Построение системы межсетевого экранирования

Многофункциональные сетевые устройства FortiGate компании Fortinet, от модели FortiGate-30B для малых предприятий до моделей серии FortiGate-5000 для крупных компаний, сервис-провайдеров и операторов связи объединяет комплексный подход к обеспечению надёжной безопасности сетевой инфраструктуры и высокой производительности за счёт применения специализированной операционной системы FortiOS, микропроцессоров FortiASIC и других специальных аппаратных средств.

Технологии межсетевого экрана Fortinet сочетают аппаратное ускорение с арсеналом интегрированных программных средств для быстрого обнаружения и блокировки угроз. Межсетевой экран в устройствах FortiGate интегрирован вместе с прочими ключевыми средствами обеспечения сетевой безопасности, такими как VPN, антивирусная защита, средство предотвращения вторжений, web-фильтр, антиспам и traffic shaping. Решения масштабируются от уровня небольшого офиса до размера крупных корпораций и центров обработки данных. Для централизованного управления и анализа журналов событий используются решения FortiManager и FortiAnalyzer.

Многофункциональные сетевые устройства FortiGate обеспечивают экономически эффективную комплексную защиту на уровне сети, приложений и данных, в том числе от современных комбинированных многоуровневых атак без ущерба для производительности и доступности сети.

Аппаратные платформы устройств FortiGate предоставляют такие сервисы как высокая доступность и балансировка нагрузки, с поддержкой работы в кластерах типа активный-активный и активный-пассивный, а также использование виртуальных доменов (VDOM) для разделения сетей, требующих использование различных политик безопасности.

Полная интеграция с остальными технологиями сетевой безопасности Fortinet делает защиту от угроз многоуровневой и более надежной. Функционал межсетевого экрана в агентах FortiClient расширяет защиту на мобильные устройства, смартфоны и удаленные компьютеры, работающие вне сетевого периметра предприятия. Доступные решения централизованного управления и отчетности снижают операционные расходы на сопровождение межсетевого экрана.

Интернет-шлюз Ideco ICS (Ideco Internet Control Server) — это универсальный интернет-шлюз с функциями межсетевого экрана и учета трафика. Ideco ICS позволяет быстро и легко настроить качественный доступ в Интернет всем пользователям, сделает работу с Интернет управляемой и безопасной. Интегрированные сетевые сервисы позволяют сразу развернуть полноценную почтовую службу, веб-сайт, ftp-сервер. Удобный VPN-сервер позволяет объединить несколько офисов в единую сеть, подключить удаленные подразделения и мобильных пользователей. Ideco ICS — это высоконадежное и безопасное решение со встроенной и максимально защищенной операционной системой Linux, включает в себя сконфигурированные и готовые к использованию компоненты. Система автоматически устанавливается и управляется через удобный веб-интерфейс. Ideco ICS построен на базе ядра Linux с применением уникальных технологий, поэтому имеет беспрецедентную надежность и защищенность, сравнимую с аппаратными маршрутизаторами.

Преимущества Ideco ICS

• Встроенные средства безопасности обеспечивают эффективную защиту от широкого спектра внешних угроз: вирусов, спама, сетевых атак и несанкционированного доступа;
• Автоматическая установка и простота администрирования. Решение не требует постоянного сопровождения — эксплуатационные расходы близки к нулю;
• Управление группами пользователей и политиками доступа осуществляется через удобный и многофункциональный веб-интерфейс который позволяет контролировать систему из любой точки администрирования, в любое время;
• Фильтрация спама и веб-контента позволяет значительно снижать непродуктивные временные затраты пользователей и экономить ресурсы;
• Контроль утечек информации для служебного пользования — сканирование исходящего web и почтового трафика пользователей локальной сети с целью обнаружения возможной передачи внутренней информации компании третьим лицам.
• Надежность системы подтверждается примерами внедрения Ideco ICS в корпоративных сетях с числом пользователей 3000 и более;
• Удобная схема лицензирования. Имеются версии для малых предприятий: 10-20 пользователей; средних: 50-200; и крупных компаний: 500 и более пользователей.
• Учитывая экономию расходов, низкие эксплуатационные издержки и высвобождение времени специалистов — Ideco ICS окупается за несколько месяцев.

В основе межсетевого экрана с интегрированными функциями построения VPN StoneGate Firewall /VPN лежат уникальные архитектурные решения, позволяющие обеспечить непревзойденный уровень защиты информационных систем.

В StoneGate FW/VPN используется собственная интегрированная защищенная ОС, что исключает необходимость выполнения каких-либо специализированных операций по настройке (все необходимые инсталляции выполняются в «один проход»), а также позволяет наращивать функциональность StoneGate лишь за счет добавления новых компонентов без изменения работающей инфраструктуры и без остановки в работе. В StoneGate FW/VPN применены самые современные технологии анализа трафика и обеспечения отказоустойчивости. Запатентованная технология MultiLayer Inspection совмещает в себе достоинства фильтров Application proxy и Stateful Inspection, позволяя добиться большей безопасности соединений и гибкости фильтрации при отсутствии какого-либо значительного снижения скорости. На сегодняшний день для инспекции доступно более 20 прикладных протоколов (H.323, SIP, FTP, HTTP(S), SMTP, IMAP, POP3, SSH, NBT, MSRPC, Sun RPC, Oracle TNS и др.), что позволяет инспектировать поток по полному набору правил, осуществляя, помимо всего прочего, контентную и URL-фильтрацию с помощью базы URL от BrightCloud, антивирусную инспекцию.

С использованием технологии MultiLink можно реализовать балансировку не исходящего (Outbound), а входящего (Inbound) трафика по пулу серверов, для более эффективного управления потоками трафика внутри МЭ и на окружающем сетевом оборудовании StoneGate FW/VPN поддерживает механизмы QoS и управления полосой пропускания.

Одной из особенностей работы StoneGate FW/VPN также является поддержка технологий борьбы с (D)DoS-атаками и активированный механизм антиспуфинга по умолчанию. Специальные механизмы борьбы с SYN-flood, позволяют либо ограничить количество соединений, используя специального «агента» (TCP proxy), либо не пропустить соединение до целевого сервера.

StoneGate Firewall/VPN имеет сертификаты ГОСТ Р, Минсвязи, сертификат ФСБ на СКЗИ, сертификат ФСТЭК на соответствие ТУ, по 2-му классу для МЭ и 4-у уровню контроля отсутствия НДВ, а также может использоваться для защиты информации в ИСПДн до класса К1 и автоматизированных системах класса 1В включительно.