Межсетевой экран — базовый элемент защиты приложений и сервисов, который используют большинство компаний. Основная его задача заключается в отслеживании и фильтрации сетевых пакетов — МЭ либо блокирует, либо разрешает сетевой трафик.
Так, при дополнительной настройке межсетевой экран может справиться с DDoS-атаками, которые представляют собой массовые отправления запросов на сервер. Брандмауэр обнаружит закономерность в отправке и отфильтрует злонамеренный трафик. Помимо этого, МЭ способен остановить обмен трафиком и заблокировать передачу данных на неизвестный адрес.
Подробнее о межсетевых экранах и их функциях →
Почему создали собственный файрвол
Компания уже несколько лет предлагает межсетевые экраны от ведущих вендоров — Fortinet и UserGate. Но сейчас появилась необходимость создать собственное решение.
Предпосылок было несколько:
Цена на зарубежные решения поднялась в несколько раз. | → Мы хотели предоставить качественное программно-аппаратное решение, доступное и крупным, и маленьким компаниям. |
Порой избыточный для компаний функционал, за который нужно переплачивать. | → Использовали опыт работы с клиентами Selectel. На основании среднестатистических потребностей компаний определили функции, которые стоит вложить в решение. |
Уход зарубежных вендоров с рынка: проблемы с заменой оборудования при выходе из строя, отмена подписок и обновления сигнатур угроз. | → Была цель — создать межсетевой экран, гибкий в эксплуатации (можно настраивать под себя) и независимый от лицензирования вендором. |
С чем справится межсетевой экран Selectel
Выполнит базовые функции брандмауэра по фильтрации трафика. МЭ сегментирует сети с помощью виртуальных IP, фильтрует трафик по URL-адресам, создает группы по IP, портам, URL. Также он поддерживает возможность запускать правила на конкретный промежуток времени или составлять расписания работы правил.
С помощью межсетевого экрана Selectel можно настроить статическую и динамическую маршрутизацию, в том числе на основе политик (Policy-based routing). Также он заблокирует немаршрутизированные адреса. Помимо прочего, решение поддерживает NAT — механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.
Пользователь может настроить под себя такие интерфейсы и службы, как DHCP (server, relay), NTP, SNMP, GRE, GIF, DNS-forwarder и DNS-resolver. Еще одна важная функция — ограничение полосы пропускания.
Межсетевой экран поддерживает создание VPN-туннеля с использованием IPsec и OpenVPN.
Наконец, брандмауэр поддерживает диагностику систем и восстанавливает конфигурацию из бэкапов. В межсетевом экране Selectel можно просматривать ARP-таблицы (Address Resolution Protocol), активные сетевые сокеты, утилизацию ресурсов процессора, количество трафика и статистики на интерфейсах. Решение также позволит снять дамп сетевого трафика, проверить соединение TCP-порта и т.д.
Что получает клиент
Продукт, объединяющий опыт специалистов Selectel, стабильность выделенных серверов компании и гибкость open source-решения, которое лежит в основе.
Необходимое программное обеспечение установлено на сервер с процессором, который поддерживает ускорение шифрования (включена функция AES-NI CPU Crypto). Скорость работы подтверждена бенчмарками.
В случае выхода из строя компонентов специалисты Selectel оперативно предоставят замену в течение трех часов. Новый инстанс, на который будет достаточно импортировать ранее сохраненную конфигурацию. Кроме того, компания отвечает за сервисное обслуживание МЭ, подключение к локальной сети выделенных серверов и интернету, настройку маршрутов для выхода в интернет.
Межсетевой экран клиент настраивает под себя. Прописать статические маршруты, настроить NAT, назначить сетевой интерфейс на порт и другое нужно будет самостоятельно. Подробные инструкции по каждому действию есть в базе знаний.
Помочь с базовой настройкой могут специалисты Selectel, но эта услуга — Managed Security — оплачивается отдельно. Также компания предлагает услугу по постоянному администрированию межсетевого экрана. На данный момент в рамках услуги настраиваем МЭ как базовый роутер, FW, VPN. IPS, антивирус и скорость 10 Гбит/с — в следующем релизе межсетевого экрана.
Сравнение с альтернативами
На данный момент основные альтернативы межсетевому экрану Selectel — МЭ иностранного вендора Fortinet FG-100E, отечественное решение от UserGate и самостоятельное развертывание МЭ.
Fortinet
— Более дорогое решение в сравнении с межсетевым экраном Selectel: 12 800 ₽ против 8 000 ₽.
— Дополнительный функционал, который ранее выделял решение, больше не актуален в связи с уходом вендора с рынка.
— Продолжать пользоваться решением как базовым межсетевым экраном можно. Но это все еще иностранный вендор, что может нести дополнительные риски для компании. Например, в случае поломки или проблем с FortiGate поставщик не сможет помочь или заменить ПО — техническая поддержка на данный момент не распространяется на Россию.
UserGate
— Значительно более дорогое решение: 72 000 ₽ против 8 000 ₽.
— Подчас излишний для среднестатистической компании функционал, за который приходится платить. Так, UserGate имеет сертификат ФСТЭК, который для рядовых задач ИБ не нужен.
Самостоятельное развертывание межсетевого экрана
— На рынке есть open source-решения, которые позволяют компаниям самостоятельно реализовать базовую защиту на уровне сети. Но для этого нужен квалифицированный администратор. Не во всех компаниях есть подобные специалисты, и решение «из коробки» становится хорошей альтернативой.
— Даже если само ПО будет бесплатным, компании придется потратить время и деньги на подбор инфраструктуры. Так, нужно будет арендовать сервер нужной конфигурации и протестировать его производительность. В случае межсетевого экрана Selectel это уже «вшито» в услугу.
Кому подойдет межсетевой экран Selectel
Подытожим, кому может быть полезна услуга:
→ компаниям, которым нужна базовая защита инфраструктуры на уровне сети,
→ тем, кто хочет найти решение, не зависимое от лицензий вендоров, и не переплачивать за альтернативные коробочные решения,
→ тому, кто уже арендует инфраструктуру Selectel и не хочет заниматься самостоятельной настройкой МЭ с помощью open source-решений,
→ компаниям, у которых нет времени развертывать межсетевой экран самостоятельно, поэтому они хотят получить готовый к работе МЭ по цене выделенного сервера.
Кому не подойдет
Решение не подойдет, если:
→ компания не арендует инфраструктуру Selectel,
→ нужно сертифицированное средство защиты информации.
Также на текущем уровне развития межсетевой экран не заинтересует, если требуется WAF и скорость выше 1 Гбит/c. Но в дальнейшем эти опции будут доступны.
Кейсы использования межсетевого экрана
Кейс 1. Фильтрация трафика, блокировка нежелательных приложений
Компания взяла сервер под веб-приложение. Использует белый IP-адрес, но сервер открыт всему интернету. Просто так оставлять нельзя — есть риск, что уязвимость обнаружат злоумышленники: положат сервер, заберут управление над ним, задействуют мощности в бот-сетях.
Клиенты либо не смогут заходить на сайт компании, либо он будет работать очень медленно, что скажется на лояльности пользователей. Программно-аппаратный межсетевой экран закроет все неиспользуемые порты, отфильтрует трафик. Кроме того, не перегрузит сервер, потому что находится на отдельном хосте.
Кейс 2. Организация VPN для пользователей сервиса на инфраструктуре Selectel
Онлайн-магазин перевел сотрудников на удаленную работу. Для учета продаж компания использует 1С, который установлен на сервере. Теперь сотрудники работают из дома, со своих рабочих ноутбуков. Компании нужно обеспечить им безопасный доступ к системе. В таком случае межсетевой экран можно использовать как VPN-шлюз — для Site-to-Site-туннелей и/или для Client Access VPN.
Гибкая настройка протоколов шифрования для IPsec позволяют построить туннель с различными устройствами. А с помощью разграничения доступа к туннелируемым серым сетям можно избежать избыточной сетевой доступности в VPN-туннелях.
Кейс 3. Сегментация сетей в инфраструктуре с несколькими серверами
Команда, развивающая мобильное приложение для занятий бегом, растет. Сервис перестал «умещаться» на одном сервере — понадобились отдельные машины под базу данных, хранение статического контента, dev-окружение, веб-сервер. Чтобы не выделять под сервер с базой данных отдельную подсеть, решили сегментировать сети при помощи правил межсетевого экрана. Теперь доступ к серверу баз данных имеют только системные администраторы и DBA.
Межсетевой экран Selectel
Готовый программно-аппаратный файрвол по цене выделенного сервера.