Watchguard firewall что это

Обновлено: 04.07.2024

Сетевые угрозы могут возникать в любом месте, в любое время, и могут настигнуть вас, прежде чем вы узнаете о них. Решения WatchGuard уникальны своей простотой, быстротой и эффективностью и подходят для любой организации, независимо от бюджета, размера или сложности сети.

Программно-аппаратные комплексы размером 1U для монтажа в стойку WatchGuard Firefox предназначены для защиты ИТ-инфраструктуры организаций от вирусов и троянских программ, шпионского ПО, хакерских и других видов атак, утечки данных. Устройства сетевой безопасности семейства Firebox M представляют собой новый класс производительных управляемых решений для предприятий среднего бизнеса и распределенных организаций. Ошеломляюще высокая пропускная способность в сочетании с расширенными сетевыми возможностями гарантирует обработку больших объемов трафика, качественно и по доступной цене. В состав системы входит набор гибких инструментов управления, с помощью которого системный администратор контролирует безопасность сети, эффективно используя для этого интерфейс командной строки, веб-интерфейс или централизованную консоль.

WatchGuard Firebox M270, M300, М370

Watchguard Firebox M270

WatchGuard Firebox M400, М470, M500, М570, М670

Watchguard Firebox 470

Высокопроизводительное устройство с 8 портами 1G, идеально подходит для небольших и организаций среднего размера, в которых могут участвовать до 150 пользователей.

Решение в стойке.

Подробные характеристики (pdf) >>

Поддерживают растущие потребности компаний среднего бизнеса, снабжены дополнительными портами SFP 2 x 1G, которые обеспечивают гибкость, необходимую для расширения сетевых возможностей до 600 пользователей.

Подробные характеристики (pdf) >>

WatchGuard Firebox M440

Watchguard Firebox 440

WatchGuard Firebox M4800, M5800

Watchguard Firebox М4800 М5800

Обеспечивает аналогичную производительность для M400/ M500, но с удвоенным количеством портов (включая 2 x 10G SFP +) и встроенным коммутатором и дополнительным резервным питанием. 8 портов PoE упрощают развертывание множества точек доступа и других периферийных устройств в одном месте.

Топовые модели! Модульные порты позволяют предприятиям легко и быстро разворачивать M4800 или M5800, два резервных блока питания обеспечивают максимальную производительность и безотказную работу. Эти устройства идеально подходят для расположения в штаб-квартире крупной распределенной организации предприятия, обеспечивая оптимальную гибкость для эволюции устройства с течением времени.

Устройство WatchGuard Firebox серии T для малого бизнеса - лучшая безопасность в своем классе.

Самая высокая производительность в UTM классе:

МЭ сохраняет пропускную способность до 400 Мбит и пропускную способность UTM 550 Мбит. Firebox T70 - до 1 Гб/c!

Нет необходимости выбора между скоростью работы или высокой степенью защиты.

Устройство под высокой нагрузкой продолжает максимально надежно защищать сеть без весомых потерь в производительности.

Поддерживает порты Gigabit Ethernet, высокоскоростные LAN и гигабитные WAN соединения.

WatchGuard Firebox T15

Watchguard Firebox T15

WatchGuard Firebox T20

Watchguard Firebox T20

Пропускная способность - до 400 Мб/c, VPN - 150 Мб/c, число пользователей в локальной базе - до 100 000.

WatchGuard Firebox T40

Watchguard Firebox T40

WatchGuard Firebox T80

Watchguard Firebox T80

Ни один портфель даже с самыми совершенными решениями по сетевой безопасности не будет полным без технологий управления, которые мгновенно идентифицируют и анализируют ключевые угрозы безопасности сети, проблемы и тенденции, отслеживая, управляя и сообщая о безопасности вашей сети. WatchGuard предоставляет опции управления, необходимые для каждой основной функции безопасности, включая WIPS Wi-Fi, и отвечает потребностям специалистов безопасности. WatchGuard предоставляет решения для управления, которые обеспечивают быструю и простую настройку, мониторинг работоспособности и отчетность.

Watchguard Dimension

WatchGuard Dimension™ - это облачное решение для обеспечения сетевой безопасности, которое поставляется со стандартными флагманскими устройствами Firebox от WatchGuard. Он предоставляет набор инструментов для просмотра больших объемов данных и создания отчетов, которые мгновенно определяют и анализируют ключевые угрозы безопасности сети, проблемы и тенденции, ускоряя возможность устанавливать значимые политики безопасности в сети.

Watchguard System Manager

WatchGuard System Manager (WSM) - это готовая платформа, которая позволяет централизованно управлять всеми устройствами Firebox в вашей сети с помощью одной простой в использовании консоли. Используйте инструменты мониторинга и управления WSM, чтобы быстро применять изменения конфигурации к вашим устройствам Firebox в режиме реального времени или в качестве запланированной задачи.

Watchguard Wi-Fi Cloud

Облачное приложение WatchGuard Wi-Fi Cloud позволяет ИТ-специалистам полностью управлять устройствами без Wi-Fi контроллера, включая настройку, мониторинг, устранение неполадок и улучшение корпоративного и гостевого доступа Wi-Fi. Облачные среды Wi-Fi легко масштабируются от одной до неограниченного количества точек доступа в разных местах и могут быть сгруппированы по-разному, в зависимости от местоположения, типа здания и даже типа пола в здании, чтобы поддерживать согласованные политики.

WatchGuard предлагает самый полный набор услуг безопасности: от традиционного предотвращения вторжений, антивирусного шлюза, управления приложениями, фильтрации нежелательной почты и URL-адресов до более продвинутых служб для защиты от вредоносных программ, программ-вымогателей и брешей во внешнем периметре сети. Каждая служба безопасности поставляется как интегрированное решение в рамках простого в управлении и экономичного устройства Firebox.


Все устройства семейства WatchGuard Firebox, даже в минимальном комплекте поставки Standard Support, включают базовые функции межсетевого экрана: Stateful Firewall, Mobile VPN, Branch Office VPN и Application Proxies, а также стандартную поддержку и гарантийное обслуживание * Standard (24x7).

Пакет Basic Security Suite дополнительно включает в себя базовые сервисы безопасности, традиционные для UTM-устройств: IPS, Application Control, WebBlocker, spamBlocker, Gateway AntiVirus, Reputation Enabled Defense и Network Discovery.

Пакет Total Security Suite позволяет довести эффективность защиты корпоративной сети до максимального уровня, подключив для использования каждым из устройств WatchGuard Firebox дополнительные сервисы безопасности: APT Blocker, Data Loss Prevention, Dimension Command, Threat Detection & Response и расширенную поддержку Gold (24x7).

Поскольку подписки на сервисы безопасности оформляются на конкретные устройства, а не на пользователей, это позволяет значительно сократить совокупную стоимость владения (Total cost of ownership, TCO) корпоративной информационной системы. Дополнительное снижение TCO может быть достигнуто за счет приобретения подписок на сервисы безопасности не по отдельности, а в пакетах Basic или Total Security Suite.

* Для сохранения гарантии и поддержки необходимо своевременно продлевать Standard Support или любой из пакетов Security Suite.

Standard Support – базовый функционал и поддержка

WatchGuard Firebox


Любое из устройств сетевой безопасности WatchGuard Firebox включает базовые функции межсетевого экрана:

  • Stateful Firewall
  • Mobile VPN
  • Branch Office VPN
  • Application Proxies

Однако в мире постоянно возникающих и непрерывно обновляющихся сетевых угроз даже самое надежное решение сетевой безопасности не сможет обеспечить безопасность без постоянного отслеживания этих угроз. Но где взять время, ведь в сутках всего 24 часа?

Standard Support


В мире постоянно возникающих и непрерывно обновляющихся угроз самое надежное решение по защите компьютерных сетей не сможет обеспечить безопасность без постоянного отслеживания этих угроз. Но где взять время, ведь в сутках всего 24 часа?-->

Компания WatchGuard Technologies обеспечивает пользователей своих устройств поддержкой Standard Support (24x7), призванной защищать их компьютеры и сети от угроз и уязвимостей.

Поддержка Standard Support является важнейшим компонентом защиты сети с использованием устройств WatchGuard Firebox и включает в себя:

  • Стандартную техническую поддержку в режиме 24x7
  • Возможность загрузки ПО, обновлений и патчей
  • Гарантию на оборудование

Basic Security Suite = Standard Support + основные сервисы безопасности

Intrusion Prevention Service


Intrusion Prevention Service использует постоянно обновляемые сигнатуры для проверки трафика по всем основным протоколам, обеспечивая в режиме реального времени защиту от сетевых угроз, включая шпионское ПО, SQL-инъекции, межсайтовый скриптинг и переполнение буфера.

Онлайн атаки и вредоносные программы продолжают развиваться, используя изощренные методы для эксплуатации жертв. WatchGuard Intrusion Prevention Service (IPS) добавляет важный слой для обнаружения и предотвращение угроз, что обеспечивает превентивный подход в защите сети. IPS защищает вашу сеть от широкого спектра вредоносной активности.

Application Control


Позволяет разрешать, блокировать или ограничивать доступ к приложениям на основании полномочий группы, пользователя и времени суток. Стало ещё проще решить кто, что, когда, где, почему и как использует приложения в вашей сети.

Организации любого размера полагаются в своей ежедневной работе на различные приложения и программы, но как убедиться, что в вашей сети используются только разрешенные приложения? С WatchGuard Application Control в вашей власти ограничить использование приложений или перевести использование небезопасных приложений за пределы вашей сети.

WebBlocker


В дополнение к автоматической блокировке известных вредоносных сайтов WatchGuard WebBlocker имеет фильтрующие инструменты для блокировки нежелательного контента, что экономит пропускную способность сети и повышает производительность труда.

Интернет сёрфинг сопряжен с посещением небезопасных ресурсов, подвергающих вашу сеть воздействию вредоносных программ, которые могут стать причиной огромных проблем для вашей организации. Позволяя пользователям свободно бродить по интернету, вы можете столкнуться с падением производительности труда, ухудшением пропускной способности сети и даже с юридической ответственностью.

spamBlocker


Электронная почта один из наиболее часто используемых методов атак на организации. Массовая рассылка спама, помимо раздражения, может стать причиной серьезных проблем. Спам часто используется в качестве опасных фишинговых попыток злонамеренного получения важной информации, в том числе номеров кредитных карт, паролей, логинов и другой персональной и корпоративной информации. WatchGuard spamBloker предоставляет расширенную защиту для ваших корпоративных нужд.

Gateway AntiVirus


Использует наши постоянно обновляющиеся сигнатуры для выявления и блокирования шпионских и вредоносных программ, вирусов, троянов, червей и смешанных угроз, включая новые варианты известных вирусов. При этом эвристический анализ отслеживает подозрительные действия и структуры данных, чтобы не пропустить неизвестные вирусы.

Сохранение сети без вредоносных программ является всё более сложной задачей, так как каждый день появляется много новых и постоянно меняющихся угроз. С WatchGuard Gateway AntiVirus (GAV) ваша сеть и устройства останутся свободными от вредоносных программ. GAV использует передовые многоуровневые механизмы обнаружения угроз для выявления и блокирования вредоносных программ на сетевом шлюзе. Используя высокопроизводительное сканирование всех основных протоколов трафика, WatchGuard GAV обеспечивает защиту в реальном времени от известных вирусов и прочего вредоносного ПО.

Reputation Enabled Defense


Мощный облачный сервис проверки репутации веб-ресурсов, который объединяет данные из множества каналов для обеспечения защиты в режим реального времени от вредоносных сайтов и ботнетов, что способствует существенному увеличению скорости обработки веб-трафика.

Что если бы вы могли получить более надежную защиту и более быструю обработку без необходимости обзаводиться для этого несколькими устройствами? С WatchGuard Reputation Enabled Defense (RED) это возможно. WatchGuard предлагает единственное на рынке решение с проверкой репутации сайтов в виде полностью интегрированной подписки для всех своих устройств. Защищая пользователей интернета от вредоносных страниц, данный сервис при этом резко сокращает затраты ресурсов на обработку.

Network Discovery


Любая уязвимость в вашей сети подвергает её опасности со стороны киберпреступников. Каждый открытый порт это потенциальная точка проникновения в вашу сеть злоумышленника. Неавторизованный компьютер может стать источником множества угроз. C помощью четкой визуальной карты Network Discovery вы видите, где ваша сеть может оказаться под угрозой и своевременно принимаете необходимые меры.

Пакет сервисов: Basic Security Suite









Пакет Basic Security Suite включает в себя все, привычные для традиционных UTM-устройств, сервисы сетевой безопасности: систему предотвращения вторжений (IPS), шлюзовой антивирус (GAV), URL фильтрацию (WebBlocker), контроль приложений (Application Control), антиспам (spamBlocker) и службу веб-репутаций (RED). Кроме этого данный пакет включает службу обзора сети (Network Discovery), централизованное управление и стандартную 24x7 поддержку WatchGuard (Standard Support).

Total Security Suite = Basic Security Suite + дополнительные сервисы безопасности

APT Blocker


ATP Blocker использует завоевавшую не одну награду изолированную систему нового поколения. Она используется для выявления и предотвращения самых изощренных атак, включая вымогателей, угрозы нулевого дня и другие передовые вредоносные программы, разработанные так, что могут обойти традиционные средства защиты сети.

Организации всех размеров подвержены изощренным атакам, которые способны обходить традиционные средства защиты. Результатом этого становится утечка личной информации, хищение миллионов долларов и потеря репутации. WatchGuard APT Blocker, используя облачную песочницу следующего поколения, имитирующую физическое оборудование, кладет конец этим быстро меняющимся и устойчивым к другим средствам защиты угрозам.

Data Loss Prevention


Предотвращение утечки данных путем сканирования текста и файлов для обнаружения важной информации в исходящих данных, независимо от того, передаются ли они за пределы сети по электронной почте, через Web или по FTP.

Утечка данных представляет серьёзную угрозу для организации любого уровня, т.к. количество инцидентов и связанные с ними расходы постоянно растут. Независимо от того была ли утечка данных преднамеренной или нет, она может нанести серьёзный ущерб и навредить репутации вашей компании. WatchGuard Data Loss Prevention (DLP) это комплексный сервис, который помогает сохранить ваши конфиденциальные данные в тайне и безопасности.

Threat Detection and Response


Обнаружение угроз и реагирование на них

Полученные от Firebox и датчика хоста WatchGuard данные безопасности, соотносятся с данными разведки угроз корпоративного уровня с целью обнаружения, определения приоритетов и обеспечения немедленных действий по борьбе с вредоносными программами.

Кибер-преступники наращивают атаки и делают их всё более сложными и изощренными, используя скоординированные средства для получения доступа к вашей сети через любое соединение. Организации всех уровней нуждаются в решениях, которые используют целостный подход для защиты сети и конечных точек. WatchGuard Threat Detection and Response (TDR) коррелирует инциденты безопасности сети и конечных точек для выявления, приоритизации и принятия срочных мер для предотвращения атак.

DNSWatch™


Keeping End Users Safe from Phishing Attacks.

Reduce malware infections by detecting and blocking malicious DNS requests, redirecting users to a safe page with information to reinforce security best practices

Phishing is one of the greatest threats facing small business and midsize enterprise organizations today. You need a solution that protects your end users from these attacks, but also educates your people when they make mistakes. WatchGuard DNSWatch detects malicious DNS requests and blocks access to these sites, redirecting the user to a safe page that educates them on the risk and warning signs of a phish. These events are teaching moments for you and a very effective way to engage people about the risks of clicking on phishes and the value of multi-factor authentication.

Access Portal *


Centralized Access to Cloud-Hosted Applications and Internal Resources.

Provides a central location for access to cloud-hosted applications and secure, clientless access to internal resources and RDP and SSH

Access Portal supports single sign-on deployments for centralized access to cloud-hosted applications, and internal resources via RDP and SSH. SAML support provides convenient integration with SSO and MFA providers and all authentication options supported by the Firebox are available, including Active Directory, Radius, Firebox-DB.
_________
* сервис доступен только в старших моделях устройств M серии

IntelligentAV™ *


Malware Defense Powered by Artificial Intelligence

IntelligentAV is a signature-less antimalware solution that relies on artificial intelligence to automate malware discovery. Leveraging deep statistical analysis, it can classify current and future malware in mere seconds.

IntelligentAV leverages a machine-learning engine to better defend against continuously evolving zero day malware. While signature-based AV solutions are only able to detect known threats, IntelligentAV makes it possible to predict threats months before they are released, providing powerful predictive protection previously unavailable to small and midsize businesses.
_________
* сервис доступен только в старших моделях устройств M серии

Dimension Command


От головного офиса до филиала необходимо быстро реагировать на сценарии сетевой безопасности, чтобы избежать дополнительной потери данных и сбоев в работе сети. Именно в этот момент вы больше всего нуждаетесь в визуализации и представлении ваших данных в облаке так, чтобы быстро заметить превышение максимальных уровней над пороговыми значениями и углубиться в детали для выработки правильного курса действий.

WatchGuard Dimension™ это облачное решение визуализации защиты сети, совместимое с флагманскими решениями WathGuard UTM и Next Generation Firewall. Это решение обеспечивает визуализацию больших объемов данных и предоставляет инструменты отчетности, которые идентифицируют и определяют ключевые угрозы безопасности сети, проблемы и тенденции, ускоряя способность устанавливать значимые политики безопасности в сети. Используйте WatchGuard Dimension можно быстро и просто осуществлять мониторинг сети для получения критических и своевременных представлений о её безопасности в режиме реального времени.

Пакет сервисов: Total Security Suite
















Пакет Total Security Suite включает в себя все сервисы, предлагаемые в пакете Basic Security Suite, а кроме того дополнительно расширенную защиту от вредоносного ПО (APT Blocker), инструменты для предотвращения утечки данных (DLP), расширенные возможности визуализации сети (Dimension Command) и возможность принимать меры против угроз (TDR) прямо в платформе визуализации Dimension™, а также Access Portal, DNSWatch™ и IntelligentAV™.

Total Security Suite также включает поддержку 24х7 уровня Gold.


Компания WatchGuard Technologies обеспечивает пользователей своих устройств расширенной поддержкой Gold Support (24x7), призванной защищать их компьютеры и сети от угроз и уязвимостей.

Поддержка Gold Support является важнейшим компонентом защиты сети с использованием устройств WatchGuard Firebox и включает в себя:


Для защиты разветвленной сети от атак часто используют аппаратные и программные брандмауэры. Иногда отдельно, иногда - в связке друг с другом. Априори считается, что каждый из упомянутых классов имеет свои преимущества и недостатки, а именно: аппаратные средства обладают высокой производительностью, быстрой установкой и легким управлением; минусами являются высокая стоимость решений и сложность их модернизации (любую закрытую архитектуру обновлять сложно). Программные средства обладают привлекательными ценами, легко обновляются и расширяются (например, через Интернет), часто имеют очень широкой функционал и возможности гибкой настройки, взамен приходится платить снижением производительности, отдельным сервером, иногда еще и трудностью в управлении и настройке.

ПО WatchGuard FireBox X создавалось по принципу "взять лучшее, а минусы оставить за бортом". Разработчикам действительно удалось решить многие проблемы аппаратных и программных решений, так что предлагаемый на рассмотрение программно-аппаратный комплекс достоин пристального внимания.

О WatchGuard FireBox X нам рассказывает Ирина Зеренкова, менеджер по маркетингу компании Rainbow Technologies.

Интервью


Алексей Доля: Расскажите, пожалуйста, что называется аппаратным брандмауэром? Какие компоненты в него входят?

Ирина Зеренкова: Брандмауэр/межсетевой экран обеспечивает разделение сегментов сетей, например Internet/DMZ/Intranet, их защиту и авторизованный доступ извне к ресурсам охраняемой сети. Аппаратный брандмауэр обычно представляет собой программно-аппаратный комплекс, включающий необходимое оборудование и ПО для управления им.


Алексей Доля: Что отличает аппаратные брандмауэры от программных?

Ирина Зеренкова: Основное отличие аппаратного брандмауэра от программного - его независимость от программной платформы защищаемой ИТ-инфраструктуры и единство производителя программных и аппаратных средств, что позволяет:


гарантировать полную совместимость всех частей и компонентов и, следовательно, устойчивость функционирования аппаратного брандмауэра;
упростить обновление ПО (в случае программного брандмауэра обновление операционной системы (ОС) может повлечь за собой и переустановку брандмауэра);
предложить высоконадёжную аппаратную реализацию, уменьшающую до минимума (только вентилятор) использование движущихся частей и механизмов и исключающую проблемы аппаратной несовместимости;
обеспечить заявленную производительность в любых условиях (ресурсы аппаратного брандмауэра не могут быть "переброшены" на другие задачи и процессы);
уменьшить эксплутационные расходы, так как не требуется ресурсов для конфигурирования и управления ОС;
предоставить гарантию производителя.



Алексей Доля: В каких случаях целесообразно применять аппаратные брандмауэры, а в каких - чисто программные?

Ирина Зеренкова: Однозначного ответа на этот вопрос не существует, так как выбор зависит от целого ряда факторов - от требуемой степени защищённости информационной системы до ценовых характеристик. И каждая организация осуществляет выбор в соответствии с собственной концепцией обеспечения безопасности, стратегией развития и функциональными задачами, возлагаемыми на брандмауэр. Поясню на примере. Брандмауэры младшего класса, например Firebox SOHO 6, могут использоваться и для защиты домашних сетей из двух-трёх компьютеров, и обеспечивать безопасность предприятий малого бизнеса, обладающих 10-50 компьютерами и VPN для мобильных пользователей и удалённых офисов. Более крупные компании могут использовать сложные комплексные решения, включающие и аппаратные, и программные брандмауэры. А для более простых сценариев эффективным решением является интегрированное устройство защиты, такое как WatchGuard FireBox X.




Firebox SOHO 6




Firebox X


Web-Blocker - Служба фильтрации по содержимому Web-сайтов, обеспечивающая блокирование доступа к определённым доменам, сайтам и видам информации, например - блокирование загрузки графических изображений;

SpamScreen - Служба фильтрации спама, обеспечивающая его блокирование на границе Вашей сети.


Также в Firebox X реализована очень удобная система ведения статистики, просмотра событий в режиме реального времени, создания отчетов и оповещения об аномальной активности в сети. Возможность создания отказоустойчивых решений обеспечивается поддержкой двухузловых кластеров.



Построение отказоустойчивого кластера на основе 2-х устройств Fiirebox X



Алексей Доля: Контентная фильтрация (фильтрация web-потока и спама) является отдельным сегментом рынка продуктов информационной безопасности. Такие компании, как, например, Cobion (ныне подразделение ISS) и SurfControl специализируются именно на контентной фильтрации, для этого разработан целый ряд алгоритмов анализа содержимого web-страниц, а также созданы огромные базы данных URL-адресов, которые постоянно обновляются. При этом стоимость программных комплексов Cobion и SurfControl сопоставима со стоимостью всего аппаратного брандмауэра. Вы не могли бы подробнее рассказать о службах Web-Blocker и SpamScreen? Эти службы разработаны силами компании WatchGuard или лицензированы у компаний, специализирующихся только на контентной фильтрации? Нужно ли платить дополнительные деньги за подключение этих служб?

Ирина Зеренкова: Скорее следует говорить не об отдельном сегменте, а об определённом функционале, так как, выпустив из вида, казалось бы, малозначительную вещь, уже нельзя быть уверенным в безопасности информационной системы. Интегрированные устройства защиты Firebox X помогают держать всё под контролем, включая и фильтрацию контента, и блокирование спама. Службы, обеспечивающие такой функционал, обычно состоят из двух составляющих: базы данных с URL-ссылками на соответствующий контент или списком спамерских хостов и ПО, отслеживающего соответствие трафика этой базе данных.
Компания WatchGuard создала собственное аналитическое ПО и подписала соглашения с компаниями VeriSign и SurfControl об использовании их баз данных. Таким образом, Вы получаете возможность использования самых известных в мире баз данных по очень скромным ценам.


Алексей Доля: Вы не могли бы рассказать подробнее о технологиях фильтрации http- и ftp- потоков? Например, разработчики CheckPoint Firewall гордятся тем, что в свое время (1994 г.) изобрели технологию динамической фильтрации (Stateful Inspection), ставшую стандартом в отрасли, а примерно год назад разработали новую технологию Application Intelligence, позволяющую защитить самые верхние уровни модели ISO/OSI. Есть ли какие-нибудь эксклюзивные технологии для анализа трафика у WatchGuard? Ведь именно эффективная фильтрация трафика является главной задачей любого брандмауэра!

Ирина Зеренкова: Компания WatchGuard занимается исключительно разработкой программно-аппаратных комплексов для обеспечения защиты сетей. Хочу заметить, что в 1997 году WatchGuard первая в мире осознала необходимость выпуска именно аппаратных брандмауэров и выпустила специализированное оборудование для защиты сети WG FireBox System. Вы абсолютно правы - любой межсетевой экран обязан обеспечивать эффективную фильтрацию трафика. Для успешного выполнения этой задачи WatchGuard ещё пять лет назад (1999 год) разработала технологию Proxy-фильтрации, которую сегодня многие производители представляют как "deep packet inspection" или "Application Intelligence". Кроме этой технологии, WatchGuard изобрела и многоуровневую архитектуру Intelligent Layered Security, благодаря которой для каждого конкретного вида атак используется определённый вид защиты, требующий привлечения не всех, а только необходимых для этого ресурсов. Даже при больших нагрузках, производительность Firebox X остаётся на требуемом уровне.
Наше оборудование для фильтрации трафика использует как технологию Proxy-фильтрации, так и пакетную фильтрацию, или как её ещё называют, фильтрацию трафика с запоминанием состояния. Возможности FireBox X позволяют администраторам определять, какие технологии фильтрации использовать для каждого конкретного пакета. Proxy-фильтрация, применяемая FireBox X, кроме контроля данных, передаваемых в IP-пакетах, осуществляет контроль и самой сессии, тем самым обеспечивая защиту от flood-атак. Так что нам и нашим пользователям, по праву есть, чем гордиться!


Алексей Доля: Чем Ваше решение отличается от конкурентных аналогов?

Ирина Зеренкова: Принципиальных отличий три. Во-первых, FireBox X - первое на рынке устройство интегрированной защиты, включающее множество функций обеспечения безопасности. Это решение позволяет предприятиям малого и среднего бизнеса обеспечить комплексную защиту своих ИТ-инфраструктур, использовав только одно устройство, и, соответственно, избежать немалых расходов на интеграцию и эксплуатацию нескольких различных средств защиты.



FireBox X - первое на рынке устройство интегрированной защиты сетей


Во-вторых, FireBox X созданы на многоуровневой архитектуре Intelligent Layered Security (ILS), каждый уровень которой обеспечивает защиту от угрозы конкретного вида. Эта уникальная разработка компании WatchGuard обеспечивает высокую производительность при использовании всех или нескольких уровней защиты. Firebox X, используя архитектуру ILS, способен в режиме реального времени противостоять известным угрозам, и наращивать уровни защиты в соответствии с появляющимися новыми угрозами.



Многоуровневая архитектура Intelligent Layered Security


В-третьих, пользователи получили возможность наращивания функционала Firebox X в соответствии с ростом их информационных систем и требований к средствам защиты. Младшие модели Firebox X могут быть модернизированы до любой старшей модели лишь за счёт приобретения лицензии на программное обеспечение. Таким образом, отпадает необходимость покупки нового оборудования.



Алексей Доля: Вы не могли бы подробнее рассказать о модернизации FireBox X? Получается, что FireBox X500 и FireBox X2500 функционально ничем не отличаются, а единственное различие состоит в том, что в версии Х500 зашито ограничение на количество обслуживаемых машин, которое можно снять (заплатив деньги) и тем самым превратить Х500, например, в Х2500?

Ирина Зеренкова: Рассмотрим общую ситуацию: заказчик выбирает устройство защиты. Основные требования, которые будут стоять - это достаточность возможностей при разумных затратах, включающих покупку, установку, настройку, эксплуатацию и, если возможно, модернизацию. Другими словами, заказчик приобретает отвечающее его текущим требованиям решение за определённые деньги, возможно с учётом перспективы. Семейство продуктов Firebox X позволяет подобрать нужную ему модель. При позитивном сценарии, то есть в случае развития бизнеса, заказчику понадобится со временем устройство защиты с более высокими характеристиками. И за него он будет готов заплатить больше. Это разумно. Но зачем же всё переделывать, то есть опять выбирать, внедрять и так далее? Можно лишь модернизировать имеющееся и знакомое оборудование. Для изменения рабочих характеристик достаточно купить лицензию. И это сэкономит Вам не только деньги, но и время.
Кстати, ограничения, внесённые в Firebox X, относятся не к количеству защищаемых компьютеров, а к пропускной способности устройства. Например, пропускная способность Firebox X500 составляет 100 Мбит/сек, а X2500 - 275 Мбит/сек. Есть и другие отличия. Так, лицензии на создание VPN типа "шлюз-шлюз" и централизованное управление несколькими устройствами включены в модели X700 и старше. Приведённая ниже схема отображает возможности модернизации всех моделей Firebox X, обладающей наименьшей среди конкурентов Совокупной Стоимостью Владения (ССВ).




Алексей Доля: В каких случаях целесообразно применять FireBox X?

Ирина Зеренкова: Во всех случаях, когда есть необходимость в высокоэффективных средствах защиты сетей. Как уже говорилось, семейство продуктов FireBox X ориентировано на решение задач обеспечения защиты сетей предприятий малого и среднего бизнеса. Каждая модель FireBox X решает задачи, стоящие сегодня перед организациями, а также позволяет наращивать функционал и мощность в соответствии с требованиями завтрашнего дня.

Самая младшая модель - Firebox X500 - предназначена для предприятий малого бизнеса с территориально-распределённой или локальной сетью примерно из 20-100 компьютеров, которым необходимо решение по обеспечению безопасности, не требующее существенных затрат на его установку и эксплуатацию.
Задачи предприятий малого бизнеса с сетью примерно из 50-150 компьютеров, которым требуются возможности построения VPN для удаленных пользователей/филиалов и управления несколькими устройствами для удаленных сотрудников, успешно решает Firebox X700.
Защиту сетей на предприятиях среднего бизнеса обеспечивают модели Firebox X1000 и Firebox X2500. Firebox X1000 ориентирован на компании с территориально-распределённой сетью примерно из 100-500 компьютеров, которым требуются возможности построения VPN для удаленных пользователей и централизованного управления несколькими устройствами в удалённых офисах. Модель Firebox X2500 обеспечивает надёжную защиту предприятий с территориально-распределённой сетью из 250-1000 компьютеров, которым требуется централизованное управление безопасностью с одного устройства, интегрирующего множество функций защиты.


Алексей Доля: Самый главный довод продавца программных брандмауэров, когда его просят сравнить свой продукт с аппаратным межсетевым экраном, это цена. Действительно, сложно спорить, ведь цена программных решений часто значительно ниже их аппаратных собратьев (для сравнения: Mandrake Multiple Network Firewall со всеми доступными опциями стоит $550, что примерно в 6 раз меньше самой младшей модели FireBox X500). При этом зачастую программные брандмауэры обладают большей гибкостью (помимо контентной фильтрации, защиты от вирусов и спама, системы обнаружения вторжений они позволяют развернуть proxy-сервер) и легкостью обновлений (быстро создаются, распространяются и внедряются заплатки). Однако главный козырь аппаратных решений - скорость. За это часто стоит заплатить лишние деньги. Насколько производителен FireBox X? Надолго ли он задерживает трафик? На ваш взгляд эта производительность стоит тех денег, которые за нее просят?

Ирина Зеренкова: Было бы забавно ответить Вам "нет" на последний вопрос, но это не будет соответствовать действительности. Судите сами:


пропускная способность находится в диапазоне от 100 Мбит/сек (Firebox X 500, младшая модель), до 275 Мбит/сек (Firebox X2500, старшая);
количество пользователей неограниченно;
многоуровневая архитектура ILS обеспечивает практически прозрачное прохождение разрешённого трафика.


имеющийся функционал очень широк (и расширяем);
подключение, настройка и эксплуатация предельно просты;
обеспечивается управление сразу несколькими устройствами при помощи ПО с удобным интуитивно понятным интерфейсом;
уровень защиты, обеспечиваемый устройствами Firebox X, сравним с тем, что могут предложить конкурирующие изделия стоимостью на несколько порядков выше.


А если вернуться к упомянутому Вами ценовому диапазону, мы можем предложить продукты других линеек, например, SOHO стоимостью $650. И это тоже надёжные и устойчивые (в отличие от программных) аппаратные средства защиты.


Алексей Доля: Легко ли настраивать FireBox X?

Ирина Зеренкова: Да, потому что системный диспетчер WatchGuard System Manager предоставляет мощные и удобные инструменты управления, которые скорее помогают, а не сбивают с толку. Он объединяет все аспекты управления и отчётности Firebox X в едином интуитивно понятном интерфейсе, что позволяет постоянно быть в курсе того, что происходит.
WatchGuard System Manager позволяет получать графическое представление Вашей сети, что помогает без труда настраивать основные политики безопасности с помощью интуитивно понятного интерфейса и централизованного управления. Вы сохраните время, управляя удалёнными пользователями и филиалами, так как с помощью операций "drag-and-drop" на создание VPN будут потрачены не часы, а секунды. Минимальными усилиями можно создать отчёты, которые помогут определить уровень предоставляемой защиты.


Алексей Доля: Сколько стоит данное решение и где его можно купить в России?

Ирина Зеренкова: Компания WatchGuard, обеспечивая высокое качество и надёжность работы своей продукции, предоставляет на рынке конкурентоспособные цены. На территории России и стран СНГ поставками Firebox X занимается компания Rainbow Technologies, являющаяся официальным дистрибьютором WatchGuard. Цена модели, безусловно, зависит от её характеристик. Например, рекомендованная розничная цена Firebox X 500 - младшей модели линейки - составляет 3250 у.е. (1 у.е= $1 США по курсу ЦБ на день оплаты).
WatchGuard выпускает решения и более низкого ценового уровня, предназначенные для защиты сетей, состоящих из 10-20 компьютеров.
Нашей компанией совместно с WatchGuard проводятся различные маркетинговые программы, акции и мероприятия, во время которых можно воспользоваться скидкой, бесплатной поставкой дополнительных служб. Участвуя в специальных "trade-up" и "trade-in" программах, клиенты могут обменять со скидкой устаревшие модели оборудования на новые - "trade-up" или же заменить, также со скидкой, имеющееся оборудование конкурирующих торговых марок на устройства компании WatchGuard.
Продажи осуществляют более 30 партнёров, среди которых Компьюлинк, Discom NT, ICS Новые системы, Комита (Санкт-Петербург), Инфотекс Интернет Траст, Интермаст (Екатеринбург), Рускард, Эримэкс (Новосибирск), ICP (Украина), НУРОН (Узбекистан) и многие другие.


Алексей Доля: Какую техническую поддержку вы оказываете клиентам, купившим FireBox X?

Ирина Зеренкова: Клиенты получают техническую поддержку производителя через службу LiveSecurity, которая включает:


техническую поддержку в режиме реального времени,
поддержку ПО и его обновление,
замену старого оборудования на новое,
обучение и консультирование,
уведомления LiveSecurity Broadcasts - оперативное оповещение об угрозах и методах борьбы с ними.


Все продукты линейки Firebox X обеспечены 90-дневной подпиской на службу LiveSecurity. Гарантийный срок на оборудование - 1 год с возможностью продления до 4 лет. Техническая поддержка специалистами Rainbow Technologies включает также:


Бесплатное обучение работе с устройством
Бесплатные телефонные консультации и по электронной почте по возникающим вопросам
В экстренных случаях - выезд специалистов Rainbow Technologies к клиенту
Установка и настройка оборудования, а также выезды к клиенту на договорных условиях



Алексей Доля: Спасибо, что уделили нам время и ответили на все наши вопросы. Успехов Вам и Вашим продуктам!

Информация в век цифровых технологий приравнена к деньгам, а раз так — ее нужно охранять. В Интернете всегда найдутся желающие поинтересоваться содержимым ваших жестких дисков или заменить первую страницу на сайте вашей компании лозунгом типа «Vasya Pupkin Was Here!» Это только вопрос времени. Хорошая система защиты информации от несанкционированного доступа на предприятии так же необходима, как и надежный сейф для хранения тех самых денег, в которые информация отливается.

В одном из западных журналов, посвященных сетевой безопасности, я натолкнулся на статью о сравнении нескольких популярных «межсетевых экранов» масштаба среднего предприятия. Победителем по многим категориям там выходила система, о которой я никогда не слышал, — WatchGuard LiveSecurity System от компании WatchGuard Technologies. Дочитав статью, проглотив кучу превосходных эпитетов и запив их пивом, я решил поискать в Рунете, кто этот продукт продает в России. Очень скоро я вышел на фирму Rainbow Technologies: пара звонков, короткие переговоры, и белая картонная коробка с надписью, утверждающей, что «All Network Security in One Red Box», у меня на столе. Почему красный ящик, спросите? Не поверите — он действительно красный, как огнетушитель или пожарный щит (см. фото). А как еще должно выглядеть устройство, которое называется «FireBox»?

Было решено испытать FireBox в реальных условиях, то есть в локальной сети редакционного офиса «Компьютерры». Два-три дня я размышлял над новой топологией сети, изучил документацию к FireBox, продумал переход на фиктивные IP-адреса внутри сетки, активировал устройство, создал в нем необходимую конфигурацию и в ближайшие выходные переделал редакционную сеть так, чтобы прописать устройство на новое место жительства. Включил красный ящик. Все заработало, как задумывал.

Итак, WatchGuard FireBox II — это аппаратный межсетевой экран, в простонародье — firewall. Вид спереди (см. фото) — симпатичные столбиковые индикаторы объема трафика, проходящего через firewall, и индикатор нагрузки на центральный процессор. Самое приятное (такого ни у кого не видел) — треугольный индикатор направлений трафика (Security Triangle Display). Показывает, между какими интерфейсами устройства в данный момент происходит обмен пакетами, и в каком направлении. Позволяет на глаз оценить, насколько правильно вы задали конфигурацию устройства. Например, если в конфигурации запрещены исходящие соединения из DMZ во внутреннюю сеть, а на индикаторе вы видите активный трафик в этом направлении — значит, что-то неладно и пора пересмотреть правила обработки пакетов. Есть еще на передней панели четыре индикатора различных состояний устройства (если кому интересно, что они обозначают, — RTFM).

Сам FireBox монтируется в стандартную промышленную 19-дюймовую стойку, но может стоять и на столе на собственных резиновых ножках.

Вид сзади — три сетевых интерфейса Fast Ethernet 10/100. Все правильно — один в локальную сеть, второй в маршрутизатор или другое устройство доступа. Куда третий? На ваше усмотрение (кое-кто даже модемные пулы туда «подвешивает»). А вообще, по документации, он нужен для создания «демилитаризованной» зоны — DMZ. Руководства по сетевой безопасности рекомендуют «сажать» в эту зону общедоступные сервисы, например Web- или почтовый сервер предприятия.

Немного огорчает отсутствие слотов расширения для установки дополнительных сетевых адаптеров, но для большинства организаций малого и среднего бизнеса и для стандартных задач, связанных с работой в Интернете, трех сетевых интерфейсов вполне достаточно.

Очень интересная возможность — один двойной разъем PCMCIA Type II для установки модема (сам модем в комплект не входит). Это позволяет управлять настройкой FireBox удаленно, с другого компьютера, в терминологии WatchGuard — OOB (Out Of Band Management). В документации, правда, написано, что пока можно использовать одновременно лишь один слот PCMCIA — в следующих версиях ПО, возможно, будут задействованы оба разъема. Есть еще порт RS-232 (Console) для подключения к компьютеру с программным обеспечением WatchGuard LiveSecurity (например, для первоначальной настройки) и один служебный порт RS-232 для расширения системы (пока он не задействован).

Как выяснилось при помощи отвертки, FireBox — это хорошо замаскированный PC. Внутри установлена специализированная системная плата с тремя сетевыми интерфейсами, процессором Intel Pentium 200, flash-памятью на 8 Мбайт и двумя разъемами для модулей DIMM (модель FireBox II поставляется с одним модулем на 64 Мбайт). Есть даже два PCI-слота. Зачем — документация умалчивает, однако в службе технической поддержки мне объяснили, что они предназначены для установки аппаратных криптоускорителей для повышения скорости обмена информацией через VPN. Вообще, мануал грозит отменой гарантии, если мы будем лазить внутрь грязными руками. Но уж очень хочется открыть ящик Пандоры…

Что внутри? А вы догадайтесь, что сейчас модно ставить внутрь различных сетевых устройств? Конечно, Linux. Разумеется, не простой, а специальную урезанную и защищенную версию. WatchGuard Technologies гордится тем, что все компоненты системы были разработаны компанией самостоятельно и не базируются на общеизвестных исходных кодах.

Говорить о FireBox как об отдельном устройстве нельзя — это программно-аппаратный комплекс. Система в целом называется WatchGuard LiveSecurity Service и включает в себя следующие компоненты:
• подписную службу рассылки информации — Broadcast Service;
• набор программного обеспечения для управления и контроля — Control Center;
• программное обеспечение FireBox — SecuritySuite;
• собственно устройство FireBox.

До FireBox я не раз настраивал экраны на базе * nix-систем — ipfw, ipchains — и имел опыт общения с Cisco PIX Firewall. Сначала я весьма скептически смотрел на межсетевой экран, у которого отсутствует командная строка, но спустя пару дней общение через LiveSecurity мне даже стало нравиться.

Начнем с Control Center — центральной точки управления и мониторинга всей системы (см. скриншот). Он состоит из нескольких приложений:
• VPN Manager — действительно умеет делать VPN. Подробности ниже.

• FireBox Monitors — приложение для мониторинга различных параметров: трафика, количества соединений по тем или иным портам TCP/IP, авторизованных пользователей и аппаратных ресурсов. Очень удобный инструмент.
• Logging/Notification — система ведения журналов. Писать протоколы — любимое занятие красного ящика. Он может делать это на машине, где установлено LiveSecurity, и/или в syslog. Это дает возможность прикрутить к FireBox службы обнаружения вторжений (Intrusion Detection System). Я обучил бесплатный IDS Snort анализировать журнал от FireBox и сообщать о подозрительных событиях. Всё лучше, чем прочесывать в поисках километровый журнал. Начиная с версии LiveSecurity 5.0 на сайте производителя доступны дополнительные программы для интеграции софта FireBox с практически любыми IDS. Разработаны версии для систем NT/W2K, Solaris и Linux. Такого рода интеграция полезна тем, что можно автоматически заблокировать IP-адрес, который с точки зрения IDS ведет себя подозрительно. Помимо этого, FireBox способен самостоятельно, без помощи систем класса IDS, распознавать самые распространенные виды атак (сканирование портов и адресного пространства, IP Option, IP Spoofing, SYN Flood) и автоматически блокировать любые соединения с атакующего хоста.
• Historical Reports — модуль, служащий для составления удобных и красивых отчетов в формате HTML, анализа журналов работы FireBox, а также для создания и экспорта данных из журнала в другие системы. Подсистема обработки журнала позволяет задавать время открытия новых файлов журнала запуска того или иного отчета. Нет только одной мелочи — возможности указать, сколько последних журналов хранится на диске. Учитывая, что размер log-файлов весьма велик, нужно следить за тем, чтобы на диске, куда пишутся журналы, оставалось место. Или написать скрипт, периодически стирающий старые логи.
• HostWatch — утилита для динамического отслеживания соединений, проходящих через FireBox. Показывает, кто, откуда и куда соединился, по какому протоколу и как — то есть NAT, proxy-соединение и прочую информацию. Можно устанавливать фильтры, отслеживая только интересующий трафик, или просто «заморозить» текущую картинку и внимательно ее рассмотреть.
• Policy Manager — собственно менеджер правил межсетевого экрана. О нем немного ниже.

В дополнение могу сказать, что существуют еще две программные опции — High Availability и SpamScreen. Первая предназначена для «горячего» подключения резервного FireBox на случай выхода из строя основного. Вторая — подписная услуга, блокирующая спам при использовании встроенного в FireBox SMTP-proxy.

Кстати, о proxy. Создание и менеджмент правил обработки пакетов с WatchGuard Control Center — простое и увлекательное занятие. Идеология управления правилами фильтрации очень проста: у нас есть куча готовых пакетных фильтров и — внимание! — proxy-сервисов, под сетевые протоколы (FTP, DNS, SMTP) и общеизвестные приложения (ICQ, RealAudio etc). Если не хватает нужного пакетного фильтра (или не устраивают параметры стандартного) — его можно создать самому. После этого нам остается в программе Policy Manager указать, откуда и куда мы разрешаем входящие и исходящие соединения. Причем, скажем, одному SMTP-серверу можно задать использование SMTP-proxy, а другому — пакетную фильтрацию по порту 25. Вообще, мне показалось, что WatchGuard больше поощряет использование proxy-сервисов, иначе как объяснить наличие сервиса FTP-Proxy и отсутствие простого пакетного фильтра для этого протокола.

В заключение хочу напомнить, что безопасность — это не продукт, а процесс. И никакой, даже самый современный firewall, не является сам по себе магическим устройством, способным на 100 процентов защитить от посягательств ваши информационные ресурсы. Грамотно выстроить корпоративную систему безопасности можно только в комплексе с другими средствами защиты и административными мерами.

Читайте также: