Miesięcznik informatyków i menedżerów IT sektora publicznego

Artur Pęczak

NGFW na brzegu sieci

W najbliższych latach na brzegu sieci dominować będą zapory sieciowe nowej generacji (NGFW). O portfele klientów walczą Palo Alto Networks, Cisco, Fortinet, Juniper, Barracuda Networks i wielu innych producentów.

FortiGate 7060E to jedna z najbardziej wydajnych bram sieciowych dostępnych na rynku z wydajnością firewalla NGFW na poziomie 100 Gbps i podsystemu IPS na poziomie 120 Gbps.

Analiza ruchu sieciowego w warstwie siódmej oraz potrzeba skuteczniejszego reagowania na aktualne zagrożenia (phishing, ransomware, ataki ukierunkowane) wymusiły na dostawcach zmianę podejścia w zkresie ochrony brzegu sieci. Zapory sieciowe nowej generacji (NGFW) szturmem wtargnęły do lokalnych serwerowni, oddziałów firm i instytucji publicznych, a także największych centrów danych i chmur obliczeniowych.

Firma Palo Alto Networks, która jako pierwsza zdefiniowała termin „next-generation firewall”, doczekała się sporej grupy konkurencyjnych rozwiązań. Cisco dostarcza zapory nowej generacji w ramach linii produktowej Firepower, a Fortinet zmienił klasyfikację rozwiązań Forti­Gate z UTM na NGFW. W tym segmencie istotną pozycję mają jeszcze Juniper z linią bram sieciowych SRX, Barracuda Networks z dwiema rodzinami rozwiązań NextGen Firewall, Check Point Software oraz Sophos z produktami XG Firewall. Wybór rozwiązań jest dużo większy, bo zapory NGFW mają też w swojej ofercie Force­point (w styczniu 2016 r. przejął McAfee NGFW i McAfee Enterprise Firewall), SonicWall (w czerwcu 2016 r. został sprzedany przez Della prywatnemu funduszowi inwestycyjnemu) czy WatchGuard.

Dzisiaj oferta dostawców rozwiązań sieciowych obejmuje zapory NGFW skierowane dla różnych grup odbiorców – małych i średnich organizacji oraz ich oddziałów, dużych przedsiębiorstw i korporacji, centrów danych oraz dostawców usług. Te same rozwiązania w formie maszyn wirtualnych stosowane są do ochrony środowisk wirtualnych oraz usług uruchamianych w chmurach prywatnych, hybrydowych i publicznych. Dzięki temu każda organizacja znajdzie jednolite i spójne w zarządzaniu rozwiązanie ochrony brzegu sieci w centrum danych, siedzibie organizacji i jej oddziałach, a nawet sieciach użytkowników świadczących pracę z domu.

Cisco Firepower

Firepower to stosunkowo nowy produkt na rynku, który wprowadza Cisco w świat NGFW. W porównaniu z klasycznymi fire­wallami Cisco ASA Firepower dodaje mechanizmy głębokiej inspekcji pakietów, kontrolę dostępu do zasobów internetu oraz ochronę przed malware. Produkt ten jest dostępny jako rozszerzenie klasycznych Cisco ASA z linii 5500-X (łącznie 14 modeli) o usługi FirePOWER Services (kluczem jest tutaj przyrostek -X) oraz jako samodzielna zapora sprzętowa nowej generacji w czterech liniach produktowych: 2100, 4100, 8000 oraz 9000.

Cisco Firepower tworzy pięć komplementarnych modułów: zapora stanowa (statefull firewall), AVC, NGIPS, AMP oraz URL. W dużej mierze są one oparte na chmurowych usługach bezpieczeństwa dostarczanych przez Cisco. Application Visibility and Control (AVC) umożliwia identyfikację i kontrolę dostępu do ponad 4000 aplikacji. Next-Generation Intrusion Prevention System (NGIPS) stanowi rozwinięcie klasycznych systemów IDS, m.in. o mechanizmy analizy kontekstu potencjalnego ataku w odniesieniu do zdarzeń zarejestrowanych na urządzeniach sieciowych, aktywności aplikacji i użytkowników, zawartości plików itp. Z kolei Advanced Malware Protection (AMP) realizuje funkcje systemu antywirusowego w zakresie identyfikacji i blokowania ataków zero-day oraz APT (Advanced Persistent Threats), natomiast moduł URL Filtering umożliwia blokowanie do treści internetowych na podstawie dziesiątek milionów adresów sklasyfikowanych w 80 kategoriach. Integralną częścią ekosystemu APT jest moduł Networks File Trajectory, który pozwala śledzić sposób rozprzestrzeniania się zainfekowanych plików na hostach (komputerach) w chronionej sieci lokalnej.

W urządzeniach Cisco ASA 5500-X w jednym pudełku otrzymujemy w pełni funkcjonalną stanową zaporę sieciową z usługami VPN, z cenionym klientem Cisco AnyConnect, funkcjami przełączania i obsługą VLAN-ów, a także mechanizmami kształtowania ruchu QoS, uzupełnioną o funkcje NGFW realizowane za pomocą modułu Firepower. Cisco Firepower Management Center umożliwia zarządzanie politykami zabezpieczeń oraz śledzenie stanu zagrożeń i ochrony dla wielu zapór sieciowych z jednego centralnego interfejsu. Wydajność firewalla w modelach Cisco ASA 5500-X kształtuje się na poziomie od 256 do 1750 Mbps, a inspekcja zagrożeń – od 125 do 1250 Mbps.

Linia samodzielnych produktów Fire­power dostarcza mechanizmy NGFW (w tym system IDS/IPS), usługi Cisco AMP oraz wiele funkcji zapór ASA.

Wydajność tego typu systemów jest o wiele wyższa niż usług Firepower integrowanych w produktach Cisco ASA 5500-X i wynosi do 225 Gbps dla przepustowości firewalla i do 90 Gbps dla systemu inspekcji zagrożeń w najwyższych modelach z serii Firepower 9000.

[...]

Autor zawodowo zajmuje się informatyką. Publikuje w magazynach komputerowych i serwisach internetowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej