموزشی و دولتی، مشاغلی که با اطلاعات شخصی کار می کنند، مؤسسات مراقبت های بهداشتی و شرکت های بخش عمومی اعمال می شود. برای استفاده از سیستم های تایید نشده تحریم های شدیدی در نظر گرفته شده است: جریمه تا 50 هزار روبل، در برخی موارد - مصادره موضوع جرم و تعلیق فعالیت ها تا 90 روز.

مراقب خود و داده های خود باشید، از سیستم های امنیتی اطلاعات مدرن استفاده کنید و نصب به روز رسانی فروشنده را فراموش نکنید.

این مقاله نقش سیستم های UTM را از نظر الزامات امنیت شبکه تحمیل شده توسط تجارت بررسی می کند. یک تحلیل اساسی از "همسویی نیروها" در بازارهای جهانی و روسیه انجام شده است. منظور ما از سیستم‌های UTM (دروازه‌های امنیتی جهانی) دسته‌ای از دستگاه‌های شبکه چند منظوره، عمدتاً فایروال‌ها است که دارای عملکردهای زیادی مانند آنتی اسپم، آنتی ویروس، حفاظت از نفوذ (IDS/IPS) و فیلتر محتوا هستند.

معرفی

خطرات استفاده از شبکه ها شناخته شده است. با این حال، در شرایط مدرن، دیگر نمی توان دومی را رها کرد. بنابراین، تنها چیزی که باقی می ماند این است که آنها را تا حد قابل قبولی به حداقل برسانیم.

در اصل دو رویکرد برای تضمین امنیت همه جانبه قابل تشخیص است. اولین مورد اغلب کلاسیک یا سنتی نامیده می شود. ماهیت آن بر اساس اصل موضوع است: "محصول تخصصی بهتر از یک دروگر چند منظوره است."

با این حال، همزمان با رشد قابلیت های راه حل های مختلف، گلوگاه هایی در استفاده مشترک از آنها ظاهر شد. بنابراین، به دلیل استقلال هر محصول، محتوای عملکردی تکراری بود که در نهایت تأثیر منفی بر عملکرد و هزینه نهایی داشت. علاوه بر این، هیچ تضمینی وجود نداشت که راه حل های مختلف از تولید کنندگان مختلف "همزیستی مسالمت آمیز" با یکدیگر داشته باشند و در تضاد نباشند. این نیز به نوبه خود مشکلات بیشتری را برای پیاده سازی، مدیریت و نگهداری سیستم ها ایجاد کرد. در نهایت، این سوال در مورد تعامل راه حل های مختلف با یکدیگر (تبادل اطلاعات برای ایجاد یک "تصویر بزرگ"، ارتباط رویدادها و غیره) و راحتی مدیریت آنها مطرح شد.

از نقطه نظر تجاری، هر راه حلی نه تنها از نظر عملی باید موثر باشد. مهم این است که از یک سو، امکان کاهش هزینه کل مالکیت را فراهم کند و از سوی دیگر، پیچیدگی زیرساخت را افزایش ندهد. بنابراین، مسئله ظاهر سیستم های UTM فقط یک موضوع زمان بود.

دروازه های امنیتی جهانی (UTM) چیست؟

ما شرح مختصری از محبوب ترین راه حل ها خواهیم داد.

Fortinet (دارای گواهی FSTEC)

Fortinet طیف گسترده ای از دستگاه ها را ارائه می دهد، از سری FortiGate-20 برای مشاغل و دفاتر کوچک تا سری FortiGate-5000 برای شرکت های بسیار بزرگ و ارائه دهندگان خدمات. پلتفرم های FortiGate از سیستم عامل FortiOS به همراه پردازنده های FortiASIC ​​و سایر سخت افزارها استفاده می کنند. هر واحد FortiGate شامل:

• فایروال، VPN و شکل دهی ترافیک؛
• سیستم پیشگیری از نفوذ (IPS)؛
• آنتی ویروس/ضد بدافزار؛
• کنترلر Wi-Fi یکپارچه؛
• کنترل برنامه؛
• محافظت در برابر نشت داده ها؛
• جستجو برای آسیب پذیری ها؛
• پشتیبانی IPv6؛
• فیلتر کردن وب؛
• آنتی اسپم؛
• پشتیبانی از VoIP؛
• مسیریابی/سوئیچینگ؛
• بهینه سازی WAN و کش وب.

دستگاه‌ها به‌روزرسانی‌های پویا را از مرکز تحقیقات جهانی FortiGuard Labs دریافت می‌کنند. محصولات مبتنی بر فورتی گیت همچنین دارای عملکرد شبکه پیچیده‌ای هستند، از جمله خوشه‌بندی (فعال/فعال، فعال/غیرفعال) و دامنه‌های مجازی (VDOM) که امکان جداسازی شبکه‌هایی را که به سیاست‌های امنیتی متفاوتی نیاز دارند، ممکن می‌سازد.

نقطه چک (دارای تاییدیه FSTEC)

Check Point مزایای زیر را برای دستگاه های Check Point UTM-1 خود برجسته می کند:

• فن آوری های اثبات شده مورد اعتماد شرکت های Fortune 500؛
• همه چیزهایی که برای محافظت از شبکه خود نیاز دارید: عملکرد، به روز رسانی و مدیریت امنیت.
• از شبکه ها، سیستم ها و کاربران در برابر انواع حملات اینترنتی محافظت کنید
• با محافظت از دسترسی از راه دور و ارتباط بین گره ها، حریم خصوصی را تضمین کنید.
• استقرار و مدیریت سریع و آسان امنیت با چندین ویژگی امنیتی در یک دستگاه و طیف گسترده ای از دستگاه ها برای مشاغل در هر اندازه، از دفاتر کوچک گرفته تا شرکت ها؛
• با استفاده از سرویس Check Point Update در برابر تهدیدات جدید در حال ظهور محافظت کنید.

همه دستگاه‌های UTM می‌توانند شامل تیغه‌های نرم‌افزاری مانند: فایروال، VPN، سیستم جلوگیری از نفوذ، SSL VPN، حفاظت از ویروس‌ها، جاسوس‌افزارها و هرزنامه‌ها، فایروال تخصصی برای محافظت از برنامه‌های وب و فیلترینگ وب باشند. در صورت تمایل می توانید تیغه های نرم افزار دیگری را اضافه کنید. مشخصات فنی دقیق تر را می توان یافت.

دل

یکی دیگر از رهبران صنعت، بیشتر بر شرکت های بزرگ متمرکز است تا مشاغل متوسط ​​و کوچک. خرید Sonicwall در سال 2012 تأثیر مثبتی بر مجموعه راه حل های ارائه شده داشت. همه راه حل ها، از SuperMassive E10800 تا TZ 100، بر روی پلتفرم اختصاصی امنیت شبکه SonicOS ساخته شده اند و عبارتند از:

• فایروال نسل بعدی؛
• کنترل برنامه؛
• بررسی عمیق بسته ها (از جمله بسته هایی که با استفاده از SSL رمزگذاری شده اند).
• سازماندهی VPN و SSL VPN.
• آنتی ویروس؛
• فیلتر کردن وب؛
• سیستم پیشگیری از نفوذ (IPS).

مشخصات فنی دقیق تر را می توان یافت.

WatchGuard (دارای گواهی FSTEC)

در خط UTM، WatchGuard توسط دستگاه های Firebox X بر اساس معماری چند سطحی Intelligent Layered Security نشان داده می شود. معماری شامل شش لایه حفاظتی است که با یکدیگر تعامل دارند:

• "خدمات امنیت خارجی" - فناوری هایی را ارائه می دهد که حفاظت شبکه را فراتر از فایروال گسترش می دهد.
• "یکپارچگی داده" - یکپارچگی بسته ها و انطباق آنها با پروتکل ها را بررسی می کند.
• "VPN" - اتصالات خارجی رمزگذاری شده سازمان را بررسی می کند.
• فایروال تجزیه و تحلیل پویا ترافیک را از منابع به مقصدها و پورت هایی که مطابق با خط مشی امنیتی مجاز هستند محدود می کند.
• "تجزیه و تحلیل عمیق برنامه ها" - انطباق آنها با سطح برنامه مدل ISO را تضمین می کند، فایل های خطرناک را بر اساس الگو یا نوع فایل قطع می کند، دستورات خطرناک را مسدود می کند و داده ها را برای جلوگیری از نشت تبدیل می کند.
• "امنیت محتوا" - ترافیک را برای برنامه مربوطه تجزیه و تحلیل و سازماندهی می کند. نمونه‌هایی از این موارد شامل فناوری‌های مبتنی بر امضا، سرویس‌های مسدودکننده هرزنامه و فیلتر کردن URL است.

به لطف این، ترافیک مشکوک به صورت پویا شناسایی و مسدود می شود، در حالی که ترافیک عادی در داخل شبکه مجاز است.

این سیستم همچنین از موارد زیر استفاده می کند:

• سیستم ضد ویروس/جلوگیری از نفوذ در دروازه؛
• WebBlocker؛
• SpamBlocker.

مشخصات فنی دقیق تر را می توان یافت.

Sophos (دارای گواهی FSTEC)

طیف وسیعی از دستگاه های این شرکت با خط UTM xxx (از مدل جوانتر UTM 100 تا UTM 625 قدیمی) نشان داده شده است. تفاوت اصلی در توان عملیاتی است.

راه حل ها شامل طیف وسیعی از برنامه های شبکه یکپارچه است:

• فایروال DPI؛
• سیستم تشخیص نفوذ و فیلترینگ وب؛
• امنیت و حفاظت ایمیل
• فیلترهای محتوا؛
• کنترل ترافیک آنتی ویروس؛
• خدمات شبکه (VLAN، DNS، DHCP، VPN)؛
• گزارش نویسی.

راه حل ها به شما این امکان را می دهند که امنیت و حفاظت از بخش های شبکه و خدمات شبکه را در زیرساخت های مخابراتی SOHO، SME، Enterprise، ISP تضمین کنید و کنترل و تمیز کردن دقیق ترافیک IP را در سطح شبکه ارائه دهید. سطوح برنامه (FW، IDS/IPS، VPN، امنیت نامه، امنیت WEB/FTP/IM/P2P، آنتی ویروس، آنتی اسپم).

مشخصات فنی دقیق تر را می توان یافت.

NETASQ

NETASQ، یک شرکت EADS، در ایجاد فایروال های درجه دفاعی برای محافظت مطمئن از شبکه ها با هر اندازه متخصص است. دستگاه‌های NETASQ UTM دارای گواهینامه ناتو و اتحادیه اروپا هستند و همچنین با کلاس EAL4+ «معیارهای عمومی برای ارزیابی امنیت فناوری‌های اطلاعات» مطابقت دارند.

این شرکت مزایای محصولات خود را برجسته می کند:

1. مدیر آسیب پذیری NETASQ؛
2. آنتی اسپم با فیلترینگ پستی.
3. ادغام با آنتی ویروس کسپرسکی؛
4. فیلتر کردن URL با به روز رسانی مداوم از ابر؛
5. فیلتر کردن در SSL/TLS؛
6. راه حل های VPN با شتاب سخت افزاری.

مجموعه این شرکت شامل صفحه نمایش های سخت افزاری و مجازی UTM (به ترتیب سری U و سری V) است. سری V توسط Citrix و VMware تایید شده است. سری U، به نوبه خود، میانگین زمان قابل توجهی بین شکست (MTBF) - 9-11 سال دارد.

مشخصات فنی دقیق تر را می توان یافت.

سیسکو (گواهی FSTEC وجود دارد)

این شرکت راه حل هایی را برای کسب و کارهای بزرگ (سیسکو سری XXXX ASA) و مشاغل کوچک/متوسط ​​(سری XXX کسب و کار کوچک سیسکو ISA) ارائه می دهد. راه حل ها از توابع زیر پشتیبانی می کنند:

• کنترل برنامه ها و رفتار برنامه؛
• فیلتر کردن وب؛
• محافظت در برابر بات نت ها؛
• محافظت در برابر تهدیدات اینترنتی در حالتی تا حد امکان به زمان واقعی.

همچنین ارائه شده است:

• پشتیبانی از دو شبکه VPN برای ارتباط بین دفاتر و شرکا، قابل ارتقا تا 25 کارمند (ASA 5505) یا 750 (ASA 5520)
• پشتیبانی از 5 (ASA 5505) تا 250 (ASA 5550) کاربر LAN از هر کجا

مشخصات فنی دقیق تر را می توان یافت.

شبکه های Juniper

جهت عملکرد UTM توسط خطوط دستگاه سری SRX و سری J پشتیبانی می شود.

مزایای اصلی عبارتند از:

• حفاظت جامع چند لایه از جمله ضد بدافزار، IPS، فیلتر URL، فیلتر محتوا و ضد هرزنامه.
• کنترل و محافظت از برنامه ها با استفاده از سیاست های مبتنی بر نقش های کاربر برای مقابله با حملات به برنامه ها و سرویس های وب 2.0.
• ابزارهای UTM از پیش نصب شده با اتصال سریع؛
• حداقل هزینه برای خرید و نگهداری یک دروازه ایمن در یک سازنده واحد امنیتی.

راه حل از چندین جزء تشکیل شده است:

• آنتی ویروسشبکه شما را در برابر بدافزارها، ویروس‌ها، نرم‌افزارهای جاسوسی، کرم‌ها، تروجان‌ها و سایر حملات و همچنین ایمیل‌ها و تهدیدات وب که می‌توانند کسب‌وکار و دارایی‌های شرکت شما را در معرض خطر قرار دهند، محافظت می‌کند. سیستم ضد بدافزار داخلی در UTM مبتنی بر هسته آنتی ویروس آزمایشگاه کسپرسکی است.
• IPS. روش های تشخیص مختلفی استفاده می شود، از جمله. تشخیص پروتکل و ناهنجاری‌های ترافیکی، امضاهای متنی، شناسایی سیل‌های SYN، کلاهبرداری جعل، و تشخیص درب پشتی.
• AppSecure. سرویس‌های امنیتی آگاه از برنامه‌ها که ترافیک را تحلیل می‌کنند، دید گسترده برنامه‌ها را فراهم می‌کنند، قوانین فایروال را برای برنامه‌ها اعمال می‌کنند، استفاده از برنامه را کنترل می‌کنند و از شبکه محافظت می‌کنند.
• فیلترینگ پیشرفته وب (EWF)محافظت در برابر وب سایت های بالقوه مخرب را به روش های مختلف فراهم می کند. این فناوری از 95 دسته URL استفاده می کند که امکان کنترل انعطاف پذیر را فراهم می کند، به مدیران کمک می کند تا بر فعالیت شبکه نظارت داشته باشند و از انطباق با خط مشی های شرکت برای استفاده از منابع وب اطمینان حاصل کنند. EWF از تجزیه و تحلیل سریع و بلادرنگ شهرت در یک شبکه پیشرفته استفاده می کند که بیش از 40 میلیون وب سایت در ساعت را برای کدهای مخرب اسکن می کند. EWF همچنین امتیاز ریسک کل را برای همه URL ها، اعم از طبقه بندی شده و دسته بندی نشده، حفظ می کند و به شرکت ها اجازه می دهد تا سایت هایی با شهرت ضعیف را نظارت و/یا مسدود کنند.
• آنتی اسپم

مشخصات فنی دقیق تر را می توان یافت.

نتیجه گیری

بازار روسیه برای سیستم های UTM قطعا مورد توجه تولید کنندگان و خریداران بالقوه است. با این حال، به دلیل «سنت‌های» تثبیت‌شده، تولیدکنندگان مجبورند یک «نبرد» همزمان هم در جبهه صدور گواهینامه و ایجاد یک کانال شریک و هم در زمینه بازاریابی و تبلیغات انجام دهند.

بنابراین، امروز می توانید ببینید که چگونه تقریباً همه شرکت های بررسی شده در حال کار بر روی ترجمه مطالب به روسی، به دست آوردن شرکای جدید و همچنین تأیید راه حل های خود هستند. به عنوان مثال، در سال 2012، Dell یک شرکت جداگانه به نام Dell Russia را به طور خاص برای بازار روسیه تأسیس کرد (این شرکت حتی با "نزدیک ترین همسایگان" خود - اوکراین و بلاروس معامله نمی کند). توسعه دهندگان داخلی نیز هنوز ایستاده نیستند و راه حل های خود را توسعه می دهند. قابل توجه است که بسیاری از تولید کنندگان (چه داخلی و چه خارجی) ماژول های شخص ثالث را در محصولات خود ادغام می کنند. ماژول ضد ویروس در این زمینه نشان می دهد: سیستم های UTM مختلف از ClamAV، Kaspersky Anti-Virus، Avira AV، Dr.Web و غیره استفاده می کنند.

با این وجود، نتیجه گیری واضح است: بازار روسیه به طور جدی و بلندمدت مورد توجه قرار گرفته است. تاکنون هیچ کس قصد عقب نشینی ندارد، به این معنی که پیش روی ما مبارزه ای برای مکانی در خورشید روسیه است. از این گذشته، "شماره 1 در جهان" به هیچ وجه مشابه "شماره 1 در روسیه" نیست.

سرور کنترل اینترنت به شما امکان می دهد بیش از 80 کار را حل کنید و خدمات شبکه اضافی را مستقر کنید. با این حال، اگر اولویت شما تضمین امنیت شبکه محلی و مقاومت در برابر تهدیدات سایبری مختلف است، می توانید فقط از ابزارهای حفاظت از داده ها در ICS استفاده کنید.

شبکه شرکتی باید در برابر نفوذ، تخریب یا اصلاحات غیرمجاز محافظت شود و در عین حال برای بازیابی سریع داده ها در ساعات کاری در دسترس باشد. قابلیت اطمینان مطلق یک شبکه محلی تنها با یک رویکرد یکپارچه در هنگام ایجاد یک سیستم امنیت اطلاعات تضمین می شود. ICS CUBE محافظت می کند:

1. شبکه های کامپیوتری یا گره های فردی از دسترسی غیرمجاز (دیوار آتش).
2. شبکه محلی از نفوذ فایل های مخرب. آنتی ویروس های ClamAv (ماژول رایگان)، آنتی ویروس کسپرسکی، Dr.Web (ماژول های تجاری) در سرور کنترل اینترنت ادغام شده اند.
3. اطلاعات محرمانه از نشت (ماژول DLP).
4. شبکه شرکتی از بات نت ها.
5. سرور ایمیل در برابر هرزنامه ها، حملات فیشینگ (ماژول Kaspersky Anti-Spam).
6. تلفن (سرویس fail2ban).

ICS CUBE یک راه حل نرم افزاری و سخت افزاری است و این اجازه می دهد تا نه تنها امکان صرف هزینه برای نرم افزار و تجهیزات اضافی را از بین ببرد، بلکه میزان امنیت شبکه را نیز به میزان قابل توجهی افزایش دهد.

مدیریت و نظارت

ICS CUBE با امکان مدیریت متمرکز می تواند کار یک مدیر سیستم را در سازمان های چند شاخه ای که واحدهای ساختاری در دفاتر فیزیکی از راه دور مستقر هستند، به میزان قابل توجهی تسهیل کند. این راه حل تمام الزامات مربوط به پیکربندی سیستم، گردش کار و بازیابی فاجعه را برآورده می کند و به متخصص اجازه می دهد تا تمام تنظیمات را از یک رابط واحد انجام دهد.

مجلات. گزارش ها

این قابلیت به ویژه برای مدیران سیستم مهم است، زیرا به شما امکان می دهد فعالیت کاربر را برای هر دوره مورد نیاز ردیابی کنید.

گزارش های استاندارد در ICS:

• گزارش خلاصه کلی؛
• بر اساس فعالیت کاربر؛
• مصرف بر اساس حجم ترافیک؛
• 5 آدرس IP و دامنه برتر.

همچنین امکان مشاهده آمار کاربران گروه بندی شده بر اساس دسته بندی ترافیک وجود دارد.

طراح گزارش به شما امکان می دهد داده ها را بر اساس معیارهایی که در گزارش های استاندارد ارائه نشده اند (بر اساس انواع mime، پروتکل ها، رابط ها، دامنه ها، گروه های آدرس، منابع ترافیک، زمان) جمع آوری کنید.

ورود سیستم در ICS پیام هایی در مورد اقدامات کاربر، تغییرات در وضعیت خدمات و خطاهای سیستم نمایش می دهد. برای آگاهی از آنچه اتفاق می‌افتد و پاسخ سریع، مدیر سیستم می‌تواند نوع رویدادهای مورد علاقه را انتخاب کند، اعلان‌ها را از طریق ایمیل، Jabber یا icq پیکربندی کند و با استفاده از دستورات اضافی از راه دور مدیریت کند.

کنترل دسترسی و حسابداری ترافیک

امروزه تقریباً هر شبکه محلی به اینترنت متصل است، بنابراین برای جلوگیری از سوء استفاده از ترافیک در ساعات کاری، کنترل دسترسی کارکنان به شبکه خارجی ضروری است.

ICS CUBE به شما این امکان را می دهد که:

• اختصاص حقوق دسترسی متفاوت به کارکنان و گروه های کاربری
• محدود کردن پهنای باند برای سایت های فردی، محدود کردن ترافیک بر اساس زمان و کاربران (به عنوان مثال، اجازه استفاده از شبکه برای مقاصد شخصی در ساعات غیر کاری).
• یک روش مجوز کاربر را انتخاب کنید. ICS CUBE از مجوز IP، MAC، ورود به سیستم/رمز عبور، از طریق کنترل کننده دامنه، اتصال VPN، برنامه عامل پشتیبانی می کند.
• فیلتر کردن ترافیک بر اساس دسته های داخلی و یکپارچه، لیست های وزارت دادگستری و Roskomnadzor.
• گزارش سیستم را نگه دارید، گزارش‌های فعالیت کاربر ایجاد کنید (طراح گزارش استاندارد + داخلی وجود دارد).

این ویژگی ها به شما این امکان را می دهد که فعالیت شبکه هر کاربر ثبت شده در شبکه را کنترل کنید.

سیستم تشخیص نفوذ و حفاظت (IDS/IPS)

ICS از یک سیستم منبع باز IPS/IDS استفاده می کند - Suricata (چند وظیفه ای، با کارایی بالا، پشتیبانی از استفاده از GPU در حالت IDS، امکان پردازش ترافیک تا 10 گیگابیت). ICS CUBE به شما امکان می دهد موارد دسترسی غیرمجاز به شبکه یا فعالیت بیش از حد مشکوک شبکه کاربران را شناسایی کنید.

سیستم پیشگیری از نفوذ ICS با اطمینان از دسترسی به خدمات داخلی و منتشر شده کار می کند. سرور کنترل اینترنت اطلاعات مربوط به فعالیت های مشکوک را ضبط و ذخیره می کند، بات نت ها، حملات Dos و همچنین TOR، ناشناس کننده ها، مشتریان p2p و تورنت را مسدود می کند.

جریان شبکه به صورت بلادرنگ رصد می شود و زمانی که تهدیدی شناسایی می شود، اقدامات مختلفی اعمال می شود: تنظیم مجدد اتصال، ثبت امضاهای شناسایی شده یا عبور از ترافیک. IPS بسته‌ها را یکپارچه‌سازی می‌کند، بسته‌های TCP را مجدداً مرتب می‌کند تا در برابر بسته‌هایی با شماره‌های SEQ و ACK تغییر یافته محافظت کند.

VPN امن

VPN در ICS KUB یک شبکه خصوصی مجازی است که به شما امکان می دهد کاربرانی را که از نظر فیزیکی از یکدیگر دور هستند (فریلنسرها، واحدهای ساختاری در دفاتر مختلف، شرکا، کارمندانی که از راه دور کار می کنند) را در یک شبکه منطقی واحد متحد کنید. علیرغم اینکه انتقال داده از طریق یک شبکه عمومی خارجی انجام می شود، امنیت اتصال و انتقال داده ها از طریق شبکه منطقی با استفاده از رمزگذاری فوق العاده تضمین می شود.

ICS CUBE از انواع اتصالات راه دور زیر پشتیبانی می کند: PPTP، L2TP، PPoE، GRE/IPIP، OpenVPN.

اتصال پایدار و ایمن VPN به سرور کنترل اینترنت به شما امکان می دهد مشکلات فوری را حتی در ساعات غیر کاری به صورت بلادرنگ حل کنید.

دستگاه جهانی مدیریت تهدید یکپارچه، که در غیر این صورت سیستم UTM نامیده می شود، برای اطمینان از امنیت رایانه ایجاد شده است. استفاده از آن برای حفاظت از داده های دیجیتال در سال 2004 آغاز شد، زیرا انواع معمولی فایروال ها دیگر نمی توانستند با حملات پیچیده شبکه مقابله کنند. مدیریت تهدید یکپارچه اصلاحی از فایروال استاندارد است و بنابراین شامل عملکردهایی با هدف اطمینان از حفاظت از داده های شخصی است. این امر با گنجاندن وظایف جستجو در راه حل UTM و همچنین جلوگیری از تهدیدات شبکه، آنتی ویروس، فایروال و VPN امکان پذیر می شود.

برای اولین بار، اصطلاح "مدیریت تهدید یکپارچه" توسط IDC، شرکتی که در زمینه ارتباطات از راه دور و فناوری اطلاعات جهانی تحقیق می کند، استفاده شد. مزیت اصلی UTM این است که سیستم یک مجموعه واحد است که به طور همزمان تمام عملکردهای لازم را برای کاربر انجام می دهد: آنتی ویروس، فیلتر محتوا، IPS - خدمات پیشگیری از نفوذ و حملات شبکه، که بسیار راحت تر و کارآمدتر از مدیریت چندین دستگاه در همان زمان.

معماری UTM

UTM می تواند هم به عنوان یک راه حل نرم افزاری (نصب شده بر روی سرور اختصاصی یا یک ماشین مجازی) و هم به عنوان یک مجموعه نرم افزاری و سخت افزاری پیاده سازی شود. در مورد دوم، نه تنها یک پردازنده مرکزی همه منظوره برای محاسبات استفاده می شود، بلکه از تعدادی پردازنده خاص نیز استفاده می شود. به لطف این ویژگی، سرعت عملکرد یک دروازه UTM می تواند به 1 گیگابیت در ثانیه و بالاتر برسد.

پردازشگر محتوا

طراحی شده برای پردازش پرسرعت بسته های شبکه مشکوک و همچنین فایل های آرشیو شده و مقایسه آنها با انواع تهدیدهایی که قبلاً در حافظه ثبت شده اند. ترافیک نه مستقیماً از طریق شبکه، بلکه از طریق CPU با هدف عمومی پردازش می‌شود، که سرعت محاسبات عملیاتی را که به طور منطقی مربوط به IPS و سرویس آنتی ویروس است، افزایش می‌دهد.

پردازنده شبکه

پردازش پرسرعت جریان های شبکه را فراهم می کند و بار روی سایر اجزای سیستم را کاهش می دهد. همچنین رمزگذاری، ترجمه آدرس شبکه و پردازش بخش های TCP را انجام می دهد. قادر به محاسبه تهدید حتی زمانی که داده ها برای دور زدن سرویس های امنیتی تکه تکه می شوند، با مرتب سازی آن، هدف واقعی بسته داده نهایی را محاسبه می کند.

پردازنده امنیتی

به شما امکان می دهد تا عملکرد آنتی ویروس، خدمات پیشگیری از از دست دادن داده و خدمات IPS (جلوگیری از نفوذ شبکه) را به میزان قابل توجهی بهبود بخشید. وظایف محاسباتی دشواری را بر عهده می گیرد، بنابراین به طور قابل توجهی CPU را راحت می کند.

اجزای نرم افزاری

دیواره آتش

یک فایروال چند سطحی از کاربر در برابر حملات نه تنها در سطح شبکه، بلکه در سطح برنامه نیز محافظت می کند: دسترسی به داده های داخلی فقط پس از احراز هویت انجام می شود و دسترسی فقط به کاربران مجاز را تضمین می کند. امکان ایجاد سطوح مختلف حقوق دسترسی برای کاربران مختلف وجود دارد. پشتیبانی از ترجمه NAT از آدرس های شبکه بدون افشای معماری داخلی شبکه سازمان وجود دارد.

IPSEC VPN

ایجاد سریع و آسان شبکه های VPN ایمن - بر اساس یک دامنه رمزگذاری یا قوانین مسیریابی - بنابراین ترکیبی از عملکردهای رمزگذاری، احراز هویت و کنترل دسترسی است. به شما امکان می دهد تا به طور ایمن کاربران، اشیاء و شبکه ها را از راه دور متصل کنید.

فیلتر کردن URL

فیلتر کردن سایت های ناخواسته با جلوگیری از دسترسی کارکنان به لیست مشخصی از صفحات وب. به شما امکان می دهد با پایگاه داده های بزرگ URL ها کار کنید که می توانند بر اساس نوع محتوا تقسیم شوند. امکان ایجاد لیست های سفید یا سیاه برای تک تک کاربران یا سرورها وجود دارد.

آنتی ویروس و آنتی اسپم

اسکن ویروس قبل از رسیدن به هارد دیسک کاربر - در دروازه امنیتی - انجام می شود. معمولاً رایج ترین پروتکل های مورد استفاده پشتیبانی می شوند: POP3/IMAP4، FTP، HTTP، SMTP. علاوه بر این، یک آنتی ویروس معمولاً قادر به اسکن فایل های فشرده است.

هرزنامه با مطالعه شهرت آدرس IP که پیام از آن دریافت شده است و همچنین با بررسی بسته های داده دریافتی برای مطابقت با لیست های سیاه و سفید مسدود می شود. IPS برای نامه ارائه شده است که از آن در برابر حملات DDoS و حملات سرریز بافر محافظت می کند. کل محتوای نامه برای کدها و برنامه های مخرب اسکن می شود.

خوشه بندی

برای بهبود عملکرد فایروال، که با افزایش توان عملیاتی و تخلیه آن، توزیع یکنواخت بار بر روی هسته‌های محاسباتی امکان‌پذیر شد، اجرا شد. توزیع مناسب ترافیک بین دروازه های پشتیبان به شما این امکان را می دهد که به سطح بالایی از تحمل خطا دست یابید و در صورت خرابی از یک دروازه به دروازه دیگر، ترافیک را تغییر مسیر دهید.

وبگردی ایمن

جلسه فعلی وب را برای وجود کدهای مخرب بررسی می کند. این می تواند نه تنها وجود، بلکه میزان خطر کدهای اجرایی را نیز تعیین کند و کدهای مخرب را قبل از رسیدن به رایانه کاربر مسدود کند. قادر به پنهان کردن اطلاعات مربوط به سرور در پاسخ HTTP، جلوگیری از حملات احتمالی شبکه.

پیش نیازهای ظاهری

با توجه به افزایش تعداد حملات شبکه و هک سرورهای شرکت ها و شرکت های بزرگ، نیاز به پیاده سازی دروازه های UTM که می توانند ویروس ها و کرم ها را به داخل سیستم دفع کنند، آشکار شده است.

امروزه راه‌های زیادی برای هک کردن سیستم‌های با محافظت ضعیف وجود دارد. عمده ترین مشکلاتی که شرکت های مدرن با آن مواجه هستند، عدم امنیت داده های داخلی و همچنین دسترسی غیرمجاز به اطلاعات کارکنان خود است. عدم امنیت داده ها منجر به خسارات مالی زیادی می شود. با این حال، تنها اخیراً شرکت‌ها نیاز به کنترل دسترسی به اطلاعات توسط کارکنان شرکت را تشخیص داده‌اند؛ غفلت از ابزارهای تخصصی برای محافظت از داده‌ها در شبکه منجر به افشا و به خطر انداختن داده‌های محرمانه می‌شود.

هدف از راه حل UTM ارائه طیف کامل برنامه های مورد نیاز برای محافظت از داده ها در برابر اشخاص ثالث است. ساده و آسان برای استفاده، سیستم های UTM به طور مداوم در حال تکامل هستند، که به آنها اجازه می دهد تا به حملات پیچیده شبکه پاسخ دهند و آنها را به موقع حذف کنند.

راه حل های UTM یک آنالوگ به شکل فایروال نسل بعدی یا NGFW (فایروال نسل بعدی) دارند. از نظر عملکرد، این دستگاه بسیار شبیه به UTM است، اما نه برای مشاغل متوسط، همانطور که در مورد مدیریت تهدید Unified اتفاق افتاد، بلکه برای شرکت های بزرگ توسعه یافته است. در ابتدا، سازندگان NGFW سعی کردند فیلتر کردن توسط پورت ها و پروتکل ها را ترکیب کنند و عملکردی برای محافظت از حملات شبکه و توانایی تجزیه و تحلیل ترافیک در سطح برنامه ارائه دهند.

بازار UTM امروز

طبق آخرین تحقیقات بازار، بازار UTM در طول سال های 2016-2020 تقریباً 15 درصد رشد خواهد کرد. ارائه دهندگان اصلی راه حل های UTM:

• Dell Sonic Wall
• سیسکو (سیسکو ASA-X)
• Check Point Software Technologies
• شبکه های Juniper
• Kerio (خرید شده توسط GFI)

توسعه دهندگان داخلی راه حل های UTM:

• A-Real (سرور کنترل اینترنت)
• Smart-Soft (Traffic Inspector)

UTM: راه حل های جامع

استفاده از راه حل های شبکه با هدف انجام تنها یک عملکرد، به دلیل پیچیدگی مدیریت و ادغام آنها با یکدیگر و منابع مالی و زمانی بالا، دیگر توجیه پذیر نیست. امروزه امنیت شبکه نیازمند یک رویکرد یکپارچه است که عملکرد سیستم هایی را که قبلا به طور جداگانه کار می کردند ترکیب می کند. این امر بهره وری بالا و حل بهینه مشکل را در زمان کمتر و با کارایی بیشتر تضمین می کند.

داشتن یک راه حل UTM به جای چندین دستگاه مختلف، مدیریت استراتژی امنیت شبکه یک شرکت را آسان تر می کند. پیکربندی تمام اجزای دروازه UTM از یک کنسول انجام می شود - قبلاً به چندین لایه نرم افزار و سخت افزار نیاز داشت.

در شرکت هایی با دفاتر و سرورهای راه دور، راه حل های UTM مدیریت متمرکز شبکه های راه دور و حفاظت از آنها را ارائه می دهند.

مزایای

کاهش تعداد دستگاه های مورد استفاده؛

کاهش میزان نرم افزار مورد استفاده و هزینه های مالی برای پشتیبانی از آن؛

کنترل های آسان و شهودی. در دسترس بودن تنظیمات مختلف، رابط وب و معماری قابل توسعه؛

آموزش سریعتر پرسنل به دلیل استفاده از تنها یک دستگاه.

ایرادات

UTM یک راه حل منفرد از شکست است، اما برخی راه حل ها از خوشه بندی پشتیبانی می کنند.

اگر سیستم UTM حداکثر نرخ داده شبکه را پشتیبانی نکند، توان عملیاتی شبکه و زمان پاسخ ممکن است تحت تاثیر قرار گیرد.

). ما وبلاگ خود را با معرفی کوتاهی از فناوری های Check Point آغاز خواهیم کرد.

ما مدت زیادی فکر کردیم که آیا ارزش نوشتن این مقاله را دارد یا خیر، زیرا ... هیچ چیز جدیدی در آن وجود ندارد که نتوان آن را در اینترنت یافت. با این حال، با وجود چنین فراوانی اطلاعات، هنگام کار با مشتریان و شرکا، اغلب سوالات مشابهی را می شنویم. بنابراین، تصمیم بر آن شد تا به نوعی مقدمه ای برای دنیای فناوری های Check Point بنویسیم و ماهیت معماری راه حل های آنها را آشکار کنیم. و همه اینها در چارچوب یک پست "کوچک" ، به اصطلاح ، یک گشت و گذار سریع است. علاوه بر این، ما سعی خواهیم کرد وارد جنگ های بازاریابی نشویم، زیرا ... ما یک فروشنده نیستیم، بلکه صرفاً یکپارچه کننده سیستم هستیم (اگرچه ما واقعاً Check Point را دوست داریم) و به سادگی به نکات اصلی بدون مقایسه آنها با سایر تولید کنندگان (مانند Palo Alto، Cisco، Fortinet و غیره) نگاه خواهیم کرد. مقاله بسیار طولانی بود، اما بیشتر سؤالات را در مرحله آشنایی با Check Point پوشش می دهد. اگر علاقه دارید، پس به گربه خوش آمدید...

UTM/NGFW

هنگام شروع یک مکالمه در مورد Check Point، اولین جایی که باید شروع کنید توضیح این است که UTM و NGFW چیست و چگونه تفاوت دارند. ما این کار را خیلی مختصر انجام خواهیم داد تا پست خیلی طولانی نشود (شاید در آینده این موضوع را با جزئیات بیشتری بررسی کنیم)

UTM - مدیریت یکپارچه تهدید

به طور خلاصه، ماهیت UTM ادغام چندین ابزار امنیتی در یک راه حل است. آن ها همه چیز در یک جعبه یا نوعی همه چیز شامل. منظور از "چند درمان" چیست؟ رایج ترین گزینه عبارتند از: فایروال، IPS، پروکسی (فیلتر کردن URL)، آنتی ویروس جریان، آنتی اسپم، VPN و غیره. همه اینها در یک راه حل UTM ترکیب می شوند که از نظر یکپارچه سازی، پیکربندی، مدیریت و نظارت آسان تر است و این به نوبه خود تأثیر مثبتی بر امنیت کلی شبکه دارد. هنگامی که راه حل های UTM برای اولین بار ظاهر شدند، آنها منحصراً برای شرکت های کوچک در نظر گرفته شدند، زیرا ... UTM ها نمی توانند حجم زیادی از ترافیک را مدیریت کنند. این به دو دلیل بود:

1. روش پردازش بسته اولین نسخه‌های راه‌حل‌های UTM، بسته‌ها را به‌طور متوالی، هر «ماژول» پردازش می‌کردند. مثال: ابتدا بسته توسط فایروال پردازش می شود، سپس IPS، سپس توسط آنتی ویروس اسکن می شود و غیره. طبیعتاً چنین مکانیزمی تاخیرهای جدی در ترافیک ایجاد کرد و منابع سیستم (پردازنده، حافظه) را به شدت مصرف کرد.
2. سخت افزار ضعیف همانطور که در بالا ذکر شد، پردازش متوالی بسته ها منابع زیادی را مصرف می کرد و سخت افزار آن زمان (1995-2005) به سادگی نمی توانست با ترافیک زیاد مقابله کند.

اما پیشرفت ثابت نمی ماند. از آن زمان، ظرفیت سخت افزار به طور قابل توجهی افزایش یافته است و پردازش بسته ها تغییر کرده است (باید اعتراف کرد که همه فروشندگان آن را ندارند) و شروع به امکان تجزیه و تحلیل تقریباً همزمان در چندین ماژول به طور همزمان (ME، IPS، آنتی ویروس و غیره) کرد. راه حل های مدرن UTM می توانند ده ها و حتی صدها گیگابیت را در حالت تجزیه و تحلیل عمیق "هضم" کنند، که استفاده از آنها را در بخش مشاغل بزرگ یا حتی مراکز داده ممکن می کند.

در زیر ربع جادویی معروف Gartner برای راه حل های UTM برای اوت 2016 آمده است:

من در مورد این تصویر زیاد نظر نمی دهم، فقط می گویم که رهبران در گوشه سمت راست بالا هستند.

NGFW - فایروال نسل بعدی

این نام برای خود صحبت می کند - فایروال نسل بعدی. این مفهوم بسیار دیرتر از UTM ظاهر شد. ایده اصلی NGFW تجزیه و تحلیل بسته عمیق (DPI) با استفاده از IPS داخلی و کنترل دسترسی در سطح برنامه (Application Control) است. در این مورد، IPS دقیقاً همان چیزی است که برای شناسایی این یا آن برنامه در جریان بسته مورد نیاز است، که به شما اجازه می دهد یا آن را رد کنید. مثال: ما می توانیم به Skype اجازه کار بدهیم، اما انتقال فایل را ممنوع کنیم. ما می توانیم استفاده از تورنت یا RDP را ممنوع کنیم. برنامه های وب نیز پشتیبانی می شوند: می توانید اجازه دسترسی به VK.com را بدهید، اما بازی ها، پیام ها یا تماشای فیلم ها را ممنوع کنید. اساساً کیفیت یک NGFW به تعداد برنامه هایی که می تواند شناسایی کند بستگی دارد. بسیاری بر این باورند که ظهور مفهوم NGFW یک ترفند بازاریابی رایج بود که در پس زمینه آن شرکت پالو آلتو رشد سریع خود را آغاز کرد.

Gartner Magic Quadrant برای NGFW برای می 2016:

UTM در مقابل NGFW

یک سوال بسیار رایج این است که کدام بهتر است؟ در اینجا هیچ پاسخ قطعی وجود ندارد و نمی تواند باشد. به خصوص با توجه به این واقعیت که تقریباً تمام راه حل های مدرن UTM دارای عملکرد NGFW هستند و اکثر NGFW ها دارای عملکردهای ذاتی UTM هستند (آنتی ویروس، VPN، آنتی ربات و غیره). مثل همیشه، "شیطان در جزئیات است"، بنابراین اول از همه باید تصمیم بگیرید که به طور خاص به چه چیزی نیاز دارید و در مورد بودجه خود تصمیم بگیرید. بر اساس این تصمیمات، می توانید چندین گزینه را انتخاب کنید. و همه چیز باید بدون ابهام و بدون اعتقاد به مواد بازاریابی آزمایش شود.

ما به نوبه خود در چارچوب چندین مقاله سعی خواهیم کرد در مورد Check Point بگوییم که چگونه می توانید آن را امتحان کنید و در اصل چه چیزی را می توانید امتحان کنید (تقریباً همه عملکردها).

سه نهاد چک پوینت

هنگام کار با Check Point قطعا با سه جزء این محصول مواجه خواهید شد:

سیستم عامل Check Point

در مورد سیستم عامل Check Point، می توانیم سه مورد را به طور همزمان به یاد بیاوریم: IPSO، SPLAT و GAIA.

1. IPSO- سیستم عامل Ipsilon Networks که متعلق به نوکیا بود. در سال 2009، چک پوینت این تجارت را خریداری کرد. دیگر در حال توسعه نیست.
2. SPLAT- توسعه خود Check Point، بر اساس هسته RedHat. دیگر در حال توسعه نیست.
3. گایا- سیستم عامل فعلی از Check Point که در نتیجه ادغام IPSO و SPLAT ظاهر شد و بهترین ها را در خود جای داده است. در سال 2012 ظاهر شد و همچنان به طور فعال در حال توسعه است.

در مورد Gaia باید گفت که در حال حاضر رایج ترین نسخه R77.30 است. نسبتاً اخیراً نسخه R80 ظاهر شد که تفاوت قابل توجهی با نسخه قبلی (هم از نظر عملکرد و هم از نظر کنترل) دارد. ما یک پست جداگانه را به موضوع تفاوت آنها اختصاص خواهیم داد. نکته مهم دیگر این است که در حال حاضر تنها نسخه R77.10 دارای گواهی FSTEC است و نسخه R77.30 در حال تایید است.

گزینه های اجرا (Check Point Appliance، ماشین مجازی، OpenServer)

در اینجا هیچ چیز شگفت انگیزی وجود ندارد، مانند بسیاری از فروشندگان، Check Point چندین گزینه محصول دارد:

گزینه های پیاده سازی (توزیع شده یا مستقل)

کمی بالاتر، قبلاً درباره چیستی دروازه (SG) و سرور مدیریت (SMS) بحث کرده ایم. اکنون بیایید در مورد گزینه های اجرای آنها بحث کنیم. دو راه اصلی وجود دارد:

همانطور که در بالا گفتم، Check Point سیستم SIEM خود را دارد - Smart Event. فقط در صورت نصب Distributed می توانید از آن استفاده کنید.

حالت های عملیاتی (Bridge، Routed)
دروازه امنیتی (SG) می تواند در دو حالت اصلی کار کند:

• مسیریابی شده است- رایج ترین گزینه در این مورد، دروازه به عنوان یک دستگاه L3 استفاده می شود و ترافیک را از طریق خود هدایت می کند، یعنی. Check Point دروازه پیش فرض شبکه محافظت شده است.
• پل- حالت شفاف در این حالت، دروازه به عنوان یک "پل" معمولی نصب می شود و از ترافیک در سطح دوم (OSI) عبور می کند. این گزینه معمولا زمانی استفاده می شود که امکان (یا تمایل) برای تغییر زیرساخت موجود وجود نداشته باشد. شما عملا نیازی به تغییر توپولوژی شبکه ندارید و مجبور نیستید به تغییر آدرس IP فکر کنید.

می خواهم توجه داشته باشم که در حالت Bridge محدودیت هایی از نظر عملکرد وجود دارد، بنابراین ما به عنوان یکپارچه ساز به همه مشتریان خود توصیه می کنیم که البته در صورت امکان از حالت Routed استفاده کنند.

تیغه های نرم افزار نقطه را بررسی کنید

تقریبا به مهمترین موضوع چک پوینت رسیده ایم که بیشترین سوال را در بین مشتریان ایجاد می کند. این "تیغه های نرم افزاری" چیست؟ تیغه ها به برخی از عملکردهای Check Point اشاره دارند.

این عملکردها بسته به نیاز شما می توانند روشن یا خاموش شوند. در عین حال، تیغه هایی وجود دارند که منحصراً در گیت وی (Network Security) و فقط در سرور مدیریت فعال می شوند. تصاویر زیر نمونه هایی را برای هر دو مورد نشان می دهد:

1) برای امنیت شبکه(عملکرد دروازه)

بیایید به طور خلاصه آن را توضیح دهیم، زیرا ... هر تیغه سزاوار مقاله خود است.

• فایروال - عملکرد دیوار آتش.
• IPSec VPN - ساخت شبکه های مجازی خصوصی.
• دسترسی به موبایل - دسترسی از راه دور از دستگاه های تلفن همراه؛
• IPS - سیستم جلوگیری از نفوذ؛
• Anti-Bot - محافظت در برابر شبکه های بات نت؛
• آنتی ویروس - جریان آنتی ویروس;
• AntiSpam & Email Security - حفاظت از ایمیل شرکتی.
• آگاهی هویت - ادغام با سرویس Active Directory.
• نظارت - نظارت بر تقریباً تمام پارامترهای دروازه (بار، پهنای باند، وضعیت VPN و غیره)
• کنترل برنامه - فایروال سطح برنامه (عملکرد NGFW)؛
• فیلتر کردن URL - امنیت وب (+ عملکرد پروکسی)؛
• پیشگیری از از دست دادن داده - محافظت در برابر نشت اطلاعات (DLP).
• Threat Emulation - تکنولوژی sandbox (SandBox)؛
• استخراج تهدید - فناوری تمیز کردن فایل.
• QoS - اولویت بندی ترافیک.

فقط در چند مقاله نگاهی دقیق به تیغه‌های Threat Emulation و Threat Extraction خواهیم داشت، مطمئنم که جالب خواهد بود.

2) برای مدیریت(کنترل عملکرد سرور)

• مدیریت سیاست شبکه - مدیریت سیاست متمرکز؛
• مدیریت خط مشی نقطه پایانی - مدیریت متمرکز عوامل Check Point (بله، Check Point راه حل هایی را نه تنها برای محافظت از شبکه، بلکه برای محافظت از ایستگاه های کاری (کامپیوترها) و گوشی های هوشمند تولید می کند.
• ثبت و وضعیت - جمع آوری متمرکز و پردازش سیاهههای مربوط.
• پورتال مدیریت - مدیریت امنیت از مرورگر؛
• گردش کار - کنترل تغییرات سیاست، ممیزی تغییرات و غیره؛
• فهرست کاربر - ادغام با LDAP.
• تامین - اتوماسیون مدیریت دروازه؛
• گزارشگر هوشمند - سیستم گزارش دهی;
• رویداد هوشمند - تجزیه و تحلیل و همبستگی رویدادها (SIEM)؛
• انطباق - به طور خودکار تنظیمات را بررسی می کند و توصیه هایی را صادر می کند.

ما اکنون مسائل مربوط به مجوز را با جزئیات در نظر نخواهیم گرفت تا مقاله را متورم نکنیم و خواننده را سردرگم نکنیم. به احتمال زیاد این را در یک پست جداگانه قرار خواهیم داد.

معماری تیغه ها به شما این امکان را می دهد که فقط از عملکردهایی که واقعاً نیاز دارید استفاده کنید که بر بودجه راه حل و عملکرد کلی دستگاه تأثیر می گذارد. منطقی است که هرچه تعداد تیغه های بیشتری را فعال کنید، ترافیک کمتری را می توانید از آن عبور دهید. به همین دلیل است که جدول عملکرد زیر به هر مدل Check Point پیوست شده است (ویژگی های مدل 5400 را به عنوان مثال در نظر گرفتیم):

همانطور که می بینید، دو دسته تست در اینجا وجود دارد: در ترافیک مصنوعی و واقعی - مختلط. به طور کلی، چک پوینت به سادگی مجبور به انتشار تست های مصنوعی است، زیرا ... برخی از فروشندگان از چنین تست هایی به عنوان معیار استفاده می کنند، بدون اینکه عملکرد راه حل های خود را در ترافیک واقعی بررسی کنند (یا عمداً چنین داده هایی را به دلیل ماهیت نامطلوب پنهان می کنند).

در هر نوع تست، می توانید چندین گزینه را مشاهده کنید:

1. تست فقط برای فایروال؛
2. تست فایروال+IPS;
3. تست فایروال+IPS+NGFW (کنترل برنامه)؛
4. تست فایروال+کنترل برنامه+فیلتر URL+IPS+آنتی ویروس+آنتی ربات+SandBlast (sandbox)

هنگام انتخاب راه حل خود به این پارامترها دقت کنید یا به دنبال مشاوره باشید.

فکر می‌کنم اینجا جایی است که می‌توانیم مقاله مقدماتی فناوری‌های Check Point را به پایان برسانیم. در مرحله بعد، نحوه آزمایش Check Point و نحوه مقابله با تهدیدات امنیت اطلاعات مدرن (ویروس ها، فیشینگ، باج افزار، روز صفر) را بررسی خواهیم کرد.

P.S. نکته مهم. با وجود منشاء خارجی (اسرائیلی)، راه حل در فدراسیون روسیه توسط مقامات نظارتی تأیید شده است، که به طور خودکار حضور آن را در مؤسسات دولتی قانونی می کند (نظر توسط).