В сетях какого объема антивирус для шлюзов наиболее эффективен

Обновлено: 05.07.2024

Как известно из предыдущего материала первый уровень комплексной системы антивирусной защиты - это уровень защиты шлюзов.

В этом названии кроется неточность, которая может ввести в заблуждение. Формулировка "уровень защиты шлюзов" способна навести на мысль, что основной задачей антивирусов, предназначенных для использования на этом уровне, является защита самого шлюза от воздействия вредоносных программ. Это не так. Ни операционную систему шлюза, ни программное обеспечение , выполняющее шлюзовые функции антивирус для шлюзов не защищает.

Задача антивируса установленного на шлюзе в другом — не допустить проникновения вирусов вовнутрь сети через поток данных Интернет .

Здесь может возникнуть вопрос — зачем нужен антивирус , который, по сути, ничего не защищает? Ведь есть антивирусы для файловых серверов и рабочих станций, которые установлены непосредственно на компьютерах сети и призваны защищать от всех существующих вирусных угроз.

Дело в том, что ни одна защита не бывает абсолютной. Это связано даже не с фундаментальными результатами математиков, а с тем что надежность и эффективность антивирусного средства зависит от множества факторов - программного окружения, действий пользователя, настроек и т. д. Можно описать целый ряд ситуаций, при которых однажды установленный на компьютер антивирус оказывается частично или полностью неэффективным в борьбе с вредоносными программами:

  • Простейшая ситуация — пользователь посчитал, что антивирус препятствует нормальной работе приложений и отключил постоянную защиту (либо полностью отключил антивирус, либо вовсе его деинсталлировал). Можно много говорить о том, что такие действия пользователя можно предотвратить техническими и административными мерами, но на практике очень часто рядовые пользователи имеют права администратора на своих компьютерах: в такой ситуации помешать пользователю вывести из строя антивирус технически невозможно
  • Произошел сбой в работе антивируса — так тоже случается, иногда из-за ошибок в антивирусе, иногда - по причине конфликтов с программным обеспечением третьих производителей, которое было неосмотрительно установлено на компьютере (например, тем же пользователем с правами локального администратора)
  • Антивирусные базы устарели — даже при нормально работающем антивирусе могут возникать ситуации, когда антивирусные базы в течение какого-то времени будут в значительной мере устаревшими. Например, если пользователь компьютера заболел или ушел в отпуск, компьютер будет выключен на протяжении одной - двух недель и после включения антивирусные базы на нем будут устаревшими и значит неэффективными в борьбе с относительно свежими угрозами. Поскольку обновление происходит, обычно, в соответствии с определенным расписанием, между включением компьютера и обновлением антивирусных баз может пройти от нескольких часов до нескольких дней, и в этот период защита компьютера будет неэффективной.

Можно сказать, что каждый из приведенных сценариев маловероятен. Но если рассматривать достаточно большую сеть , то вероятность того, что хотя бы один из компьютеров в какой-то из моментов времени окажется незащищенным существенно возрастает и с ней уже приходится считаться. И если ничто не будет мешать проникновению вредоносных программ из Интернет , это будет означать, что существует немалая вероятность заражения одного из компьютеров сети.

Поэтому кроме обеспечения защиты самих компьютеров, крайне важно максимально ограничить количество проникающих в сеть вредоносных программ, чтобы временная неэффективность защиты на отдельных узлах не превращалась в серьезную угрозу безопасности.

Здесь можно отметить, что все перечисленные ситуации, при которых оказывается отключенным антивирус или не обновленными - антивирусные базы, действительно способны представлять угрозу только в больших сетях. Во-первых, вероятность реализации каждой из описанных возможностей достаточно мала и становится существенной только на фоне большого количества компьютеров, в малых сетях эти вероятности так и остаются несущественными.

Во-вторых, возникновение подобных ситуаций должно отслеживаться администратором антивирусной безопасности. В крупных сетях хотя бы на то, чтобы добраться до проблемного компьютера, может потребоваться значительное время, в течение которого уровень защиты сети не может считаться приемлемым. В малых сетях, напротив, все компьютеры на виду и легко доступны, что позволяет администратору антивирусной безопасности вовремя реагировать на возникающие проблемы.

Таким образом, антивирус для шлюза - это первый уровень защиты на пути проникновения вирусов в сеть организации, основная задача антивируса - помешать проникновению вирусов вовнутрь сети, снижая вероятность заражения компьютеров. Антивирус для шлюзов более эффективен и даже необходим при защите крупных сетей. В малых сетях его относительная полезность в обеспечении общей безопасности несколько ниже.

Впрочем, принимая во внимание, что в малых сетях далеко не всегда есть не то что администратор антивирусной безопасности, а штатный администратор вообще, использование антивируса на шлюзе будет не лишним и в этом случае.

Далее в этой главе будут рассмотрены:

  • схемы защиты сети с использованием антивируса для шлюзов
  • основные требования к антивирусам такого класса
  • вирусные угрозы от которых могут и не могут защитить шлюзовые антивирусы
  • особенности эксплуатации антивирусов для шлюзов: управление, обновление, диагностика

Возможные схемы защиты

Понятно, что антивирус для шлюза должен так или иначе перехватывать данные, передаваемые из Интернет , анализировать эти данные и блокировать их поступление на компьютер пользователя, если они представляют угрозу.

Решать такую задачу можно двумя путями. Первый путь - разрабатывать с нуля систему обработки сетевых потоков, анализа пакетов, чтобы можно было к этой системе применить уже готовое антивирусное ядро и организовать проверку проходящего трафика. Этот путь требует значительных затрат на пути реализации.

В то же время, существует достаточное количество решений, предназначенных исключительно для обработки трафика, анализа и маршрутизации пакетов - это брандмауэры и прокси-сервера. Поэтому второй путь состоит в интеграции антивирусного решения с брандмауэром или прокси-сервером для проверки проходящего трафика.

Вкратце, преимущества первого пути в том, что антивирусное решение может быть использовано в сетях любой архитектуры, независимо от того, какие еще программные решения применяются для обработки сетевых потоков. Достаточно установить дополнительный сервер антивирусной проверки на пути потока данных из Интернет : как правило, непосредственно перед или непосредственно после основного шлюза. Преимущество второго подхода: возможность организовать антивирусную защиту не изменяя структуру сети, т. е. не вводя дополнительных серверов.

Имеет смысл более подробно остановиться на преимуществах, недостатках и особенностях реализации универсальных антивирусных решений для шлюзов и решений, построенных на интеграции с брандмауэрами и прокси-серверами.

Универсальные антивирусы для шлюзов

Универсальное антивирусное решение для шлюзов - это такое решение, которое может быть внедрено в сети независимо от того, какие уже решения уровня шлюзов в ней используются, без необходимости менять ПО брандмауэров и прокси-серверов на какое-либо другое. Фактически это означает, что антивирус не требует для работы наличия каких-то конкретных решений, с которыми ему необходимо интегрироваться. Соответственно, такой антивирус обладает функциями обработки трафика в объеме, достаточном для выполнения антивирусной проверки и прозрачного прохождения через антивирус всех потоков, не содержащих вредоносного кода.

Учитывая, что основной задачей антивируса для шлюзов является все же не обработка сетевых потоков, а антивирусная проверка, функции маршрутизации в нем существенно ограничены. Так, универсальный антивирус для шлюзов, не может быть использован как полноценный брандмауэр, прокси-сервер или межсетевой экран.

В силу указанной ограниченности функционала по обработке трафика, как правило, невозможно просто заменить имеющийся прокси-сервер или брандмауэр на антивирус для шлюзов. Вместо этого необходимо вводить дополнительный сервер, на котором будет установлено антивирусное решение, и который будет служить простым шлюзом, т. е. просто передавать данные от одного сервера на другой. В свою очередь, добавление антивирусного сервера требует изменения в настройках маршрутизации и, возможно, DNS, что нельзя назвать преимуществом.

Существующие реализации универсальных антивирусов для шлюзов позволяют проверять данные, поступающие по следующим протоколам:

Это связано во-первых с тем, что перечисленные протоколы являются наиболее часто используемыми при обмене данными с Интернет. С другой стороны, поддержка остальных протоколов, которые могут использоваться для передачи инфицированных файлов (например, NNTP), несущественно увеличивает уровень защиты и рассматривается производителями антивирусов как экономически неоправданная.

Стоит отметить, что из поддерживаемых протоколов только HTTP и FTP относятся к классу, который принято называть "протоколами Интернет". Тогда как SMTP (Simple Mail Transfer Protocol) - является почтовым протоколом. В этом смысле антивирусные решения для шлюзов нередко располагаются не только на первом уровне КСАЗ, но захватывают и часть второго уровня, выполняя антивирусную проверку почты, поступающей по протоколу SMTP на почтовые сервера организации.

С точки зрения возможных топологий сети с использованием универсального антивирусного решения для шлюзов, можно выделить следующие варианты. При этом проверку SMTP-протокола и протоколов Интернет удобно рассмотреть отдельно.

С онлайн-сервисами работает почти любой бизнес. Приложения для бухгалтерского учёта, интернет-банкинг и облачные системы документооборота — лишь небольшая часть инструментов, с которыми постоянно взаимодействуют компании. Доступ сотрудников к этим ресурсам обеспечивает корпоративный интернет-шлюз — именно через него проходит весь исходящий и входящий трафик. Пока эти данные никак не проверяются, шлюз служит открытыми воротами для киберугроз.

Стоит одному сотруднику временно отключить антивирус или попасться на уловки мошенников, как под угрозой окажется вся корпоративная ИТ-инфраструктура. Шлюзовый антивирус существенно сокращает риски бизнеса, ведь он обнаруживает и устраняет проблему ещё до того, как она окажется внутри сети.

Почему обычного антивируса недостаточно

Антивирусы для файловых серверов и рабочих станций есть, наверное, в каждой компании. Они работают на корпоративных компьютерах и обычно хорошо защищают их от вредоносных программ. Зачем тогда нужно ещё одно решение для защиты сети, раз с задачей справляются и привычные всем антивирусные службы? Всё дело в рисках. Надёжность любого ПО зависит от многих факторов: программного окружения, действий пользователей и заданных настроек. С небольшой долей вероятности на одном из компьютеров в корпоративной сети что-то может пойти не так. Вот пара жизненных примеров, наблюдать которые можно во многих организациях:

  • Сотрудник отключил антивирус. Когда компьютер работает медленно, пользователям это кажется разумным решением. В теории предотвратить эти действия проще простого, но на практике у сотрудников за корпоративными компьютерами часто оказываются права администратора;
  • Произошёл сбой в работе ПО. К сожалению, иногда это происходит. Причины могут быть разными — например, ошибки в работе антивируса или конфликт с другим программным обеспечением, установленным пользователем;
  • Устарели антивирусные базы. Сотруднику достаточно заболеть или уйти в отпуск на пару недель, чтобы базы устарели и стали неэффективными. Поскольку обычно обновление происходит по определённому расписанию, какой-то период с момента включения компьютера система на нём будет уязвима к новым угрозам.

Вероятность возникновения этих проблем не так высока. Однако, чем крупнее ИТ-инфраструктура компании, тем больше шансов, что в какой-то момент один из компьютеров окажется не защищён. Чтобы уязвимость отдельного узла не превратились в полноценную угрозу безопасности сети, важно по максимуму сократить количество попадающих в неё вредоносных программ.

Какие угрозы блокирует шлюзовый антивирус

Антивирус для шлюза — это первый уровень защиты от вредоносного ПО. Он мешает проникновению вирусов, шифровальщиков и троянов в сеть организации. Для этого программа перехватывает трафик из интернета и проверяет его на наличие всевозможных угроз. Анализу подвергаются все данные, поступающие по популярным сетевым каналам:

Таким образом антивирус для шлюза выявляет, блокирует и удаляет угрозы, поступающие во входящем интернет-трафике по любым распространённым каналам. Проверка осуществляется вне зависимости от политик безопасности, действующих для пользователей, — её полностью контролирует администратор сети. Для большей надёжности шлюз обычно оснащают несколькими антивирусными модулями, которые можно использовать одновременно или по отдельности.

Защита «под ключ»: что входит в универсальные шлюзы безопасности

Для выявления и устранения вирусов, троянов и другого вредоносного ПО нужна антивирусная защита, для предотвращения несанкционированного доступа к устройствам в сети — межсетевые экраны, а для обнаружения и предотвращения хакерских атак — системы IDS и IPS. Сборка такой многоуровневой системы защиты из разнородных решений плохо сказывается на её стабильности и дорого обходится бизнесу. Нередки случаи, когда приложения начинают конфликтовать друг с другом. Чтобы таких проблем не возникало, в корпоративных сетях используют UTM-системы — универсальные шлюзы безопасности.

Такой шлюз представляет собой программно-аппаратный комплекс, в котором есть всё необходимое для защиты сети. Обычно в состав входят следующие решения:

  • Межсетевой экран;
  • Шлюзовый антивирус;
  • Система обнаружения и предотвращения вторжений (IDS/IPS);
  • Сканер безопасности.

Между собой UTM-системы отличаются встроенными компонентами и дополнительными возможностями. В состав некоторых универсальных шлюзов входит VPN, фильтр URL, антивирусный фильтр и защита от шпионского ПО, а также другие опции. От «комплектации» зависят возможности UTM-системы: например, наличие шейпера позволяет контролировать пропускную способность канала для работы пользователей и приоритизировать трафик приложений, а L7-фильтрация — легко блокировать программы вроде Skype и BitTorrent.

От систем из разнородных решений, по сути являющихся комплектами «сделай сам», универсальные шлюзы безопасности отличает глубокая интеграция оборудования и программных средств между собой. При работе с ними не нужно беспокоиться о проблемах совместимости и сложностях настройки — в UTM-системах заранее предусмотрены инструменты для централизованного управления службами и мониторинга сети.

Какие задачи выполняют UTM-системы

Универсальный шлюз безопасности разворачивается на границе сети и служит входной точкой в неё. Система контролирует все потоки между корпоративной ИТ-инфраструктурой и интернетом. С её помощью можно решить следующие задачи:

  • Организовать доступ в интернет по учётным записям, задать пропускную способность канала, построить VPN-сеть и настроить аутентификацию пользователей нужным способом — например, по локальной базе, SMS, ваучерам для Captive Portal и другими методами;
  • Защититься от сетевых угроз, предотвратить несанкционированный доступ к корпоративной сети и наладить работу надёжной антивирусной защиты;
  • Создать политики веб-доступа для борьбы с нецелевым использованием интернета сотрудниками, ограничения доступа к заданным ресурсам и фильтрации трафика.

Многоуровневая система безопасности, реализованная в UTM-системах, позволяет останавливать атаки на шлюзе, не прерывая рабочий процесс. Блокировка происходит на первом уровне защиты — там же, где вредоносное ПО только пытается проникнуть в корпоративную сеть. Поскольку в такой системе разные уровни защиты работают совместно, уже проверенные по заданным критериям данные не нужно подвергать повторному анализу. Благодаря этому чувствительные к скорости трафика приложения всегда остаются доступными для работы.

Чтобы установить и развернуть UTM-систему, достаточно воспользоваться помощью «мастеров»: возможность выбора оптимальных настроек «по умолчанию» и наличие других автоматизированных средств управления позволяет быстро внедрить шлюз безопасности в текущую инфраструктуру. Фактически, такая система поставляется в конфигурации «под ключ» и нуждается лишь в детализации данных о сетевом окружении.

Что выбрать: обычный антивирус или шлюзовый?

Выбирайте оба. Работа шлюзового антивируса никак не мешает установленным на корпоративных компьютерах защитным решениям, но и не делает их ненужными. Вредоносное ПО может появиться в корпоративной сети как из интернета, так и, например, с «флешки» сотрудника. Поэтому лучший способ всесторонне защитить инфраструктуру компании — одновременно задействовать и шлюзовый антивирус, и средства антивирусной проверки, установленные непосредственно на компьютерах.

В современных условиях для любого бизнеса, государственных учреждений и общественных организаций ключевое значение имеет информационная безопасность. Количество и уровень сложности киберугроз постоянно возрастают. Поэтому все более высокие требования предъявляются по отношению продуктам, обеспечивающим защиту сети.

Основной составляющей сетевой безопасности для современных компаний становятся межсетевые экраны нового поколения (NGFW) и шлюзы безопасности UTM (Unified Threat Management). Это решения, которые позволяют поддерживать комплексную многоуровневую защиту от веб-угроз. Сегодня понятие UTM уступает место обозначению многофункциональные шлюзы безопасности USG (Unified Security Gateway), которое более точно отражает суть этого решения. Поэтому далее мы будем использовать именно этот термин.

Решения NGFW и UTM/USG предназначены для решения практически одинаковых задач. Устройства UTM традиционно ориентированы на компании, работающие в среднем и крупном бизнесе. Для таких компаний важно объединить «в одной коробке» все функции и возможности сетевой безопасности. В таких устройствах межсетевой экран — это только один из модулей, пусть и очень важный.

Ситуация сильно поменялась после разработки МСЭ нового поколения NGFW (Next Generation Firewall). Это продукты, позволяющие задавать правила межсетевого экрана на уровне приложения. Это позволило реализовать на практике вторую ветвь развития. Параллельно происходило развитие и других функций из состава UTM.

В результате устройства NGFW способны поддерживать сетевые сервисы, исполнять функции прокси, использовать многие другие технологии в сфере инфобезопасности. В том числе они сочетают функции VPN, выявления и предотвращение вторжений (IDS/IPS), антивирусной защиты, контроля почтового трафика, DLP, веб фильтрации и многие другие. Это делает их действительно универсальными устройствами сетевой защиты.

Сегодня в составе каждого современного продукта UTM/USG имеется внутренний NGFW. С другой стороны, решения, которые изначально создавались в качестве NGFW, уже давно приобрели практически весь смежный функционал, свойственный UTM/USG. В связи с этим сегодня правильней говорить о решениях USG с функциями NGFW.

Возможность современных USG полностью покрывают функционал многочисленных отдельных классов продуктов сетевой безопасности. Это настоящий комплекс инструментов с гибкими настройками, собранный на основе единой аппаратной платформы или в рамках физического устройства. Их применение позволяет компаниям значительно улучшить контроль, а также устраняет рутинные процедуры по использованию многочисленных отдельных систем с узкой специализацией. Благодаря этому удается реализовать интегрированную и комплексную защиту от современных сложных сетевых угроз.

Большой спрос на решения USG и NGFW стимулирует значительный объем предложения. Сегодня на рынке представлены продукты не только брендов с мировым именем, но и молодых российских разработчиков. В результате заказчики сталкиваются с проблемой выбора. В связи с этим и возникла идея проведения данного исследования. Его целью стало создание сравнительного материала, основанного на оценке всех ключевых параметров USG и NGFW.

Исследование проводилось открытой группой специалистов. О его масштабе и сложности говорит тот факт, что только на согласование перечня критериев сравнение и списка участвующих брендов, ушло около полугода.

Критерии сравнения

Для определения критериев сравнения продуктов NGFW/USG были отобраны все присутствующие на рынке открытые и закрытые наработки вендоров и сравнительные параметры, которые чаще всего используют заказчики. Были изучены имеющиеся в открытом доступе многочисленные запросы информации (RFI) и запросы предложений (RFP).

После объединения информацию от разработчиков с материалами из других источников было обнаружено, что общее количество критериев составляет около 400. В связи с этим была создана рабочая группа, которая провела валидацию отобранных критериев с целью определения тех параметров информационной безопасности, которые имеют для компаний ключевое значение. Рабочей группой была проведена масштабная работа, к которой активно подключились все ее участники. Это лучше всего свидетельствует о том, насколько актуальна данная тема для российского рынка.

Отобранные сравнительные критерии были разбиты по блокам. В блок общей информации о продуктах были включены данные производителе, сертификации и лицензировании, процедуре ввоза на территорию РФ, соответствие действующим нормативным требованиям. Также этот блок включили сведения об архитектуре и особенностях управления продуктов, их техподдержке, интеграционных возможностях. Второй блок объединил функциональные возможности сравниваемых решений, в том числе возможности межсетевого экранирования, маршрутизации, создания VPN, особенности работы в качестве прокси-сервера, обеспечение фильтрации трафика, защиту от DDoS-атак и т. д.

  1. После проведения этой работы были составлены следующие группы критериев:
  2. Общие данные о продуктах.
  3. Особенности архитектуры.
  4. Поддержка веб сервисов
  5. Функции NGFW, в том числе:
    • Межсетевое экранирование.
    • Система IDS/IPS — обнаружение/предотвращение вторжений.
    • Система Application Control — контроль приложений.
    • Защита от DDoS.
    • Антивирус.
    • Антибот.
    • Поддержка безопасности почтового трафика (безопасность почты, антиспам).
    • Веб-фильтрация.
    • Выявление информационных утечек (DLP).
    • Threat Intelligence
    • Песочница (Sandbox)
  6. Создание VPN.
  7. Выполнение задач прокси-сервера.
  8. Дополнительные возможности NGFW.
  9. Аутентификация.
  10. Кластеризация и доступность.
  11. Возможности осуществления централизованного управления.
  12. Система мониторинга и формирования отчетов.
  13. Интеграционные возможности.
  14. Особенности техподдержки.
  15. Лицензирование.

Необходимо отметить, что обзор проводился без учета параметра производительности. Это связано с невозможностью тестирования производительности стольких устройств с соблюдением равных условий. Вставлять же в обзор цифры от производителей было бы неправильно с точки зрения объективности. В то же время, при выборе продукта класса NGFW/USG рекомендуется обязательно оценивать производительность. В этом могут помочь пилотные исследования с привлечением специализированных лабораторий. Такие тестирования должны проходить несколько предварительно отобранных продукта в одинаковых условиях на реальной IT-инфраструктуре.

В рамках первой части исследования была проведена оценка семи самых популярных систем от зарубежных и российских разработчиков.

Продукты зарубежных разработчиков:

  • Cisco Firepower.
  • Check Point Security Gateway.
  • Fortinet FortiGate.
  • Huawei USG 5.0.
  • Palo Alto Networks NGFW.

Продукты российских разработчиков:

Участие в заключительном этапе исследования, где требовались определенные пояснения и проверка данных, приняли представители всех разработчиков. Нужно отметить, что при проведении сравнения не было цели составить определенный топ. Целью являлась группировка фактических данных по определенным сравнительным критериям, чтобы каждый заказчик мог получить в удобном формате необходимую информацию для выбора NGFW/USG, исходя из своих задач и возможностей.

Как известно из предыдущего материала первый уровень комплексной системы антивирусной защиты - это уровень защиты шлюзов.

В этом названии кроется неточность, которая может ввести в заблуждение. Формулировка "уровень защиты шлюзов" способна навести на мысль, что основной задачей антивирусов, предназначенных для использования на этом уровне, является защита самого шлюза от воздействия вредоносных программ. Это не так. Ни операционную систему шлюза, ни программное обеспечение , выполняющее шлюзовые функции антивирус для шлюзов не защищает.

Задача антивируса установленного на шлюзе в другом — не допустить проникновения вирусов вовнутрь сети через поток данных Интернет .

Здесь может возникнуть вопрос — зачем нужен антивирус , который, по сути, ничего не защищает? Ведь есть антивирусы для файловых серверов и рабочих станций, которые установлены непосредственно на компьютерах сети и призваны защищать от всех существующих вирусных угроз.

Дело в том, что ни одна защита не бывает абсолютной. Это связано даже не с фундаментальными результатами математиков, а с тем что надежность и эффективность антивирусного средства зависит от множества факторов - программного окружения, действий пользователя, настроек и т. д. Можно описать целый ряд ситуаций, при которых однажды установленный на компьютер антивирус оказывается частично или полностью неэффективным в борьбе с вредоносными программами:

  • Простейшая ситуация — пользователь посчитал, что антивирус препятствует нормальной работе приложений и отключил постоянную защиту (либо полностью отключил антивирус, либо вовсе его деинсталлировал). Можно много говорить о том, что такие действия пользователя можно предотвратить техническими и административными мерами, но на практике очень часто рядовые пользователи имеют права администратора на своих компьютерах: в такой ситуации помешать пользователю вывести из строя антивирус технически невозможно
  • Произошел сбой в работе антивируса — так тоже случается, иногда из-за ошибок в антивирусе, иногда - по причине конфликтов с программным обеспечением третьих производителей, которое было неосмотрительно установлено на компьютере (например, тем же пользователем с правами локального администратора)
  • Антивирусные базы устарели — даже при нормально работающем антивирусе могут возникать ситуации, когда антивирусные базы в течение какого-то времени будут в значительной мере устаревшими. Например, если пользователь компьютера заболел или ушел в отпуск, компьютер будет выключен на протяжении одной - двух недель и после включения антивирусные базы на нем будут устаревшими и значит неэффективными в борьбе с относительно свежими угрозами. Поскольку обновление происходит, обычно, в соответствии с определенным расписанием, между включением компьютера и обновлением антивирусных баз может пройти от нескольких часов до нескольких дней, и в этот период защита компьютера будет неэффективной.

Можно сказать, что каждый из приведенных сценариев маловероятен. Но если рассматривать достаточно большую сеть , то вероятность того, что хотя бы один из компьютеров в какой-то из моментов времени окажется незащищенным существенно возрастает и с ней уже приходится считаться. И если ничто не будет мешать проникновению вредоносных программ из Интернет , это будет означать, что существует немалая вероятность заражения одного из компьютеров сети.

Поэтому кроме обеспечения защиты самих компьютеров, крайне важно максимально ограничить количество проникающих в сеть вредоносных программ, чтобы временная неэффективность защиты на отдельных узлах не превращалась в серьезную угрозу безопасности.

Здесь можно отметить, что все перечисленные ситуации, при которых оказывается отключенным антивирус или не обновленными - антивирусные базы, действительно способны представлять угрозу только в больших сетях. Во-первых, вероятность реализации каждой из описанных возможностей достаточно мала и становится существенной только на фоне большого количества компьютеров, в малых сетях эти вероятности так и остаются несущественными.

Во-вторых, возникновение подобных ситуаций должно отслеживаться администратором антивирусной безопасности. В крупных сетях хотя бы на то, чтобы добраться до проблемного компьютера, может потребоваться значительное время, в течение которого уровень защиты сети не может считаться приемлемым. В малых сетях, напротив, все компьютеры на виду и легко доступны, что позволяет администратору антивирусной безопасности вовремя реагировать на возникающие проблемы.

Таким образом, антивирус для шлюза - это первый уровень защиты на пути проникновения вирусов в сеть организации, основная задача антивируса - помешать проникновению вирусов вовнутрь сети, снижая вероятность заражения компьютеров. Антивирус для шлюзов более эффективен и даже необходим при защите крупных сетей. В малых сетях его относительная полезность в обеспечении общей безопасности несколько ниже.

Впрочем, принимая во внимание, что в малых сетях далеко не всегда есть не то что администратор антивирусной безопасности, а штатный администратор вообще, использование антивируса на шлюзе будет не лишним и в этом случае.

Далее в этой главе будут рассмотрены:

  • схемы защиты сети с использованием антивируса для шлюзов
  • основные требования к антивирусам такого класса
  • вирусные угрозы от которых могут и не могут защитить шлюзовые антивирусы
  • особенности эксплуатации антивирусов для шлюзов: управление, обновление, диагностика

Возможные схемы защиты

Понятно, что антивирус для шлюза должен так или иначе перехватывать данные, передаваемые из Интернет , анализировать эти данные и блокировать их поступление на компьютер пользователя, если они представляют угрозу.

Решать такую задачу можно двумя путями. Первый путь - разрабатывать с нуля систему обработки сетевых потоков, анализа пакетов, чтобы можно было к этой системе применить уже готовое антивирусное ядро и организовать проверку проходящего трафика. Этот путь требует значительных затрат на пути реализации.

В то же время, существует достаточное количество решений, предназначенных исключительно для обработки трафика, анализа и маршрутизации пакетов - это брандмауэры и прокси-сервера. Поэтому второй путь состоит в интеграции антивирусного решения с брандмауэром или прокси-сервером для проверки проходящего трафика.

Вкратце, преимущества первого пути в том, что антивирусное решение может быть использовано в сетях любой архитектуры, независимо от того, какие еще программные решения применяются для обработки сетевых потоков. Достаточно установить дополнительный сервер антивирусной проверки на пути потока данных из Интернет : как правило, непосредственно перед или непосредственно после основного шлюза. Преимущество второго подхода: возможность организовать антивирусную защиту не изменяя структуру сети, т. е. не вводя дополнительных серверов.

Имеет смысл более подробно остановиться на преимуществах, недостатках и особенностях реализации универсальных антивирусных решений для шлюзов и решений, построенных на интеграции с брандмауэрами и прокси-серверами.

Универсальные антивирусы для шлюзов

Универсальное антивирусное решение для шлюзов - это такое решение, которое может быть внедрено в сети независимо от того, какие уже решения уровня шлюзов в ней используются, без необходимости менять ПО брандмауэров и прокси-серверов на какое-либо другое. Фактически это означает, что антивирус не требует для работы наличия каких-то конкретных решений, с которыми ему необходимо интегрироваться. Соответственно, такой антивирус обладает функциями обработки трафика в объеме, достаточном для выполнения антивирусной проверки и прозрачного прохождения через антивирус всех потоков, не содержащих вредоносного кода.

Учитывая, что основной задачей антивируса для шлюзов является все же не обработка сетевых потоков, а антивирусная проверка, функции маршрутизации в нем существенно ограничены. Так, универсальный антивирус для шлюзов, не может быть использован как полноценный брандмауэр, прокси-сервер или межсетевой экран.

В силу указанной ограниченности функционала по обработке трафика, как правило, невозможно просто заменить имеющийся прокси-сервер или брандмауэр на антивирус для шлюзов. Вместо этого необходимо вводить дополнительный сервер, на котором будет установлено антивирусное решение, и который будет служить простым шлюзом, т. е. просто передавать данные от одного сервера на другой. В свою очередь, добавление антивирусного сервера требует изменения в настройках маршрутизации и, возможно, DNS, что нельзя назвать преимуществом.

Существующие реализации универсальных антивирусов для шлюзов позволяют проверять данные, поступающие по следующим протоколам:

Это связано во-первых с тем, что перечисленные протоколы являются наиболее часто используемыми при обмене данными с Интернет. С другой стороны, поддержка остальных протоколов, которые могут использоваться для передачи инфицированных файлов (например, NNTP), несущественно увеличивает уровень защиты и рассматривается производителями антивирусов как экономически неоправданная.

Стоит отметить, что из поддерживаемых протоколов только HTTP и FTP относятся к классу, который принято называть "протоколами Интернет". Тогда как SMTP (Simple Mail Transfer Protocol) - является почтовым протоколом. В этом смысле антивирусные решения для шлюзов нередко располагаются не только на первом уровне КСАЗ, но захватывают и часть второго уровня, выполняя антивирусную проверку почты, поступающей по протоколу SMTP на почтовые сервера организации.

С точки зрения возможных топологий сети с использованием универсального антивирусного решения для шлюзов, можно выделить следующие варианты. При этом проверку SMTP-протокола и протоколов Интернет удобно рассмотреть отдельно.

Читайте также: