» ГЛАВНАЯ > К содержанию номера
 » Все публикации автора

Журнал научных публикаций
«Наука через призму времени»

Декабрь, 2017 / Международный научный журнал
«Наука через призму времени» №9 2017

Автор: Антонова Дарья Олеговна, Магистр 2 курса
Рубрика: Технические науки
Название статьи: Анализ МЭ Cisco ASA и Check Point Firewall-1

Статья просмотрена: 797 раз

АНАЛИЗ МЭ CISCO ASA И CHECK POINT FIREWALL-1

Антонова Дарья Олеговна

Научный руководитель: Артемьев Б.В., д.т.н., профессор

Московский Государственный Технический Университет им. Н. Э. Баумана

 

Аннотация. Данная статья посвящена анализу межсетевых экранов компаний Cisco и Check Point соответственно. Проанализированы технические возможности и функционал рассматриваемых межсетевых экранов, а также рассмотрены средства управления обоих устройств. Выявлены основные различия между брандмауэрами.

Ключевые слова: межсетевой экран, брандмауэр, файрвол, сетевые технологии, зашита безопасности, Cisco, Check Point, программа управления, Cisco ASA, FireWall-1, SmartDashBoard, FireSIGHT Management Center.

Введение

В 21 веке актуальна задача по защите данных в корпоративной сети посредством межсетевых экранов. Недостаточная защищенность корпоративной сети дает возможность злоумышленникам получать конфиденциальную информацию. Одна из технологий, позволяющая организовать безопасность корпоративной сети - технология межсетевого экранирования. Целью настоящей работы является сравнительный анализ современных межсетевых экранов компаний Cisco и Check Point.

1 Типы межсетевых экранов

Для безопасной работы в сетевой среде, в том числе среде Интернет, требуется защита оборудования от нежелательного трафика. Межсетевой экран (или Брандмауэр, или Firewall – «противопожарная стена») является программным или программно-аппаратным элементом компьютерной сети, который осуществляет контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными на нем правилами, тем самым, блокируя нежелательный трафик и свободно пропуская весь остальной. МЭ – это объект сетевой инфраструктуры, который устанавливает барьер безопасности между сетями и сетевыми сегментами [1,5].

МЭ по способу реализации бывают программными и аппаратно-программными [1]. Программные МЭ ориентированы на конкретную платформу, что дает следующие преимущества:

§                    интеграции с другими программными продуктами;

§                    простота наращивания мощности аппаратного обеспечения;

§                    быстрое проведение обновления и «латания дыр» ПО МЭ;

и недостатки:

§                    уязвимость ОС, на которой основывается МЭ, может привести к нарушению информационной безопасности;

§                    администратор МЭ должен быть специалистом не только в устройстве и настройке МЭ, но и в ОС.

МЭ различаются по типам защищаемых объектов (рисунок 1.1).

Рисунок 1.2 – Деление МЭ по типам защищаемых объектов

Сегментные МЭ устанавливают на границе двух и более сетей, что позволяет контролировать сетевой трафик между сетями, к которым подключен МЭ.

Персональные МЭ предназначаются для защиты рабочих станций пользователей как отдельно подключенных к сети Интернет, так и работающих в составе локальных сетей.

Встраиваемые МЭ используются для усиления защиты прикладных сервисов, реализуемых одним или нескольким серверами.

Основываясь на сетевой модели OSI, межсетевые экраны различают по следующим типам, указанным на рисунке 1.2 [1].

Рисунок 1.2 – Основные типы межсетевых экранов согласно модели OSI

Ниже на рисунке 1.3 более наглядно распределены МЭ в зависимости от уровней модели OSI [1,2,4].

C:\Dasha\University\Статья\рисунки\Untitled Diagram.png

Рисунок 1.3 – Классификация сегментных МЭ

Управляемые коммутаторы действуют на канальном уровне взаимодействия, что не позволяет управлять на уровне протокола IP.

Статические фильтры пакетов являются МЭ из первого поколения данной технологии. Они анализируют сетевой трафик на двух уровнях – сетевом и транспортном. Пакетные фильтры чаще всего позволяют контролировать следующие поля сетевых пакетов:

§                    физический сетевой интерфейс (MAC-адрес), с которого был получен пакет;

§                    IP-адрес источника и/или IP-адрес получателя;

§                    тип транспортного протокола (TCP; UDP; ICMP);

§                    поля служебных заголовков протоколов IP; TCP;

§                    порт источника и/или порт назначения транспортного уровня (TCP/UDP порт).

Возможны два действия над поступающим на сетевой интерфейс или исходящим из него пакетом: запретить (deny) или разрешить (allow). Чтобы запретить прохождение пакета применяется один из способов:

§                    отбросить пакет (drop) без других дополнительных действий;

§                    отбросить пакет (reject) и послать отправителю пакет с установленным флагом «сброс соединения» (только для TCP-пакетов);

§                    отбросить пакет и послать отправителю сообщения ICMP - хост недостижим или порт недоступен.

Запрещенный список и список доступа обрабатываются в ядре МЭ, и проходящий через него сетевой пакет должен пройти оба эти списка. Для установления политики безопасности фильтр пакетов должен установить таблицу состояния, чтобы обеспечить работу протокола для внутренних хостов. Эта способность «контроля состояния» одна из существенных отличий простого пакетного фильтра от динамического пакетного фильтра.

Технология МЭ прикладного уровня проверяет информационные потоки на корректность данных на прикладном уровне. Большинство МЭ прикладного уровня включают специальное ПО и сервис-посредники. Сервисами-посредниками являются программы специального назначения, которые управляют трафиком через МЭ для определенных сервисов, таких как HTTP, FTP, SMTP, POP3, Telnet и др.

МЭ динамической фильтрации пакетов (МЭ ДФ) дает возможность корректировать базу правил в динамике. МЭ ДФ ассоциирует все UDP-пакеты с неким виртуальным соединением. При обнаружении МЭ ответного пакета, то происходит установление виртуального соединения, после чего пакету разрешается проходить через МЭ. Сейчас динамические фильтры, как МЭ, не используются и принципы, заложенные в ДФ, реализованы и значительно расширены в инспекторах состояний.

Посредники сеансового уровня позволяют аутентифицировать клиентов, передавать данные по защищенному каналу и иметь ряд дополнительных возможностей, отсутствующих в пакетных фильтрах.

Шлюзы сеансового уровня (инспекторы состояния) фильтруют сетевые пакеты с учетом информации о текущей фазе соединения. Подобно фильтрам пакетов инспекторы состояния используют набор правил, которые установлены в ядре TCP/IP МЭ.

МЭ экспертного уровня реализуют все вышеперечисленные технологии МЭ (кроме фильтрации MAC-адресов).

Алгоритмы работы рассматриваемого МЭ имеют многоуровневый характер и отличаются в зависимости от фирмы-производителя МЭ. Такие МЭ выделяются тем, что:

§                    имеют набор прикладных посредников;

§                    поддерживают технологию инспекции состояния этих каналов связи;

§                    заменяют сетевой стек ОС на собственный;

§                    имеют встроенный механизм обнаружения и защиты от типовых атак типа «отказа в обслуживании»

§                    предоставляют возможность централизованного управления и интеграции с системами управления сетями;

§                    поддерживают усиленные схемы аутентификации;

§                    поддерживают технологию VPN и др.

2 Cisco ASA FirePOWER

Cisco является американской транснациональной компанией, специализирующейся в области высоких технологий. На данный момент компания производит продукцию следующих типов, представленную на рисунке 2.1 [6].

Рисунок 2.1 – Продукты, производящиеся компанией Cisco

Основные МЭ Cisco на сегодня представлены в таблице 2.1 [8].

Таблица 2.1 – Последние МЭ компании Cisco

ASA 5500-X с сервисами FirePOWER

§                    Применяются в малом бизнесе; филиалах и крупных предприятиях

§                    Пропускная способность МЭ от 256Мбит/с до 15Гбит/с

§                    Контроль угроз от 125Мбит/с до 30Гбит/с

§                    МЭ с контролем состояния сеансов, AVC, NGIPS, AMP, URL-фильтрация

product2-334x184

FirePOWER серии 4100

 

firepower-4110-334x184

§                    Применяются для Интернет-периметра, при высокопроизводительных средах

§                    Пропускная способность МЭ от 20Гбит/с до 60Гбит/с

§                    Контроль угроз от 10 Гбит/с до 20Гбит/с

§                    МЭ с контролем состояния сеансов, AVC, NGIPS, AMP, URL-фильтрация

FirePOWER серии 2100

§                    Применятся для Интернет-периметра для сред ЦОД

§                    Пропускная способность МЭ от 1,9Гбит/с до 8,5Гбит/с

§                    Контроль угроз от 1,9Гбит/с до 8,5Гбит/с

§                    МЭ с контролем состояния сеансов, AVC, NGIPS, AMP, URL-фильтрация

2L2A0008B_600x338

FirePOWER серии 9000

§                    Применяются операторами связи, для ЦОД

§                    Пропускная способность МЭ до 225Гбит/с

§                    Контроль угроз до 90Гбит/с

§                    МЭ, AVC, NGIPS, AMP, URL-фильтрация, DDoS

firepower-9000-600x338

 

Cisco предлагает в своих решениях межсетевых экранов ASA прежде всего межсетевой экран и возможность построения VPN, при этом модульная архитектура, позволяющая расширять функционал устройства, зачастую предполагает использование только одного решения, например, только IPS или только антивирус. Если клиенту необходим больший функционал, то ему, как следствие, либо необходимо менять оборудование на более дорогостоящую модель, либо ставить второе, дополнительное устройство.

Приведенные выше МЭ блокируют большое число угроз и быстро ликвидируют последствия атак с помощью МЭ нового поколения NGFW с активной защитой от угроз, а также сочетают технологию МЭ с системой предотвращения вторжений.

NGFW (Next Generation Firewall) является МЭ «следующего поколения». Его устройство схоже с UTM.  UTM (Unified threat management) является универсальным устройством, обеспечивающим комплексную защиту от сетевых угроз. Данная технология стала ответом на нестандартные атаки, с которыми не справлялись привычные МЭ. UTM объединяет в себе множество функций, связанных с обеспечением безопасности (система обнаружения и предотвращения вторжений; МЭ; VPN; антивирус) [10].

МЭ Cisco ASA (Adaptive Security Appliance) является наследником межсетевых экранов Cisco PIX, обнаружения вторжений Cisco IPS 4200, а также VPN-концентраторов Cisco VPN 3000 [8]. Эти МЭ основаны на процессорах архитектуры x86, используют с версии 7.0 PIX одинаковые образы ОС, а функциональность устройства зависит от типа лицензии, определяющейся введенным серийным номером. Управление МЭ может выполняться посредством технологий telnet, SSH, с помощью программы ASDM (рисунок 2.2) или веб-интерфейса.

https://www.cisco.com/c/dam/en/us/support/docs/security/adaptive-security-device-manager/200889-Using-ASDM-to-manage-a-FirePOWER-module-02.png

Рисунок 2.2 – Первоначальное окно программы ASDM в момент ввода учетных данных для последующего соединения с МЭ ASA

ASDM (Adaptive Security Device Manager) является ПО для обеспечения управления и мониторинга безопасности защищаемой сети. Данное приложение дает возможность быстрой настройки, контроля и удаления МЭ Cisco, включает в себя журналы, содержащие информацию в реальном времени о трафике, отслеживаемом МЭ. ASDM подключается только к одному МЭ Cisco ASA, таким образом администратор может управлять только одни МЭ за один сеанс запуска менеджера. Возможности МЭ Cisco ASA представлены на рисунке 2.3.

Рисунок 2.3 – Возможности МЭ серии Cisco ASA

Как было сказано выше, последние МЭ Cisco ASA включают сервисы FirePOWER. Эти сервисы интегрированы в МЭ Cisco ASA 5500-X и многофункциональные устройства защиты Cisco ASA серии 5585-X [3,8]. Эта технология обеспечивает комплексную защиту от известных и новых угроз, включая защиту от целевых атак и распространения вредоносного ПО (основные функции Cisco ASA с сервисами FirePOWER представлены на рисунке 2.4).

Рисунок 2.4 – Основные функции защиты МЭ Cisco ASA с сервисами FirePOWER

В серию Cisco ASA 5500-X с сервисами FirePOWER входят следующие модели МЭ, представленные в таблице 2.2.

Основные характеристики данных МЭ представлены в таблице 2.2.

Таблица 2.2 – Основные функции Cisco ASA 5500-X с сервисами FirePOWER и их технические характеристики

Функция

5506-X

5506W-X

5506H-X

5508-X

5516-X

5512-X

5515-X

5525-X

5545-X

5555-X

 

Возможности и скорость работы Cisco ASA 5500-X с сервисами FirePOWER

Max скорость контроля приложений (AVC)

250Мбит/с

250Мбит/с

250Мбит/с

450Мбит/с

850Мбит/с

300Мбит/с

500Мбит/с

1100Мбит/с

1500Мбит/с

1750Мбит/с

Max скорость AVC и NGIPS

125Мбит/с

125Мбит/с

125Мбит/с

250Мбит/с

600Мбит/с

150Мбит/с

250Мбит/с

650Мбит/с

1000Мбит/с

1250Мбит/с

Максимальное

количество

одновременных сеансов

 

20000-50000

20000-50000

50000

100000

250000

100000

250000

500000

750000

1000000

Максимальное

количество новых

подключений в сек.

5000

5000

5000

10000

20000

10000

15000

20000

30000

50000

Скорость AVC или

IPS

[для HTTP 440 байт]*

90Мбит/с

90Мбит/с

90Мбит/с

200Мбит/с

500Мбит/с

100Мбит/с

150Мбит/с

375Мбит/с

575Мбит/с

725Мбит/с

Поддерживаемые приложения

Более 3000

Категории URL

Более 80

Централизованная настройка, протоколирование, мониторинг и отчетность

Cisco Security Manager / Cisco FireSIGHT Management Center

 

Некоторые характеристики Cisco ASA 5500-X

Пропускная способность с контролем состояния (максимальная)

750Мбит/с

750Мбит/с

750Мбит/с

1Гбит/с

1.8Гбит/с

1Гбит/с

1.2Гбит/с

2Гбит/с

бит/с

бит/с

Пропускная способность VPN

100Мбит/с

100Мбит/с

100Мбит/с

175Мбит/с

250Мбит/с

200Мбит/с

250Мбит/с

300Мбит/с

400Мбит/с

700Мбит/с

В таблице не представлены данные по аппаратным модулям Cisco FirePOWER Security services Processor (SSP), так как далее эти модули рассматриваться не будут.

3 Check Point Firewall-1

Check Point Software Technologies Ltd является компанией, работающей в сфере IT-безопасности. Компания один из крупнейших в мире поставщиков в области безопасности [7]. Check Point стал первопроходцем в индустрии с межсетевым экраном FireWall-1 и запатентованной технологией Stateful Inspection (рисунок 3.1).

Рисунок 3.1 – Основная продукция компании Check Point

Check Point выпускает аппаратные устройства (таблица 3.1), обеспечивающие высокий уровень производительности и защищенности данных, сети и пользователей. Каждое устройство способно запускать любую комбинацию программных блейдов - включая Firewall, IPsec VPN, IPS, контроль приложений, Mobile Access, DLP, фильтрация URL-адресов, Anti-Bot, антивирус, анти-спам, Identity Awareness и Advanced Networking & кластеризация и гарантирует необходимый уровень защиты для организации любого масштаба [9].

Таблица 3.1 - Основные устройства Check Point

4000-stack-of-four Thumnail

Устройства Check Point 4000

§                    являются высокопроизводительными шлюзами безопасности уровня предприятия с форм актором 1U и возможностью подключения как медного, так и оптоволоконного кабеля

12000 Thumbnail

Устройства Check Point 12000

§                    предназначены для применения в крупных организациях и небольших дата-центров

1200R Industrial Control Security Appliance

Устройства повышенной прочности Check Point 1200R для ICS

§                    предназначены для применения в крупных организациях и небольших дата-центров

13700 Thumbnail

Устройства Check Point 13000

§                    применяются в крупных ЦОДах и распределенных магистральных сетях

 

 

Check Point 21800 Appliance

Устройства Check Point 21000

§                    предназначены для применения в сетях с самыми критичными требованиями к производительности

41000_Left_Angle_61000_Right_Web

Системы безопасности Check Point 41000 и 61000

§                    для информационных центров, поставщиков телекоммуникационных и «облачных» услуг

Оборудование Check Point четко ориентировано на защиту информации. Их блейдовая архитектура позволяет увеличивать функционал устройства без каких либо ограничений, имеется возможность включать тот или иной функционал, не задевая работу других сервисов, поэтому можно получить полностью “заряженное” устройство, которое помимо выполнения сервиса брандмауэра и построения VPN, будет служить IPS, антивирус и антиспам шлюзом, обладать богатым функционалом Web Security, обеспечивать URL фильтрацию и работу сетевого DLP на границе периметра[9]. Основные характеристики вышеприведенных устройств Check Point обозначены в таблице 3.2.

Таблица 3.2 - Основные технические характеристики устройств Check Point

Функция

4000

12000

1200R

13000

21000

41000

61000

Пропускная способность МЭ

до 5.8Гбит/с

до 14Гбит/с

до 2Гбит/с

до 27.2Гбит/с

до 44.5Гбит/с

до 40Гбит/с

до 120Гбит/с

Пропускная способность IPS

до 1.1Гбит/с

до 3.5Гбит/с

до 60Мбит/с

до 6.4Гбит/с

до 6.9Гбит/с

до 25Гбит/с

до 70Гбит/с

Пропускная способность VPN AES-128

до 2Гбит/с

до 7Гбит/с

до 450Мбит/с

до 18.3Гбит/с

до 50Гбит/с

до 40Гбит/с

до 110Гбит/с

Соединений в секунду

до 70000

до 130000

до 10000

до 190000

до 300000

до 80 млн

до 210 млн

Число одновременных соединений

до 3.3 млн

до 5 млн

до 400000

до 28 млн

до 28 млн

до 1.1 млн

до 3 млн

На сегодняшний день компания Check Point выпускает продукты нескольких линий, представленные на рисунке 3.2, которые обеспечивают защиту сети с различных точек зрения, а также выполняют функции управления сетью.

Рисунок 3.2 – Конкретные продукты Check Point для защиты сети

§                    FireWall-1 — комплекс модулей, составляющих ядро любой системы безопасности на продуктах Check Point. Помимо функций межсетевого экрана на основе запатентованной технологии Stateful Inspection, поддерживает аутентификацию пользователей, трансляцию адресов, контроль доступа по содержанию и аудит. Включает систему централизованного управления на основе правил политики, которая может управлять работой не только модулей FireWall-1, но и продуктов VPN-1, FloodGate-1.

§                    VPN-1 — набор продуктов для организации виртуальных частных сетей как со стороны центральной сети, так и со стороны удаленных пользователей. Продукты VPN-1 тесно интегрированы с FireWall-1.

§                    RealSecure — средства обнаружения вторжений в реальном времени. Экспертная база атак составляет более 350 образцов. Интегрированы с FireWall-1 — есть возможность автоматической реконфигурации правил экрана FireWall-1 при обнаружении вторжения.

§                    FloodGate — средства управления качеством обслуживания. Обеспечивают гибкое распределение полосы пропускания для различных классов трафика, а также отдельных соединений. Поддерживают централизованное управление на основе правил, интегрированных с правилами FireWall-1/VPN-1.

§                    MetaIP система управления инфраструктурой IP-адресов предприятия. Интегрирует службы DHCP, DNS и аутентификации, дополняя их собственным сервисом UAM отображения имен пользователей на IP-адреса. Сервис UAM может быть использован межсетевыми экранами FireWall-1, за счет чего обеспечивается контроль доступа на уровне пользователей в динамической среде DHCP.

Check Point FireWall-1 имеет двухуровневую архитектуру и состоит из модуля управления (Management Server) и модуля FireWall. Иногда консоль управления (GUI) выделяют как третий компонент архитектуры FireWall-1. Модуль FireWall реализует все функции по разграничению доступа, регистрации событий, генерации сигналов тревоги и т.п. Management Server разрешает управлять всеми подключенными к нему модулями. Ключевые возможности МЭ FireWall-1 отображены на рисунке 3.3.

C:\Users\d.antonova\Downloads\Telegram Desktop\Untitled Diagram.png

Рисунок 3.3 – Основные возможности FireWall-1

При этом этими модулями могут являться не только модули FireWall, но и другие компоненты семейства Check Point (VPN Module, FloodGate Module и др.). Консоль управления реализует графический интерфейс, который облегчает управление модулями, подключенными к Management Server.

4 Сравнительный анализ средств управления Cisco FireSIGHT Management Center и Check Point SmartDashBoard R77.30

Для Cisco ASA с сервисами FirePOWER компанией была выпущена программа управления Cisco FireSIGHT Management Center (рисунок 4.1). FireSIGHT позволяет централизованно управлять безопасностью сети и операциями. Имеются модели Cisco Firepower Management Center, которые играют роль центра администрирования, предоставляя полный набор унифицированных функций управления межсетевыми экранами, системами контроля и мониторинга приложений, предотвращением вторжений, URL-фильтрацией и защитой от сложного вредоносного ПО [8].

Рисунок 4.1 – Общие сведения о состоянии сети МЭ за конечный промежуток времени, выведенные на Dashboard Cisco FireSIGHT Management Center

Центр управления FireSIGHT анализирует все происходящие события в локальной сети, вырабатывая адекватные решения на возникающие угрозы в соответствии с их приоритетом. Управление посредством МЭ Cisco FireSIGHT Management Center разбивается на три блока: политики, реализованные на средствах защиты; настройки самого устройства; настройки объектов, используемых в политиках [8].

На вкладке “Policies” имеется возможность настроек политик по следующим основным направлениям: функции контроля доступа “Access Control”; функции, связанные с обнаружением вторжений; распознавание и контроль приложений “Application Detectors”; управление файлами; расшифровка SSL трафика и другие (рисунок 4.2)

Рисунок 4.2 – Разделы настроек политик по функциям “Access Control” (сверху) и “Application Detectors” (снизу)

При настройке политик, назначаемых МЭ, имеется возможность контроля доступа сетевых объектов, вредоносного кода, разрешение или запрещения доступа по признаку геолокации, имеется возможность добавления отдельных политик для конкретных пользователей, а также отдельные политики для тех или иных категорий сайтов (рисунок 4.3). При создании правил фильтрации для МЭ возможно использование зон, сетей, Vlan технологий, пользователей, приложений, URL, портами и др.

Рисунок 4.3 – Назначенные правила для МЭ Cisco

На вкладке “Intrusion” имеется возможность использования сигнатур (рисунок 4.4). При контроле файлов в разделе “Malware & Files” задаются тип и характеристики тех файлов, которые требуется фильтровать МЭ.

 

Рисунок 4.4 – Раздел “Intusion” (сверху) и раздел ““Malware & Files” (снизу)

Вкладка “SSL” позволяет определить правила для расшифровки SSL-туннелей на самом устройстве. “Network Discovery” дает возможность задать те или иные моменты, связанные с сетями или пользователями, которые нужно идентифицировать для более точного определения того или иного пользователя в том или ином протоколе: aim; imap; ldap; oracle; pop3; sip; ftp; http; mdns и др. “Actions” позволяет среагировать на события безопасности, например, запустив в случае срабатывания триггера сканирование nmap, либо изменить правила на МЭ Cisco ASA, для блокирования несанкционированного доступа не на самой системе обнаружения вторжения, а на внешнем устройстве. 

Вкладка “Objects” позволяет оперировать объектами, используемыми в политиках, упрощая работу тем, что не нужно запоминать ip-адреса устройств, сетей и др. (рисунок 4.5)

Рисунок 4.5 – Вкладка “Objects

Вкладка “Devices” позволяет произвести настройки, связанные с работой самого устройства, отслеживать состояние устройства (рисунок 4.6).

Рисунок 4.6 – Возможные настройки устройства на кладке “Devices

Функция “Analysis” выводит информацию по событиям безопасности и сетевую составляющую: информацию о всплеске трафика; информацию об использованных ОС; информацию по приложениям; информацию о событиях по угрозам и атаками, наиболее атакуемым узлам; информацию о вторжениях; информацию по типам файлов, передаваемых за конечный промежуток времени; информацию о геолокации; информацию о посещенных URL страницах и еще ряд показателей.

Рисунок 4.7 – Информация на вкладке “Analysis

Check Point FireWall-1 поставляется с поддержкой сотен предопределенных сетевых сервисов, протоколов и приложений. В дополнение к имеющимся, FireWall-1 позволяет быстро и эффективно создавать свои собственные обработчики протоколов, используя встроенный язык высокого уровня INSPECT [9]. Виртуальная машина INSPECT составляет основу технологии Check Point FireWall-1. Для управления модулями FireWall-1 используется приложение SmartDashBoard, усилиями которого и производится настройка МЭ через ПО SmartConsole (рисунок 4.8).

Первоначально после подключение к серверу управления безопасностью посредством приложения SmartDashBoard R77.30 открывается окно управления МЭ, представленное на рисунке 4.8 SmartDashBoard является единым, унифицированным компонентом консоли управления для всех средств и функций защиты [9]. На вкладках “Overview” имеется возможность отслеживания состояния МЭ в реальном времени при всех примененных политиках.

 

Рисунок 4.8 – Начальное окно входа SmartDashBoard версии R77.30 и вкладка обзора“Overview” с информаций реального времени с МЭ

FireWall-1 имеет огромное число возможных настроек, и SmartDashBoard дает возможность их интерактивного отображения. Утилита дает возможность настроить разнообразные политики “Policy” на МЭ. На вкладке “Firewall” (рисунок 4.9) возможно добавление правил фильтрации трафика, которые сами имеют широкий спектр настроек, начиная с источников и получателей проходящего трафика и заканчивая сервисами и временем активности правил, назначения правил для конкретных доменных пользователей, сетей и другой функционал самого межсетевого экрана.

Рисунок 4.9 – Политики “Firewall” в SmartDashBoard

На вкладке “Application & URL Filtering” (рисунок 4.10) имеется возможность установления политик для настройки межсетевого экрана уровня приложений (например, Skype) или безопасности WEB-среды (например, блокирование доступа на www.youtube.com).

Рисунок 4.10 - Политики “Application & URL Filtering в SmartDashBoard

На вкладке “Data Loss Prevention” настраиваются политики по предотвращению потери данных. Главный недостаток - не контролируются рабочие станции. В разделе “IPS” (система предотвращения вторжений) настраивается отслеживание и блокирование нежелательного трафика, с возможностью задания сигнатур, протокольных аномалий и других настроек для профилей (рисунок 4.11).

Рисунок 4.11 - Настройки “Data Loss Prevention” и “IPS”

Имеется настройка политик “Threat Prevention” для защиты от вирусов и ботов, “Anti-Spam & mail’дает возможность отслеживать спам и другие пакеты корпоративной почты (рисунок 4.12).

Рисунок 4.12 - Настройки “Threat Prevention” и “Anti-Spam & mail”

Mobile Access” предлагает три варианта подключения к корпоративной сети и доступа к рабочим ресурсам: VPN-клиент; SSL VPN пользователь; доступ с помощью мобильного приложения (рисунок 4.13).

Рисунок 4.13 - Настройки “Mobile Access

На вкладке “IPSec VPN” производится построение и настройка частных виртуальных сетей. Раздел “Compliance” позволяет наглядно оценить безопасность настройки шлюзов, а также произвести автоматические настройки и выдачу рекомендаций по защите сети. В разделе “QOS” производится настройка политик приоритета трафика (рисунок 4.14).

Рисунок 4.14 - Окно обзора “Compliance” (сверху) и политики “QOS” (снизу)

Вышеприведенные возможности FireWall-1 являются основными и содержат еще поднастройки.

Заключение

МЭ Cisco испытывает трудности со скоростью установки VPN при большом количестве туннелей, нежели Check Point. Пропускная способность самого быстрого устройства Cisco из рассмотренных ASA 5500-X равна 4Гбит/с, когда пропускная способность самого быстрого из рассмотренных устройств Check Point достигает 120Гбит/с.Check Point дает возможность централизованного управления политикой IT-безопасности с единой консоли администратора, а сам МЭ FireWall-1 имеет большее число настроек.FireSIGHT Management Center дает возможность одновременного вывода диаграмм и графиков по информации. Программные блейды компании Check Point предоставляют пользователям гибкость в расширении услуг при возникновении новых угроз.



Список литературы:

1.             Лебедь С.В. Межсетевое экранирование. Теория и практика защиты внешнего периметра. – М.: Изд-во МГТУ им. Н.Э. Баумана, 2002. – 304 с.: ил.

2.             Олтри Т. Практическое применение межсетевых экранов: Пер. с англ. — М: ДМК Пресс, 2001. – 400 с.: ил. (Серия «Защита и администрирование»)

3.             Santos O., Kampanakis P., Woland A. (2017) Cisco Next-Generation Security Solutions: All-in-one Cisco ASA FirePOWER Services, NGIPS,and AMP, Indiapolis: Cisco Press.

4.             Лапонина О.Р Межсетевое экранирование. – Бином, 2014. – 343 с.

5.             Межсетевой экран [Электронный ресурс] // URL: https://ru.wikipedia.org/ - Дата обращения 25.10.2017.

6.             Cisco [Электронный ресурс] // URL: https://ru.wikipedia.org/wiki/Cisco - Дата обращения 25.10.2017.

7.             Check Point [Электронный ресурс] // URL: https://ru.wikipedia.org/wiki/Check_Point - Дата обращения 25.10.2017.

8.             Официальный сайт компании Cisco [Электронный ресурс] // URL: https://www.cisco.com/c/ru_ru/index.html - Дата обращения 25.10.2017.

9.             Официальный сайт компании Check Point [Электронный ресурс] // URL: https://www.checkpoint.com/ru/ - Дата обращения 25.10.2017.

10.         Unified threat management [Электронный ресурс] // URL: https://ru.wikipedia.org/wiki/Unified_threat_management- Дата обращения 25.10.2017.

 



Комментарии:

Фамилия Имя Отчество:
Комментарий: