05.11.2018 [ Новости компании ] |
|
Как выбрать межсетевой экран Zyxel? |
|
Для тех, кто выбирает межсетевой экран Введение Давным-давно прошли времена, когда единственным средством защиты периметра сети мог быть роутер из старого компьютера с какой-нибудь бесплатной UNIX-like операционной системой, например, FreeBSD и штатным файерволом. Сегодня системным администраторам доступны как многочисленные специализированные дистрибутивы для установки на сервер, так и готовые программно-аппаратные комплексы. Развитие спроса и предложения привело к усилению специализации. Если раньше организация доступа в Сеть и обеспечение безопасности было делом избранных гуру, то сейчас количество точек с выходом в Интернет растёт день ото дня, и любой школьник может подключить шлюз, роутер, точку доступа и начать раздавать трафик внутри сети. Изменились и угрозы в сети. Сейчас основную опасность представляют не хакеры «старой школы», а массовые заражения новыми типами вирусов и троянских программ. В подготовке атак злоумышленники могут использовать сторонние ресурсы, например, заранее созданные ботнеты (зомби-сети) для рассылки спама, организации DDOS-атак и так далее. Но это ещё не всё. С развитием сети всё большую роль играет не только уровень безопасности на отправителе и получателе, но как передаётся информация: в каком виде, по какому маршруту и т. д. Если оставить эти вопросы без ответа, придётся отвечать на другие вопросы, например: «Куда делись деньги со счёта?», «Как ОНИ про это узнали?» и «Когда в конце концов хоть что-то заработает?!». Сейчас нужно точно знать, что и от чего мы защищаем и какой инструмент лучше выбрать. Модельный ряд Zyxel — разделение по специфике Можно выделить два основных направления, которые требуют защиты:
Классификация шлюзов Zyxel серий ZyWALL VPN, USG и ZyWALL ATP. Примечание. Существует ещё семейство шлюзов Zyxel, которое мы не рассматриваем в рамках данной главы. Это устройства с возможностью внешнего облачного управления Zyxel Nebula. Но так как «невозможно объять необъятное», то сейчас сконцентрируемся на классическом варианте устройств с локальным управлением. Надо отметить, что несмотря на различия, есть и некоторые общие черты. Среди каждого из направлений можно выделить решения как для крупного бизнеса, так и для небольших организаций. Это накладывает некоторые конструктивные особенности.
Рисунок 1. Шлюз для корпоративного применения USG2200-VPN. Например, некоторые модели для небольшого бизнеса имеют встроенные WiFi модули для использования их в качестве точек доступа беспроводной сети. Рисунок 2. Шлюз для защиты сетей в небольших организациях USG60W. Так как функции всех трёх направлений частично перекрывают друг друга, мы будем говорить о рекомендованной сфере применения. Разумеется, если вы попытаетесь построить VPN соединение на USG шлюзе, или использовать VPN для защиты сети, то ничего страшного не произойдёт, но это будет не слишком эффективно. Поэтому прежде, чем перейдём к особенностям для каждого направления, будет полезно изучить их общие черты. Кто предупреждён, тот вооружён В качестве единого хостинга для оперативной информации используется портал OneSecurity.com На этом специальном ресурсе размещаются оперативные бюллетени и рекомендации относительно актуальных угроз безопасности. OneSecurity предлагает свежую информацию и рекомендации для повышения уровня сетевой защиты. Это помогает компаниям и ИТ-специалистам обеспечить безопасную работу сети, несмотря на растущее число угроз. Для удобства доступ к данному порталу интегрирован в графический интерфейс продуктов серии USG и серии ZyWALL VPN. Поиск информации и ресурсов выполняется одним щелчком мыши в GUI-консоли этих продуктов. Благодаря такому подходу можно быстро и легко узнавать об актуальных угрозах методах их устранения. Материал преподносится в виде хорошо зарекомендовавшего себя формата FAQ (Часто Задаваемые Вопросы). Это позволяет своевременно предпринять все необходимые меры для защиты от выявленных угроз. Контентная фильтрация Быстрое и безопасное обновление Чтобы облегчить поиск нужного обновления микрокода (Firmware) необходимой версии, используется новый сервис Cloud Helper, который предоставляет информацию о последних версиях прошивки. Самый свежий вариант становится сразу же доступен после официального выпуска, что гарантирует его аутентичность и надежность. Zyxel серии ZyWALL VPN Рекомендуемая область использования — безопасное и надежное соединение VPN Основное предназначение — туннелирование трафика с использованием стойкого алгоритма шифрования Secure Hash Algorithm 2 (SHA-2). С помощью ZyWALL VPN 50/100/300 можно внедрить высокоскоростной защищенный обмен данными между локальными серверами, удаленными устройствами и развернутыми в облаке приложениями.
Рисунок 3. Шлюз для установления надёжный VPN соединений ZyWALL VPN 300. Отдельно стоит отметить поддержку функции dual-WAN failover and fallback. Благодаря наличию двух соединений WAN, из которых одно используется как основное, а второе резервное, в случае сбоя основного соединения Zyxel VPN Firewall автоматически переключается на резервное. Также в ZyWALL VPN Series используется функция multi-WAN load balancing/failover и реализована полная поддержка USB-модемов сотовых сетей из списка совместимого оборудования, которые можно использовать для резервирования соединения WAN. Для построения каналов с высокими требования надёжности в ZyWALL VPN Series предусмотрен режим работы в составе отказоустойчивого кластера (High-Availability, HA) в режиме Аctive-Passive. ZyWALL VPN Series поддерживает функцию IPSec load balancing and failover, обеспечивающую дополнительную отказоустойчивость для переключения бизнес-критичных VPN при внедрении VTI Interface. Поддерживаемые функции VPN и не только:
Стоит отметить тот факт, у что у семейства ZyWALL VPN не так развиты средства защиты от вредоносного кода. Это достаточно ожидаемо, ведь основное предназначение таких устройств — установление надёжного отказоустойчивого канала связи. Для защиты от вредоносного кода лучше использовать другие модели, о которых речь пойдёт ниже. Zyxel серии USG Рекомендованная область использования — защита от вредоносных программ и оптимизация приложений Важно! Лучшее применение для шлюзов серии USG — это использование в сетях с повышенным требованием к изоляции. Например, в государственных организациях, различных закрытых учреждениях и т. д. В этом случае требуется высокая степень защиты, но в то же время привлекать облачные ресурсы для проверки трафика нежелательно. Поэтому развитые функции и хорошее аппаратное обеспечение Zyxel USG здесь придётся весьма кстати. Серия USG обеспечивает хорошую защиту с помощью межсетевого экрана, антивируса и антиспама, IDP (предотвращение вторжений), контентной фильтрации, и Application Patrol. Application Patrol позволяет не только блокировать посторонние приложения или ограничить доступную им полосу пропускания, но и оптимизировать web-приложения для улучшения продуктивности. Есть возможность выявлять неавторизованное использование web-приложений. Присутствует функция SSL Inspection, выявляющая угрозы в зашифрованных SSL сообщениях и обеспечивающая более строгое применение правил. Есть и функции VPN. Разумеется, они не такие мощные как у Zyxel ZyWALL VPN, но кое-что присутствует:
Для более крупных организаций лучше подходят более мощные шлюзы, такие как USG110/210/310 которые имеют более мощную аппаратную часть, могут поддерживать большее число соединений и так далее. Стоит отметить, что данное устройство работает по принципу «всё своё ношу с собой». Тут и VPN, и неплохой уровень защиты, и ограничение полосы пропускания. Но если нужно сосредоточиться именно на функциях безопасности, то лучше использовать шлюзы Zyxel серии ZyWALL ATP с поддержкой в лице облачного сервиса Zyxel Cloud. Zyxel серии ZyWall ATP Рекомендованная область использования — усиленная защита от вредоносных программ и оптимизация приложений Основной изюминкой этого семейства защищённых шлюзов можно назвать привлечение облачных ресурсов для поднятия уровня защиты. Ресурсов одного, даже самого мощного шлюза бывает мало для анализа и диагностики множества поступающих угроз. Поэтому привлечение дополнительных облачных ресурсов в рамках защищённого шифрованного доступа выглядит весьма оправданным шагом. Внимание! Zyxel Cloud не участвует в обмене информации между защищаемым шлюзом и доступом извне. То есть трафик через него не проходит. Облачный ресурс используется в первую очередь для оперативного обмена информацией об уязвимостях, а также результатов дополнительной проверки подозрительных объектов, например, в рамках песочницы (Sandboxing). В целом набор функций семейства Zyxel ZyWall ATP похож на ранее рассмотренный вариант Zyxel USG, но поддержка облачных механизмов значительно усиливает такие сервисы, как антивирусная защита, которым всегда не хватает ресурсов. Рисунок 4. Шлюз с облачной поддержкой для защиты сети ATP200. Ниже приводятся некоторые отличительные особенности, которые характерны только для шлюзов этой серии — Zyxel ZyWall ATP. Машинное обучение облака Zyxel Cloud Zyxel Cloud идентифицирует неизвестные файлы на всех межсетевых экранах ATP, собирает результаты в базе данных и ежедневно пересылает обновления на все шлюзы семейства ATP. Это позволяет собирать знания о новых угрозах и развивать систему методом машинного обучения. Таким образом облачная среда «учится» противостоять новым атакам. Песочница — Sandboxing Это облачная изолированная среда, куда помещаются подозрительные файлы для идентификации новых типов вредоносного кода, в том числе методом запуска. То, что не может выявить потоковый антивирус, проявляется в Sandbox. Заключение Разумеется, в рамках одной небольшой статьи нельзя описать весь широкий спектр возможностей, которые имеются в распоряжении современных защитных шлюзов Zyxel.
Источники [1] Построение расширенной системы антивирусной защиты небольшого предприятия. Часть 1. Выбор стратегии и решения https://habr.com/company/zyxel/blog/352734/ [2] Построение расширенной системы антивирусной защиты небольшого предприятия. Часть 2. Антивирусный шлюз ZyWall USG40W от Zyxel https://habr.com/company/zyxel/blog/358612/ [3] Построение расширенной системы антивирусной защиты небольшого предприятия. Часть 3 https://habr.com/company/zyxel/blog/413977/ [4] Завтрак съешь сам, работой поделись с «облаком» https://habr.com/company/zyxel/blog/426179/ [5 ] Страница на официальном сайте Zyxel, посвящённая межсетевым экранам https://www.zyxel.com/ru/ru/products_services/smb-security_firewalls.shtml?t=c |
|
|