Найти тему
IT-Mdd Master
1 подписчик

Что такое брандмауэр, брандмауэр следующего поколения и UTM? И в чем разница между ними?

3
4 мин
Оглавление

Данные и информация о компании остаются наиболее важной точкой на карте кибербезопасности. В настоящее время стандартом, рядом с антивирусом , является использование какого-либо типа межсетевого экрана, чаще всего в так называемых модель нового поколения (NGFW). Однако есть и другой вариант - более универсальный: устройство для унифицированного управления угрозами (UTM). В этой статье обсуждаются различия между этими системами.

Брандмауэр и брандмауэр следующего поколения

Цель межсетевого экрана - упростить сканирование каждого входящего и исходящего пакета данных, проверять наличие вредоносного или неприемлемого содержимого, а затем разрешать или отклонять ввод пакета данных в систему компании. Межсетевые экраны следующего поколения - NGFW может быть основан на программном или аппаратном обеспечении и может пойти дальше, чем просто оценка пакетов данных; выполнять глубокую проверку пакетов, а не просто проверять номера портов и типы протоколов. Они обеспечивают управление трафиком на уровне приложений, предотвращают взлом и могут использовать различные механизмы, выходящие за рамки функциональности классического межсетевого экрана. Работа межсетевого экрана и безопасности следующего поколения, реализованных на 7 уровнях сети, представлена ​​на диаграмме ниже.

Сетевые уровни, поддерживаемые брандмауэром следующего поколения
Сетевые уровни, поддерживаемые брандмауэром следующего поколения

Как брандмауэры развивались исторически?

Первое поколение: фильтры пакетов
Цель межсетевого экрана - упростить сканирование каждого входящего и исходящего пакета данных, проверять наличие вредоносного или неприемлемого содержимого, а затем разрешать или отклонять ввод пакета данных в систему компании. Межсетевые экраны следующего поколения - NGFW может быть основан на программном или аппаратном обеспечении и может пойти дальше, чем просто оценка пакетов данных; выполнять глубокую проверку пакетов, а не просто проверять номера портов и типы протоколов. Они обеспечивают управление трафиком на уровне приложений, предотвращают взлом и могут использовать различные механизмы, выходящие за рамки функциональности классического межсетевого экрана. Работа межсетевого экрана и безопасности следующего поколения, реализованных на 7 уровнях сети, представлена ​​на диаграмме ниже.

Второе поколение: фильтры с «состоянием»
В 1989–1990 годах три коллеги из AT & T Bell Laboratories, Дейв Пресотто, Джанардан Шарма и Кшитидж Нигам, разработали второе поколение межсетевых экранов, назвав их шлюзами на уровне сети.
Межсетевые экраны второго поколения выполняют работу своих предшественников, но работают на уровне 4 (транспортный уровень) модели OSI. Это достигается путем остановки пакетов, пока не будет достаточно информации для оценки их состояния. Брандмауэр регистрирует все соединения, проходящие через него, и определяет, является ли пакет началом нового соединения, частью существующего соединения или нет частью какого-либо соединения. Хотя статические правила все еще используются, теперь они могут содержать статус соединения в качестве одного из критериев тестирования.

Третье поколение: прикладной уровень
Marcus Ranum, Wei Xu и Peter Churchyard разработали брандмауэр третьего поколения, известный как Firewall Toolkit (FWTK). В июне 1994 года Wei Xu расширила FWTK для улучшения ядра IP-фильтра и невидимых сокетов. Он был известен как первый невидимый брандмауэр для приложений, доступный как коммерческий продукт в Trusted Information Systems. Брандмауэр Gauntlet был оценен как один из лучших брандмауэров в 1995–1998 годах.
Основное преимущество фильтрации на уровне приложений заключается в том, что она может «понимать» конкретные приложения и протоколы (такие как FTP, система доменных имен (DNS) или HTTP (протокол передачи гипертекста)). Это полезно, потому что он может обнаружить, пытается ли нежелательное приложение или служба обойти брандмауэр, используя протокол на разрешенном порте, или определить, используется ли протокол каким-либо вредоносным образом.
Начиная с 2012 года, так называемый межсетевой экран следующего поколения (NGFW) является не чем иным, как «более широкой» или «более глубокой» проверкой стека приложений. Например, существующая функция глубокой проверки пакетов в современных брандмауэрах может быть расширена для включения таких функций, как:

  • Системы предотвращения вторжений ( IPS )
  • Интеграция управления идентификацией пользователя (связывая идентификаторы пользователя с IP или MAC-адресами для «репутации»)
  • Брандмауэр веб-приложений ( WAF ).

Что такое устройство UTM?

Хотя NGFW может быть программным или аппаратным обеспечением, устройства UTM всегда являются аппаратными. Это имеет как плюсы, так и минусы. Небольшой недостаток устройства UTM заключается в том, что оно должно быть подключено к основной сети для работы. Преимущества устройства UTM - широкий спектр функций, которые оно может выполнять из этой позиции:

  • Балансировка нагрузки для сети
  • Предотвращение утечки данных
  • Предотвращение потери данных
  • Предотвращение вирусов
  • Выполнение функции защиты от спама
  • Обнаружение и предотвращение сетевых вторжений
  • Отчет об устройстве
  • Безопасность электронной почты
  • Фильтрация URL
  • Фильтрация содержимого пакета
  • Защита беспроводной сети
  • Завершение виртуальной частной сети
  • Выполнение функции брандмауэра интернет-приложений
  • Ограничение DDOS

Этот список инструментов означает, что в основном устройство UTM включает все функции NGFW. Все эти услуги можно получить от бесчисленных поставщиков и приложений. Преимущество устройства UTM, однако, состоит в том, что все данные централизованы и могут просматриваться целостно, обеспечивая лучший обзор обнаружения сетевых угроз в реальном времени.