Miesięcznik informatyków i menedżerów IT sektora publicznego

Marcin Lisiecki

Zapora nowej generacji

Zapewnienie bezpieczeństwa sieci i zasobów na wysokim poziomie już dawno przestało być rozwiązaniem opcjonalnym i dziś jest koniecznością w każdej instytucji. Co jednak wybrać w gąszczu różnych rozwiązań, gdzie wśród najlepszych królują Next-Generation Firewall oraz Unified Threat Management.

Wybór systemów zabezpieczających sieci lokalne jest bardzo duży. Dostępne są produkty ukierunkowane na dany typ zagrożeń lub łączące w sobie kilka różnych usług. Najlepsze są rozwiązania kompleksowe, które zapewnią naszym zasobom ochronę w pełnym spektrum. Podstawowe funkcje ochronne, jakie powinno oferować nasze urządzenie, to firewall, antywirus, IPS (Intrusion Prevention System) oraz możliwość filtrowania URL. Jeśli zależy nam na ochronie z najwyższej półki, warto rozważyć zakup urządzenia typu UTM – prostego we wdrożeniu i konfiguracji, zawierającego gotowe zestawy polityk oraz narzędzia do zarządzania i generowania raportów. Natomiast jeśli nasza jednostka potrzebuje równie efektywnego sprzętu zabezpieczającego, jednak bardziej elastycznego, ale kosztem skomplikowanej konfiguracji i potrzeby większych nakładów na utrzymanie całej infrastruktury wymagającej wyszkolonych pracowników działu IT, należy zainwestować w urządzenia typu NGFW.

Firewall nowej generacji to najczęściej kompletny system zabezpieczający pod postacią w pełni autonomicznego urządzenia (lub maszyny wirtualnej), którego zadaniem jest zapewnienie bezpieczeństwa zarówno na poziomie aplikacji oraz portów, jak i protokołów. Najważniejsze cechy NGFW to klasyczna zapora (translacja adresów sieciowych, filtrowanie pakietów i obsługa VPN), a także monitoring aplikacji, system wykrywania zagrożeń i kontrola ruchu szyfrowanego. Systemy zabezpieczające oparte na NGFW są szybkie, inteligentne i przede wszystkim kładą duży nacisk na ochronę sieci w warstwie aplikacji. Dziś coraz więcej programów łączy się z internetem, stwarzając wiele potencjalnych zagrożeń, dlatego ten aspekt stał się aż tak ważny. Przypisywanie ruchu danej aplikacji do konkretnego użytkownika pozwala na łatwą kontrolę transmisji i tworzenie elastycznych polityk dostępu opartych na uprawnieniach.

Małe pudełko – duże możliwości

Urządzenie, które otrzymaliśmy do testów, to tzw. firewall nowej generacji (NGFW). Produkt adresowany jest do ochrony sieci w małych i średnich jednostkach lub niewielkich filiach podłączonych do  sieci korporacyjnych. Co ważne, urządzenie jest w pełni samodzielne i nie wymaga inwestycji w dodatkowy sprzęt czy oprogramowanie (z wyjątkiem subskrypcji, o których piszemy w dalszej części artykułu). Chcąc jednak zwiększyć bezpieczeństwo i ciągłość pracy tego systemu ochrony, można wyposażyć go w zapasowy zasilacz, który podtrzyma pracę urządzenia i zastąpi główny prostownik w razie jego awarii. Wbrew pozorom to dość częsta usterka, niosąca ze sobą poważne konsekwencje. Dodatkowego zasilacza nie otrzymamy w zestawie, ale koszt jego zakupu jest niewielki.

Dwa firewalle PA-220 można połączyć w klaster wysokiej dostępności (High Availability; HA), co ogranicza do minimum ryzyko przerwy w działaniu zapory. Zresztą ryzyko awarii urządzenia jest mało prawdopodobne ze względu na jego konstrukcję pozbawioną jakichkolwiek ruchomych elementów, takich jak np. wentylatory czy dyski HDD. Główne funkcje urządzenia to firewall, VPN oraz wykrywanie zagrożeń. Zarządzanie produktem możliwe jest za pomocą portów konsolowych RJ-45 i microUSB oraz poprzez dowolną przeglądarkę internetową (interfejs graficzny).

Model PA-220, podobnie jak i inne urządzenia firmy Palo Alto, pracuje pod kontrolą autorskiego systemu PAN-OS w aktualnej wersji 9.0. Użytkownik może sam przeprowadzać jego bezpłatne aktualizacje. W przeciwieństwie do tradycyjnego firewalla (blokowanie portów) tu funkcje zabezpieczające polegają na rozpoznawaniu aplikacji (App-ID), użytkowników (User-ID) oraz treści (Content-ID), także tych szyfrowanych. Ewentualne ataki na SSL mogą natomiast być wykrywane poprzez inspekcję połączeń sieciowych, za pomocą systemu analizy ruchu sieciowego (detekcji anomalii). Dodatkowo dla urządzenia dostępne są osobne subskrypcje, takie jak np. WildFire, czyli ochrona przed exploitami zero-day czy jeszcze nieznanym malware'em. Urządzenie może też pełnić funkcję bramki zabezpieczającej IPsec VPN oraz SSL VPN.

Budowa i wyposażenie

Firewall Palo Alto PA-220 zamknięto w niewielkiej obudowie typu desktop, którą możemy na stałe przymocować do płaskiej powierzchni, ściany lub umieścić w szafie technicznej. W zestawie z urządzeniem znajdziemy kompletny zestaw montażowy wraz ze śrubami i kołkami. Produkt może też pracować jako urządzenie wolnostojące (w komplecie są samoprzylepne nóżki antypoślizgowe). Montaż w szafie rack możliwy jest po kupieniu dodatkowego stelażu (platformy), gdzie przewidziano również miejsce na dwa zasilacze oraz instalację zapasowego urządzenia pracującego w trybie wysokiej niezawodności. Producent do urządzenia dołącza solidny kabel sieciowy (CAT 6), przewód USB oraz zasilacz z przykręcaną na stałe wtyczką. Takie rozwiązanie zapobiega przypadkowemu odłączeniu zasilania podczas pracy urządzenia.

[...]

Autor jest niezależnym dziennikarzem publikującym w magazynach komputerowych. Ma zawodowe doświadczenie w testowaniu sprzętu i oprogramowania komputerowego.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej