Firewalls Next Generation на выставке InfoSecurity Russia

Среди средств защиты сетей сложно представить себе что-то более обыденное и банальное, чем межсетевой экран. Появившись в конце 80-х гг. как маршрутизатор, который при перенаправлении сетевых пакетов руководствуется политикой безопасности, обычно представленной в виде набора правил, МЭ прочно занял свою полку в серверной стойке. Именно такой маршрутизатор с возможностями фильтрации и следует назвать First Generation Firewall.

Технологии фильтрации стали быстро развиваться: в период 1989–1994 гг. были сформулированы основные принципы межсетевого экранирования и появились базовые типы МЭ (пакетные фильтры, посредники и т.п.). Собственно, примерно тогда и начали придумывать поколения межсетевых экранов, в частности, посредника сеансового уровня можно назвать 2nd Generation Firewall, а посредника прикладного уровня – 3rd Generation Firewall. Примерно в то же время появилась знаменитая технология "Stateful Inspection".

Если отбросить все лишнее, то применительно к МЭ по-настоящему важны две вещи: уровень, на котором происходит вмешательство в сетевое взаимодействие, и набор критериев фильтрации. И если с первой составляющей все более-менее утряслось еще в начальный период, то именно вторая составляющая главным образом определяла дальнейшее развитие МЭ. В самом деле, довольно скучно использовать в качестве критериев фильтрации IP-адреса и номера портов, гораздо интереснее разрешать или запрещать конкретным людям пользоваться социальными сетями или играть в онлайн-игры.

Теперь уже сложно сказать, кто первый применил словосочетание Next Generation по отношению к МЭ, скорее всего, это была компания Check Point, использовавшая в 2001 г. в названии продукта аббревиатуру FW-NG. Тогда дело не ограничилось только лишь МЭ, системы обнаружения атак и некоторые другие средства защиты тоже захотели быть Next Generation. Постепенно все привыкли к суффиксу NG и перестали обращать внимание, считая его частью маркетинговой пропаганды. Для внесения разнообразия использовались и другие аббревиатуры, например UTM или MFS.

Но в последнее время опять наблюдается повышенная встречаемость Next Generation и опять применительно к МЭ. Чтобы понять, что на этот раз скрывает это словосочетание, и была организована отдельная секция на выставке InfoSecurity Russia, где производителям МЭ было предложено самим рассказать об этом слушателям. Конечно, все это несложно понять, проанализировав документацию и сравнив возможности продуктов, но все же интересно услышать это непосредственно от вендора. Собственно, интересно даже, насколько сам вендор знает историю вопроса. В этом плане наиболее исчерпывающим был доклад представителя компании Palo Alto Networks. И это вполне объяснимо, собственно, реанимация Next Generation в этот раз произошла именно по ее вине. Опять же, если отбросить чисто эволюционные вещи и пропаганду, можно сказать, что отличительные особенности NGFW сегодня – это:

• пользователи и приложения как критерии фильтрации;
• сращивание технологии защиты от атак и фильтрации трафика.

Кто-то скажет, что все это было и 15 лет назад. Да, было. Но по-настоящему прозрачным и удобным это стало именно сейчас. Но, как ни банально это прозвучит, можно придумать сколь угодно передовую технологию, но если ею будет неудобно пользоваться, работать она не будет.

В современных же МЭ все это делается одним движением мыши – сбылась "голубая мечта безопасника".

Что касается сращивания технологии защиты от атак и фильтрации трафика, то здесь, с одной стороны, наблюдается дальнейшее развитие связки Stateful Inspection и Deep Packet Inspection (DPI), с другой стороны, падение производительности из-за использования технологии обнаружения в трафике признаков атак не так драматично. То есть, по сути, обнаружение атак стало простым "прямоугольником" в схеме алгоритма фильтрации.

Таким образом, надо признать, что сегодняшний Next Generation все же имеет некоторый технический смысл. Конечно, и маркетинг, и пропаганда имеют место быть, но мы же еще не настолько деградировали, чтобы верить Гартнеру больше, чем техническим специалистам.

Стоит продолжить традицию поднимать тему МЭ, пусть она и выглядит слегка заезженной.

Например, в области межсетевого экранирования есть и "нишевые" составляющие, которые можно было бы обсудить. В частности, тема специализированных межсетевых экранов для приложений, СУБД или для виртуальных инфраструктур тоже была бы интересна. Кстати, тот факт, что специализированные МЭ для защиты приложений часто путают с NGFW, говорит о том, что эту тему можно и нужно поднимать. А что думаете вы?

Присылайте организаторам ваши комментарии и предложения – какие темы и вопросы вам будет интересно рассмотреть в рамках конференции "Межсетевые экраны".

Конференция состоится в рамках выставки InfoSecurity Rus-sia'2015 23 сентября.

По вопросам участия в деловой программе:
Екатерина Данилина danilina@groteck.ru