От возможностей анализа и предотвращения угроз IT инфраструктуры зависит уровень защиты информации предприятия и его бесперебойная работоспособность. В связи с большим количеством используемого в компаниях ПО, его уязвимостей и особенностей, было создано два новых класса устройств Unified Threat Management (UTM или единый шлюз безопасности) и Next Generation Firewall (NGFW или брандмауэр следующего поколения)
Почему традиционный Firewall устарел?
Традиционный Firewall сканирует трафик проверяя только порт и IP адреса источника и назначения не совершая никаких дополнительных проверок. Обычно устройство не может просмотреть содержимое пакета или определить его легитимность.
Благодаря этому, существует множество способов обхода правил фильтрации обычного Firewall-а. Но эти устройства все еще используются в качестве обычного маршрутизатора с базовыми возможностями фильтрации трафика, когда более тщательный анализ трафика производится другим устройством.
В связи с этим, очень быстро возникла необходимость реализации дополнительных функций защиты на сетевых устройствах, в итоге это привело к рождению новых типов устройств с намного более широкими возможностями анализа и защиты сети.
Чем UTM и NGFW отличаются от Firewall?
UTM и NGFW в отличии от традиционного Firewall реализуют следующие функции:
- Контроль сессий
- Анализ DNS запросов
- Анализ SSL соединения (обычный и глубокий)
- Детекция приложений
- Защита от спама
- Контроль доступа к сайтам и приложениям (в том числе, на основе репутации)
- Встроенный антивирус
- Встроенные система обнаружения вторжения и утечки данных
Нередко различные вендоры интегрируют свои существующие решения друг в друга, например продукты компании Fortinet могут запрещать доступ к определенный ресурсам на основе логина и пароля пользователя или же выполнять заранее определенное действие, при обнаружении вируса на конечном устройстве пользователя.
Множество дополнительных возможностей позволяет не только поднять уровень защиты локальной сети предприятия на новый уровень, но и защитить сотрудников при работе в офисе или удаленно, например блокируя вредоносные сайты, файлы и почтовые сообщения, предоставляя детальную статистику как бонус.
В чём разница между UTM и NGFW?
UTM это условный “мастер на все руки”, чей реальный функционал ограничен, у него немного упрощенная система работы антивируса и в целом меньшие возможности по фильтрации и защите трафика. Очень часто, эти устройства SMB и SOHO уровня (малый бизнес).
NGFW это специализированное устройство, которое включает в себя специальные чипы для ускоренной обработки трафика с применением повышенных мер безопасности (SSL, AV, IPS, etc), на борту имеет встроенный антивирус уже работающий по модели зависящей от репутации файла, имеет более широкие возможности в фильтрации и защите трафика.
Заключение
К выбору устройства для защиты локальной сети нужно подходить с особой тщательностью. Нужно понимать какой набор функций необходимо иметь устройству на борту для конкретно вашего случая.
Если вам необходимо придерживаться высоких требований безопасности то вам необходимо выбрать NGFW, но если пользоваться устройством будет небольшое количество устройств и бюджет ограничен, то можно рассмотреть и UTM.
Если же вам необходимо обеспечить наивысшую скорость маршрутизации трафика, то следует рассматривать классические firewall-ы.
В последнее время значительно увеличилось количество кибер-атак на предприятия, в связи с чем, мы рекомендуем к приобретению исключительно NGFW, для максимальной защиты периметра сети и внутренних сервисов компании.
Появление UTM и NGFW подняло уровень безопасности в компаниях на новый уровень, но классический Firewall всё ещё используется в решениях, в которых не требуется высокий уровень безопасности или он обеспечивается другим устройством или решением.