Εταιρικό τείχος προστασίας. Επιλογή διακομιστή μεσολάβησης ή πύλης για την εταιρεία

Ένα αναπόσπαστο στοιχείο της προστασίας του δικτύου ενός μεγάλου οργανισμού από εισβολές από εισβολείς είναι ένα εταιρικό τείχος προστασίας. Εφιστούμε στην προσοχή σας ερωτήσεις που πρέπει να ληφθούν υπόψη πριν αποφασίσετε να το αγοράσετε.

Πολλές δεκάδες εταιρείες πωλούν τείχη προστασίας για οποιοδήποτε περιβάλλον: από τείχη προστασίας για επιτραπέζιους υπολογιστές και τείχη προστασίας SOHO έως τείχη προστασίας κατηγορίας παρόχου Η επιλογή είναι μερικές φορές απλά τεράστια.

Επομένως, η λήψη της σωστής απόφασης για την αγορά ME είναι αδύνατη χωρίς τη βαθιά κατανόηση των αναγκών ασφάλειας δικτύου.

Πριν κάνετε μια τέτοια αγορά, θα πρέπει πρώτα να φροντίσετε να αναπτύξετε μια αποτελεσματική πολιτική ασφάλειας στον οργανισμό σας. Αυτή η πολιτική θα σας βοηθήσει να επιλέξετε τον κατάλληλο τύπο ME για το εταιρικό σας περιβάλλον. Στη συνέχεια, πρέπει να προσδιορίσετε όλα τα στοιχεία ευπάθειας που είναι εγγενή σε συγκεκριμένες επιλογές πρόσβασης στο δίκτυό σας. Εάν, για παράδειγμα, διατηρείτε μια δημόσια τοποθεσία Web της οποίας το δυναμικό περιεχόμενο προέρχεται από μια εταιρική βάση δεδομένων, τότε δημιουργείτε μια κερκόπορτα από το δημόσιο δίκτυο μέσω του τείχους προστασίας απευθείας στην εταιρική βάση δεδομένων. Τα περισσότερα τείχη προστασίας δεν θα μπορούν να σας προστατεύσουν από επιθέσεις που πραγματοποιούνται σε επίπεδο εφαρμογής, επομένως, πρέπει να ασφαλίσετε κάθε σύνδεσμο στην αλυσίδα "Διακομιστής Ιστού - εταιρική βάση δεδομένων" και το τείχος προστασίας θα πρέπει να θεωρείται ως ένα ενιαίο σημείο πρόσβασης. Τέλος, ενσταλάξτε τις βασικές πρακτικές ασφαλείας σε όλους στον οργανισμό σας: όχι μη εξουσιοδοτημένα μόντεμ στα γραφεία, χωρίς εφαρμογές τηλεχειρισμού κ.λπ.

Ασφάλεια ή απόδοση

Τα τείχη προστασίας διακομιστή μεσολάβησης εφαρμογών, όπως το Gauntlet της Network Associates Technology, το Secure Computing's Sidewinder και το Enterprise Firewall της Symantec (παλαιότερα γνωστό ως Raptor, προϊόν της Axent), επιθεωρούν κάθε πακέτο δεδομένων μέχρι το επίπεδο εφαρμογής, παρέχοντας πιο ολοκληρωμένο έλεγχο της κυκλοφορίας μεταβιβάστηκε σε εσωτερικούς διακομιστές. Για παράδειγμα, ένας διακομιστής μεσολάβησης HTTP μπορεί να ρυθμιστεί ώστε να επιτρέπει τη λήψη εντολών αλλά όχι να δημοσιεύει εντολές, να περιορίζει το μήκος των διευθύνσεων URL για να αποτρέπονται επιθέσεις υπερχείλισης buffer ή να επιβάλλονται περιορισμοί στους τύπους MIME, π.χ. κατάργηση εκτελέσιμων συνημμένων και άλλου επικίνδυνου περιεχομένου. Τα τείχη προστασίας που βασίζονται σε διαμεσολάβηση λειτουργούν συνήθως πιο αργά από τα τείχη προστασίας που βασίζονται σε SPF, επειδή εκτελούν περισσότερη επεξεργασία δεδομένων.

Κάθε φορά που οι οθόνες SPF λάμβαναν υψηλότερες βαθμολογίες στις κριτικές μας από τις ME που βασίζονταν σε ενδιάμεσες ενότητες, λαμβάναμε πολλά γράμματα από αγανακτισμένους αναγνώστες. Συνήθως συνοψίζονται στο ίδιο πράγμα: εάν χρειάζεται πραγματικά να διασφαλίσετε την ασφάλεια, τότε η μόνη σας επιλογή είναι ένας διακομιστής μεσολάβησης εφαρμογής. Κατά τη γνώμη μας, αυτό είναι και αλήθεια και ψευδές. Οι ενότητες διαμεσολάβησης, φυσικά, παρέχουν υψηλότερο βαθμό ασφάλειας, αλλά το κάνουν με κόστος απόδοσης. Κατά τη διάρκεια της δοκιμής μας, οι ME που βασίζονταν σε διακομιστή μεσολάβησης εφαρμογών λειτούργησαν κατά μέσο όρο 50% πιο αργά από τις συσκευές SPF. Εάν το ME σας είναι συνδεδεμένο σε ένα δίκτυο ευρείας περιοχής, όπως μια γραμμή T3 ή πιο αργή, και δεν χρειάζεται να υποστηρίζετε δεκάδες χιλιάδες ταυτόχρονες συνεδρίες, τότε ο διακομιστής μεσολάβησης εφαρμογής ME είναι πραγματικά η καλύτερη επιλογή για εσάς. Πρέπει να γνωρίζετε τα τρέχοντα επίπεδα επισκεψιμότητας και τα αναμενόμενα επίπεδα επισκεψιμότητας, ώστε να μπορείτε να μοιραστείτε αυτές τις πληροφορίες με τον προμηθευτή σας, ώστε να σας βοηθήσει να επιλέξετε τον σωστό εξοπλισμό. Φυσικά, μπορείτε πάντα να εξισορροπείτε το φορτίο στο ME χρησιμοποιώντας εξωτερικούς εξισορροπητές φορτίου.

Εάν υποστηρίζετε μια δημοφιλή τοποθεσία Web και η κυκλοφοριακή συμφόρηση είναι απαράδεκτη για εσάς, επιλέξτε μια συσκευή SPF. Τέτοια τείχη προστασίας κλιμακώνονται καλύτερα και υποστηρίζουν μεγαλύτερο αριθμό συνδέσεων, αλλά επιτρέπουν τη διέλευση κάθε κίνησης που πληροί τους κανόνες που έχουν θεσπιστεί για τα πρωτόκολλα, έτσι η διαδρομή είναι ανοιχτή για υπερχείλιση buffer και επιθέσεις επιπέδου εφαρμογής. Εάν χρειάζεστε την απόδοση που παρέχουν οι λύσεις SPF, βεβαιωθείτε ότι οι διακομιστές Ιστού και βάσεων δεδομένων σας προστατεύονται καλά και διαθέτουν τις πιο πρόσφατες ενημερώσεις κώδικα.

Το ζήτημα της απόδοσης γίνεται ακόμη πιο σοβαρό εάν χρειάζεται να εκτελέσετε διαδικασίες έντασης CPU, όπως κατά την ανάπτυξη εικονικών ιδιωτικών δικτύων (VPN). Η κρυπτογράφηση μπορεί να γονατίσει τον πιο ισχυρό επεξεργαστή, αναιρώντας έτσι την απόδοση του ME. Σχεδόν όλα τα τείχη προστασίας στην αγορά υποστηρίζουν VPN και μερικές φορές η χρήση τους για την οργάνωση εικονικών ιδιωτικών δικτύων δικαιολογείται. Ωστόσο, εάν υποστηρίζετε έναν μεγάλο αριθμό δικτύων ή μια εκτενή λίστα χρηστών, τότε θα πρέπει να χρησιμοποιήσετε εξοπλισμό ειδικά σχεδιασμένο για να μεγιστοποιήσετε την απόδοση των λειτουργιών κρυπτογράφησης (κρυπτοεπιταχυντές) για να χειριστείτε διαδικασίες VPN.

Τα τείχη προστασίας που χρησιμοποιούν CPU γενικής χρήσης, όπως το FireWall-1 της Check Point και το PIX της Cisco, δεν πληρούν τις απαιτήσεις για υποστήριξη εφαρμογών εύρους ζώνης μεσαίου επιπέδου, ακόμη και όταν χρησιμοποιούνται επιταχυντές κρυπτογράφησης. Ορισμένα τείχη προστασίας, όπως αυτά από το NetScreen, εκτελούν το μεγαλύτερο μέρος της επεξεργασίας σε υλικό και επομένως δεν παρεμβάλλονται από διεργασίες VPN, αλλά αυτό έχει το κόστος κάποιας μείωσης της ευελιξίας του συστήματος.

Υψηλή Διαθεσιμότητα

ME με υψηλό συντελεστή διαθεσιμότητας εξασφαλίζουν τη διέλευση της κυκλοφορίας χωρίς καθυστερήσεις, ακόμη και σε περίπτωση βλάβης του εξοπλισμού. Υπάρχουν δύο μηχανισμοί για να ξεπεραστούν οι αστοχίες. Στον μηχανισμό ανακατεύθυνσης χωρίς κατάσταση, εάν αποτύχει το κύριο ME, επαναφέρονται όλες οι περίοδοι σύνδεσης επικοινωνίας. Και όταν αναλάβει το εφεδρικό τείχος προστασίας, οι συνδέσεις για όλες τις περιόδους λειτουργίας πρέπει να αποκατασταθούν. Στον μηχανισμό ανακατεύθυνσης κατάστασης, και οι δύο ME ανταλλάσσουν πληροφορίες σχετικά με την κατάσταση των περιόδων σύνδεσης μέσω μιας αποκλειστικής γραμμής, και εάν ο ένας ME αποτύχει, ο άλλος, όπως λένε, «θα πάρει τη σκυτάλη» και θα συνεχίσει να εργάζεται χωρίς να διακόψει τις συνεδρίες. Σε αυτήν την περίπτωση, το εφεδρικό ME αναλαμβάνει όλα τα χαρακτηριστικά αναγνώρισης του κύριου ME, συμπεριλαμβανομένων των διευθύνσεων IP και MAC (Έλεγχος πρόσβασης μέσων), και συνεχίζει να επεξεργάζεται την κυκλοφορία. Αφού το εφεδρικό ME έχει αναλάβει τις λειτουργίες του κύριου, κατά κανόνα συνεχίζει να λειτουργεί με αυτήν την ιδιότητα μέχρι την επόμενη αποτυχία.

Η χρήση ενός μηχανισμού ανακατεύθυνσης κατάστασης είναι, κατά κανόνα, προτιμότερη και τέτοια ME δεν είναι πιο ακριβά από συσκευές με μηχανισμό ανακατεύθυνσης χωρίς κατάσταση. Το μειονέκτημα του stateful failover είναι ότι πρέπει να πληρώσετε δύο φορές για τη λύση του τείχους προστασίας, επειδή Στην πραγματικότητα χρησιμοποιείτε μόνο το 50% της συνολικής επεξεργαστικής του ισχύος. Ωστόσο, η αντιμετώπιση των αστοχιών διαρκεί μόνο μερικά χιλιοστά του δευτερολέπτου για τέτοιους ME και η ροή της κυκλοφορίας είναι πρακτικά αδιάκοπη.

Η ανοχή σφαλμάτων μπορεί να επιτευχθεί με διάφορους τρόπους, ανάλογα με τον τύπο της συσκευής δικτύου. Οι δρομολογητές χρησιμοποιούν πρωτόκολλα δρομολόγησης όπως RIP και OSPF για να ανακατευθύνουν την κυκλοφορία γύρω από το σημείο αποτυχίας, εάν είναι δυνατόν, αλλά είναι απίθανο να βρείτε ένα τείχος προστασίας που να επιτρέπει σε μια εξωτερική συσκευή να "υπαγορεύει" πληροφορίες δρομολόγησης σε αυτήν.

Μπορείτε επίσης να χρησιμοποιήσετε εξωτερικούς εξισορροπητές φορτίου για να δημιουργήσετε διαμορφώσεις ME με αποδεκτή ανοχή σφαλμάτων. Αυτή η διαμόρφωση περιλαμβάνει συνήθως δύο εξισορροπητές φορτίου και δύο ME. Εάν ένα από τα τείχη προστασίας αποτύχει, το πρόγραμμα εξισορρόπησης φορτίου ανακατευθύνει την κυκλοφορία στο υπόλοιπο τείχος προστασίας. Σε αυτήν την επιλογή, οι ME συνήθως δεν ανταλλάσσουν πληροφορίες συνεδρίας, αλλά και οι δύο είναι σε κατάσταση λειτουργίας μέχρι τη στιγμή της αποτυχίας.

Φυσικά, η αστοχία της συσκευής ME είναι μόνο μία από τις πιθανές αιτίες αποτυχίας. Μια αποτυχία του διακομιστή διαχείρισης δεν θα έχει λιγότερο καταστροφικές συνέπειες για τη λειτουργία του δικτύου. Εάν ο σκληρός δίσκος του διακομιστή διαχείρισης αποτύχει ή ο ανεμιστήρας της CPU καεί, δεν θα μπορείτε να διαχειριστείτε το ME ή να ανακτήσετε αρχεία καταγραφής μέχρι να επιλυθεί η αποτυχία. Εάν έχετε ένα μικρό δίκτυο με ελάχιστη κίνηση, τότε πιθανότατα μπορείτε να χειριστείτε αυτό το crash. Αλλά αν εργάζεστε σε έναν μεγάλο οργανισμό και διαχειρίζεστε πολλά ΜΕ, τότε η απώλεια ενός σταθμού ελέγχου μπορεί να είναι σοβαρό πρόβλημα.

Η Check Point, η Lucent Technologies και αρκετοί άλλοι προμηθευτές προσφέρουν σταθμούς ελέγχου με ανοχή σε σφάλματα. Όταν αλλάζουν οι κανόνες του τείχους προστασίας, ένας τέτοιος σταθμός ελέγχου προωθεί πληροφορίες σχετικά με τις αλλαγές στο ME και στους βοηθητικούς σταθμούς ελέγχου.

ME class SOHO και επιτραπέζιος υπολογιστής

Η εγκατάσταση και η συντήρηση απομακρυσμένων τειχών προστασίας ή τείχους προστασίας επιφάνειας εργασίας είναι ζωτικής σημασίας για την ασφάλεια του εταιρικού δικτύου. Πολλοί πωλητές προσφέρουν SOHO (μικρό/οικιακό γραφείο) κατηγορίας ME που υποστηρίζουν έως και 10 κόμβους. Τα ME της κατηγορίας SOHO είναι συχνά λιγότερο ακριβά (περίπου 500 $) από τα πιο ισχυρά αντίστοιχά τους, αλλά προσφέρουν το μεγαλύτερο μέρος, αν όχι όλη, τη λειτουργικότητα του τελευταίου και μπορούν να ελέγχονται και να παρακολουθούνται από έναν κεντρικό σταθμό ελέγχου.

Τα τείχη προστασίας κλάσης SOHO παρέχουν επίσης καλύτερη ασφάλεια από τους δρομολογητές NAT/NAPT επειδή επιτρέπουν την παρακολούθηση της απομακρυσμένης κίνησης δικτύου. Για παράδειγμα, εάν εκτελείτε μια εφαρμογή intranet, μια εφαρμογή email και μια εφαρμογή συνεργασίας, μπορείτε και πρέπει να διαμορφώσετε το απομακρυσμένο τείχος προστασίας με τους αυστηρότερους δυνατούς κανόνες πρόσβασης για να ελαχιστοποιήσετε την πιθανότητα εισβολής από το απομακρυσμένο δίκτυο. Οι φτηνοί δρομολογητές NAT/NAPT δεν παρέχουν τέτοιες δυνατότητες.

Όλα τα τείχη προστασίας επιφάνειας εργασίας παρέχουν απομακρυσμένη υποστήριξη και το SecureClient του Check Point παρέχει ακόμη και διαμορφώσιμα σύνολα κανόνων πολιτικής ασφαλείας. Για παράδειγμα, σε μια περίπτωση στο εταιρικό σας περιβάλλον ενδέχεται να έχει αναπτυχθεί ένα εικονικό ιδιωτικό δίκτυο, σε μια άλλη περίπτωση οι τελικοί χρήστες σας ενδέχεται να έχουν τη δυνατότητα να σερφάρουν στον Ιστό.

Παρόμοιο επίπεδο λειτουργικότητας και ασφάλειας μπορεί να επιτευχθεί χρησιμοποιώντας ένα τείχος προστασίας επιφάνειας εργασίας τρίτου κατασκευαστή (όπως το CyberArmor του InfoExpress ή το Sygate Personal Firewall Pro του Sygate, που υποστηρίζουν κεντρική διαχείριση) και πελάτες VPN από τον κεντρικό προμηθευτή τείχους προστασίας, αλλά ενδέχεται να προκύψουν διενέξεις μεταξύ αυτών των εφαρμογών . Εάν ο προμηθευτής του κεντρικού σας τείχους προστασίας δεν επιβεβαιώσει ότι ένα δεδομένο τείχος προστασίας επιτραπέζιου υπολογιστή τρίτου κατασκευαστή υποστηρίζεται από αυτόν, τότε είναι καλύτερα να επιμείνετε σε μια σειρά προϊόντων με έναν προμηθευτή.

Θα βρείτε πιο λεπτομερείς πληροφορίες για τα τείχη προστασίας στην πρόσφατη ανασκόπησή μας (Δίκτυα και συστήματα επικοινωνίας. NN.2,3 2002).

Μια πύλη Διαδικτύου είναι ένα πολύ σημαντικό στοιχείο του πληροφοριακού συστήματος κάθε εταιρείας. Σήμερα θα δούμε αρκετούς δημοφιλείς διακομιστές μεσολάβησης στη χώρα μας, θα αξιολογήσουμε τις δυνατότητές τους και θα προσδιορίσουμε τις θετικές και αρνητικές πτυχές τους. λογισμικό με άδεια χρήσης.

Μια πύλη Διαδικτύου είναι ένα πολύ σημαντικό στοιχείο του πληροφοριακού συστήματος κάθε εταιρείας. Αφενός, διασφαλίζει συλλογική εργασία στο Διαδίκτυο για όλους τους υπαλλήλους του, επομένως ο διακομιστής μεσολάβησης βάσει του οποίου είναι οργανωμένος πρέπει να είναι πολυλειτουργικός, εύχρηστος και να παρέχει τη δυνατότητα δημιουργίας ευέλικτων πολιτικών για τη χρήση του παγκόσμιου δικτύου . Από την άλλη πλευρά, η πύλη του Διαδικτύου είναι αυτή που «φυλάσσει» τα εξωτερικά όρια του εταιρικού πληροφοριακού συστήματος και είναι η πύλη που πρέπει να συναντήσει και να αποκρούσει όλες τις προσπάθειες επηρεασμού του τοπικού δικτύου από το Διαδίκτυο. Επομένως, ο διακομιστής μεσολάβησης πρέπει να εφαρμόσει όλους τους απαραίτητους μηχανισμούς προστασίας έναντι διαφόρων τύπων απειλών.

Σήμερα θα δούμε αρκετούς δημοφιλείς διακομιστές μεσολάβησης στη χώρα μας, θα αξιολογήσουμε τις δυνατότητές τους και θα προσδιορίσουμε τις θετικές και αρνητικές πτυχές τους.

Kerio Control

Τα εταιρικά τείχη προστασίας (firewalls) ελέγχουν την κίνηση που εισέρχεται και εξέρχεται από το τοπικό εταιρικό δίκτυο και μπορεί να είναι είτε αμιγώς λογισμικό είτε σύμπλοκα υλικού-λογισμικού.

Στον τομέα των δικτύων υπολογιστών, ένα τείχος προστασίας είναι ένα εμπόδιο που προστατεύει από μια "εικονική" πυρκαγιά - απόπειρες εισβολής σε ένα δίκτυο προκειμένου να αντιγράψουν, να αλλάξουν ή να διαγράψουν πληροφορίες ή να επωφεληθούν από το εύρος ζώνης, τη μνήμη ή την επεξεργασία ισχύς των υπολογιστών που λειτουργούν στο δίκτυο.

Ένα τείχος προστασίας είναι εγκατεστημένο στα σύνορα δύο δικτύων - του Διαδικτύου και ενός LAN, γι 'αυτό ονομάζεται επίσης τείχος προστασίας. Φιλτράρει όλα τα εισερχόμενα και εξερχόμενα δεδομένα, επιτρέποντας τη διέλευση μόνο εξουσιοδοτημένων πακέτων. Πιο γρήγορα, Το τείχος προστασίας είναι μια προσέγγιση στην ασφάλεια; Βοηθά στην εφαρμογή πολιτικών ασφαλείας που ορίζουν τις επιτρεπόμενες υπηρεσίες και τους τύπους πρόσβασης σε αυτές, καθώς και άλλα μέτρα ασφαλείας, όπως ο ισχυρός έλεγχος ταυτότητας αντί για στατικούς κωδικούς πρόσβασης. Ο κύριος σκοπός ενός συστήματος τείχους προστασίας είναι να ελέγχει την πρόσβαση στο προστατευμένο δίκτυο.Επιβάλλει την πολιτική πρόσβασης στο δίκτυο αναγκάζοντας όλες τις συνδέσεις δικτύου να περνούν μέσα από το τείχος προστασίας, όπου μπορούν να αναλυθούν και να επιτραπούν ή να απορριφθούν.

Το φιλτράρισμα πακέτων είναι ένα από τα παλαιότερα και πιο κοινά εργαλεία ελέγχου πρόσβασης στο δίκτυο. Χωρίς εξαίρεση, όλα τα τείχη προστασίας μπορούν να φιλτράρουν την κυκλοφορία. Ιδέα: Προσδιορίστε εάν ένα δεδομένο πακέτο επιτρέπεται να εισέλθει ή να εξέλθει από το δίκτυο.

Η πύλη επιπέδου συνεδρίας παρακολουθεί τη χειραψία μεταξύ του εξουσιοδοτημένου πελάτη και του εξωτερικού κεντρικού υπολογιστή (και αντίστροφα), προσδιορίζοντας εάν η ζητούμενη περίοδος επικοινωνίας είναι έγκυρη. Για να φιλτράρετε πακέτα που δημιουργούνται από συγκεκριμένες υπηρεσίες δικτύου με βάση το περιεχόμενό τους, απαιτείται μια πύλη επιπέδου εφαρμογής.

Δυστυχώς, Τα τείχη προστασίας δεν μπορούν να λύσουν όλα τα προβλήματα ασφαλείας που σχετίζονται με τη χρήση καναλιών Διαδικτύου. Ταυτόχρονα, ορισμένα προβλήματα, όπως η προστασία των πληροφοριών από την υποκλοπή καθώς περνούν μέσω του Διαδικτύου, μπορούν να επιλυθούν προσθέτοντας τη δυνατότητα κρυπτογράφησης δεδομένων στο λογισμικό του τείχους προστασίας (ένας αριθμός τειχών προστασίας λογισμικού περιλαμβάνει το λεγόμενο τμήμα πελάτη, το οποίο επιτρέπει την κρυπτογράφηση όλης της κίνησης δικτύου μεταξύ πελάτη και διακομιστή).

Ωστόσο, καθώς τα συστήματα πληροφοριών εξελίσσονται προς την ολοένα και πιο διαδεδομένη χρήση του Διαδικτύου, οι τεχνολογίες που δημιουργούνται χωρίς να τα συνδέουν με χρήση σε συνδυασμό με τείχη προστασίας αρχίζουν να παίζουν σημαντικό ρόλο. Αυτό αναφέρεται στη χρήση διαδικτυακών πυλών, συμπεριλαμβανομένων των συστημάτων CRM. Μία από τις ανυπέρβλητες δυσκολίες για τα τείχη προστασίας με τη διαμόρφωση στατικής θύρας τους είναι η χρήση του KMI (απομακρυσμένη επίκληση μεθόδου - τοποθεσία) σε σύγχρονα συστήματα που επικεντρώνονται στην ευρεία χρήση της Java, όταν δεν είναι γνωστό εκ των προτέρων ποιες και πόσες θύρες δικτύου θα χρειαστούν. που θα ανοίξει για κάθε συγκεκριμένο αίτημα.

Μια λύση σε αυτό το πρόβλημα μπορεί να είναι η δημιουργία ενός εικονικού ιδιωτικού δικτύου χρησιμοποιώντας υλικό ή λογισμικό. Σε αυτή την περίπτωση, όλη η ανταλλαγή δικτύου, σε όλες τις θύρες δικτύου μεταξύ υπολογιστών οργανωμένων σε ένα VPN (εικονικό ιδιωτικό δίκτυο), πραγματοποιείται μέσω ανοιχτών καναλιών σε κρυπτογραφημένη μορφή, σχηματίζοντας έτσι μια ομοιότητα ενός τοπικού δικτύου «μέσα» στο Διαδίκτυο/Intranet. Είναι σημαντικό ότι για να εργαστείτε με ένα VPN, δεν χρειάζεται να κάνετε αλλαγές στο λογισμικό που χρησιμοποιείται - όλα μοιάζουν με κανονική εργασία στο δίκτυο. Πρέπει όμως να λάβουμε υπόψη ότι στις περισσότερες περιπτώσεις ένα VPN δεν αντικαθιστά ένα τείχος προστασίας. Είναι αδύνατο να εγκαταστήσετε έναν πελάτη VPN σε κάθε υπολογιστή που έχει πρόσβαση στον εταιρικό διακομιστή Web. Φαίνεται βέλτιστο να χρησιμοποιείτε τείχη προστασίας και VPN μαζί, όπου είναι δυνατόν.Για παράδειγμα, το eTrust Firewall μπορεί να ρυθμιστεί με τέτοιο τρόπο ώστε να συμπληρώνει το VPN, π.χ. Με τη βοήθεια του eTrust Firewall, προστίθεται μια άλλη στη λίστα των ανοιχτών θυρών, μέσω της οποίας πραγματοποιεί κρυπτογραφημένη ανταλλαγή με υπολογιστές οργανωμένους σε VPN και η θύρα μπορεί να ανοίξει όχι για όλους, αλλά για μια συγκεκριμένη ομάδα υπολογιστών.

Ο τομέας του τείχους προστασίας περιλαμβάνει πολλά τμήματα, ειδικότερα, περιλαμβάνει VPN. Η αγορά VPN είναι πολύ διαφορετική - υπάρχουν σχεδόν τόσοι κατασκευαστές όσα και προϊόντα. Οι απόψεις διαφορετικών ερευνητικών εταιρειών για την αγορά VPN αναδεικνύουν διαφορετικούς ηγέτες με μερίδιο που ξεπερνά το 60% - Cisco Systems και Check Point. Παραδόξως, όλοι έχουν δίκιο. Το μερίδιο της Cisco προέρχεται από τα δικά της προϊόντα — ένα μερίδιο που προέρχεται από την ηγετική θέση της Cisco σε ολόκληρη τη βιομηχανία. Η ηγετική θέση της Check Point διασφαλίζεται από την ανοιχτή τεχνολογία που λειτουργεί σε προϊόντα από διάφορες εταιρείες.

Θα πρέπει να σημειωθεί ιδιαίτερα ότι οι μικροί Ρώσοι προγραμματιστές λογισμικού έχουν στο οπλοστάσιό τους φθηνά και δοκιμασμένα στο χρόνο προγράμματα, τα πλεονεκτήματα πολλών από τα οποία αναγνωρίζονται σε πολλές ανεπτυγμένες χώρες του κόσμου.

Ακόμη και μια μικρή εταιρεία μπορεί να έχει μεγάλα μυστικά που πρέπει να προστατεύσει από τα αδιάκριτα βλέμματα. Αυτό σημαίνει ότι υπάρχει μια πιθανή απειλή για τους λάτρεις των μυστικών άλλων ανθρώπων. Για προστασία από μη εξουσιοδοτημένη πρόσβαση σε υπολογιστές σε τοπικό εταιρικό δίκτυο μέσω πρόσβασης στο Διαδίκτυο, απαιτείται ένα τείχος προστασίας. Αν ψάχνετε για ένα εταιρικό τείχος προστασίας, τότε ρίξτε μια πιο προσεκτική ματιά στο προϊόν της Kerio - Kerio WinRoute Firewall. Αρκετοί άνθρωποι γνωρίζουν το τείχος προστασίας Kerio για ιδιώτες χρήστες από το φθινόπωρο του 2006, οι Ρώσοι χρήστες έχουν επίσης ένα εταιρικό προϊόν (πωλήθηκε σε άλλες χώρες στο παρελθόν).

Kerio WinRoute Firewall από την Kerio Technologies Inc. είναι μια ολοκληρωμένη λύση που περιλαμβάνει τείχος προστασίας, διακομιστή VPN, φίλτρο προστασίας από ιούς και περιεχόμενο και έχει σχεδιαστεί για την προστασία των εταιρικών δικτύων μικρών και μεσαίων επιχειρήσεων.

Τα κύρια χαρακτηριστικά αυτού του τείχους προστασίας:

• το ίδιο το τείχος προστασίας με πολύ ευέλικτη διαμόρφωση πολιτικών πρόσβασης για κάθε χρήστη.
• ενσωματωμένος διακομιστής VPN.
• ενσωματωμένη προστασία από ιούς.
• διαχείριση της πρόσβασης σε ιστότοπους·
• φιλτράρισμα περιεχομένου.
• υποστήριξη για όλες τις τεχνολογίες πρόσβασης στο Διαδίκτυο: DSL, ISDN, καλωδιακές, δορυφορικές, ασύρματες και dial-up συνδέσεις.
• Υποστήριξη VoIP και UPnP.
• δυνατότητα απομακρυσμένης διαχείρισης.

Οι κανόνες είναι πολύ απλοί και σαφείς

Ο διαχειριστής μπορεί να διαμορφώσει τους κανόνες του τείχους προστασίας είτε ανεξάρτητα είτε χρησιμοποιώντας έναν οδηγό σε οκτώ βήματα. Το τελευταίο είναι ιδιαίτερα βολικό για αρχάριους διαχειριστές: η διαδικασία εγκατάστασης είναι απλοποιημένη. Όλοι οι κανόνες εμφανίζονται σε μία μόνο καρτέλα, η οποία απλοποιεί επίσης την καθημερινή εργασία. Η μόνη πιθανή δυσκολία για τους διαχειριστές συστήματος είναι η έλλειψη διεπαφής στη ρωσική γλώσσα και αρχείου βοήθειας. Αλλά, έχοντας ψάξει γύρω από το Διαδίκτυο, μπορείτε να βρείτε ένα ελαφρώς ξεπερασμένο, αλλά ακόμα σχετικό εγχειρίδιο.

Ένα ιδιαίτερο χαρακτηριστικό αυτού του τείχους προστασίας είναι η δυνατότητα παρακολούθησης των πρωτοκόλλων που χρησιμοποιούνται, συμπεριλαμβανομένων συγκεκριμένων πρωτοκόλλων που δεν σχετίζονται άμεσα με την κίνηση IP. Αυτή η λειτουργία σάς επιτρέπει να ελέγχετε και να προστατεύετε συγκεκριμένες εφαρμογές που είναι απαραίτητες για τις επιχειρηματικές δραστηριότητες των εταιρειών.

Ο έλεγχος πρόσβασης είναι δυνατός ακόμη και με βάση τη χωρητικότητα του καναλιού

Το ίδιο το κανάλι του Διαδικτύου μπορεί να ελεγχθεί όχι μόνο με τυπικά κριτήρια τείχους προστασίας (πρωτόκολλα, θύρες, χρήστες κ.λπ.), αλλά και από τη χωρητικότητα του καναλιού. Αυτή η ευκαιρία είναι ιδιαίτερα πολύτιμη για εταιρείες που χρησιμοποιούν ενεργά την τηλεφωνία IP στις δραστηριότητές τους. Αυτή η λειτουργία ελέγχου ονομάζεται Περιορισμός εύρους ζώνης και σας επιτρέπει να ορίσετε συγκεκριμένες παραμέτρους εύρους ζώνης καναλιών επικοινωνίας για ορισμένους χρήστες.

Το Kerio WinRoute Firewall εφαρμόζει τη δική του τεχνολογία για εργασία με κανάλια VPN. Το πρόβλημα της συμβατότητας μεταξύ των τεχνολογιών VPN και NAT επιλύθηκε χρησιμοποιώντας τη λειτουργία NAT Traversal, η οποία εξασφαλίζει σταθερή λειτουργία VPN με NAT, συμπεριλαμβανομένων πολλαπλών πυλών NAT. Τα ζητήματα ασυμβατότητας επιλύονται επιτρέποντας στις εφαρμογές δικτύου να ανιχνεύουν την παρουσία μιας συσκευής NAT, να τη διαμορφώνουν και να δημιουργούν τις απαραίτητες αντιστοιχίσεις μεταξύ των θυρών. Χάρη σε αυτό, η ρύθμιση των συνδέσεων VPN είναι πλέον πολύ απλή.

Το Kerio WinRoute Firewall περιλαμβάνει προστασία από ιούς McAfee

Ο συνδυασμός προστασίας από ιούς και τείχος προστασίας δεν είναι μια νέα ιδέα και έχει εφαρμοστεί από πολλούς προγραμματιστές λογισμικού. Ένα ιδιαίτερο χαρακτηριστικό του Kerio WinRoute Firewall είναι ότι η εταιρεία δεν ανέπτυξε τους δικούς της μηχανισμούς προστασίας από ιούς, αλλά ενσωμάτωσε στο τείχος προστασίας (καθώς και στον διακομιστή αλληλογραφίας του) μια εξαιρετική εξέλιξη από το McAfee Security - McAfee antivirus. Αυτή η ενσωματωμένη προστασία σάς επιτρέπει να αποφύγετε διενέξεις μεταξύ προγραμμάτων προστασίας από ιούς, εάν είναι εγκατεστημένα άλλα προγράμματα προστασίας από ιούς σε άλλους διακομιστές της εταιρείας. Επιπλέον, η ενσωμάτωση του μηχανισμού προστασίας από ιούς στον μηχανισμό προστασίας κατέστησε δυνατή την επιπλέον χρήση (εκτός από το ενσωματωμένο McAfee) άλλων εργαλείων προστασίας από ιούς που είναι εγκατεστημένα στον διακομιστή με το Kerio WinRoute Firewall. Για να το κάνετε αυτό, απλώς επιλέξτε το επιθυμητό antivirus από τη λίστα. Ας σημειώσουμε μόνο ότι η λίστα με τις υποστηριζόμενες δευτερεύουσες προστασίες προστασίας από ιούς δεν είναι πολύ μεγάλη και περιορίζεται μόνο σε επτά προϊόντα.

Θα πρέπει να σημειωθεί ότι αυτός ο συνδυασμός τείχους προστασίας και προστασίας από ιούς προσθέτει ευελιξία κατά την επιλογή προϊόντων για τη διατήρηση ενός εταιρικού δικτύου. Μπορείτε να αγοράσετε το Kerio WinRoute Firewall με ή χωρίς ενσωματωμένη προστασία προστασίας από ιούς, εάν έχετε ήδη έναν κυνηγό ιών που σας ικανοποιεί.

Το πρόσθετο στοιχείο ISS Orange Web Filter μπορεί επίσης να θεωρηθεί ως πρόσθετη χρήσιμη επιλογή. Αυτό το φίλτρο περιέχει μια λεπτομερή κατηγοριοποίηση ιστότοπων (περίπου 60 κατηγορίες συνολικά - ειδήσεις, αγορές, αθλήματα, ταξίδια, πορνογραφία κ.λπ.). Ταξινομήθηκαν περίπου 60 εκατομμύρια ιστότοποι και περισσότερες από 4,4 εκατομμύρια ιστοσελίδες σε 15 γλώσσες. Αυτή η δυνατότητα σάς επιτρέπει να διαμορφώσετε το Kerio WinRoute Firewall ώστε να αποκλείει αυτόματα την πρόσβαση των χρηστών σε ιστότοπους μιας συγκεκριμένης κατηγορίας. Η πρόσβαση μπορεί να περιοριστεί τόσο σε επίπεδο χρήστη όσο και σε επίπεδο ομάδας χρηστών.

Το Kerio WinRoute Firewall ενδέχεται να αρνηθεί την πρόσβαση σε δίκτυα ομοτίμησης

Με την αύξηση της απεριόριστης πρόσβασης στο Διαδίκτυο μέσω καναλιών υψηλής ταχύτητας, αυξάνεται η πιθανότητα των εργαζομένων να χρησιμοποιούν εταιρική κίνηση για λήψη αρχείων από δίκτυα κοινής χρήσης αρχείων (KaZaA, eDonkey, eMule ή DC++). Προκειμένου να διευκολυνθεί το έργο των διαχειριστών στον εντοπισμό τέτοιων γεγονότων, το Kerio WinRoute Firewall έχει μια ενσωματωμένη λειτουργία για τον αποκλεισμό της λειτουργίας των πελατών P2P. Μπορείτε επίσης να χρησιμοποιήσετε στατιστική ανάλυση κυκλοφορίας για να εντοπίσετε και να εξουδετερώσετε άγνωστα δίκτυα κοινής χρήσης αρχείων. Παρόμοιος έλεγχος κυκλοφορίας είναι δυνατός χρησιμοποιώντας το πρωτόκολλο FTP.

Όσον αφορά το φιλτράρισμα της κυκλοφορίας HTTP, θα πρέπει να σημειωθεί ότι είναι δυνατό να καθοριστεί η σειρά με την οποία επεξεργάζονται τα αντικείμενα ActiveX και τα σενάρια Java για να αποτραπεί η παράδοση δυνητικά επικίνδυνων κακόβουλων κωδικών μέσω του τείχους προστασίας. Μπορείτε επίσης να αποκλείσετε αναδυόμενα παράθυρα οποιουδήποτε τύπου, εξασφαλίζοντας άνετη περιήγηση στο διαδίκτυο για τους υπαλλήλους της εταιρείας.

Μια ενεργή αναζήτηση πληροφοριών στο Διαδίκτυο σχετικά με τις ευπάθειες που ανακαλύφθηκαν του Kerio WinRoute Firewall απέδωσε μόνο μία αναφορά. Και η ευπάθεια που εντοπίστηκε εξαλείφθηκε εύκολα με την αναβάθμιση στην πιο πρόσφατη έκδοση.

Περίληψη

Τείχος προστασίας πύλης Kerio WinRoute Firewall 6 από την Kerio Technologies Inc. παρέχει γενική ελεγχόμενη πρόσβαση στο Διαδίκτυο και προστασία από εξωτερικές επιθέσεις και ιούς. Επιπλέον, προβλέπει περιορισμό πρόσβασης σε ιστότοπους διαφόρων θεμάτων και περιορισμούς στη λειτουργία δικτύων peer-to-peer. Σχεδιασμένο ειδικά για δίκτυα μεσαίων και μικρών επιχειρήσεων, αυτό το τείχος προστασίας είναι αρκετά ελκυστικό όσον αφορά την αναλογία τιμής/ποιότητας, παρέχοντας υψηλό επίπεδο προστασίας.

Περιορισμοί συστήματος
Kerio WinRoute Firewall:

• Επεξεργαστής: Pentium III;
• RAM: 256 MB RAM;
• ελεύθερος χώρος στο δίσκο: 20 MB (απαιτείται επιπλέον χώρος στο δίσκο για αρχεία αναφοράς και λειτουργίες κρυφής μνήμης, ανάλογα με τις μεμονωμένες ρυθμίσεις).
• δύο διεπαφές δικτύου (συμπεριλαμβανομένης της τηλεφωνικής σύνδεσης).

Πελάτης Kerio VPN:

• Επεξεργαστής: Pentium III;
• RAM: 128 MB RAM;
• Ελεύθερος χώρος στο δίσκο: 5 MB;
• λειτουργικό σύστημα Windows 2000/XP/2003.

Όποιος έχει σκεφτεί ποτέ την ερώτηση "ποιο τείχος προστασίας να επιλέξει;" έχει συναντήσει πιθανώς το μαγικό τετράγωνο Gartner(γνωστό αναλυτικό πρακτορείο).

Στα τέλη Ιουνίου 2017 Μια άλλη έκθεση αγοράς κυκλοφόρησε Unified Threat Management (UTM) - Magic Quadrant for Unified Threat Management (SMB Multifunction Firewalls)και τον Ιούλιο του 2017 Enterprise Firewalls - Magic Quadrant for Enterprise Network Firewalls. Εάν ενδιαφέρεστε να μάθετε ποιος ήταν μεταξύ των ηγετών, πώς άλλαξε η κατάσταση τον τελευταίο χρόνο και ποιες τάσεις παρατηρούνται, τότε καλώς ήρθατε στο cat...

Αγορά UTM:

Επιτρέψτε μου να σας υπενθυμίσω ότι σύμφωνα με τον ορισμό της Gartner:

«Η ενοποιημένη διαχείριση απειλών (UTM) είναι μια συγκλίνουσα πλατφόρμα προϊόντων σημείων ασφάλειας, ιδιαίτερα κατάλληλη για μικρές και μεσαίες επιχειρήσεις (SMB). Τα τυπικά σύνολα χαρακτηριστικών εμπίπτουν σε τρία κύρια υποσύνολα, όλα εντός του UTM: τείχος προστασίας/σύστημα αποτροπής εισβολής (IPS)/εικονικό ιδιωτικό δίκτυο, ασφαλής ασφάλεια πύλης Ιστού (φιλτράρισμα URL, προστασία από ιούς Ιστού) και ασφάλεια μηνυμάτων (anti-spam, AV αλληλογραφίας). ”

Δηλαδή, αυτός ο ορισμός περιλαμβάνει πλατφόρμες ασφάλειας δικτύου που απευθύνονται σε μικρές εταιρείες (Small) και ελαφρώς μεγαλύτερες εταιρείες (Midsize) (Η Gartner θεωρεί τις μικρές εταιρείες (Small και Midsize Business) ως εταιρείες με 100 έως 1000 υπαλλήλους). Οι λύσεις UTM συνήθως περιέχουν τη σημερινή τυπική λειτουργικότητα τείχους προστασίας, ένα σύστημα πρόληψης εισβολής (IPS), μια πύλη VPN, ένα σύστημα φιλτραρίσματος κυκλοφορίας ιστού (φιλτράρισμα URL, σύστημα προστασίας από ιούς ροής για την κυκλοφορία ιστού) και ένα σύστημα φιλτραρίσματος επισκεψιμότητας αλληλογραφίας (φιλτράρισμα ανεπιθύμητων μηνυμάτων και σύστημα προστασίας από ιούς για την κυκλοφορία αλληλογραφίας), και φυσικά δεν μπορούμε να ξεχάσουμε το βασικό σύστημα δρομολόγησης και την υποστήριξη για διάφορες τεχνολογίες WAN.

Είναι ενδιαφέρον ότι, αν κρίνουμε από τις προβλέψεις της Gartner, η αγορά τείχους προστασίας μέχρι το 2020 θα θα παραμείνει περίπου στην ίδια κατάσταση που είναι τώρα. Το 2022 Σύμφωνα με τις προβλέψεις της Gartner, λύσεις της κατηγορίας θα αρχίσουν να χρησιμοποιούνται στο SMB Τείχος προστασίας ως υπηρεσία (FWaaS), δηλ. τείχη προστασίας cloud όπου η κίνηση πελατών θα διοχετεύεται και το μερίδιο των νέων εγκαταστάσεων στην αγορά μικρομεσαίων επιχειρήσεων θα είναι πάνω από 50%, σε σύγκριση με το τρέχον μερίδιο του 10%. Εξάλλου, 2022 Το 25% των χρηστών SMB θα χρησιμοποιήσει το τείχος προστασίας τους ως εργαλείο παρακολούθησης και ενδιάμεσο μεσίτη για την παροχή αποθέματος και τον έλεγχο της χρήσης των πόρων SaaS, ως μέσο διαχείρισης κινητών συσκευών ή ως μέσο επιβολής πολιτικών ασφαλείας σε συσκευές τελικού χρήστη (προς το παρόν λιγότερο από το 2% των χρηστών χρησιμοποιούν αυτή τη λειτουργία σε τείχη προστασίας). Οι λύσεις FWaaS θα γίνουν επίσης πιο δημοφιλείς για κατανεμημένες δομές καταστημάτων, με το 10% των νέων εγκαταστάσεων να χρησιμοποιούν αυτήν τη λύση σε σύγκριση με λιγότερο από 1% σήμερα.

Δεδομένου ότι οι λύσεις UTM απευθύνονται σε σχετικά μικρές εταιρείες (σύμφωνα με τα πρότυπα της Gartner), είναι σαφές ότι έχοντας λάβει όλη τη λειτουργικότητα από ένα κουτί, ο τελικός πελάτης με τον έναν ή τον άλλον τρόπο θα είναι ικανοποιημένος με συμβιβασμούς όσον αφορά την απόδοση, την αποτελεσματικότητα της ασφάλειας δικτύου και τη λειτουργικότητα , αλλά για τέτοιους πελάτες είναι επίσης σημαντικό η λύση να είναι εύκολη στη διαχείριση (έλεγχος μέσω προγράμματος περιήγησης για παράδειγμα), ο διαχειριστής λύσης να μπορεί να εκπαιδεύεται γρηγορότερα χάρη στην απλοποιημένη διαχείριση, ότι η λύση περιέχει ενσωματωμένα εργαλεία στο τουλάχιστον βασικές αναφορές, για ορισμένους πελάτες η διαθεσιμότητα τοπικού λογισμικού και τεκμηρίωσης είναι επίσης σημαντική.

Η Gartner πιστεύει ότι οι ανάγκες των πελατών SMB και των πελατών Enterprise είναι πολύ διαφορετικές όσον αφορά τις ανάγκες της Enterprise για την ικανότητα εφαρμογής πιο περίπλοκων πολιτικών διαχείρισης, προηγμένων δυνατοτήτων στην εφαρμογή της ασφάλειας δικτύου. Για παράδειγμα, οι πελάτες Enterprise με κατανεμημένη δομή υποκαταστημάτων έχουν συχνά υποκαταστήματα που μπορεί να έχουν το ίδιο μέγεθος με μια ολόκληρη εταιρεία SMB. Ωστόσο, τα κριτήρια για την επιλογή εξοπλισμού για ένα υποκατάστημα υπαγορεύονται, κατά κανόνα, από την επιλογή του εξοπλισμού στα κεντρικά γραφεία (συνήθως ο εξοπλισμός από τον ίδιο προμηθευτή που χρησιμοποιείται στα κεντρικά γραφεία επιλέγεται για υποκαταστήματα, π.χ. κατηγορία Low End Enterprise εξοπλισμό), δεδομένου ότι ο πελάτης πρέπει να έχει εμπιστοσύνη στη διασφάλιση της συμβατότητας του εξοπλισμού, και επιπλέον, αυτοί οι πελάτες χρησιμοποιούν συχνά μια ενιαία κονσόλα διαχείρισης για να εξασφαλίσουν τη διαχειρισιμότητα του δικτύου καταστημάτων (όπου μπορεί να μην υπάρχουν ειδικοί στο αντίστοιχο προφίλ) από τα κεντρικά γραφεία . Επιπλέον, η οικονομική συνιστώσα είναι επίσης σημαντική. Για αυτούς τους λόγους, η Gartner εξετάζει λύσεις για κατανεμημένες δομές υποκαταστημάτων πελατών Enterprise στα τετράγωνα λύσεων για το τμήμα Enterprise (NGFW/Enterprise Firewall, IPS, WAF, κ.λπ.).

Ξεχωριστά, η Gartner προσδιορίζει πελάτες με ένα κατανεμημένο δίκτυο εξαιρετικά αυτόνομων γραφείων (ένα τυπικό παράδειγμα είναι ένα δίκτυο λιανικής, όπου ο συνολικός αριθμός εργαζομένων μπορεί να είναι πάνω από 1000 άτομα), οι οποίοι, όπως ένας τυπικός πελάτης SMB, έχουν μάλλον περιορισμένους προϋπολογισμούς. πολύ μεγάλος αριθμός απομακρυσμένων τοποθεσιών και συνήθως ένα μικρό προσωπικό IT/IS. Ορισμένοι προμηθευτές UTM επικεντρώνονται ακόμη και σε λύσεις για τέτοιους πελάτες περισσότερο από ό,τι για τις παραδοσιακές μικρομεσαίες επιχειρήσεις.

UTMαπό τον Ιούνιο του 2017:

Και να τι συνέβη πριν από έναν χρόνο, τον Αύγουστο του 2016:

Η λίστα των ηγετών της αγοράς UTM περιλαμβάνει τα ίδια γνωστά πρόσωπα - Fortinet, Check Point, Sophos. Επιπλέον, η κατάσταση σταδιακά θερμαίνεται - οι θέσεις των ηγετών πλησιάζουν σταδιακά η μία στην άλλη. Ο Juniper έχει περάσει από τους διώκτες σε εξειδικευμένους παίκτες. Το SonicWall έχει βελτιώσει λίγο τη θέση του.
Τι πιστεύει η Gartner για τους ηγέτες της αγοράς στο τμήμα UTM μεμονωμένα:

Εκπρόσωπος των ηγετών της αγοράς UTM, η λύση SMB αντιπροσωπεύεται από ένα τείχος προστασίας εταιρικής κατηγορίας (Enterprise), το οποίο είναι αρκετά εύκολο στη διαχείριση και διαθέτει μια διαισθητική γραφική διεπαφή (GUI).

Τα κεντρικά γραφεία βρίσκονται στο Τελ Αβίβ (Ισραήλ) και στο Σαν Κάρλος (ΗΠΑ). Η Check Point είναι ένας προμηθευτής που εστιάζει στην ασφάλεια δικτύου με περισσότερους από 1.300 υπαλλήλους Ε&Α. Το χαρτοφυλάκιο προϊόντων περιλαμβάνει τείχη προστασίας SMB και Enterprise (Security Gateway), μια εξειδικευμένη λύση για την προστασία τελικών σημείων (Sandblast Agent), μια λύση για την προστασία κινητών συσκευών (Sandblast Mobile) και εικονικά τείχη προστασίας (vSEC για ιδιωτικά και δημόσια σύννεφα). Η τρέχουσα σειρά τείχη προστασίας κατηγορίας SMB περιλαμβάνει τις οικογένειες 700, 1400, 3100, 3200, 5100, 5200, 5400, 5600, όλες οι συσκευές εισήχθησαν το 2016/2017.

3. Σοφός:

Είναι εκπρόσωπος των ηγετών της αγοράς UTM. Συνεχίζει να αυξάνει το μερίδιο αγοράς του λόγω της ευκολίας χρήσης, της καλής λειτουργικότητας του στοιχείου Security και της επιτυχημένης ενσωμάτωσης με τη δική του λύση προστασίας τελικού σημείου. Συχνός επισκέπτης στις λίστες πελατών SMB, καθώς και σε κατανεμημένα δίκτυα αυτόνομων γραφείων.

Με έδρα το Abingdon (Ηνωμένο Βασίλειο), απασχολεί περισσότερους από 3.000 υπαλλήλους σε όλο τον κόσμο. Το χαρτοφυλάκιο προϊόντων περιέχει ένα μείγμα λύσεων ασφάλειας δικτύου και προστασίας τελικών σημείων. Η σειρά τείχη προστασίας Sophos XG περιέχει 19 μοντέλα και ενημερώθηκε τελευταία φορά το 4ο τρίμηνο του 2016, το χαρτοφυλάκιο περιλαμβάνει επίσης την ξεπερασμένη σειρά Sophos SG. Οι λύσεις UTM της Sophos είναι διαθέσιμες ως εικονικές εφαρμογές με ενσωμάτωση με πλατφόρμες IaaS - AWS και Azure. Οι λύσεις ασφάλειας Endpoint περιλαμβάνουν το Sophos Endpoint και το Intercept X. Η λύση ενοποίησης μεταξύ του Sophos UTM και του Sophos Endpoint ονομάζεται Sophos Synchronized Security. Το χαρτοφυλάκιο του προμηθευτή περιλαμβάνει επίσης λύσεις για την προστασία των φορητών συσκευών και την παροχή κρυπτογράφησης δεδομένων.

Αγορά τείχους προστασίας επιχειρήσεων:

Το 2011 Η Gartner εισήγαγε έναν νέο ορισμό στην αγορά Enterprise Firewall – Next Generation Firewall (NGFW):

«Τα τείχη προστασίας επόμενης γενιάς (NGFW) είναι τείχη προστασίας βαθιάς επιθεώρησης πακέτων που ξεπερνούν την επιθεώρηση θύρας/πρωτοκόλλου και το μπλοκάρισμα για να προσθέσουν επιθεώρηση σε επίπεδο εφαρμογής, πρόληψη εισβολής και μεταφορά πληροφοριών έξω από το τείχος προστασίας. Ένα NGFW δεν πρέπει να συγχέεται με ένα αυτόνομο σύστημα πρόληψης εισβολής δικτύου (IPS), το οποίο περιλαμβάνει ένα τείχος προστασίας εμπορευμάτων ή μη επιχείρησης ή ένα τείχος προστασίας και IPS στην ίδια συσκευή που δεν είναι στενά ενσωματωμένα».

Τότε ήταν μια καινοτομία, γύρω από την οποία υπήρχε μεγάλη διαμάχη. Έχουν περάσει αρκετά χρόνια, έχει περάσει πολύ νερό κάτω από τη γέφυρα και τώρα το 2017. Η Gartner δεν θεωρεί πλέον ότι αυτό αποτελεί κάποιο ιδιαίτερο πλεονέκτημα, αλλά απλώς δηλώνει το γεγονός ότι όλοι οι κορυφαίοι παίκτες σε αυτήν την αγορά έχουν αποκτήσει από καιρό αυτήν τη λειτουργικότητα και τώρα διαφοροποιούνται από άλλους προμηθευτές όσον αφορά τη λειτουργικότητα.

Σύμφωνα με τις προβλέψεις της Gartner, μέχρι το 2020. Τα εικονικά τείχη προστασίας κλάσης Enterprise θα καταλαμβάνουν έως και το 10% της αγοράς σε σύγκριση με το 5% που είναι σήμερα. Μέχρι το τέλος του 2020 Το 25% των τειχών προστασίας που πωλούνται θα περιλαμβάνει ενσωμάτωση από μεσίτες cloud συνδέσεων ασφαλείας σε υπηρεσίες cloud ( Cloud Access Security Broker, CASB), ενσωματώνεται μέσω των αντίστοιχων API. Μέχρι το 2020 Το 50% των νέων εγκαταστάσεων τείχους προστασίας θα χρησιμοποιεί εξερχόμενη επιθεώρηση TLS, από λιγότερο από 10% επί του παρόντος.

Σύμφωνα με την Gartner, η αγορά Enterprise Firewall αποτελείται κυρίως από λύσεις για την προστασία των εταιρικών δικτύων (Enterprise Networks). Τα προϊόντα που περιλαμβάνονται σε αυτές τις λύσεις μπορούν να αναπτυχθούν ως ένα ενιαίο τείχος προστασίας ή σε μεγαλύτερα και πιο σύνθετα σενάρια, συμπεριλαμβανομένων δικτύων υποκαταστημάτων, πολυεπίπεδων DMZ και παραδοσιακών σεναρίων ανάπτυξης τείχους προστασίας "μεγάλων" κέντρων δεδομένων και περιλαμβάνουν επίσης τη δυνατότητα χρήσης εικονικών τειχών προστασίας το κέντρο δεδομένων. Οι πελάτες πρέπει επίσης να έχουν την ευκαιρία να αναπτύξουν λύσεις στις δημόσιες υποδομές cloud των Υπηρεσιών Ιστού της Amazon (AWS), του Microsoft Azure και ο προμηθευτής πρέπει να έχει υποστήριξη Google Cloud στον οδικό χάρτη του εντός των επόμενων 12 μηνών. Τα προϊόντα πρέπει να μπορούν να διαχειρίζονται με εξαιρετικά επεκτάσιμα (και αναλυτικά) εργαλεία διαχείρισης, να έχουν προηγμένες δυνατότητες αναφοράς και να διαθέτουν ένα ευρύ φάσμα λύσεων για την άκρη του δικτύου, το κέντρο δεδομένων, το δίκτυο υποκαταστημάτων και την ανάπτυξη σε υποδομή εικονικοποίησης και δημόσιο cloud. Όλοι οι προμηθευτές σε αυτό το τμήμα της αγοράς πρέπει να υποστηρίζουν λεπτομερή ορισμό και έλεγχο των εφαρμογών και των χρηστών. Η λειτουργικότητα του Next Generation Firewall δεν είναι πλέον πλεονέκτημα, αλλά αναγκαιότητα.Έτσι η Gartner διαγράφει τον όρο που επινόησε, αφού αυτή η λειτουργικότητα θεωρείται αρκετά συνηθισμένη και απολύτως απαραίτητη στην αγορά του Enterprise Firewall. Ουσιαστικά, η Gartner θεωρεί ότι το NGFW και το Enterprise Firewall είναι συνώνυμα.Οι κατασκευαστές που δραστηριοποιούνται σε αυτήν την αγορά εστιάζουν και χτίζουν μια στρατηγική πωλήσεων και τεχνική υποστήριξη για μεγάλες εταιρείες (Enterprises), και η λειτουργικότητα που αναπτύσσουν εστιάζεται επίσης στην επίλυση των προβλημάτων μεγάλων εταιρειών (Enterprises).

Η Gartner λέει ότι η έρευνά της δείχνει ότι τα NGFW συνεχίζουν την τάση αντικατάστασης μεμονωμένων συσκευών IPS στην άκρη του δικτύου, αν και ορισμένοι πελάτες λένε ότι θα συνεχίσουν να χρησιμοποιούν αποκλειστικές συσκευές Επόμενης Γενιάς IPS (NGIPS) σε μια στρατηγική Best of Breed. Πολλοί εταιρικοί πελάτες ενδιαφέρονται για λύσεις ανίχνευσης κακόβουλου λογισμικού που βασίζονται σε σύννεφο ως φθηνότερη εναλλακτική λύση σε ξεχωριστά εγκατεστημένες λύσεις sandbox ( Λύσεις Sandboxing).

Σε αντίθεση με την αγορά UTM, η αγορά τείχους προστασίας επιχειρήσεων δεν σημαίνει ότι οι λύσεις NGFW πρέπει να περιέχουν όλες τις λειτουργίες προστασίας δικτύου. Αντίθετα, η Gartner βλέπει την ανάγκη τα εταιρικά τείχη προστασίας να εξειδικεύονται ειδικά στη λειτουργικότητα NGFW. Για παράδειγμα, τα τείχη προστασίας υποκαταστημάτων κατηγορίας Enterprise απαιτούν υποστήριξη για υψηλό βαθμό ευαισθησίας στον αποκλεισμό της κυκλοφορίας δικτύου, η οποία πρέπει να περιλαμβάνεται στη βάση προϊόντων, απαιτείται μια προσέγγιση ολοκληρωμένης υπηρεσίας για την επεξεργασία της κίνησης δικτύου, η διαχείριση προϊόντων πρέπει να είναι εξαιρετικά ενοποιημένη και όχι μοιάζουν με μια βιαστικά συγκεντρωμένη συλλογή διαφορετικών κινητήρων σε ένα προϊόν. Το επίπεδο προστασίας και η ευκολία διαμόρφωσης των τείχη προστασίας εταιρικής κλάσης για δίκτυα υποκαταστημάτων δεν πρέπει να είναι κατώτερα από τις λύσεις για τα κεντρικά γραφεία.

Το 2017 Η Gartner εστιάζει σε λύσεις τερματισμού συνεδρίας TLS για να διασφαλίσει ότι η εξερχόμενη κυκλοφορία ελέγχεται για απειλές όπως λήψεις κακόβουλου κώδικα και διαχείριση botnet. Κατά κάποιο τρόπο, η δυνατότητα επιθεώρησης της εξερχόμενης κυκλοφορίας TLS φέρνει το NGFW πιο κοντά στις ελαφριές λύσεις DLP, καθώς η αποκρυπτογράφηση και η επακόλουθη επιθεώρηση της εξερχόμενης κίνησης TLS καθιστά δυνατή τη διασφάλιση ότι τα ευαίσθητα δεδομένα δεν αποστέλλονται έξω. Ωστόσο, ορισμένοι πελάτες που χρησιμοποιούν αυτήν τη δυνατότητα ενδέχεται να αντιμετωπίσουν σημαντική επιτυχία κατά την ενεργοποίηση αυτής της λειτουργίας λόγω του υψηλού κόστους αποκρυπτογράφησης TLS.

Ορισμένοι προχωρημένοι πελάτες σχεδιάζουν και κάποιοι ήδη αξιοποιούν τις δυνατότητες που παρέχονται από το πρότυπο Software Defined Networking (SDN) και αξιοποιούν τις δυνατότητες μικροτμηματοποίησης σε ένα εικονικοποιημένο κέντρο δεδομένων. Αυτοί οι πελάτες αναζητούν προμηθευτές με υποστήριξη για διάφορες λύσεις SDN, καθώς και τα σχέδιά τους για περαιτέρω ανάπτυξη προς την κατεύθυνση του SDN. Οι πωλητές λύσεων ενσωματώνουν ολοένα και πιο αυτοματοποιημένες προσεγγίσεις για την ενορχήστρωση πολιτικής τείχους προστασίας για να προσφέρουν την ευελιξία και τα επιχειρηματικά οφέλη που υπόσχεται το παράδειγμα SDN.

Ας δούμε τώρα την τρέχουσα κατάσταση με την πλατεία της αγοράς Gartner Τείχος προστασίας επιχειρήσεωναπό τον Ιούλιο του 2017:

Και να τι συνέβη πριν από ένα χρόνο, τον Μάιο του 2016:

Η λίστα των μακροχρόνιων ηγετών στην αγορά του Enterprise Firewall περιλαμβάνει τα δίκτυα Palo Alto και Check Point. Φέτος, η Gartner μετέφερε το Fortinet από Challengers σε Leaders. Τα πάθη θερμαίνονται - οι θέσεις των ηγετών σε αυτό το τμήμα πλησιάζουν επίσης η μία την άλλη. Η Cisco δεν μπόρεσε να πάρει το προβάδισμα ούτε φέτος, παραμένοντας στους διώκτες. Αλλά αυτό που εκπλήσσει είναι η Huawei, η οποία, μεταξύ των εξειδικευμένων παικτών, τοποθετήθηκε με αρκετή σιγουριά στο τμήμα των διώξεων.

Τι πιστεύει η Gartner για τους ηγέτες της αγοράς Enterprise Firewall μεμονωμένα:

1. Δίκτυα Palo Alto:

Είναι ένας από τους ηγέτες στην αγορά Enterprise Firewall, επίσης αμιγώς πωλητής Security, με έδρα τη Santa Clara (ΗΠΑ, Καλιφόρνια), με προσωπικό άνω των 4.000 υπαλλήλων. Παράγει τείχη προστασίας από το 2007, το 2016. Τα έσοδα ξεπέρασαν τα 1,4 δισεκατομμύρια δολάρια Το χαρτοφυλάκιο λύσεων περιλαμβάνει τείχη προστασίας κατηγορίας Enterprise σε φυσικές και εικονικές εκδόσεις, λύσεις προστασίας τελικών σημείων (Traps και GlobalProtect), συλλογή, συνάθροιση, λύσεις συσχέτισης, ανάλυση απειλών σε πραγματικό χρόνο για την υποστήριξη αμυντικών μέτρων (Threat Intelligence, AutoFocus). ), λύσεις ασφαλείας για SaaS (Aperture). Ο κατασκευαστής εργάζεται ενεργά για την ενσωμάτωση λύσεων σε μια ενοποιημένη πλατφόρμα ασφάλειας δικτύου.

Η Palo Alto Networks κυκλοφόρησε πρόσφατα την έκδοση 8 του λειτουργικού συστήματος PAN-OS με βελτιώσεις για WildFire και Panorama, νέα λειτουργικότητα ασφαλείας SaaS και προστασία διαπιστευτηρίων χρήστη. Κυκλοφόρησε επίσης ένα αρχικό τείχος προστασίας μοντέλο PA-220, μια συσκευή μεσαίας κατηγορίας Σειρά PA-800, ενώ κυκλοφόρησε επίσης η σειρά τείχη προστασίας PA 5000 Series (νέα μοντέλα 5240, 5250, 5260), η οποία παράγεται από το 2011. ενημερώθηκε.

Είναι εκπρόσωπος των ηγετών της αγοράς Enterprise Firewall. Το χαρτοφυλάκιο προϊόντων για την αγορά Enterprise περιέχει μεγάλο αριθμό λύσεων, συμπεριλαμβανομένων των τείχη προστασίας NGFW και λύσεων προστασίας τελικών σημείων, λύσεων ασφάλειας δικτύου cloud και κινητής τηλεφωνίας. Τα κορυφαία προϊόντα της Check Point είναι πύλες ασφάλειας για επιχειρήσεις (Οι πύλες ασφάλειας δικτύου Enterprise περιλαμβάνουν τις οικογένειες 5000, 15000, 23000, 44000 και 64000). Η ασφάλεια στο cloud παρέχεται μέσω μιας λύσης vSEC για ιδιωτικά και δημόσια cloud, ενώ υπάρχει επίσης μια λύση SandBlast Cloud για εφαρμογές SaaS. Οι λύσεις ασφάλειας endpoint περιλαμβάνουν το SandBlast Agent και τις λύσεις ασφάλειας για κινητά τηλέφωνα Check Point Capsule και SandBlast Mobile. Η λύση SandBlast Cloud για τη σάρωση της κυκλοφορίας email στο Microsoft Office 365 κυκλοφόρησε επίσης το 2016. Τα μοντέλα 15400 και 15600 έγιναν διαθέσιμα για μεγάλους εταιρικούς πελάτες, καθώς και τα μοντέλα 23500 και 23800 για κέντρα δεδομένων.

Πρόσφατα, παρουσιάστηκαν οι νέες πλατφόρμες Hi-End 44000 και 64000, το vSEC κυκλοφόρησε για το Google Cloud και κυκλοφόρησε μια νέα έκδοση λογισμικού R80.10 με βελτιώσεις στην κονσόλα διαχείρισης, βελτιωμένη απόδοση και SandBlast Anti-Ransomware, το οποίο παρέχει προστασία έναντι κακόβουλο λογισμικό κατηγορίας ransomware. Παρουσιάζεται επίσης η νέα αρχιτεκτονική ασφάλειας δικτύου Check Point Infinity, η οποία ενσωματώνει την ασφάλεια των δικτύων, των cloud και των χρηστών κινητής τηλεφωνίας.

Η Check Point έχει επίσης επεκτείνει τη λύση κατά του κακόβουλου λογισμικού που βασίζεται σε cloud, η οποία μπορεί να ενσωματωθεί μπροστά από τις υπηρεσίες email SaaS. Το Check Point προσφέρει πολυάριθμα blades λογισμικού που επεκτείνουν τις δυνατότητες του τείχους προστασίας, συμπεριλαμβανομένης της προηγμένης προστασίας από κακόβουλο λογισμικό - Προηγμένη προστασία λογισμικού αλληλογραφίας (Threat Emulation and Threat Extraction), υπηρεσίες Threat Intelligence - ThreatCloud IntelliStore και Anti-Bot. Το Check Point υποστηρίζει τα τείχη προστασίας του στις Υπηρεσίες Ιστού της Amazon (AWS) και στα δημόσια σύννεφα του Microsoft Azure, ενώ είναι διαθέσιμες λύσεις ενοποίησης με λύσεις SDN από το VMWare NSX και το Cisco Application Centric Infrastructure (ACI).

Η λύση του Check Point θα πρέπει να περιλαμβάνεται στη σύντομη λίστα των εταιρικών πελατών για τους οποίους η ευαισθησία κόστους είναι λιγότερο σημαντική από τη λειτουργικότητα ασφαλείας του δικτύου σε συνδυασμό με κεντρική διαχείριση υψηλής ποιότητας για πολύπλοκα δίκτυα. Είναι επίσης καλός υποψήφιος για πελάτες που χρησιμοποιούν υβριδικά δίκτυα που αποτελούνται από εξοπλισμό εσωτερικής εγκατάστασης, εικονικά κέντρα δεδομένων και cloud.

Μόνο εγγεγραμμένοι χρήστες μπορούν να συμμετάσχουν στην έρευνα. , Παρακαλώ.