Что такое фаервол и роутер

Маршрутизируем и защищаем сеть

Роутер (router) в переводе с английского дословно означает маршрутизатор. Но, как всегда, дословный перевод не всегда отражает реальность. Модели «роутеров для доступа в Интернет», предлагаемые большинством вендоров, по факту представляют собой межсетевой экран, сочетающий и простые функции вроде фильтрации по MAC, и «продвинутые» анализаторы, например, контроль приложений (Application Patrol).

Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?

Маршрутизатор

В самом названии маршрутизатор заключена расшифровка его предназначения.

В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).

Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.

Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.

В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.

В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.

Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.

С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.

Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.

Межсетевой экран

Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.

Разумеется, многие межсетевые экраны обладают стандартным «джентльменским набором» типичного маршрутизатора. Но «сила» МСЭ определяется наличием функций по фильтрации и управлению трафиком, а также усиленном аппаратным обеспечением для реализации этих задач.

Стоит отметить, что набор возможностей фильтрации того или иного устройства МСЭ вовсе не означает: «Чем больше функций смогли «накрутить», тем «лучше» межсетевой экран». Основной ошибкой было бы при покупке делать акцент на длине перечня всевозможных «фишек», без учета конкретного предназначения, конструктивных особенностей, параметров быстродействия и других факторов. Все должно быть строго дозировано и сбалансировано без перекосов в сторону «сверхбезопасности» или «суперэкономии».

И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000

Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000

А вот для Secure Gateway всевозможные фильтры, «Песочница» и другие виды проверок стоят на первом месте. В качестве примера такого специализированного устройства для повышения уровня защиты можно привести ZyWALL ATP800.

Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.

Как видно из рисунков, внешний вид подобных устройств может быть весьма схож, а всё отличие заключается внутри — программном и аппаратном обеспечении. Более подробно об можно прочитать в статье «Для тех, кто выбирает межсетевой экран».

Механизмы защиты межсетевых экранов

Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?

Firewall

Данный сервис перешел «по наследству» от маршрутизаторов. При помощи файрвола отслеживаются и блокируются нежелательные адреса, закрываются порты, анализируются другие признаки пакетов, по которым можно «вычислить» нежелательный трафик. На этом этапе происходит отражения большого числа угроз, таких как попытки соединиться с общедоступными TCP портами, бомбардировка пакетами с целью выведения системы из строя и так далее.

IP Reputation

Это облачное расширение функций обычного файрвола и безусловный шаг вперед. Дело в том, что в обычной ситуации система ничего не знает об источнике или приемнике (в зависимости от типа трафика). Если это явно не прописано в правилах файрвола, например, «Запретить», то трафик будет проходить, пусть даже от самых вредоносных сайтов. Функция IP Reputation позволяет проверить, является ли IP-адрес подозрительным или «засветился» в той или иной базе данных по проверке репутации. Если со стороны базы данных поступили сведения о плохой репутации IP адреса, то появляется возможность для маневра: оставить прохождение трафика без изменений, запретить полностью или разрешить при определенном условии.

Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.

SSL Inspection

Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.

С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.

Intrusion Detection/Prevention Service

Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.

А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.

Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.

Antimalware

Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.

В качестве «движка» (engine) в межсетевых шлюзах Zyxel используются локальные сигнатуры от BitDefender и облачные от McAfee.

Sandbox

Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.

Выше уже описывались другие средства защиты: IPS и антивирус (antimalware) для защиты сетей. Однако эти две функции не всегда эффективны против новых модификаций вредоносного кода. Зачастую приходится сталкиваться с мнением о том, что антивирус «на потоке» способен определить только очень простые и широко известные угрозы, в первую очередь полагаясь на записи в антивирусных базах. Для более серьезных случаев требуется поведенческий анализ. Грубо говоря, нужно создать для предполагаемого вредоносного кода комфортные условия и попробовать его запустить.

Как раз «Песочница» (Sandbox) — это и есть виртуализированная, изолированная и безопасная среда, в которой запускаются неизвестные файлы для анализа их поведения.

«Песочница» работает следующим образом:

Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.

Если файл неизвестен, его копия перенаправляется в Sandbox.

Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.

По результатам проверки «Песочница», размещенная в облаке, получит новую информацию об этом новом элементе и сохранить её в своей базе данных для аналогичных случаев. Таким образом, облачная архитектура не только делает его общедоступным, но и позволяет постоянно обновлять в режиме реального времени.

В свою очередь, база данных защиты от вредоносных программ регулярно синхронизируется с «Песочницей», чтобы поддерживать ее в актуальном состоянии и блокировать новые вредоносные вирусы в режиме реального времени.

E-mail security

Данная служба включает в себя антиспам и проверку на фишинговые вложения.

В качестве инструментов в настройках «Anti-Spam» доступно:

• «белый список» — «White List», чтобы определять и пропускать полезную почту от доваренных отправителей.
• «черный список» — «Black List» для выявления и обработки спама;
• также возможна проверка электронной почты на наличие в «черных списках» DNS (DNSBL),

Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.

Content Filtering

Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.

Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.

Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.

Если говорить об изменениях (собственно, почему «2.0»), то в новой версии Content Filtering были внесены несколько существенных изменений, в частности:

• улучшено представление информации;
• расширен спектр обнаруживаемых угроз;
• добавлена фильтрацию по URL-адресам и доменам HTTPS;
• добавлен безопасный поиск и блокирование по GeoIP.

Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.

Отдельно стоит сказать о пополнении информационной базы. За счет обработки более 17 миллиардов транзакций каждый день, выполняемых 600 миллионами пользователей из 200 стран, пополняется глобальная база данных, и с каждым новым «знанием» повышается степень защиты системы. Стоит также отметить, что >99% контролируемого контента уже содержится в локальном кэше, что позволяет быстрее обрабатывать поступающие запросы.

Таблица 1. Security Service Content Filtering 2.0 — Схема применения.

Application Patrol

Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.

В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.

Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.

Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.

В итоге

Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.

Полезные ссылки

1. Telegram chat Zyxel
2. Форум по оборудованию Zyxel
3. Много полезного видео на канале Youtube
4. Для тех, кто выбирает межсетевой экран
5. Коммутаторы Zyxel L3 серии XGS4600
6. Межсетевой экран VPN ZyWALL VPN1000
7. Межсетевой экран ATP ZyWALL ATP800
8. Фильтрация контента Content Filtering 2.0
9. Zyxel Application Patrol
10. Что такое DNSBL и как туда вам не попасть

Роутер фаервол – это устройство, которое является ключевым элементом подключения компьютеров к Интернету. Он обеспечивает маршрутизацию сетевых пакетов и выполняет защитные функции, контролируя доступ в сеть и обнаруживая и блокируя потенциально вредные пакеты данных.

Основные функции роутера фаервола включают маршрутизацию, NAT (Network Address Translation – перевод сетевых адресов) и SPI (Stateful Packet Inspection – контроль состояния сетевых пакетов). Маршрутизация позволяет передавать пакеты данных между различными сетями, NAT преобразует IP-адреса в заголовках пакетов для обеспечения правильной адресации при передаче через Интернет, а SPI анализирует содержание пакетов и фильтрует нежелательные.

Принцип действия роутера фаервола основан на фильтрации пакетов данных с помощью правил, заданных администратором сети или по умолчанию. Фильтрация выполняется на основе IP-адресов отправителя и получателя, портов и других параметров. Таким образом, роутер фаервол позволяет ограничивать доступ к сети только определенным пользователям или группе пользователей, блокировать определенные типы трафика или приложений и защищать сеть от атак извне.

Выбор и настройка роутера фаервола – ответственный и важный процесс, который требует некоторых знаний и умений. При выборе следует учитывать такие параметры, как пропускная способность, количество портов, наличие поддержки VPN, QoS и других функций, а также совместимость с вашим провайдером интернета. После покупки роутера фаервола требуется его настройка, включающая создание сети, установку пароля, настройку правил фильтрации и других параметров. Для этого вам понадобится знание основных сетевых протоколов и принципов работы роутеров.

Роутер фаервол: что это и для чего нужно

Основная функция роутера фаервола — это фильтрация пакетов данных, поступающих из внешней сети во внутреннюю и наоборот. Роутер фаервол анализирует IP-адреса и порты пакетов, применяет правила безопасности и принимает решение о том, какие пакеты разрешить, а какие заблокировать.

Кроме того, роутер фаервол может выполнять и другие функции для обеспечения безопасности сети:

• Скрытие IP-адресов — роутер фаервол может изменять IP-адрес отправителя и получателя, чтобы скрыть реальные адреса сети.
• VPN-подключение — роутер фаервол может обеспечивать безопасное подключение к сети через виртуальную частную сеть.
• Отслеживание и регистрация событий — роутер фаервол может вести журнал событий, чтобы идентифицировать потенциально опасные активности или вторжения.
• Балансировка нагрузки — роутер фаервол может распределять трафик между несколькими источниками, чтобы сохранить стабильность работы сети.

Выбор и настройка роутера фаервола зависит от конкретных потребностей и требований организации. При выборе роутера фаервола следует учитывать его производительность, функциональность и возможности обновления ПО. Настройка роутера фаервола включает определение правил безопасности, создание доступных зон сети и управление доступом к ресурсам.

Роутер фаервол является важной составляющей безопасности сети и позволяет защитить ее от множества угроз. Применение роутера фаервола помогает обеспечить конфиденциальность, целостность и доступность данных в сети.

Основные функции роутера фаервола

Вот некоторые из основных функций роутера фаервола:

Фильтрация трафика: Роутер фаервол проверяет каждый пакет данных, проходящий через него, и принимает решение о том, пускать его в вашу сеть или блокировать. Фильтрация может осуществляться по IP-адресу, портам, протоколу и другим параметрам. Таким образом, роутер фаервол защищает вашу сеть от потенциально вредоносного или нежелательного трафика.

Правила доступа: Роутер фаервол позволяет настраивать правила доступа для устройств в вашей сети. Он может контролировать, какие устройства имеют доступ в интернет, а какие – нет. Вы можете установить правила на основе IP-адресов, MAC-адресов или других параметров.

VPN: Роутер фаервол может обеспечивать безопасное подключение к удаленной сети через протокол VPN (Virtual Private Network). Это позволяет вам безопасно обмениваться данными с другими пользователями или доступом к удаленным ресурсам.

Инспектирование пакетов: Роутер фаервол может анализировать содержимое пакетов данных, проходящих через него. Это позволяет обнаруживать и блокировать вредоносный трафик, а также предотвращать утечку конфиденциальной информации.

Защита от атак: Роутер фаервол активно отслеживает сетевой трафик и обнаруживает попытки атаки на вашу сеть. Он может блокировать такие попытки или отправлять уведомления о них, чтобы вы могли принять соответствующие меры.

Прокси-сервер: Роутер фаервол может работать как прокси-сервер, который служит промежуточным звеном между вашей сетью и интернетом. Он может выполнять функцию кэширования, фильтрации и аутентификации, увеличивая безопасность и производительность вашей сети.

Все эти функции делают роутер фаервол незаменимым инструментом для защиты вашей домашней сети от различных угроз извне. Поэтому при выборе роутера стоит обратить внимание на наличие и возможности его фаервола.

Принцип работы роутера фаервола

Роутер фаервол работает на основе правил, которые определяют, какой трафик будет разрешен, а какой будет заблокирован. При получении пакета данных, роутер фаервол анализирует его и сравнивает с заданными правилами. Если пакет соответствует условиям правил, то он пропускается дальше, иначе он блокируется.

Роутер фаервол может работать на разных уровнях сетевой модели OSI, таких как прикладной, транспортный или сетевой. На каждом уровне роутер фаервол проверяет различные атрибуты пакета, такие как IP-адрес, порт, протокол и т.д.

При выборе роутера фаервола нужно обратить внимание на его производительность, наличие поддержки различных протоколов и возможность создания групп правил. Важно также настроить правила в соответствии с потребностями сети, чтобы обеспечить высокий уровень безопасности и эффективную работу сети.

Как выбрать подходящий роутер фаервол

1. Пропускная способность:	Убедитесь, что роутер фаервол обладает достаточной пропускной способностью для обработки всего трафика в вашей сети. Учтите потребности в сетевых ресурсах и скорость интернет-соединения.
2. Защита:	Роутер фаервол должен обладать надежными механизмами защиты. Убедитесь, что он поддерживает разные виды файерволов (например, SPI или NAT), имеет функцию виртуальной частной сети (VPN) и возможность настройки правил доступа.
3. Управление:	Роутер фаервол должен быть легким в использовании и иметь интуитивно понятный пользовательский интерфейс для управления и настройки. Обратите внимание на наличие веб-интерфейса и возможность удаленного управления.
4. Беспроводная связь:	Если вам нужна беспроводная связь, убедитесь, что роутер фаервол поддерживает нужные вам стандарты беспроводной передачи данных (например, Wi-Fi 6) и имеет достаточный уровень безопасности для защиты вашей беспроводной сети.
5. Цена:	Сравните цены на различные модели роутеров фаервола и выберите ту, которая лучше всего соответствует вашим потребностям и бюджету. Учтите, что дорогой роутер фаервол может предлагать более продвинутые функции и лучшую производительность.

Помните, что выбор подходящего роутера фаервола зависит от конкретных требований вашей сети. Тщательно исследуйте характеристики различных моделей, перед покупкой проведите достаточное количество исследований и проконсультируйтесь со специалистом, если необходимо.

Настройка роутера фаервола: шаг за шагом

Прежде чем начать настройку, убедитесь, что вы вошли в административную панель роутера. По умолчанию, адрес административной панели указывается в документации роутера или может быть настроен вами самостоятельно.

1. Войдите в административную панель роутера, введя свой логин и пароль.
2. Перейдите в раздел «Настройки фаервола» или «Firewall Settings».
3. Установите уровень защиты на своем роутере. Обычно есть опции «Низкий», «Средний» и «Высокий». Рекомендуется установить уровень «Высокий» для обеспечения максимальной безопасности.
4. Включите фильтрацию пакетов (packet filtering) или сетевой сопровождение (network address translation). Эти функции позволяют блокировать внешние запросы, которые могут представлять угрозу для вашей сети.
5. Настройте правила доступа к входящим и исходящим соединениям. Вы можете разрешить или запретить определенные порты и протоколы.
6. Настройте фильтрацию URL-адресов (URL filtering), если ваш роутер поддерживает эту функцию. Это позволит вам блокировать доступ к определенным сайтам или категориям сайтов.
7. Установите фильтрацию по MAC-адресам (MAC address filtering), если ваш роутер поддерживает эту функцию. Это позволит вам контролировать доступ к сети для определенных устройств.
8. Сохраните изменения и перезагрузите роутер.

После выполнения всех этих шагов вы успешно настроили фаервол на своем роутере. Теперь ваша сеть защищена от внешних угроз и вы можете быть уверены в безопасности своих данных.

Проверка работы и обновление прошивки роутера фаервола

Правильная работа роутера фаервола играет ключевую роль в обеспечении безопасности сети и защите от несанкционированного доступа. Для того чтобы гарантировать надежную и безопасную работу роутера фаервола, необходимо периодически проверять его работоспособность и обновлять прошивку.

Одним из первых шагов в проверке работы роутера фаервола является убеждение в том, что он правильно настроен. Настройки роутера фаервола могут быть осуществлены через веб-интерфейс, доступный по IP-адресу роутера. Некоторые основные параметры, которые следует проверить, включают в себя:

• Адреса IP-интерфейсов: убедитесь, что адреса IP-интерфейсов роутера правильно настроены и соответствуют вашей сети.
• Правила фаервола: проверьте, что правила фаервола настроены правильно и обеспечивают необходимую безопасность. Убедитесь, что несанкционированный доступ заблокирован, а разрешенные соединения не блокируются.
• Логирование и мониторинг: активируйте протоколирование событий роутера фаервола, чтобы иметь возможность отслеживать события и идентифицировать потенциальные угрозы.

После проверки работы роутера фаервола следует периодически обновлять его прошивку. Обновление прошивки роутера видоизменяет и добавляет новые функции, улучшает безопасность и производительность устройства.

Процесс обновления прошивки может различаться в зависимости от модели и производителя роутера фаервола, однако обычно включает в себя следующие шаги:

1. Проверка наличия обновлений: посетите веб-сайт производителя роутера фаервола и проверьте наличие новых версий прошивки для вашей модели.
2. Скачивание прошивки: скачайте последнюю версию прошивки с веб-сайта производителя роутера фаервола.
3. Резервное копирование настроек: перед установкой новой прошивки рекомендуется создать резервную копию текущих настроек роутера фаервола.
4. Установка новой прошивки: следуйте инструкциям, предоставленным производителем, чтобы установить новую прошивку на роутер фаервола.
5. Проверка работоспособности: после установки новой прошивки проверьте работоспособность роутера фаервола и убедитесь, что все функции работают корректно.

Проверка работы и обновление прошивки роутера фаервола являются важными шагами для обеспечения безопасной и надежной работы сети. Регулярная проверка работы, настройка и обновление прошивки роутера фаервола помогут защитить сеть от угроз и обеспечить ее стабильность и производительность.

Как было описано ранее, при возникновении более одного сетевого сегмента (к примеру: сегмент серверов, сегмент пользователей) требуется устройство третьего уровня модели OSI (L3), т.е. маршрутизирующее устройство.

Если в сети находится большое кол-во информационных ресурсов (файловый сервер, корпоративный портал, виртуальная инфраструктура) и требуется высокая скорость маршрутизации внутри сети, то необходимо применять коммутаторы третьего уровня модели OSI. Различие маршрутизатора и коммутатора третьего уровня было описано ранее.

Как только появляется необходимость маршрутизации трафика во внешнюю сеть (Internet) необходимо использовать маршрутизатор или межсетевой экран. Рассмотрим отличия этих устройств. В чем разница? Где использовать межсетевой экран, а где маршрутизатор?

В качестве примера будем рассматривать маршрутизаторы и межсетевые экраны компании Cisco.

Если посмотреть на функции и технологии, которые обычно используют организации, то они присутствуют как в межсетевых экранах так и в маршрутизаторах:

Что касается IPS, то в современных маршрутизаторах так же доступна данная функция, включаемая дополнительной лицензией.

Рис. 1 — Маршрутизатор Cisco ISR G2 2921

В межсетевых экранах серии Cisco ASA 5500 возможно использовать функционал IPS, применив специальный модуль AIP-SSM.

Рис. 2 — IPS модуль AIP-SSM для межсетевых экранов Cisco ASA 5500

Начиная с серии Cisco ASA 5500-X, функция IPS интегрирована и не требует установки дополнительных модулей. Для активации требуется соответствующая лицензия.

Рис. 3 — Межсетевой экран Cisco ASA 5500-X

Главное предназначение Cisco ASA это безопасность. И такие функции безопасности как межсетевой экран, IPS, VPN, подключение удаленных пользователей, с технической точки зрения реализованы лучше чем на обычном маршрутизаторе. В межсетевых экранах по умолчанию включены многие функции безопасности, которые на маршрутизаторе необходимо настраивать в ручную, либо вообще отсутствуют.

Рассмотрим ключевые функции Cisco ASA не вдаваясь в технические подробности:

Межсетевой экран это в первую очередь фильтр. Использование МЭ исключительно для маршрутизации будет неправильным, тем более что многие функции доступны только в традиционных маршрутизаторах:

Несколько полезных графиков:

Если подвести итог, то можно сделать некоторый вывод.

Межсетевой экран стоит выбрать в том случае, когда в головном офисе требуется организовать безопасный доступ в Интернет, защищенный удаленный доступ пользователей и подключение удаленных филиалов.

Маршрутизатор же больше подходит для небольших филиалов, т.к. он обойдется дешевле, при этом сможет объединить большинство необходимых функций.

Для крупных организаций, имеющих большое количество филиалов, будет разумным применение обоих устройств, где маршрутизатор будет использоваться для динамической маршрутизации (OSPF, EIGRP, BGP). Тем самым разгружается МЭ, обеспечивающий функции безопасности (фильтрация, IPS, VPN и т.д.)

Роутер (router) в переводе с английского дословно означает маршрутизатор. Но, как всегда, дословный перевод не всегда отражает реальность. Модели «роутеров для доступа в Интернет», предлагаемые большинством вендоров, по факту представляют собой межсетевой экран, сочетающий и простые функции вроде фильтрации по MAC, и «продвинутые» анализаторы, например, контроль приложений (Application Patrol).

Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?

Маршрутизатор

В самом названии маршрутизатор заключена расшифровка его предназначения.

В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).

Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.

Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.

В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.

В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.

Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.

С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.

Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.

Межсетевой экран

Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.

Разумеется, многие межсетевые экраны обладают стандартным «джентльменским набором» типичного маршрутизатора. Но «сила» МСЭ определяется наличием функций по фильтрации и управлению трафиком, а также усиленном аппаратным обеспечением для реализации этих задач.

Стоит отметить, что набор возможностей фильтрации того или иного устройства МСЭ вовсе не означает: «Чем больше функций смогли «накрутить», тем «лучше» межсетевой экран». Основной ошибкой было бы при покупке делать акцент на длине перечня всевозможных «фишек», без учета конкретного предназначения, конструктивных особенностей, параметров быстродействия и других факторов. Все должно быть строго дозировано и сбалансировано без перекосов в сторону «сверхбезопасности» или «суперэкономии».

И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000

Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000

А вот для Secure Gateway всевозможные фильтры, «Песочница» и другие виды проверок стоят на первом месте. В качестве примера такого специализированного устройства для повышения уровня защиты можно привести ZyWALL ATP800.

Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.

Как видно из рисунков, внешний вид подобных устройств может быть весьма схож, а всё отличие заключается внутри — программном и аппаратном обеспечении. Более подробно об можно прочитать в статье «Для тех, кто выбирает межсетевой экран».

Механизмы защиты межсетевых экранов

Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?

Firewall

Данный сервис перешел «по наследству» от маршрутизаторов. При помощи файрвола отслеживаются и блокируются нежелательные адреса, закрываются порты, анализируются другие признаки пакетов, по которым можно «вычислить» нежелательный трафик. На этом этапе происходит отражения большого числа угроз, таких как попытки соединиться с общедоступными TCP портами, бомбардировка пакетами с целью выведения системы из строя и так далее.

IP Reputation

Это облачное расширение функций обычного файрвола и безусловный шаг вперед. Дело в том, что в обычной ситуации система ничего не знает об источнике или приемнике (в зависимости от типа трафика). Если это явно не прописано в правилах файрвола, например, «Запретить», то трафик будет проходить, пусть даже от самых вредоносных сайтов. Функция IP Reputation позволяет проверить, является ли IP-адрес подозрительным или «засветился» в той или иной базе данных по проверке репутации. Если со стороны базы данных поступили сведения о плохой репутации IP адреса, то появляется возможность для маневра: оставить прохождение трафика без изменений, запретить полностью или разрешить при определенном условии.

Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.

SSL Inspection

Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.

С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.

Intrusion Detection/Prevention Service

Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.

А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.

Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.

Antimalware

Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.

В качестве «движка» (engine) в межсетевых шлюзах Zyxel используются локальные сигнатуры от BitDefender и облачные от McAfee.

Sandbox

Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.

Выше уже описывались другие средства защиты: IPS и антивирус (antimalware) для защиты сетей. Однако эти две функции не всегда эффективны против новых модификаций вредоносного кода. Зачастую приходится сталкиваться с мнением о том, что антивирус «на потоке» способен определить только очень простые и широко известные угрозы, в первую очередь полагаясь на записи в антивирусных базах. Для более серьезных случаев требуется поведенческий анализ. Грубо говоря, нужно создать для предполагаемого вредоносного кода комфортные условия и попробовать его запустить.

Как раз «Песочница» (Sandbox) — это и есть виртуализированная, изолированная и безопасная среда, в которой запускаются неизвестные файлы для анализа их поведения.

«Песочница» работает следующим образом:

Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.

Если файл неизвестен, его копия перенаправляется в Sandbox.

Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.

По результатам проверки «Песочница», размещенная в облаке, получит новую информацию об этом новом элементе и сохранить её в своей базе данных для аналогичных случаев. Таким образом, облачная архитектура не только делает его общедоступным, но и позволяет постоянно обновлять в режиме реального времени.

В свою очередь, база данных защиты от вредоносных программ регулярно синхронизируется с «Песочницей», чтобы поддерживать ее в актуальном состоянии и блокировать новые вредоносные вирусы в режиме реального времени.

E-mail security

Данная служба включает в себя антиспам и проверку на фишинговые вложения.

В качестве инструментов в настройках «Anti-Spam» доступно:

• «белый список» — «White List», чтобы определять и пропускать полезную почту от доваренных отправителей.
• «черный список» — «Black List» для выявления и обработки спама;
• также возможна проверка электронной почты на наличие в «черных списках» DNS (DNSBL),

Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.

Content Filtering

Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.

Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.

Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.

Если говорить об изменениях (собственно, почему «2.0»), то в новой версии Content Filtering были внесены несколько существенных изменений, в частности:

• улучшено представление информации;
• расширен спектр обнаруживаемых угроз;
• добавлена фильтрацию по URL-адресам и доменам HTTPS;
• добавлен безопасный поиск и блокирование по GeoIP.

Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.

Отдельно стоит сказать о пополнении информационной базы. За счет обработки более 17 миллиардов транзакций каждый день, выполняемых 600 миллионами пользователей из 200 стран, пополняется глобальная база данных, и с каждым новым «знанием» повышается степень защиты системы. Стоит также отметить, что >99% контролируемого контента уже содержится в локальном кэше, что позволяет быстрее обрабатывать поступающие запросы.

Таблица 1. Security Service Content Filtering 2.0 — Схема применения.

Application Patrol

Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.

В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.

Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.

Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.

В итоге

Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.

Полезные ссылки

1. Telegram chat Zyxel
2. Форум по оборудованию Zyxel
3. Много полезного видео на канале Youtube
4. Для тех, кто выбирает межсетевой экран
5. Коммутаторы Zyxel L3 серии XGS4600
6. Межсетевой экран VPN ZyWALL VPN1000
7. Межсетевой экран ATP ZyWALL ATP800
8. Фильтрация контента Content Filtering 2.0
9. Zyxel Application Patrol
10. Что такое DNSBL и как туда вам не попасть

Роутер firewall — это устройство, которое используется для защиты компьютерных сетей от несанкционированного доступа и атак извне. Firewall (англ. «ограждающая стена») устанавливается между локальной сетью и внешней сетью (Интернетом) и контролирует прохождение информации между ними.

Основная функция роутера firewall — это фильтрация и обработка сетевых пакетов. Роутер firewall анализирует данные, проходящие через него, и принимает решение о том, какие из них следует разрешить проходить, а какие блокировать.

Преимущества использования роутера firewall очевидны: он защищает компьютеры и серверы от вредоносных программ, взломов, фишинга и других видов атак. Firewall также позволяет контролировать доступ пользователей к ресурсам сети, устанавливать правила безопасности и фильтровать трафик по определенным параметрам.

Для работы роутера firewall используется специальное программное обеспечение, которое может быть как частью операционной системы роутера, так и установлено отдельно. Это программное обеспечение основывается на различных алгоритмах и правилах, которые определяют, какие данные считать безопасными и пускать в сеть, а какие — блокировать. Настройка и поддержка роутера firewall — это сложный процесс, требующий знаний и навыков в области сетевой безопасности.

Роутер firewall: защита сети и контроль доступа

Роутер firewall представляет собой компонент компьютерной сети, который используется для обеспечения безопасности и защиты от несанкционированного доступа. Firewall на роутере представляет собой программное или аппаратное устройство, которое контролирует поток данных между внутренней и внешней сетью. Он фильтрует пакеты данных, проверяя их на соответствие заранее установленным правилам безопасности.

Роутер firewall обеспечивает защиту сети от широкого спектра угроз, таких как атаки извне, включая вирусы, черви, мальваре и DoS-атаки, а также несанкционированный доступ к локальной сети. Он может блокировать или ограничивать доступ к определенным портам или протоколам, проверять подлинность и шифровать данные, предотвращая утечку информации.

Роутер firewall также обеспечивает контроль доступа к сети. Он может быть настроен таким образом, что разрешает или запрещает определенным пользователям или устройствам доступ к сети. Это особенно важно для организаций, где необходимо ограничить доступ к чувствительной информации или ресурсам.

Роутер firewall обладает несколькими уровнями защиты. Он может использовать различные технологии, включая пакетную фильтрацию, контент-фильтрацию, VPN-шлюзы и аутентификацию пользователей. Также он может работать в сочетании с другими компонентами безопасности сети, такими как антивирусные программы, межсетевые экраны и системы обнаружения вторжений.

Преимущества роутера firewall: Защита от внешних угроз и несанкционированного доступа Контроль доступа к сети Фильтрация трафика и блокирование вредоносных пакетов данных Предотвращение утечки информации Настройка правил безопасности в соответствии с потребностями сети

Недостатки роутера firewall: Требуется настройка для оптимальной работы Может замедлять скорость передачи данных Может потребовать дополнительных ресурсов для поддержания защиты Не является единственным средством безопасности и может быть обходным путем для опытных хакеров

В целом, роутер firewall является важным компонентом безопасности сети, который помогает защитить локальную сеть от угроз и предотвратить несанкционированный доступ. Он обеспечивает контроль доступа и фильтрацию трафика, что позволяет организациям установить и поддерживать высокий уровень безопасности в своей сети.

Роутер firewall — что это такое и как он работает

Основная функция роутера firewall — это обеспечение безопасности сети путем блокировки несанкционированного доступа. Он контролирует входящий и исходящий сетевой трафик, анализируя его и принимая решения на основе определенных правил и политик безопасности.

Роутер firewall может блокировать и фильтровать определенные порты, протоколы и сетевые адреса, что позволяет улучшить безопасность сети и предотвратить попытки взлома или атаки на систему. Он также может выполнять функцию NAT (Network Address Translation), что позволяет скрывать реальные IP-адреса устройств в локальной сети и использовать для подключения внешний IP-адрес роутера.

Роутер firewall имеет встроенные механизмы защиты от известных уязвимостей и типичных сетевых атак, таких как DDOS-атаки, фишинг, атаки на протоколы TCP/IP. Он также может предоставлять VPN-соединения для удаленного доступа к локальной сети.

Роутер firewall обычно настраивается и администрируется администратором сети, который определяет правила и политики безопасности, а также проводит мониторинг и анализ сетевого трафика.

В целом, роутер firewall является одной из основных компонентов безопасности компьютерной сети, обеспечивая защиту от внешних угроз и обеспечивая безопасное функционирование всей сети.