Применение DS Integrity с межсетевыми экранами (Firewall)

Межсетевой экран (Firewall) — это устройство обеспечения безопасности сети, предназначенное для защиты доверенного сегмента сети от атак и несанкционированного доступа. Межсетевой экран выполняет блокировку части трафика по заданным шаблонам (правилам).

В общем случае межсетевой экран подключается «в разрыв» и фильтрует трафик в реальном времени. Качество результатов, достигаемых межсетевым экраном, зависит от полноты задания правил его работы. Источником правил может служить как непосредственно администратор системы, так и специализированные системы обнаружения вторжений.

Системы обнаружения вторжений производят глубокий анализ трафика (DPI – Deep Packet Inspection) и формируют набор правил для межсетевого экрана. За счёт постоянной работы в режиме реального времени и анализа реального трафика системы DPI обеспечивают более оперативную и полную реакцию на угрозы. Однако для корректной работы системы обнаружения вторжений должны получать копию трафика с разных точек сети, а из-за сложности проводимого анализа их производительность ограничена (обычно 10 Gb/s).

Оптимальным решением для инфраструктуры предприятия является применение специализированных коммутаторов – брокеров сетевых пакетов – элементов систем мониторинга и DPI, которые облегчают работу и снижают нагрузку на системы обнаружения вторжений, осуществляя агрегацию, фильтрацию, репликацию, модификацию и распределение трафика. В зависимости от производительности сети и используемых интерфейсов НПП «Цифровые решения» предлагает брокеры сетевых пакетов DS Integrity-10G (с поддержкой интерфейсов 10G), DS Integrity-40G (с поддержкой интерфейсов 10G и 40G) и DS Integrity-100G (с поддержкой интерфейсов 10G и 100G).

Возможны три сценария применения межсетевого экрана:

  1. Настройка правил для межсетевого экрана администратором системы, который вручную выполняет функции системы обнаружения вторжений, выборочно исследуя трафик с разных частей сети. Данный вариант обеспечивает очень малое покрытие, подвержен человеческому фактору и требует от администратора значительных затрат времени.

    Межсетевые экраны
  2. Настройка правил для межсетевого экрана администратором системы, который вручную выполняет функции системы обнаружения вторжений, но получает агрегированный, классифицированный и отфильтрованный трафик с брокера сетевых пакетов DS Integrity. Данное решение позволяет существенно повысить покрытие мониторинга, а также снизить влияние человеческого фактора.

    Межсетевые экраны
  3. Автоматическое взаимодействие межсетевого экрана и системы обнаружения вторжений. Трафик снимается с разных узлов сети, подаётся на брокер сетевых пакетов DS Integrity, проходит агрегацию, фильтрацию, дублируется на разные типы систем безопасности (IPS, IDS, NBA и др.), также может производиться балансировка трафика между однотипными системами безопасности для обеспечения масштабирования. Администратор может задавать настройки систем безопасности и при необходимости анализировать отдельные типы трафика. Основные функции по обеспечению безопасности сети выполняются автоматически. Данное решение обеспечивает максимальное покрытие и скорость реакции на атаки.

    Межсетевые экраны