Что такое сетевой экран и зачем он нужен?

Статьи
25 мая 2020

Один из популярных методов защиты от внешних угроз — сетевой экран. Он позволяет закрыть пользовательские ПК от вирусов, червей, троянских программ и действий злоумышленников. Сетевые экраны могут быть программными и аппаратными, их основная задача — контролировать и фильтровать проходящий сетевой трафик. Фильтрация выполняется в соответствии с набором инструкций, которые принято называть правилами.

Для того, чтобы не допустить проникновения на защищаемую систему зловредного ПО, сетевой экран анализирует структуру и содержимое пакетов данных. «Хорошие» пакеты, где нет проблемных элементов пропускаются, а «плохие» — блокируются. Если обнаруживается серьезная угроза, сетевой экран предупреждает пользователя/администратора. Кстати, сетевые экраны называют и немного по-другому — «межсетевые экраны».

Сетевые приложения генерируют специфические пакеты данных, плюс для работы такого софта нужны выделенные порты. Так, браузеры используют 80-й порт для исходящих TCP-соединений, а также 53 порт DNS-сервера. Skype получает и отправляет данные по 44583 порту. Если закрыть порт, используемый приложением, оно перестанет работать — тот же Skype не сможет ни получать, ни отправлять сообщения, включая аудио и видео. Используют порты не только обычные приложения, но и зловреды. Некоторые из них задействуют определенные порты, блокировав которые, можно закрыть угрозу со стороны вредоносного софта.

При необходимости сетевой экран может настраивать список фильтрации, добавляя в него известные угрозы. Так, если защитное ПО обнаруживает во входящем трафике признаки зловреда, который находится в черном списке, то эти данные блокируются. Кроме того, сетевой экран может сравнивать входящие пакеты с эталонными, безопасными. Если уровень сходства достаточно высокий, данные пропускаются. В таком случае работает правило «белых списков», когда разрешены лишь пакеты данных, соответствующие эталонам, прописанным в правилах. Вся остальная информация блокируется.

Сетевые экраны — надежный метод защиты. Об их востребованности можно судить хотя бы по тому, что операционную систему Windows поставляют со встроенным сетевым экраном, который Microsoft рекомендует никогда не выключать. Для обычного пользователя такой защиты вполне хватит, но если нужен более высокий уровень — требуется маршрутизатор.

К слову, сетевые экраны называют еще и файрволлами (от английского firewall) или брандмауэрами.

Насколько это надежно?

У разных сетевых экранов степень защиты разная. Чтобы выбрать правильное решение, нужно ответить на вопрос «для чего нужен сетевой экран?». Наиболее высокий уровень требуется тем организациям, которые работают с государственной тайной или ценными корпоративными данными. В этом случае подходят экраны 1-го класса. Для большинства государственных учреждений, включая школы, вузы, муниципалитеты, хватит комплекса 5-го класса. Подробнее о классификации по уровню защиты можно почитать здесь.

Коммерческие организации чаще всего используют комбинированные решения. Основные критерии для бизнеса — стоимость системы, ее производительность, уровень защиты и количество функций.

Небольшие компании часто используют программное решение, который устанавливается лишь на один из компьютеров сети, который выполняет роль шлюза. Плюс такого решения — невысокая стоимость и простая реализация. Минус — слабый уровень защиты.

Наиболее серьезная защита используется крупным бизнесом. Чаще всего это комбинация оборудования вроде маршрутизаторов с проверенным программным обеспечением. Такой сетевой экран может полностью закрыть компьютер или их сеть от внешних угроз. Сетевые экраны используются разработчиками ПО, специалистами по информационной безопасности, обычными пользователями.

Функции и возможности сетевых экранов

Решения разных производителей отличаются друг от друга, но в целом их возможности можно свести к пяти основным пунктам:

  • Фильтрация доступа к незащищенным сервисам и службам;
  • Блокирование внешних угроз, вроде попытки получения закрытой информации из защищенной подсети или внедрения зловредного ПО;
  • Контроль доступа к отдельным элементам сети;
  • Логирование угроз и действий защитной системы;
  • Уведомление об угрозах, включая атаки на сеть или сетевой экран.

Консалтинговая компания Gartner, Inc предложила собственный список функций, которые должны быть у любого современного сетевого экрана:

  • Стандартные возможности, описанные выше;
  • Встроенная система предотвращения вторжения;
  • Возможность учета и контроля особенностей приложений, что дает возможность быстро идентифицировать угрозы;
  • Система обновлений, позволяющая получать информацию о новых угрозах и оперативно на них реагировать;
  • Технология защиты от угроз.

Современные сетевые экраны оснащаются и дополнительными функциями, которые могут быть полезны в организации — компании, учебном заведении, государственном учреждении. К таким функциям относят:

  • Блокировку ресурсов с неподходящим по какой-либо причине контентом. Это развлекательные сайты и сайты категории ХХХ для компаний и вузов, ресурсы с опасной для детей информацией и т.п. Социальные сети часто блокируются в компаниях, чтобы сотрудники не отвлекались от работы.
  • Составление отчетов о посещении различных сайтов тем либо иным сотрудником. Руководитель в этом случае понимает, кто из подчиненных работает, а кто — только делает вид.
  • Распределение трафика по отдельным пользователям. Если пакет трафика ограничен, есть возможность установить ограничение для каждого пользователя — выделять определенный лимит в день, неделю, месяц.
  • Идентификация пользователей по SMS или другим способом. Эта функция стала востребованной после выхода в РФ соответствующего закона.

Недостатки сетевых экранов

Основная проблема такой схемы защиты — сетевой экран не может фильтровать те данные, которые не удалось проанализировать и распознать. Правда, пользователь может самостоятельно настроить обработку таких пакетов, их можно как блокировать, так и пропускать в систему. К пакетам, которые обычно не распознаются экранами, относятся данные из протоколов SRTP, IPsec, SSH, TLS. В них для скрытия содержимого используется криптография. Кроме того, это еще и протоколы, которые шифруют данные прикладного уровня (S/MIME и OpenPGP).

Несмотря на указанные проблемы, межсетевые экраны — достаточно надежный метод защиты частной или корпоративной информации. Они способны предотвратить кибератаку, выявить и ликвидировать троянское ПО или пресечь попытку сотрудника компании зайти на сайт с вредоносным программным обеспечением. Разобраться в многообразии сетевых экранов непросто, но главное здесь — идентифицировать собственные потребности и выбрать защиту, которая им соответствует.