Від можливостей аналізу і запобігання загрозам IT інфраструктури залежить рівень захисту інформації підприємства і його безперебійна працездатність. У зв'язку з великою кількістю використовуваного в компаніях ПО, його вразливостей і особливостей, було створено два нових класи пристроїв Unified Threat Management (UTM або єдиний шлюз безпеки) і Next Generation Firewall (NGFW або брандмауер наступногопокоління)
Чому традиційний Firewall застарів?
Традиційний Firewall сканує трафік перевіряючи тільки порт і IP адреси джерела і призначення не роблячи ніяких додаткових перевірок. Зазвичай пристрій не може переглянути вміст пакета або визначити його легітимність.
Завдяки цьому, існує безліч способів обходу правил фільтрації звичайного Firewall-а. Але ці пристрої все ще використовуються в якості звичайного маршрутизатора з базовими можливостями фільтрації трафіку, коли більш ретельний аналіз трафіку проводиться іншим пристроєм.
У зв'язку з цим, дуже швидко виникла необхідність реалізації додаткових функцій захисту на мережевих пристроях, в результаті це призвело до народження нових типів пристроїв з набагато ширшими можливостями аналізу і захисту мережі.
Чим UTM і NGFW відрізняються від Firewall?
UTM і NGFW на відміну від традиційного Firewall реалізують такі функції:
- Контроль сесій
- Аналіз DNS запитів
- Аналіз SSL з'єднання (звичайний і глибокий)
- Детекція додатків
- Захист від спаму
- Контроль доступу до сайтів і додатків (у тому числі, на основі репутації)
- Вбудований антивірус
- Вбудовані система виявлення вторгнення і витоку даних
Нерідко різні вендори інтегрують свої існуючі рішення один в одного, наприклад продукти компанії Fortinet можуть забороняти доступ до певний ресурсів на основі логіна і пароля користувача або ж виконувати заздалегідь певну дію, при виявленні вірусу на кінцевому пристрої користувача.
Безліч додаткових можливостей дозволяє не тільки підняти рівень захисту локальної мережі підприємства на новий рівень, а й захистити співробітників при роботі в офісі або віддалено, наприклад блокуючи шкідливі сайти, файли та електронні листи, надаючи детальну статистику як бонус.
У чому різниця між UTM і NGFW?
UTM це умовний "майстер на всі руки", чий реальний функціонал обмежений, у нього трохи спрощена система роботи антивіруса і в цілому менші можливості по фільтрації і захисту трафіку. Дуже часто, ці пристрої SMB і SOHO рівня (малий бізнес).
NGFW це спеціалізований пристрій, який включає в себе спеціальні чіпи для прискореної обробки трафіку із застосуванням підвищених заходів безпеки (SSL, AV, IPS, etc), на борту має вбудований антивірус вже працюючий по моделі залежної від репутації файлу, має більш широкі можливості в фільтрації і захисту трафіку.
Висновок
До вибору пристрою для захисту локальної мережі потрібно підходити з особливою ретельністю. Потрібно розуміти який набір функцій необхідно мати пристрою на борту для конкретно вашого випадку.
Якщо вам необхідно дотримуватися високих вимог безпеки то вам необхідно вибрати NGFW, але якщо користуватися пристроєм буде невелика кількість пристроїв і бюджет обмежений, то можна розглянути і UTM.
Якщо ж вам необхідно забезпечити найвищу швидкість маршрутизації трафіку, то слід розглядати класичні firewall-и.
Останнім часом значно збільшилася кількість кібер-атак на підприємства, в зв'язку з чим, ми рекомендуємо до придбання виключно NGFW, для максимального захисту периметра мережі і внутрішніх сервісів компанії.
Поява UTM і NGFW підняло рівень безпеки в компаніях на новий рівень, але класичний Firewall все ще використовується в рішеннях, в яких не вимагається високий рівень безпеки або він забезпечується іншим пристроєм чи рішенням.