УПРАВЛЯЕМЫЙ МЕЖСЕТЕВОЙ ЭКРАН БЕЗОПАСНОСТИ С ИСКУСТВЕННЫМ ИНТЕЛЛЕКТОМ
ПРОИЗВОДСТВА РОССИИ
является прямым конкурентом компании Fortinet USA
Базовый функционал:
Брандмауэр
Маршрутизация
VPN-ГОСТ
Биометрическая авторизация пользователя
Безопасное удаленное управление
Фильтрация URL
Защита от DDоS
Расширенный DNS-сервер
Проверка SSL
Балансировка входящей нагрузки
Основными задачами комплекса являются:
1. инспекция сетевого трафика;
2. обнаружение проникновения или распространения вредоносных программ;
3. обнаружение сетевых аномалий;
4. детектирование потенциальных угроз и попыток эксплуатации известных уязвимостей.
Система использует режимы обнаружения или предотвращения при этом оповещая о результатах администратора системы.
NGFW-AI Matreshka программно-аппаратный комплекс с искусственным интеллектом ( AI) следующего поколения, позволяющий отражать сложнейшие сетевые атаки, производя глубокий анализ сетевого трафика, тем самым точнее определяя протоколы и приложения, даже если используются не стандартные порты.
Оборудование позволяет получить точный контроль над инфраструктурой безопасности бизнеса, используя все преимущества функционального превосходства системы Искуственного интеллекта и высокий уровень производительности.
Множество инструментов безопасности объединены в одном решении, чтобы сократить расходы на дополнительные меры обеспечения безопасности. NGFW-AI MATRESHKA также может быть интегрирована во все типы инфраструктуры систем информационной безопасности с пропускной способностью телекоммуникационной сети до 10000 Мб/с.
Эффективные механизмы мониторинга трафика блокируют до 99,4% киберугроз. Политики безопасности могут быть реализованы в соответствии со стандартами безопасности любой компании и требованиями регулятора ФСБ и ФСТЭК.
Интернет многое изменил в нашей жизни. Это изменило наш образ жизни, изменило способ общения, изменило наш взгляд на вещи и изменило способ ведения бизнеса. Интранет и Интернет стали одной из самых неотъемлемых частей компаний и организаций во всем мире. Будь то Америка, Австралия, Канада или любая другая страна, имеющая сотрудников онлайн. Однако эффективное и действенное использование Интернета сотрудниками не гарантируется.
Большинство компаний фильтруют трафик. Они думают, что фильтрация интернета для сотрудников — единственный выход.
Однако в случае, если компания фильтрует интернет, она должна предоставлять одинаковые и равные преимущества каждому сотруднику и должна применять политику фильтрации повсеместно. Это может раздражать сотрудников, которые не нарушали никаких правил. Интернет-фильтры не всегда работают идеально. Иногда они могут заблокировать веб-сайт, который является необходимым на рабочем месте. В этом случае системные администраторы должны настраивать систему фильтрации каждый раз, когда необходимо просмотреть или получить доступ к этому конкретному веб-сайту для рабочих целей. А учитывая что создается или переименовывается от 3 до 5 миллионов веб-сайтов каждую неделю системному администратору невозможно применить обычную систему фильтрации. Когда конкретный веб-сайт запрещен в доступе, сотрудники организации думают о других способах доступа к запрещенным веб-сайтам. В большинстве случаев находят альтернативные способы доступа к этим запрещенным сайтам. Эти методы доступа к запрещенным веб-сайтам создают гораздо большую угрозу безопасности для бизнеса, чем открытый доступ к ним.
Типовые сценарии внедрения
Продвинутый
На периметре сети используется какой-либо Stateful Firewall, который имеет минимум три сегмента: Internet, DMZ, локальная сеть. На этом же МЭ может организовываться Site-to-Site VPN и RA VPN.
В DMZ как правило находятся публичные сервисы. Там же чаще всего находится какое-либо Anti-Spam решение с функционалом антивируса.
За маршрутизацию локального трафика отвечает коммутатор ядра (L3), на котором также минимум два сегмента: сегмент пользователей и сегмент серверов. В сегменте серверов располагают Proxy-сервер с функционалом антивируса и сервер корпоративной почты. Довольно часто сегмент серверов защищается дополнительным МЭ (виртуальный или “железный”).
В качестве дополнительной меры защиты может применяться IPS, который мониторит копию трафика (подключен к SPAN-порту). На практике мало кто “отваживается” ставить IPS в online режим.
Упрощенный
Почти весь секьюрити функционал развернут в рамках единого UTM-решения Matreshka (Firewall, Proxy, AV, Anti-Spam, IPS). Для маршрутизации локального трафика используется коммутатор ядра (Core SW L3). На нем же выделен сегмент серверов с почтовым сервером и другими сервисами компании.
SMB
Самый простой вариант. Отличается от предыдущего отсутствием коммутатора ядра. Т.е. трафик между локальными сегментами и в Интернет маршрутизируется через одно устройство NGFW-AI Matreshka. Данный вариант часто встречается в небольших компаниях, где небольшой трафик.
Matreshka NGFW-AI как устройство периметра. Самый простой и самый правильный вариант внедрения. Matreshka NGFW-AI должна — стоять на границе сети.
Преимущества
1. Отпадает необходимость использования выделенного proxy. NGFW-AI Matreshka умеет функционировать в режиме proxy, однако весь необходимый функционал работает и в режиме “маршрута по умолчанию” для всех локальных сетей. Настроили default gateway и забыли. Никаких явных прокси в браузерах пользователей.
2. По умолчанию присутствует IPS и сразу в inline режиме. Можно выставить Detect если боитесь проблем. Не нужно думать о том, как завернуть трафик через выделенное IPS устройство и как быстро вернуть трафик назад в случае проблем.
3. Антивирус для веб-трафика, в том числе для HTTPS-трафика (при включенной SSL-инспекции).
Антивирус для почтового трафика. Проверка ссылок и вложений.
4. Анти-спам функционал.
5. Возможность быстрого внедрения функционала “песочницы” (sandbox). Практически все современные NGFW-AI имеют возможность активации песочницы (облачной или локальной).
6. Встроенная отчетность по всем ИБ инцидентам.
Как видите, схема сильно упрощается. Убирается несколько традиционных средств сетевой защиты. С одной стороны это плюс (упрощается администрирование) с другой стороны минус (единая точка отказа).
На что обратить внимание выбирая NGFW-AI, который будет стоять на периметре сети:
1. Наибольшее внимание здесь нужно уделить функционалу проверки почты (конечно если вы собираетесь убирать текущее anti-spam решение). Для полноценной работы с почтой, NGFW-AI должен иметь MTA (mail transfer agent) на борту.
2. Фактически в этом режиме NGFW-AI заменяет SMTP-relay, что позволяет выполнять глубокую проверку почтового трафика. В том числе проверку вложений в “песочнице”. Если MTA нет, то необходимо как минимум оставить SMTP-relay.
3. Даже если MTA присутствует в NGFW-AI, внимательно ознакомьтесь с возможностями фильтрации почты. Один из важнейших критериев — наличие карантина (либо способы его организовать).
4. Естественно должна поддерживаться HTTPS-инспекция. Без этой функции от NGFW-AI остается одно название.
NGFW-AI Matreshka как proxy-сервер
Как ни странно, но это тоже довольно распространенный вариант. Хоть NGFW-AI и не разрабатывался как proxy. Типовая схема:
Преимущества такого варианта:
Скорость внедрения. Заменили старый Proxy и готово.
Не нужно менять текущую схему или маршрутизацию.
На этом пожалуй плюсы заканчиваются. Хотя озвученные преимущества очень часто становятся решающими для многих компаний.
NGFW-AI Matreshka как ядро
Распространенный вариант для небольших сетей. Маршрутизация всего трафика (Интернет, локальный, серверный) “вешается” на NGFW. L3 коммутатор отсутствует, либо просто не используется для маршрутизации.
Преимущества такого варианта:
Удобство администрирования. Все access-list-ы в одном месте.
Скорость развертывания. Как правило NGFW ставится таким образом в топологиях где и до этого МЭ выполнял роль ядра сети.
Все плюсы варианта “NGFW на периметре сети”.
NGFW-AI Matreshka в режиме bridge
Менее популярный вариант, но все же встречается чаще чем хотелось бы. В этом случае текущая логика сети никак не меняется, трафик на втором уровне проходит через NGFW, который работает в режиме моста:
Оставлять сторонний IPS в таком случае нет смысла (тем более на мониторинг трафика). NGFW вполне справится с его функцией. Такой вариант применяется чаще всего в более продвинутых инфраструктурах, где изменения топологии по какой-то причине невозможны либо крайне нежелательны.
Преимущества такого варианта:
Скорость внедрения. Менять логику сети не нужно, максимум переткнуть кабель или “завернуть” VLAN.
Переход на полный сервис NGFW-AI Matreshka
Наши специалисты готовы поделиться своими знаниями и опытом с нашими Заказчиками. Поэтому мы регулярно организовываем технические тренинги в режиме онлайн и предоставляем нашей аудитории оперативную информацию о современных тенденциях в области кибербезопасности