Stateful фильтрации фаерволов недостаточно. Что делать? Совет от Forcepoint

Фаерволы имеющие функционал DPI и IPS называют Next Generation Firewall (NGFW), однако это далеко не все его функции. NGFW должен уметь контролировать сетевые приложения, иметь URL-фильтрацию, быть отказоустойчивым, уметь строить VPN, иметь удобный централизованный менеджмент, систему логирования и отчетов, антивирус и многое др.

Все основные производители имеют схожий набор функций, я бы хотел подробнее рассказать о преимуществах NGFW от Forcepoint.

1.    Forcepoint NGFW наиболее эффективный фаервол по критерию обеспечения беозопасности

По результатам группового тестирования NGFW в NSS Labs в 2018 году Forcepoint показал первый результат по эффективности.

NSS Labs тестировал с помощью более 2000 эксплойтов и 190 методов обхода защиты. Forcepoint не допустил ни одного обхода и не пропустил 99,69% эксплойтов, что позволило занять первое место. При этом 8 из 10 производителей допустили обходы.

 Защита от обходов (advanced evasion technique (AET)) с помощью нормализации трафика (по всему стеку протоколов) и инспекции на основе потоков данных, а не отдельных пакетов, вообще является сильной стороной данного фаервола, по заявлению вендора он протестирован уже более чем на 800 млн AET.

Такой высокий результат демонстрируется из года в год, в то время как другие вендоры не могут похвастаться такими результатами.

Такая стабильность результата позволяет сделать вывод, что в будущем фаервол не станет «решетом» при появлении новых техник обхода и уязвимостей.

Тестировалась также и производительность, Forcepoint показал 102% от пропускной способности нешифрованного трафика и 148% от пропускной способности SSL/TLS трафика. Это говорит о том, что данные в «даташите» не завышены, чем грешат многие производители. При этом производительность VPN, например, обеспечивается за счет софта, а не отдельного железа как у других. Forcepoint тесно сотрудничает с Intel, что позволяет эффективно использовать инструкции процессоров и увеличивать производительность от релиза к релизу, например, в релизе 6.6 заявлено, что пропускная способность IPsec VPN с шифрованием AES-GCM-256 увеличена в 3 раза.

Скачать отчет о тестировании NSS Labs можно здесь.

В квадрате Гартнера в 2018 Forcepoint стал единственным визионером, не попав в лидеры только из-за недостаточной инсталляционной базы среди фаерволов энтерпрайз уровня.

2.    Кластеризация

Сильной стороной Forcepoint также является и уникальная кластеризация. У многих производителей в кластер необходимо подключать одинаковые устройства с одинаковой прошивкой (иначе проблем не избежать), а апгрейд устройств в нем становится квестом не из легких.  Forcepoint позволяет подключать в кластер до 16 устройств не только разных моделей, но и разные платформы (например виртуальные фаерволы с серверными) и разные версии софта.  

Производительность также показывает неплохие результаты. Например, кластер из 4 устройств даёт прирост производительности 370%

Нет проблем и с апгрейдом кластера, а его настройка проста и аналогична настройке одного фаервола. 

3.    Централизованное управление и система логов и отчетов

Forcepoint имеет удобное централизованное управление NGFW, которое называется Security Management Center (SMC). Один SMC может управлять одновременно до 2000 NGFW независимо от платформы реализации и роли последних.

Администрирование центром основывается на ролях, что позволяет настроить гибкую систему управления и принятия решений.

Система политик имеет иерархическую и шаблонную структуру, что снижает долю рутинной работы и сокращает затраты на конфигурацию. Сетевые элементы в политиках дают широкие возможности по дизайну, так как это не просто номера портов или протоколы, а еще списки сетей и их группы, зоны, URL категории и листы, сетевые приложения, логические выражение (И, ИЛИ, НЕТ) со всеми элементами, а также переменные с помощью которых мы можем унифицировать политику.  По факту мы можем одной политикой сконфигурировать все фаерволы в сети.

Элементы можно перетаскивать мышью (Drag & Drop), что так же сокращает временные затраты. Благодаря централизации применять политики можно одному NGFW, сразу всем, или некоторым.

В SMC представлена продвинутая система логирования и отчетов, которая изначально доступна в базовом функционале и не требует дополнительных лицензий как у некоторых вендоров. Логи можно фильтровать, а также выполнят некоторые функции анализа, графического представления в виде диаграмм и т.д.

Forcepoint NGFW также имеет функционал идентификации пользователей и сбору информации о их сетевой активности:

4.    SD-WAN

Одной из сильных сторон Forcepoint NGFW является встроенный SD-WAN. При чем SD-WAN появился у них до того, как это стало мейнстримом. Называется он Multi-Link, поверх которого можно построить и VPN.

SD-WAN обеспечивает высокую доступность каналов связи и VPN, позволяет балансировать трафик, применять QoS, тем самым перейти с дорого MPLS на более дешевый, но не менее качественный транспорт.

Multi-Link позволяет балансировать трафик по самому быстрому каналу (Round Trip Time) или по соотношению пропускных способностей интернет каналов (Ratio). Внутри VPN можно настроить туннели в режимах active/standby (трафик балансируется между active туннелями по загрузке последних) и aggregate (round-robin балансировка). Так же можно создавать QoS классы со своими правилами, что делает SD-WAN функционал очень гибким.

Немного скринов из SMC посвященных SD-WAN: 

5.    Минимальные скрытые затраты, уменьшение IT затрат.

Немного о деньгах. Forcepoint имеет минимальные срытые затраты. Нам не нужно переживать о дополнительных лицензиях на разный функционал NGFW, о котором обычно любят не упоминать до продажи продукта. Большая часть функционала Forcepoint NGFW идет с базовой лицензией. Отдельные лицензии нужны только на облачные сервисы такие как песочница Advanced Malware Detection (AMD) и URL фильтрацию использующая Forcepoint ThreatSeeker Intelligence [2] а также на SMC Web Portal (насколько известно, в будущем планируется включить в базовый набор).

Благодаря продуманному функционалу, согласно исследованию, IDC [3], Forcepoint NGFW позволяет снизить нагрузку на IT персонал: на 53% общую нагрузку на IT специалистов, на 70% быстрее происходит развертывание систем, на 70% уменьшить время планового обслуживания. Это конечно не влияет напрямую на затраты компании, но позволяет более эффективно использовать ресурсы инженеров, соответственно увеличить производительность труда. Завяленное ROI: 510% за 5 лет.

6. Отличная песочница Advanced Malware Detection

У Forcepoint одна из лучших песочниц на рынке от компании Lastline. Она конечно за дополнительную лицензию, однако, если встроенный антивирус и McAffe GTI (базовый антивирусный функционал NGFW) всё-таки пропустят zero-day атаку, то эта песочница перехватит её со 100% уверенностью. Решайте, как говорится, сами.

На групповом тесте Breach Detection System (BDS) проведенном NSS Labs в 2017 году Lastline стал наиболее эффективной AMD, единственный, кто показал 100% обнаружение при нулевом положительном срабатывании.

Заключение

Подытожив вышесказанное можно сказать, что Forcepoint NGFW обладает одними из лучших показателями эффективности и производительности, удобным функционалом и может послужить достойным конкурентом более дорогим лидерам рынка NGFW.