Широкий взгляд,

внимание к деталям.

Общение с успехом

Не бросаем слов на ветер,

проливаем свет, а не воду.

Своих клиентов мы знаем давно,

некоторых - сколько себя помним.

Контактная иформация

Карта сайта

ИТ-Инфраструктура & ИТ-Услуги
Программно-аппаратные средства защиты компьютерных систем и сетей (Firewall)

Межсетевой экран или брандмауэр (по-нем. brandmauer, по-англ. firewall, по-рус. граница огня) - это система или комбинация систем, позволяющих разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной сети в другую. Чаще всего эта граница 
проводится между локальной сетью предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия. Межсетевой экран, таким образом, пропускает через себя весь трафик. Для каждого проходящего пакета Межсетевой экран принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил.

Межсетевые экраны давно вошли в нашу жизнь и стали неотъемлемой частью защиты любой сети (корпоративной или дома). Мир не стоит на месте и в наше время информация стоит больших денег. Совершенствуются хакеры - так и производители оборудования вносят изменения в свою продукцию по защите информации. Next-generation firewalls (NGFWs) - межсетевой экран следующего поколения, появились на рынке не так давно. Само понятие NGFWs нового поколения впервые было предложено новым игроком на рынке ИБ, компанией Palo Alto Networks. Основные поставщики, участвующие в NGFW рынка ИБ на сегодняшний день: Astaro, Check Point, Cisco Systems, Fortinet, Juniper Networks, McAfee, Palo Alto Networks, и SonicWALL 

Каким же должен быть современный МЭ нового поколения?

Идентификация приложений, а не только портов.
Необходимо обеспечить точную идентификацию приложения независимо от используемых портов, протоколов, средств шифрования (SSL или SSH) и тактики обхода средства анализа трафика. Результаты идентификации приложения должны стать основой всех политик безопасности.

Идентификация пользователей, а не только IP-адресов.
Использование информации о пользователях и группах из корпоративных каталогов для мониторинга, создания политик, формирования отчетов и расследования инцидентов в сфере ИБ независимо от местоположения пользователя.

Анализ контента в режиме реального времени.
Защита сети от попыток использования эксплойтов для известных уязвимостей и распространения вредоносных программ в трафике уровня приложений независимо от источника.

Пакет обрабатывается только один раз, таким образом увеличивается производительность оборудования, снижается время обработки пакетов. И что немаловажно, заявленная производительность поддерживается вне зависимости от того, какие проверки и какие политики включены. Упрощение управления политиками.
Обеспечение безопасной работы приложений с помощью удобных графических интерфейсов, которые позволяют сформировать унифицированную политику безопасности.

Формирование логического периметра.

Защита всех пользователей, включая сотрудников, находящихся в командировке, и удаленных работников, с помощью согласованных механизмов обеспечения безопасности, формирующих не физический, а логический периметр сети. 

Обеспечение мультигигабитной пропускной способности.

Сочетание специализированного оборудования и программного обеспечения для достижения мультигигабитной производительности с низкими задержками при всех включенных службах.


Классы защищенности брандмауэров

Применительно к обработке конфиденциальной информации автоматизированные системы (АС) делятся на три группы:
 1. Многопользовательские АС, обрабатывающие информацию различных уровней конфиденциальности.
 2. Многопользовательские АС, в которых все пользователи имеют равный доступ ко всей обрабатываемой информации, расположенной на носителях разного уровня конфиденциальности.
 3. Однопользовательские АС, в которых пользователль имеет подный доступ ко всей обрабатываемой информации, расположенной на носителях разного уровня конфиденциальности.

В первой группе выделяют 5 классов защищенности АС: 1А, 1Б, 1В, 1Г, 1Д, во второй и третьей группах - по 2 класса защищенности: 2А, 2Б и 3А, 3Б сооответственно. Класс А соответствует максимальной, класс Д - минимальной защищенности АС.

Брандмауэры позволяют поддерживать безопасность объектов внутренней области, игнорируя несанкционированные запросы из внешней области, т.е. осуществляют экранирование. В результате уменьшается уязвимость внутренних объектов, поскольку первоначально сторонний нарушитель должен преодолеть брандмауэр, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система в отличие от универсальной устроена более простым, а следовательно, более безопасным образом. На ней присутствуют только те компоненты, которые необходимы для выполнения функций экранирования. Экранирование дает также возможность контролировать информационные потоки, направленные во внешнюю область, что способствует поддержанию во внутренней области режима конфиденциальности. Помимо функций разграничения доступа, брандмауэры осуществляют регистрацию информационных потоков.

По уровню защищенности брандмауэры делятся на 5 классов. Самый низкий класс защищенности - пятый. Он применяется для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - для 1В, второй - для 1Б, самый высокий - первый - для 1А.

Для АС класса 2Б, 3Б применяются брандмауэры не ниже пятого класса.

Для АС класса 2А, 3А в зависимости от важности обрабатываемой информации применяются брандмауэры следующих классов:
 • при обработки информации с грифом "секретно" - не ниже третьего класса; 
 • при обработки информации с грифом "совершенно секретно" - не ниже второго класса;
 • при обработки информации с грифом "особой важности" - только первого класса.

Какую сеть мы имеем и на что стоит обратить внимание перед покупкой МЭ?

1. Контактная информация - адрес и ответственные лица. 
2. Бизнес-среда работы: ◦количество и расположение отдельных учреждений (зданий) предприятия;
  • указание подразделений и информации ограниченного характера и информации, для которой важна доступность данных для взаимодействия подразделений, их размещение;
  • Указание внешних партнеров, с которыми необходимо организовать взаимодействие;
  • описание сервисов, открытых публично; 
  • трребования к организации удаленного доступа во внутреннее информационное пространство предприятия;
  • сервисы электронных служб, использующие публичные каналы связи (например, электронная коммерция).

3. Планируемые изменения в бизнес-среде по перечисленным параметрам. 
4. Информационная среда: ◦количество пользовательских рабочих станций с указанием аппаратного обеспечения, системного и прикладного программного обеспечения;
  • структура сети с указанием топологии, среды передачи данных, используемых устройств и протоколов;
  • структура удаленного доступа с указанием используемых устройств, а также методов аутентификации;
  • количество серверов с указанием аппаратного обеспечения,системного и прикладного программного обеспечения;
  • существующая система поддержки информационных систем со стороны поставщиков с их указанием и границами сферы деятельности;
  • антивирусные системы и другие системы контроля программного обеспечения; 
  • технология упрравления сетью и информационными системами; 
  • аутентификационные технологии - список и описание. 

5. Планируемые изменения в информационной среде по перечисленням параметрам. 
6. Связь с Интернетом: ◦тип интернет-соединения; 
• существующие межсетевые экраны (если они есть); 
• Средства связи с внешней средой, используемые внутренними системами; 
• внутренние системы и сервисы, доступные извне; 
• серверы электронной коммерции и других транзакционных систем; 
• указание на наличие утвержденной политики безопасности доступа и использования Интернета.

7. Планируемые мероприятия (для которых приобретается межсетевой экран): ◦изменение в способах доступа к Интернету и в политике безопасности предприятия;
  • появление новых протокоолов, которые необходимо поддерживать отдельно для внутренних пользователей, пользователей с удаленным доступом или специальных пользователей, доступных публично.

8. Требуемая функциональность межсетевого экрана: ◦по контролю доступа; 
• выдаваемым сообщениям; 
• аутентификации; 
• управлению конфигурацией; 
• контролю содержимого проходящего трафика; 
• регистрационным журналам; 
• распознаванию атак; 
• сетевым опциям (количество интерфейсов, способ доступа); 
• удаленному администрированию; 
• системным требованиям (под ключ, интеграция с другими продуктами и т.д.). 

9. Прочие условия: ◦предполагаемая стоимость межсетевого экрана (сколько предприятие может потратить);
 • предполагаемая дата начала работы продукта; 
 • требования к наличию у продукта сертификатов; 
 • требования к предполагаемому администратору продукта и к службе поддержки; 
• специальные условия контракта (если есть); 
• другие замечания, которые не включены в данную форму. 


Предполагается, что предприятие, заполнив данную форму и отправив ее производителю, позволит последнему сформировать наиболее качественное предложение для покупателя. Заполнение данной формы, впрочем, и без отправки ее кому-либо, позволит организации лучше понять, какое решение ей необходимо.

Наша компания предлагает вашему вниманию

С каждым годом появляется все больше коммуникаций, дабы людям жилось проще. Некоторые новинки экономят время и делают простые, обыденные вещи незаметными. У нас появляется больше времени для себя и для других занятий. Нет необходимости отвлекаться от компьютера, чтобы ответить другу на сообщение, это удобнее и быстрее. Даже простая отправка смс через компьютер помогает не отвлекаться по мелочам, ведь смс можно отправить.

За любой информацией обращайтесь к нашим специалистам:

Тел: +7(495) 789-32-34; Электронная почта:  support@akvalis.ru

Поделиться: