Межсетевые экраны — виды и особенности
Межсетевые экраны — виды и особенности
Несанкционированный доступ к данным, хищения информации, нарушения в работе локальных сетей уже давно превратились в серьезные угрозы для бизнеса, деятельности общественных организаций и государственных органов.
Эффективным решением для защиты от этих угроз являются межсетевые экраны (МСЭ), или файерволы. Это программное обеспечение или аппаратно-программные продукты, предназначенные для блокировки нежелательного трафика.
Разрешение или запрет доступа межсетевым экраном осуществляется на основе заданных администратором параметров. В том числе могут использоваться следующие параметры и их комбинации:
- IP-адреса. При помощи Firewall можно предоставить или запретить получение пакетов с определенного адреса или задать перечень запрещенных и разрешенных IP-адресов.
- Доменные имена. Возможность установки запрета на пропуск трафика с определенных веб-сайтов.
- Порты. Задание перечня запрещенных и разрешенных портов позволяет регулировать доступ к определенным сервисам и приложениям. Например, заблокировав порт 80, можно запретить доступ пользователей к веб-сайтам.
- Протоколы. МСЭ может быть настроен таким образом, чтобы блокировать доступ трафика определенных протоколов.
Что такое SS7?
Протокол SS7, также известный как Сигнализационная система № 7, относится к сети передачи данных и к ряду технических протоколов или правил, которые регулируют обмен данными по ним. Он был разработан в 1970-х годах для отслеживания и подключения вызовов в разных сетях операторов связи, но теперь он обычно используется для расчета биллинга сотовой связи и отправки текстовых сообщений в дополнение к маршрутизации мобильных и стационарных вызовов между операторами и региональными коммутационными центрами.
Каковы принципы работы сегментации сети?
Сегментация сети обеспечивает создание нескольких изолированных сегментов в пределах более крупной сети, каждый из которых может иметь различные требования к безопасности и политику защиты. Эти сегменты содержат приложения или конечные устройства определенного типа с одинаковым уровнем доверия.
Есть несколько способов сегментации сети. Мы рассмотрим сегментацию на основе периметра, реализуемую с использованием сетей VLAN, а затем сегментацию, выполняемую на более глубоком уровне сети с помощью методов виртуализации сети.
Сегментация на основе периметра
Сегментация на основе периметра предусматривает создание внутренних и внешних сегментов на основе доверия: система доверяет элемента, которые являются внутренними по отношению к сетевому сегменту, и не доверяет внешним элементам. В результате применяются несколько ограничений в отношении внутренних ресурсов, которые обычно работают в одноуровневой сети с минимальной внутренней сегментацией. Фильтрация и сегментация выполняются в фиксированных точках сети.
Изначально виртуальные локальные сети были введены для разделения широковещательных доменов с целью повышения производительности сети. Со временем они стали использоваться в качестве средства безопасности, хотя никогда не предназначались для подобного применения. Проблема виртуальных локальных сетей заключается в том, что они не предоставляют возможности внутренней фильтрации и имеют очень широкий уровень доступа.
Кроме того, для перемещения между сегментами требуется политика. С помощью политики можно либо остановить поток трафика из одного сегмента в другой, либо ограничить его (в зависимости от типа, источника и пункта назначения трафика).
Сетевой брандмауэр — это распространенное средство, используемое для сегментации на основе периметра. Изначально он использовался для управления движением вертикального сетевого трафика, разрешая при этом взаимодействие между всеми компонентами в пределах сегмента.
Виртуализация сети
В настоящее время многие организации поддерживают множество сетевых областей с конкретными функциями, требующими сегментации в многочисленных сетевых точках. Кроме того, теперь существует множество типов конечных устройств, которые должна поддерживать сеть, и каждый из этих типов имеет различные уровни доверия.
В связи с этим сегментации на основе периметра уже недостаточно. С появлением, например, облачных и мобильных технологий, а также стратегий использования личных устройств периметр теперь не имеет четких точек разграничения. Теперь нам требуется более глубокая сегментация сети, чтобы достичь более высокого уровня безопасности и производительности сети. Более того, при современных моделях горизонтального трафика требуется еще большая сегментация сети. Именно здесь становится полезной виртуализация сети, поскольку она выводит процесс сегментации на новый уровень.
Простейшая форма виртуализация сети — это предоставление сетевых служб и служб безопасности независимо от физической инфраструктуры. Обеспечивая сегментацию в пределах всей сети, а не только по периметру, виртуализация сети играет важную роль в эффективной сегментации. Фактически сегментация на основе периметра, к которой мы привыкли, теперь виртуализирована и распределена — наряду с гибкими детализированными политиками безопасности, — охватывая каждый сегмент сети.