» ГЛАВНАЯ > К содержанию номера
» Все публикации автора
Журнал научных публикаций
«Наука через призму времени»
Декабрь, 2017 / Международный научный журнал
«Наука через призму времени» №9 2017
Автор: Антонова Дарья Олеговна, Магистр 2 курса
Рубрика: Технические науки
Название статьи: Анализ МЭ Cisco ASA и Check Point Firewall-1
АНАЛИЗ МЭ CISCO ASA И CHECK POINT FIREWALL-1
Антонова Дарья
Олеговна
Научный руководитель: Артемьев Б.В., д.т.н., профессор
Московский
Государственный Технический Университет им. Н. Э. Баумана
Аннотация. Данная статья посвящена анализу межсетевых
экранов компаний Cisco и Check Point соответственно. Проанализированы
технические возможности и функционал рассматриваемых межсетевых экранов, а
также рассмотрены средства управления обоих устройств. Выявлены основные
различия между брандмауэрами.
Ключевые слова: межсетевой экран, брандмауэр, файрвол, сетевые технологии, зашита безопасности, Cisco, Check Point, программа управления, Cisco ASA, FireWall-1, SmartDashBoard,
FireSIGHT
Management Center.
Введение
В 21 веке актуальна задача по защите данных в корпоративной
сети посредством межсетевых экранов. Недостаточная защищенность корпоративной
сети дает возможность злоумышленникам получать конфиденциальную информацию. Одна
из технологий, позволяющая организовать безопасность корпоративной сети - технология
межсетевого экранирования. Целью настоящей работы является сравнительный анализ
современных межсетевых экранов компаний Cisco и Check Point.
1
Типы межсетевых экранов
Для безопасной
работы в сетевой среде, в том числе среде Интернет, требуется защита оборудования
от нежелательного трафика. Межсетевой экран (или Брандмауэр, или Firewall –
«противопожарная стена») является программным или программно-аппаратным
элементом компьютерной сети, который осуществляет контроль и фильтрацию
проходящего через него сетевого трафика в соответствии с заданными на нем правилами,
тем самым, блокируя нежелательный трафик и свободно пропуская весь остальной.
МЭ – это объект сетевой инфраструктуры, который устанавливает барьер
безопасности между сетями и сетевыми сегментами [1,5].
МЭ по способу
реализации бывают программными и аппаратно-программными [1]. Программные МЭ
ориентированы на конкретную платформу, что дает следующие преимущества:
§
интеграции с другими программными
продуктами;
§
простота наращивания мощности
аппаратного обеспечения;
§
быстрое проведение обновления и
«латания дыр» ПО МЭ;
и недостатки:
§
уязвимость ОС, на которой
основывается МЭ, может привести к нарушению информационной безопасности;
§
администратор МЭ должен быть
специалистом не только в устройстве и настройке МЭ, но и в ОС.
МЭ различаются по
типам защищаемых объектов (рисунок 1.1).
Рисунок 1.2 – Деление МЭ по
типам защищаемых объектов
Сегментные МЭ устанавливают на границе двух и более сетей, что позволяет контролировать
сетевой трафик между сетями, к которым подключен МЭ.
Персональные МЭ предназначаются для защиты рабочих станций пользователей как отдельно
подключенных к сети Интернет, так и работающих в составе локальных сетей.
Встраиваемые МЭ используются для
усиления защиты прикладных сервисов, реализуемых одним или нескольким
серверами.
Основываясь на
сетевой модели OSI, межсетевые экраны различают по следующим типам, указанным на рисунке
1.2 [1].
Рисунок 1.2 – Основные типы
межсетевых экранов согласно модели OSI
Ниже на рисунке 1.3
более наглядно распределены МЭ в зависимости от уровней модели OSI [1,2,4].
Рисунок 1.3 – Классификация сегментных МЭ
Управляемые коммутаторы действуют на
канальном уровне взаимодействия, что не позволяет управлять на уровне протокола
IP.
Статические фильтры пакетов являются МЭ
из первого поколения данной технологии. Они анализируют сетевой трафик на двух
уровнях – сетевом и транспортном. Пакетные фильтры чаще всего позволяют
контролировать следующие поля сетевых пакетов:
§
физический сетевой интерфейс (MAC-адрес), с которого
был получен пакет;
§
IP-адрес источника и/или IP-адрес получателя;
§
тип транспортного протокола (TCP; UDP; ICMP);
§
поля служебных заголовков протоколов
IP; TCP;
§
порт источника и/или порт назначения
транспортного уровня (TCP/UDP порт).
Возможны два действия
над поступающим на сетевой интерфейс или исходящим из него пакетом: запретить (deny) или разрешить (allow). Чтобы запретить
прохождение пакета применяется один из способов:
§
отбросить пакет (drop) без других
дополнительных действий;
§
отбросить пакет (reject) и послать
отправителю пакет с установленным флагом «сброс соединения» (только для TCP-пакетов);
§
отбросить пакет и послать
отправителю сообщения ICMP - хост недостижим или порт недоступен.
Запрещенный список
и список доступа обрабатываются в ядре МЭ, и проходящий через него сетевой
пакет должен пройти оба эти списка. Для установления политики безопасности
фильтр пакетов должен установить таблицу состояния, чтобы обеспечить работу
протокола для внутренних хостов. Эта способность «контроля состояния» одна из
существенных отличий простого пакетного фильтра от динамического пакетного
фильтра.
Технология МЭ прикладного уровня проверяет
информационные потоки на корректность данных на прикладном уровне. Большинство
МЭ прикладного уровня включают специальное ПО и сервис-посредники. Сервисами-посредниками являются
программы специального назначения, которые управляют трафиком через МЭ для
определенных сервисов, таких как HTTP, FTP, SMTP, POP3, Telnet и др.
МЭ динамической фильтрации пакетов (МЭ ДФ) дает возможность корректировать базу правил в динамике. МЭ ДФ
ассоциирует все UDP-пакеты с неким виртуальным соединением. При обнаружении МЭ
ответного пакета, то происходит установление виртуального соединения, после
чего пакету разрешается проходить через МЭ. Сейчас динамические фильтры, как
МЭ, не используются и принципы, заложенные в ДФ, реализованы и значительно
расширены в инспекторах состояний.
Посредники сеансового уровня позволяют
аутентифицировать клиентов, передавать данные по защищенному каналу и иметь ряд
дополнительных возможностей, отсутствующих в пакетных фильтрах.
Шлюзы сеансового уровня (инспекторы состояния) фильтруют сетевые пакеты с учетом информации о текущей фазе
соединения. Подобно фильтрам пакетов инспекторы состояния используют набор
правил, которые установлены в ядре TCP/IP МЭ.
МЭ экспертного уровня реализуют все
вышеперечисленные технологии МЭ (кроме фильтрации MAC-адресов).
Алгоритмы работы рассматриваемого МЭ имеют многоуровневый характер и отличаются
в зависимости от фирмы-производителя МЭ. Такие МЭ
выделяются тем, что:
§
имеют набор прикладных посредников;
§
поддерживают технологию инспекции
состояния этих каналов связи;
§
заменяют сетевой стек ОС на собственный;
§
имеют встроенный механизм
обнаружения и защиты от типовых атак типа «отказа в обслуживании»
§
предоставляют возможность
централизованного управления и интеграции с системами управления сетями;
§
поддерживают усиленные схемы
аутентификации;
§
поддерживают технологию VPN и др.
2
Cisco
ASA
FirePOWER
Cisco является американской транснациональной
компанией, специализирующейся в области высоких технологий. На
данный момент компания производит продукцию следующих типов, представленную на
рисунке 2.1 [6].
Рисунок 2.1 – Продукты,
производящиеся компанией Cisco
Основные МЭ Cisco на сегодня представлены в таблице 2.1 [8].
Таблица 2.1 – Последние МЭ компании Cisco
|
ASA 5500-X
с сервисами FirePOWER |
§
Применяются в малом бизнесе; филиалах
и крупных предприятиях §
Пропускная способность МЭ от
256Мбит/с до 15Гбит/с §
Контроль угроз от 125Мбит/с до 30Гбит/с §
МЭ с контролем состояния
сеансов, AVC, NGIPS, AMP, URL-фильтрация |
|
|
|
|
FirePOWER серии
4100 |
|
|
|
§
Применяются для Интернет-периметра,
при высокопроизводительных средах §
Пропускная способность МЭ от 20Гбит/с
до 60Гбит/с §
Контроль угроз от 10 Гбит/с до
20Гбит/с §
МЭ с контролем состояния сеансов, AVC, NGIPS,
AMP, URL-фильтрация |
|
FirePOWER серии
2100 |
§
Применятся для Интернет-периметра
для сред ЦОД §
Пропускная способность МЭ от 1,9Гбит/с до 8,5Гбит/с §
Контроль угроз от 1,9Гбит/с до 8,5Гбит/с §
МЭ с контролем состояния сеансов, AVC, NGIPS,
AMP, URL-фильтрация |
|
|
|
|
FirePOWER серии
9000 |
§
Применяются операторами связи, для ЦОД §
Пропускная способность МЭ до 225Гбит/с §
Контроль угроз до 90Гбит/с §
МЭ, AVC, NGIPS,
AMP, URL-фильтрация, DDoS |
|
|
Cisco
предлагает в своих решениях межсетевых экранов ASA
прежде всего межсетевой экран и возможность построения VPN, при этом модульная
архитектура, позволяющая расширять функционал устройства, зачастую предполагает
использование только одного решения, например, только IPS или только антивирус.
Если клиенту необходим больший функционал, то ему, как следствие, либо необходимо
менять оборудование на более дорогостоящую модель, либо ставить второе,
дополнительное устройство.
Приведенные выше МЭ блокируют
большое число угроз и быстро ликвидируют последствия атак с помощью МЭ нового
поколения NGFW с
активной защитой от угроз, а также сочетают технологию МЭ с системой
предотвращения вторжений.
NGFW (Next Generation Firewall) является МЭ
«следующего поколения». Его устройство схоже с UTM. UTM (Unified threat management)
является универсальным устройством, обеспечивающим комплексную защиту от
сетевых угроз. Данная технология стала ответом на нестандартные
атаки, с которыми не справлялись привычные МЭ. UTM объединяет в себе множество функций,
связанных с обеспечением безопасности (система обнаружения и предотвращения
вторжений; МЭ; VPN;
антивирус) [10].
МЭ Cisco ASA (Adaptive Security Appliance) является
наследником межсетевых экранов Cisco
PIX, обнаружения вторжений Cisco IPS 4200, а также VPN-концентраторов Cisco VPN 3000 [8]. Эти МЭ основаны на процессорах
архитектуры x86,
используют с версии 7.0 PIX одинаковые
образы ОС, а функциональность устройства зависит от типа лицензии, определяющейся
введенным серийным номером. Управление МЭ может выполняться посредством технологий
telnet, SSH, с помощью программы ASDM
(рисунок
2.2) или веб-интерфейса.
Рисунок 2.2 – Первоначальное окно программы
ASDM в момент ввода учетных
данных для последующего соединения с МЭ ASA
ASDM (Adaptive
Security Device Manager) является ПО для обеспечения
управления и мониторинга безопасности защищаемой сети. Данное
приложение дает возможность быстрой настройки, контроля и удаления МЭ Cisco, включает в себя журналы, содержащие
информацию в реальном времени о трафике, отслеживаемом МЭ. ASDM
подключается только к одному МЭ Cisco
ASA, таким образом
администратор может управлять только одни МЭ за один сеанс запуска менеджера. Возможности
МЭ Cisco ASA представлены на рисунке 2.3.
Рисунок 2.3 – Возможности МЭ серии Cisco ASA
Как было сказано выше, последние
МЭ Cisco ASA включают сервисы FirePOWER. Эти
сервисы интегрированы в МЭ Cisco
ASA 5500-X и многофункциональные устройства защиты Cisco ASA серии 5585-X [3,8]. Эта технология обеспечивает
комплексную защиту от известных и новых угроз, включая защиту от целевых атак и
распространения вредоносного ПО (основные функции Cisco ASA с сервисами FirePOWER представлены на рисунке 2.4).
Рисунок 2.4 – Основные
функции защиты МЭ Cisco
ASA с сервисами FirePOWER
В серию Cisco ASA 5500-X с сервисами FirePOWER входят
следующие модели МЭ, представленные в таблице 2.2.
Основные характеристики данных
МЭ представлены в таблице 2.2.
Таблица 2.2 – Основные
функции Cisco
ASA 5500-X с сервисами FirePOWER и их технические характеристики
|
Функция |
5506-X |
5506W-X |
5506H-X |
5508-X |
5516-X |
5512-X |
5515-X |
5525-X |
5545-X |
5555-X |
|||||||
|
|
Возможности
и скорость работы Cisco
ASA 5500-X с сервисами FirePOWER |
||||||||||||||||
|
Max скорость
контроля приложений (AVC) |
250Мбит/с |
250Мбит/с |
250Мбит/с |
450Мбит/с |
850Мбит/с |
300Мбит/с |
500Мбит/с |
1100Мбит/с |
1500Мбит/с |
1750Мбит/с |
|||||||
|
Max скорость AVC и NGIPS |
125Мбит/с |
125Мбит/с |
125Мбит/с |
250Мбит/с |
600Мбит/с |
150Мбит/с |
250Мбит/с |
650Мбит/с |
1000Мбит/с |
1250Мбит/с |
|||||||
|
Максимальное количество одновременных сеансов |
20000-50000 |
20000-50000 |
50000 |
100000 |
250000 |
100000 |
250000 |
500000 |
750000 |
1000000 |
|||||||
|
Максимальное количество новых подключений в сек. |
5000 |
5000 |
5000 |
10000 |
20000 |
10000 |
15000 |
20000 |
30000 |
50000 |
|||||||
|
Скорость AVC или IPS [для HTTP 440 байт]* |
90Мбит/с |
90Мбит/с |
90Мбит/с |
200Мбит/с |
500Мбит/с |
100Мбит/с |
150Мбит/с |
375Мбит/с |
575Мбит/с |
725Мбит/с |
|||||||
|
Поддерживаемые приложения |
Более 3000 |
||||||||||||||||
|
Категории URL |
Более 80 |
||||||||||||||||
|
Централизованная настройка, протоколирование, мониторинг и отчетность |
Cisco
Security Manager / |
||||||||||||||||
|
|
Некоторые
характеристики Cisco
ASA 5500-X |
||||||||||||||||
|
Пропускная способность с контролем состояния (максимальная) |
750Мбит/с |
750Мбит/с |
750Мбит/с |
1Гбит/с |
1.8Гбит/с |
1Гбит/с |
1.2Гбит/с |
2Гбит/с |
3Гбит/с |
4Гбит/с |
|||||||
|
Пропускная способность VPN |
100Мбит/с |
100Мбит/с |
100Мбит/с |
175Мбит/с |
250Мбит/с |
200Мбит/с |
250Мбит/с |
300Мбит/с |
400Мбит/с |
700Мбит/с |
|||||||
В таблице не представлены
данные по аппаратным модулям Cisco
FirePOWER
Security services Processor (SSP), так как далее эти модули рассматриваться
не будут.
3
Check
Point
Firewall-1
Check Point Software Technologies Ltd является компанией, работающей в сфере IT-безопасности.
Компания один из крупнейших в мире поставщиков в области безопасности [7]. Check Point стал первопроходцем в
индустрии с межсетевым экраном FireWall-1 и запатентованной технологией Stateful Inspection (рисунок
3.1).
Рисунок 3.1 – Основная продукция
компании Check
Point
Check Point выпускает аппаратные
устройства (таблица 3.1), обеспечивающие высокий уровень производительности и
защищенности данных, сети и пользователей. Каждое устройство способно запускать
любую комбинацию программных блейдов - включая Firewall, IPsec VPN, IPS,
контроль приложений, Mobile Access,
DLP, фильтрация URL-адресов, Anti-Bot, антивирус, анти-спам, Identity Awareness и Advanced Networking & кластеризация и гарантирует необходимый
уровень защиты для организации любого масштаба [9].
Таблица
3.1 - Основные устройства Check Point
|
|
Устройства Check
Point 4000 §
являются высокопроизводительными шлюзами безопасности уровня предприятия
с форм -фактором 1U и возможностью подключения как
медного, так и оптоволоконного кабеля |
|
|
Устройства Check Point 12000 §
предназначены
для применения в крупных организациях и небольших дата-центров |
|
|
Устройства
повышенной прочности Check Point
1200R для ICS §
предназначены
для применения в крупных организациях и небольших дата-центров |
|
|
Устройства
Check Point 13000 §
применяются в
крупных ЦОДах и распределенных магистральных сетях |
|
|
Устройства
Check Point 21000 §
предназначены
для применения в сетях с самыми критичными требованиями к производительности |
|
|
Системы
безопасности Check Point
41000 и 61000 §
для информационных
центров, поставщиков телекоммуникационных и «облачных» услуг |
Оборудование Check Point четко ориентировано
на защиту информации. Их блейдовая архитектура
позволяет увеличивать функционал устройства без каких
либо ограничений, имеется возможность включать тот или иной функционал, не
задевая работу других сервисов, поэтому можно получить полностью “заряженное”
устройство, которое помимо выполнения сервиса брандмауэра и построения VPN,
будет служить IPS, антивирус и антиспам шлюзом, обладать
богатым функционалом Web Security,
обеспечивать URL фильтрацию и работу сетевого DLP на границе периметра[9]. Основные
характеристики вышеприведенных устройств Check Point обозначены в таблице 3.2.
Таблица 3.2 - Основные
технические характеристики устройств Check
Point
|
Функция |
4000 |
12000 |
1200R |
13000 |
21000 |
41000 |
61000 |
|
Пропускная способность МЭ |
до 5.8Гбит/с |
до 14Гбит/с |
до 2Гбит/с |
до 27.2Гбит/с |
до 44.5Гбит/с |
до 40Гбит/с |
до 120Гбит/с |
|
Пропускная способность IPS |
до 1.1Гбит/с |
до 3.5Гбит/с |
до 60Мбит/с |
до 6.4Гбит/с |
до 6.9Гбит/с |
до 25Гбит/с |
до 70Гбит/с |
|
Пропускная способность VPN AES-128 |
до 2Гбит/с |
до 7Гбит/с |
до 450Мбит/с |
до 18.3Гбит/с |
до 50Гбит/с |
до 40Гбит/с |
до 110Гбит/с |
|
Соединений в секунду |
до 70000 |
до 130000 |
до 10000 |
до 190000 |
до 300000 |
до 80 млн |
до 210 млн |
|
Число одновременных соединений |
до 3.3 млн |
до 5 млн |
до 400000 |
до 28 млн |
до 28 млн |
до 1.1 млн |
до 3 млн |
На сегодняшний день компания Check Point выпускает продукты нескольких линий,
представленные на рисунке 3.2, которые обеспечивают защиту сети с различных
точек зрения, а также выполняют функции управления сетью.
Рисунок 3.2 – Конкретные
продукты Check
Point для защиты сети
§
FireWall-1 — комплекс модулей, составляющих ядро любой системы
безопасности на продуктах Check Point.
Помимо функций межсетевого экрана на основе запатентованной технологии Stateful Inspection, поддерживает
аутентификацию пользователей, трансляцию адресов, контроль доступа по содержанию
и аудит. Включает систему централизованного управления на основе правил
политики, которая может управлять работой не только модулей FireWall-1, но и
продуктов VPN-1, FloodGate-1.
§
VPN-1 — набор продуктов для организации виртуальных частных
сетей как со стороны центральной сети, так и со
стороны удаленных пользователей. Продукты VPN-1 тесно интегрированы с
FireWall-1.
§
RealSecure — средства
обнаружения вторжений в реальном времени. Экспертная база атак составляет более
350 образцов. Интегрированы с FireWall-1 — есть возможность автоматической реконфигурации
правил экрана FireWall-1 при обнаружении вторжения.
§
FloodGate — средства управления качеством обслуживания.
Обеспечивают гибкое распределение полосы пропускания для различных классов
трафика, а также отдельных соединений. Поддерживают централизованное управление
на основе правил, интегрированных с правилами FireWall-1/VPN-1.
§
MetaIP – система
управления инфраструктурой IP-адресов предприятия. Интегрирует службы DHCP, DNS
и аутентификации, дополняя их собственным сервисом UAM отображения имен
пользователей на IP-адреса. Сервис UAM может быть использован межсетевыми экранами
FireWall-1, за счет чего обеспечивается контроль доступа на уровне
пользователей в динамической среде DHCP.
Check Point FireWall-1 имеет двухуровневую
архитектуру и состоит из модуля управления (Management Server) и модуля FireWall. Иногда консоль управления (GUI) выделяют как третий компонент архитектуры
FireWall-1.
Модуль FireWall
реализует все функции по разграничению доступа, регистрации событий, генерации
сигналов тревоги и т.п. Management Server разрешает управлять всеми
подключенными к нему модулями. Ключевые возможности МЭ FireWall-1
отображены на рисунке 3.3.
Рисунок 3.3 – Основные
возможности FireWall-1
При этом этими модулями могут
являться не только модули FireWall, но и другие компоненты семейства
Check Point (VPN
Module, FloodGate
Module и др.). Консоль
управления реализует графический интерфейс, который облегчает управление
модулями, подключенными к Management
Server.
4 Сравнительный анализ средств управления
Для Cisco ASA с
сервисами FirePOWER компанией была выпущена программа
управления Cisco FireSIGHT Management Center (рисунок
4.1). FireSIGHT позволяет централизованно
управлять безопасностью сети и операциями. Имеются модели Cisco Firepower Management Center, которые играют роль центра
администрирования, предоставляя полный набор унифицированных функций управления
межсетевыми экранами, системами контроля и мониторинга приложений,
предотвращением вторжений, URL-фильтрацией и защитой от
сложного вредоносного ПО [8].
Рисунок 4.1 – Общие
сведения о состоянии сети МЭ за конечный промежуток времени, выведенные на Dashboard Cisco FireSIGHT Management Center
Центр управления FireSIGHT анализирует все происходящие события в локальной
сети, вырабатывая адекватные решения на возникающие угрозы в соответствии с их
приоритетом. Управление посредством МЭ Cisco FireSIGHT Management Center разбивается на три блока: политики,
реализованные на средствах защиты; настройки самого устройства; настройки объектов,
используемых в политиках [8].
На вкладке “Policies” имеется возможность настроек
политик по следующим основным направлениям: функции контроля доступа “Access Control”; функции, связанные с
обнаружением вторжений; распознавание и контроль приложений “Application Detectors”; управление файлами;
расшифровка SSL
трафика и другие (рисунок 4.2)
Рисунок 4.2 – Разделы
настроек политик по функциям “Access
Control”
(сверху) и “Application
Detectors” (снизу)
При настройке политик,
назначаемых МЭ, имеется возможность контроля доступа сетевых объектов,
вредоносного кода, разрешение или запрещения доступа по признаку геолокации, имеется возможность добавления отдельных
политик для конкретных пользователей, а также отдельные политики для тех или
иных категорий сайтов (рисунок 4.3). При создании правил фильтрации для МЭ
возможно использование зон, сетей, Vlan технологий, пользователей,
приложений, URL,
портами и др.
Рисунок 4.3 –
Назначенные правила для МЭ Cisco
На вкладке “Intrusion” имеется возможность
использования сигнатур (рисунок 4.4). При контроле файлов в разделе “Malware & Files” задаются тип и характеристики тех файлов,
которые требуется фильтровать МЭ.
Рисунок 4.4 – Раздел “Intusion” (сверху)
и раздел ““Malware & Files” (снизу)
Вкладка “SSL” позволяет определить правила для
расшифровки SSL-туннелей
на самом устройстве. “Network
Discovery” дает
возможность задать те или иные моменты, связанные с сетями или пользователями,
которые нужно идентифицировать для более точного определения того или иного
пользователя в том или ином протоколе: aim; imap; ldap; oracle; pop3; sip; ftp; http; mdns и др.
“Actions”
позволяет среагировать на события безопасности, например, запустив в случае
срабатывания триггера сканирование nmap, либо изменить правила на МЭ Cisco ASA, для блокирования несанкционированного
доступа не на самой системе обнаружения вторжения, а на внешнем
устройстве.
Вкладка “Objects” позволяет оперировать
объектами, используемыми в политиках, упрощая работу тем, что не нужно
запоминать ip-адреса
устройств, сетей и др. (рисунок 4.5)
Рисунок 4.5 – Вкладка “Objects”
Вкладка “Devices” позволяет произвести
настройки, связанные с работой самого устройства, отслеживать состояние
устройства (рисунок 4.6).
Рисунок 4.6 – Возможные
настройки устройства на кладке “Devices”
Функция
“Analysis” выводит
информацию по событиям безопасности и сетевую составляющую: информацию о
всплеске трафика; информацию об использованных ОС; информацию по приложениям; информацию
о событиях по угрозам и атаками, наиболее атакуемым узлам; информацию о
вторжениях; информацию по типам файлов, передаваемых за конечный промежуток
времени; информацию о геолокации; информацию о
посещенных URL
страницах и еще ряд показателей.
Рисунок 4.7 – Информация
на вкладке “Analysis”
Check Point FireWall-1 поставляется с поддержкой сотен
предопределенных сетевых сервисов, протоколов и приложений. В дополнение к имеющимся, FireWall-1 позволяет быстро и эффективно создавать
свои собственные обработчики протоколов, используя встроенный язык высокого
уровня INSPECT [9]. Виртуальная машина INSPECT составляет основу технологии Check Point FireWall-1. Для
управления модулями FireWall-1 используется приложение SmartDashBoard,
усилиями которого и производится настройка МЭ через ПО SmartConsole (рисунок
4.8).
Первоначально после подключение
к серверу управления безопасностью посредством приложения SmartDashBoard
R77.30 открывается окно
управления МЭ, представленное на рисунке 4.8 SmartDashBoard является единым,
унифицированным компонентом консоли управления для всех средств и функций защиты
[9]. На вкладках “Overview”
имеется возможность отслеживания состояния МЭ в реальном времени при всех
примененных политиках.
Рисунок 4.8 – Начальное
окно входа SmartDashBoard версии
R77.30 и вкладка обзора“Overview” с информаций реального
времени с МЭ
FireWall-1
имеет огромное число возможных настроек, и SmartDashBoard дает возможность их интерактивного
отображения. Утилита дает возможность настроить
разнообразные политики “Policy” на МЭ.
На вкладке “Firewall”
(рисунок 4.9) возможно добавление правил фильтрации трафика, которые сами имеют
широкий спектр настроек, начиная с источников и получателей проходящего трафика
и заканчивая сервисами и временем активности правил, назначения правил для
конкретных доменных пользователей, сетей и другой функционал самого межсетевого
экрана.
Рисунок 4.9 – Политики “Firewall” в SmartDashBoard
На вкладке “Application & URL Filtering” (рисунок 4.10) имеется
возможность установления политик для настройки межсетевого экрана уровня
приложений (например, Skype) или безопасности WEB-среды (например, блокирование доступа на www.youtube.com).
Рисунок 4.10 - Политики “Application & URL Filtering в SmartDashBoard
На вкладке “Data Loss Prevention” настраиваются политики по
предотвращению потери данных. Главный недостаток - не контролируются рабочие
станции. В разделе “IPS”
(система предотвращения вторжений) настраивается отслеживание и блокирование
нежелательного трафика, с возможностью задания сигнатур, протокольных аномалий
и других настроек для профилей (рисунок 4.11).
Рисунок 4.11 - Настройки “Data Loss Prevention” и “IPS”
Имеется настройка политик “Threat Prevention” для защиты от вирусов и
ботов, “Anti-Spam & mail’дает возможность отслеживать спам и другие
пакеты корпоративной почты (рисунок 4.12).
Рисунок 4.12 - Настройки “Threat Prevention” и “Anti-Spam & mail”
“Mobile Access” предлагает три варианта подключения к
корпоративной сети и доступа к рабочим ресурсам: VPN-клиент; SSL VPN пользователь; доступ с
помощью мобильного приложения (рисунок 4.13).
Рисунок 4.13 - Настройки
“Mobile Access”
На вкладке “IPSec
VPN” производится построение и настройка частных виртуальных сетей. Раздел “Compliance” позволяет наглядно оценить безопасность
настройки шлюзов, а также произвести автоматические настройки и выдачу
рекомендаций по защите сети. В разделе “QOS” производится настройка политик приоритета
трафика (рисунок 4.14).
Рисунок 4.14 - Окно
обзора “Compliance” (сверху)
и политики “QOS” (снизу)
Вышеприведенные возможности FireWall-1 являются
основными и содержат еще поднастройки.
Заключение
МЭ Cisco испытывает трудности со скоростью
установки VPN при
большом количестве туннелей, нежели Check
Point. Пропускная
способность самого быстрого устройства Cisco из рассмотренных ASA 5500-X
равна 4Гбит/с, когда пропускная способность самого быстрого из рассмотренных
устройств Check Point
достигает 120Гбит/с.Check Point
дает возможность централизованного управления политикой IT-безопасности с единой консоли
администратора, а сам МЭ FireWall-1 имеет большее число настроек.FireSIGHT Management Center
дает возможность одновременного вывода диаграмм и графиков по информации.
Программные блейды компании Check Point предоставляют пользователям гибкость в
расширении услуг при возникновении новых угроз.
Список литературы:
1.
Лебедь С.В. Межсетевое экранирование. Теория и
практика защиты внешнего периметра. – М.: Изд-во МГТУ им. Н.Э. Баумана, 2002. –
304 с.: ил.
2.
Олтри Т.
Практическое применение межсетевых экранов: Пер. с англ. — М: ДМК Пресс, 2001.
– 400 с.: ил. (Серия «Защита и администрирование»)
3.
Santos
O., Kampanakis P., Woland
A. (2017) Cisco Next-Generation
Security Solutions: All-in-one Cisco ASA FirePOWER
Services, NGIPS,and AMP, Indiapolis: Cisco Press.
4.
Лапонина О.Р Межсетевое
экранирование. – Бином, 2014. – 343 с.
5.
Межсетевой экран
[Электронный ресурс] // URL: https://ru.wikipedia.org/ - Дата обращения
25.10.2017.
6.
Cisco
[Электронный ресурс] // URL: https://ru.wikipedia.org/wiki/Cisco
- Дата обращения 25.10.2017.
7.
Check Point [Электронный ресурс] // URL: https://ru.wikipedia.org/wiki/Check_Point - Дата
обращения 25.10.2017.
8.
Официальный сайт
компании Cisco [Электронный ресурс] // URL: https://www.cisco.com/c/ru_ru/index.html - Дата обращения 25.10.2017.
9.
Официальный сайт
компании Check Point [Электронный ресурс] // URL: https://www.checkpoint.com/ru/ - Дата обращения
25.10.2017.
10.
Unified threat management [Электронный ресурс] // URL:
https://ru.wikipedia.org/wiki/Unified_threat_management- Дата обращения
25.10.2017.
Комментарии:
