Artykuł pochodzi z wydania: Wrzesień 2022
Zapory stanowią pierwszą linię ochrony sieci. Najnowocześniejsze firewalle, współdziałając z innymi elementami infrastruktury IT, są poważnym utrudnieniem dla hakerów i złośliwego oprogramowania, jak i mogą chronić zwykłych użytkowników przed ich nieodpowiedzialnymi działaniami.
Bezpieczeństwo sieci w każdej organizacji jest tak silne, jak najsłabiej chronione w niej urządzenie. To jedna z podstawowych zasad, która była, jest i prawdopodobnie nadal będzie obowiązywała. Ważne jest zatem zapewnienie jak najlepszej ochrony infrastrukturze IT w danej jednostce oraz jej użytkownikom. Aby tego dokonać, należy wyeliminować wszystkie słabe punkty. Jednym z najważniejszych elementów zabezpieczających jest z pewnością zapora sieciowa, czyli tzw. firewall, najlepiej pod postacią fizycznego urządzenia. Jest to wprawdzie sprzęt będący znacznie droższym rozwiązaniem niż narzędzia programowe, ale zapewniający nieporównywalnie wyższy poziom bezpieczeństwa. Oczywiście optymalne jest zastosowanie jednocześnie zapory programowej – uruchomionej na każdej stacji roboczej, która kontroluje ruch przez porty i aplikacje – oraz zapory fizycznej zainstalowanej między siecią a bramą.
Dziś na rynku ochrony sieci prym wiodą zapory typu Next Generation Firewall (NGFW), będące inteligentnymi i najbardziej wydajnymi urządzeniami w swojej klasie. Tego typu sprzęt dba o ochronę nie tylko samej sieci, ale i użytkowników oraz używanych przez placówkę rozwiązań chmurowych czy wirtualnych. Takie urządzenia dobieramy pod kątem liczby pracowników, w zależności czy są ich dziesiątki, setki, a nawet tysiące. Firewall staje się scentralizowanym centrum ochrony naszej infrastruktury. Zadaniem tego typu urządzeń jest wszechstronna kontrola ruchu na zasadzie monitorowania i weryfikacji w celu zapobiegania atakom złośliwego oprogramowania, działaniom hakerów oraz blokowaniu także nieznanych typów ataku. Co ważne, aby firewall był skuteczny, musi działać szybko i w pełni automatycznie. Aby było to możliwe, konieczne jest wcześniejsze opracowanie i wdrożenie odpowiednich reguł, określających metody postępowania. Zapora chroni nie tylko przed atakami z zewnątrz, ale także musi zapobiegać wydostawaniu się informacji poza zabezpieczaną infrastrukturę.
Zapory nowej generacji (NGFW)
Praca podstawowych firewalli sprzętowych opiera się na filtrowaniu pakietów przesyłanych w sieci i – po analizie – blokowaniu tych, które nie są zgodne z ustalonymi wcześniej regułami. Przykładowo mogą to być źródłowe lub docelowe adresy IP. Choć działanie tego typu zapór przy dobrej konfiguracji (a nie jest to łatwe zadanie) może być skuteczne, to poziom zabezpieczenia należy wówczas traktować jako podstawowy. Ich możliwości są dość ograniczone i nie pozwalają przewidzieć np., czy dane żądanie z zaufanego adresu IP nie będzie miało przykrych konsekwencji dla systemu bądź oprogramowania. Dodatkowo tegotypu zapory nie obsługują uwierzytelniania użytkownika oraz nie chronią w pełni przed wszystkimi atakami protokołu TCP/IP i na poziomie aplikacji. Zapory sieciowe nowej generacji są znacznie lepiej przystosowane do wykrywania zagrożeń w pełniejszym zakresie. Jest to możliwe dzięki połączeniu funkcji tradycyjnej zapory z dodatkowymi możliwościami – inspekcją ruchu (także zaszyfrowanego), systemom zapobiegania włamaniom (Intrusion Prevention System) czy wsparciu oprogramowania antywirusowego. Inspekcja pakietów (DPI) jest dogłębna, podczas gdy podstawowe zapory analizują tylko nagłówki. Dodatkowo translacja adresów sieciowych (NAT) pozwala urządzeniom z własnymi adresami sieciowymi na łączenie się z internetem przy użyciu wspólnego (pojedynczego) IP, a te indywidualne pozostają ukryte. Dzięki temu intruz po przeskanowaniu naszej sieci nie będzie w stanie przechwycić żadnych szczegółów identyfikacyjnych, a tym samym przeprowadzić ataku na konkretne urządzenie.
Firewall następnej generacji zapewnia bezpieczeństwo na poziomie pakietów oraz aplikacji. Stosowanie takich mechanizmów jak antywirus, IPS czy sandboxing pozwala na podejrzenie i weryfikowanie treści przesyłanych przez użytkowników w internecie, zanim dotrą one do nich samych.
Drużyna „A”
W naszej redakcji pojawiła się nowoczesna i zaawansowana zapora Hillstone A2700. Firma Hillstone Networks została założona w 2006 roku przy udziale Net-Screen, Cisco i Juniper, a w Polsce działa od kilku dobrych lat. Na całym świecie jej produkty są popularne i dobrze rozpoznawalne. Najnowsze firewalle tego producenta, dzięki ciągłym ulepszeniom tego sprzętu, zwiększeniu wydajności oraz wprowadzeniu nowej funkcjonalności w zaporach NGFW kontynuują rozwój linii A-Series. Mowa tu o produktach oznaczonych symbolami A2700 (o przepustowości 10 Gb/s) oraz A2800 (o przepustowości 16 Gb/s), wzbogaconych o systemy chłodzenia z przodu i tyłu urządzenia, co zapewnia lepszą cyrkulację powietrza, a automatyczna regulacja temperatury pozwala zachować najwyższą wydajność nawet podczas dużego obciążenia. Producent informuje także o zwiększeniu wydajności zapór, liczby maksymalnych jednoczesnych sesji i przepustowości IPS (Intrusion Prevention System).
W porównaniu z serią E modele A2700 i A2800 wyposażone są interfejsy we/wy o wyższej gęstości oraz dodatkowo odciążają serwery pracujące w sieci lokalnej od zadań wymagających dużego zapotrzebowania na moc obliczeniową procesorów, dzięki np. sprzętowej akceleracji obsługującej szyfrowanie SSL. Firewalle z serii A możemy też łatwo integrować z innymi produktami działającymi w strukturach typu AAA (Authentication, Authorization, Accounting), możliwe jest także scentralizowane zarządzanie i współpraca z systemami Syslog. Urządzenia te nadają się do rozbudowy, co jest ważne ze względu na rozwijającą się infrastrukturę i zapotrzebowanie na usługi w wielu instytucjach. Wbudowaną, podstawową pamięć masową typu eMMC można w prosty sposób rozszerzać, instalując dysk twardy o pojemności do 2 TB, na którym można przechowywać dzienniki sieciowe, zdarzeń czy dane technologii sandbox.
Zapory sieciowe Hillstone z serii „A” przeznaczone są dla wymagających podmiotów, gdzie niebagatelne znaczenie ma wysoka przepustowość firewalla w obsłudze jednoczesnych sesji oraz warstwie aplikacji. Nie bez znaczenia jest także wsparcie dla VPN IPSec, które pozwala na łatwą integrację z innymi, obecnymi już w naszej infrastrukturze rozwiązaniami cenionych producentów, np. Cisco, Fortigate, Stormshield, PaloAlto czy MikroTik. Dodatkowo sprzęt ten obsługuje mechanizmy sprzętowej akceleracji VPN oraz SSL-TLS Intel QAT (QuickAssist Technology). Wszystkie modele z rodziny A-Series wyposażone są w gniazda przeznaczone do instalacji szybkich i pojemnych dysków SSD, dzięki czemu mamy ogromną przestrzeń do przechowywania logów i innych cennych danych analitycznych. Urządzenia te są też przystosowane do montażu w szafach serwerowych typu rack.
[…]
Marcin Lisiecki
Autor jest niezależnym dziennikarzem publikującym w magazynach komputerowych. Ma zawodowe doświadczenie w testowaniu sprzętu i oprogramowania komputerowego.
