Установка межсетевого экрана на предприятии
Обновлено: 06.07.2024
Инструкция по настройке правил Firewall для виртуальных серверов в панели управления Serverspace.
Что это такое?
С помощью межсетевого экрана прямо из панели управления можно управлять доступом к серверу, сетевыми пакетами данных. Данная опция отдельно не тарифицируется и входит в стоимость сервера.
На данный момент существует ограничение в 50 правил, если вам будет недостаточно этого лимита, то увеличить его можно по запросу в техническую поддержку.
Сетевая архитектура
Для избежания конфликта правил межсетевого экрана и его правильной настройки необходимо понимать порядок действия существующих брандмауэров. Во-первых, вы можете настроить брандмауэр для частной сети. Во-вторых, для сервера через панель управления. В-третьих, вы можете настроить внутренний брандмауэр, например, для Linux через iptables, для Windows - встроенный.
Для входящих пакетов первым будет применяться брандмауэр на уровне сети (при наличии). Если пакет прошел, дальше будет применяться фаерволл на уровне сервера, в последнюю очередь будет использоваться внутренний программный механизм. Для исходящих пакетов будет применена обратная последовательность действий.
Мы не рекомендуем одновременно использовать межсетевой экран на уровне сервера и внутренний программный:
Создание правила
Конфигурация брандмауэра доступна для всех VPS и находится в настройках сервера в разделе Firewall.
Важно:
- порядок правил имеет значение, чем меньше порядковый номер правила (чем выше он в списке), тем выше его приоритет. Изменять последовательность правил можно с помощью Drag and Drop, перетащив правило левой кнопкой мыши на нужную позицию;
- по умолчанию - все пакеты данных, как входящие, так и исходящие разрешены.
Для создания правила нажмите кнопку Добавить:
Перед вами откроется окно добавления правила. Необходимо заполнить следующие поля:
- Name - понятное для пользователя название (не более 50 символов), как правило кратко описывает назначение правила;
- Direction - направление пакетов, для которых необходимо применить правило, принимает одно из двух значений: Incoming или Outgoing. Incoming - правило распространяется на входящие пакеты данных, Outgoing - на исходящие;
- Source/Destination - в зависимости от направления содержит IP-адрес сервера или одно из значений: IP-адрес, CIDR, диапазон IP-адресов и any;
- SourcePort/DestinationPort - при выборе протокола TCP, UDP или TCP and UDP возможно указать порт, диапазон портов, либо Any;
- Action - действие, которое необходимо применить, принимает одно из двух значений: Allow или Deny. Allow - разрешение пересылки пакетов данных, Deny - запрет пересылки;
- Protocol - тип протокола, доступно ANY, TCP, UDP, TCP and UDP и ICMP.
Для создания правила нажмите Сохранить.
В нашем примере правило блокирует все входящие на сервер пакеты:
Чтобы созданное правило вступило в силу необходимо сохранить изменения с помощью кнопки Сохранить. Вы можете создать несколько правил и затем сохранить все разом:
После этого страница будет выглядеть следующим образом:
Приоритет правил
Чем меньше порядковый номер правила (чем выше оно в списке), тем выше его приоритет. Например, после того как было создано запрещающее правило для всего входящего трафика, создадим правило разрешающее получать входящие пакеты по 80 порту протокола Tcp. После сохранения изменений при такой конфигурации данный порт все также будет недоступен, в связи с тем, что запрещающее правило имеет более высокий приоритет:
Для изменения приоритета правил перетащите с помощью левой кнопки мыши разрешающее правило на первое место и сохраните изменения:
После сохранение порядковые номера правил изменятся, а также изменится их приоритет:
Теперь конфигурация брандмауэра позволяет получать пакеты по протоколу Tcp по 80 порту, остальные пакеты проходить не будут.
Выбор межсетевого экрана для определенного уровня защищенности персональных данных
В данном обзоре мы будем рассматривать межсетевые экраны, представленные в таблице 1. В этой таблице указано название межсетевого экрана и его класс. Данная таблица будет особенно полезна при подборе программного обеспечения для защиты персональных данных.
Таблица 1. Список сертифицированных ФСТЭК межсетевых экранов
| Программный продукт | Класс МЭ |
| МЭ «Блокпост-Экран 2000/ХР» | 4 |
| Специальное программное обеспечение межсетевой экран «Z-2», версия 2 | 2 |
| Средство защиты информации TrustAccess | 2 |
| Средство защиты информации TrustAccess-S | 2 |
| Межсетевой экран StoneGate Firewall | 2 |
| Средство защиты информации Security Studio Endpoint Protection Personal Firewall | 4 |
| Программный комплекс «Сервер безопасности CSP VPN Server.Версия 3.1» | 3 |
| Программный комплекс «Шлюз безопасности CSP VPN Gate.Версия 3.1» | 3 |
| Программный комплекс «Клиент безопасности CSP VPN Client. Версия 3.1» | 3 |
| Программный комплекс межсетевой экран «Ideco ICS 3» | 4 |
| Программный комплекс «Трафик Инспектор 3.0» | 3 |
| Средство криптографической защиты информации «Континент-АП». Версия 3.7 | 3 |
| Межсетевой экран «Киберсейф: Межсетевой экран» | 3 |
| Программный комплекс «Интернет-шлюз Ideco ICS 6» | 3 |
| VipNet Office Firewall | 4 |
Все эти программные продукты, согласно реестру ФСТЭК, сертифицированы как межсетевые экраны.
Согласно приказу ФСТЭК России №21 от 18 февраля 2013 г. для обеспечения 1 и 2 уровней защищенности персональных данных (далее ПД) применяются межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы (ИС) с сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия ИС с Интернетом.
Сравнение межсетевых экранов
Межсетевым экранам свойственен определенный набор функций. Вот и посмотрим, какие функции предоставляет (или не предоставляет) тот или иной межсетевой экран. Основная функция любого межсетевого экрана — это фильтрация пакетов на основании определенного набора правил. Не удивительно, но эту функцию поддерживают все брандмауэры.
Также все рассматриваемые брандмауэры поддерживают NAT. Но есть довольно специфические (но от этого не менее полезные) функции, например, маскировка портов, регулирование нагрузки, многопользовательских режим работы, контроль целостности, развертывание программы в ActiveDirectory и удаленное администрирование извне. Довольно удобно, согласитесь, когда программа поддерживает развертывание в ActiveDirectory — не нужно вручную устанавливать ее на каждом компьютере сети. Также удобно, если межсетевой экран поддерживает удаленное администрирование извне — можно администрировать сеть, не выходя из дому, что будет актуально для администраторов, привыкших выполнять свои функции удаленно.
Наверное, читатель будет удивлен, но развертывание в ActiveDirectory не поддерживают много межсетевых экранов, представленных в таблице 1, то же самое можно сказать и о других функциях, таких как регулирование нагрузки и маскировка портов. Дабы не описывать, какой из межсетевых экранов поддерживает ту или иную функцию, мы систематизировали их характеристики в таблице 2.
Таблица 2. Возможности брандмауэров
Как будем сравнивать межсетевые экраны?
Основная задача межсетевых экранов при защите персональных — это защита ИСПДн. Поэтому администратору часто все равно, какими дополнительными функциями будет обладать межсетевой экран. Ему важны следующие факторы:
- Время защиты. Здесь понятно, чем быстрее, тем лучше.
- Удобство использования. Не все межсетевые экраны одинаково удобны, что и будет показано в обзоре.
- Стоимость. Часто финансовая сторона является решающей.
- Срок поставки. Нередко срок поставки оставляет желать лучшего, а защитить данные нужно уже сейчас.
Безопасность у всех межсетевых экранов примерно одинаковая, иначе у них бы не было сертификата.
Брандмауэры в обзоре
Далее мы будем сравнивать три межсетевых экрана — VipNet Office Firewall, Киберсейф Межсетевой экран и TrustAccess.
Брандмауэр TrustAccess — это распределенный межсетевой экран с централизованным управлением, предназначенный для защиты серверов и рабочих станций от несанкционированного доступа, разграничения сетевого доступа к ИС предприятия.
Киберсейф Межсетевой экран — мощный межсетевой экран, разработанный для защиты компьютерных систем и локальной сети от внешних вредоносных воздействий.
ViPNet Office Firewall 4.1 — программный межсетевой экран, предназначенный для контроля и управления трафиком и преобразования трафика (NAT) между сегментов локальных сетей при их взаимодействии, а также при взаимодействии узлов локальных сетей с ресурсами сетей общего пользования.
Время защиты ИСПДн
Что такое время защиты ИСПДн? По сути, это время развертывания программы на все компьютеры сети и время настройки правил. Последнее зависит от удобства использования брандмауэра, а вот первое — от приспособленности его установочного пакета к централизованной установке.
Все три межсетевых экрана распространяются в виде пакетов MSI, а это означает, что можно использовать средства развертывания ActiveDirectory для их централизованной установки. Казалось бы все просто. Но на практике оказывается, что нет.
На предприятии, как правило, используется централизованное управление межсетевыми экранами. А это означает, что на какой-то компьютер устанавливается сервер управления брандмауэрами, а на остальные устанавливаются программы-клиенты или как их еще называют агенты. Проблема вся в том, что при установке агента нужно задать определенные параметры — как минимум IP-адрес сервера управления, а может еще и пароль и т.д.
Следовательно, даже если вы развернете MSI-файлы на все компьютеры сети, настраивать их все равно придется вручную. А этого бы не очень хотелось, учитывая, что сеть большая. Даже если у вас всего 50 компьютеров вы только вдумайтесь — подойти к каждому ПК и настроить его.
Конечно, администратор может использовать редакторы вроде Orca для создания MST-файла.
Рис. 1. Редактор Orca. Попытка создать MST-файл для TrustAccess.Agent.1.3.msi
Киберсейф Межсетевой экран самостоятельно создает MST-файл, нужно лишь установить его на один компьютер, получить заветный MST-файл и указать его в групповой политике. О том, как это сделать, можно прочитать в статье «Разграничение информационных систем при защите персональных данных». За какие-то полсача (а то и меньше) вы сможете развернуть межсетевой экран на все компьютеры сети.
Именно поэтому Киберсейф Межсетевой экран получает оценку 5, а его конкуренты — 3 (спасибо хоть инсталляторы выполнены в формате MSI, а не .exe).
| Продукт | Оценка |
| VipNet Office Firewall |  |
| Киберсейф Межсетевой экран |  |
| TrustAccess | |
Удобство использования
Брандмауэр — это не текстовый процессор. Это довольно специфический программный продукт, использование которого сводится к принципу «установил, настроил, забыл». С одной стороны, удобство использования — второстепенный фактор. Например, iptables в Linux нельзя назвать удобным, но ведь им же пользуются? С другой — чем удобнее брандмауэр, тем быстрее получится защитить ИСПДн и выполнять некоторые функции по ее администрированию.
Что ж, давайте посмотрим, насколько удобны рассматриваемые межсетевые экраны в процессе создания и защиты ИСПДн.
Начнем мы с VipNet Office Firewall, который, на наш взгляд, не очень удобный. Выделить компьютеры в группы можно только по IP-адресам (рис. 2). Другими словами, есть привязка к IP-адресам и вам нужно или выделять различные ИСПДн в разные подсети, или же разбивать одну подсеть на диапазоны IP-адресов. Например, есть три ИСПДн: Управление, Бухгалтерия, IT. Вам нужно настроить DHCP-сервер так, чтобы компьютерам из группы Управление «раздавались» IP-адреса из диапазона 192.168.1.10 — 192.168.1.20, Бухгалтерия 192.168.1.21 — 192.168.1.31 и т.д. Это не очень удобно. Именно за это с VipNet Office Firewall будет снят один балл.
Рис. 2. При создании групп компьютеров наблюдается явная привязка к IP-адресу
В межсетевом экране Киберсейф, наоборот, нет никакой привязки к IP-адресу. Компьютеры, входящие в состав группы, могут находиться в разных подсетях, в разных диапазонах одной подсети и даже находиться за пределами сети. Посмотрите на рис. 3. Филиалы компании расположены в разных городах (Ростов, Новороссийск и т.д.). Создать группы очень просто — достаточно перетащить имена компьютеров в нужную группу и нажать кнопку Применить. После этого можно нажать кнопку Установить правила для формирования специфических для каждой группы правил.
Рис. 3. Управление группами в Киберсейф Межсетевой экран
Что касается TrustAccess, то нужно отметить тесную интеграцию с самой системой. В конфигурацию брандмауэра импортируются уже созданные системные группы пользователей и компьютеров, что облегчает управление межсетевым экраном в среде ActiveDirectory. Вы можете не создавать ИСПДн в самом брандмауэре, а использовать уже имеющиеся группы компьютеров в домене Active Directory.
Рис. 4. Группы пользователей и компьютеров (TrustAccess)
Все три брандмауэра позволяют создавать так называемые расписания, благодаря которым администратор может настроить прохождение пакетов по расписанию, например, запретить доступ к Интернету в нерабочее время. В VipNet Office Firewall расписания создаются в разделе Расписания (рис. 5), а в Киберсейф Межсетевой экран время работы правила задается при определении самого правила (рис. 6).
Рис. 5. Расписания в VipNet Office Firewall
Рис. 6. Время работы правила в Киберсейф Межсетевой экран
Рис. 7. Расписание в TrustAccess
Все три брандмауэра предоставляют очень удобные средства для создания самих правил. А TrustAccess еще и предоставляет удобный мастер создания правила.
Рис. 8. Создание правила в TrustAccess
Взглянем на еще одну особенность — инструменты для получения отчетов (журналов, логов). В TrustAccess для сбора отчетов и информации о событиях нужно установить сервер событий (EventServer) и сервер отчетов (ReportServer). Не то, что это недостаток, а скорее особенность («feature», как говорил Билл Гейтс) данного брандмауэра. Что касается, межсетевых экранов Киберсейф и VipNet Office, то оба брандмауэра предоставляют удобные средства просмотра журнала IP-пакетов. Разница лишь в том, что у Киберсейф Межсетевой экран сначала отображаются все пакеты, и вы можете отфильтровать нужные, используя возможности встроенного в заголовок таблицы фильтра (рис. 9). А в VipNet Office Firewall сначала нужно установить фильтры, а потом уже просмотреть результат.
Рис. 9. Управление журналом IP-пакетов в Киберсейф Межсетевой экран
Рис. 10. Управление журналом IP-пакетов в VipNet Office Firewall
С межсетевого экрана Киберсейф пришлось снять 0.5 балла за отсутствие функции экспорта журнала в Excel или HTML. Функция далеко не критическая, но иногда полезно просто и быстро экспортировать из журнала несколько строк, например, для «разбора полетов».
Итак, результаты этого раздела:
| Продукт | Оценка |
| VipNet Office Firewall |  |
| Киберсейф Межсетевой экран |  |
| TrustAccess | |
Стоимость
Обойти финансовую сторону вопроса просто невозможно, ведь часто она становится решающей при выборе того или иного продукта. Так, стоимость одной лицензии ViPNet Office Firewall 4.1 (лицензия на 1 год на 1 компьютер) составляет 15 710 р. А стоимость лицензии на 1 сервер и 5 рабочих станций TrustAccess обойдется в 23 925 р. Со стоимостью данных программных продуктов вы сможете ознакомиться по ссылкам в конце статьи.
Запомните эти две цифры 15710 р. за один ПК (в год) и 23 925 р. за 1 сервер и 5 ПК (в год). А теперь внимание: за эти деньги можно купить лицензию на 25 узлов Киберсейф Межсетевой экран (15178 р.) или немного добавить и будет вполне достаточно на лицензию на 50 узлов (24025 р.). Но самое главное в этом продукте — это не стоимость. Самое главное — это срок действия лицензии и технической поддержки. Лицензия на Киберсейф Межсетевой экран — без срока действия, как и техническая поддержка. То есть вы платите один раз и получаете программный продукт с пожизненной лицензией и технической поддержкой.
| Продукт | Оценка |
| VipNet Office Firewall | |
| Киберсейф Межсетевой экран | |
| TrustAccess | |
Срок поставки
По нашему опыту время поставки VipNet Office Firewall составляет около 2-3 недель после обращения в ОАО «Инфотекс». Честно говоря, это довольно долго, учитывая, что покупается программный продукт, а не ПАК.
Время поставки TrustAccess, если заказывать через «Софтлайн», составляет от 1 дня. Более реальный срок — 3 дня, учитывая некоторую задержку «Софтлайна». Хотя могут поставить и за 1 день, здесь все зависит от загруженности «Софтлайна». Опять-таки — это личный опыт, реальный срок конкретному заказчику может отличаться. Но в любом случае срок поставки довольно низкий, что нельзя не отметить.
Что касается программного продукта КиберСейф Межсетевой экран, то производитель гарантирует поставку электронной версии в течение 15 минут после оплаты.
| Продукт | Оценка |
| VipNet Office Firewall | |
| Киберсейф Межсетевой экран | |
| TrustAccess | |
Что выбрать?
Если ориентироваться только по стоимости продукта и технической поддержки, то выбор очевиден — Киберсейф Межсетевой экран. Киберсейф Межсетевой экран обладает оптимальным соотношением функционал/цена. С другой стороны, если вам нужна поддержка Secret Net, то нужно смотреть в сторону TrustAccess. А вот VipNet Office Firewall можем порекомендовать разве что как хороший персональный брандмауэр, но для этих целей существует множество других и к тому же бесплатных решений.
Межсетевой экран (МСЭ) — это устройство обеспечения безопасности сети, которое осуществляет мониторинг входящего и исходящего сетевого трафика и на основании установленного набора правил безопасности принимает решения, пропустить или блокировать конкретный трафик.
Межсетевой экран - это программный или программно-аппаратный элемент компьютерной сети. Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети.
Допускается применение межсетевых экранов, сертифицированных на соответствие РД МЭ (при условии наличия действующих сертификатов соответствия требованиям по безопасности информации) в информационных (автоматизированных) системах, созданных до вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21.
Согласно Требований 2016 года устанавливается 5 типов межсетевых экранов:
• Типа А - уровня сети;
• Типа Б – уровня логических границ сети;
• Типа В – уровня узла;
• Типа Г – уровня веб-сервера;
• Типа Д – уровня промышленной сети (АСУ ТП).
Типы межсетевых экранов
«А» – межсетевой экран, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Межсетевые экраны типа «А» могут иметь только программно-техническое исполнение;
«Б» – межсетевой экран, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы. Межсетевые экраны типа «Б» могут иметь программное или программно-техническое исполнение;
«В» – межсетевой экран, применяемый на узле (хосте) информационной системы. Межсетевые экраны типа «В» могут иметь только программное исполнение и устанавливаются на мобильных или стационарных технических средствах конкретного узла информационной системы;
«Г» – межсетевой экран, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Межсетевые экраны типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера;
«Д» – межсетевой экран, применяемый в автоматизированной системе управления технологическими или производственными процессами. Межсетевые экраны типа «Д» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию промышленных протоколов передачи данных.
Межсетевые экраны типа «А»
Согласно Профилям МЭ должен противодействовать следующим угрозам безопасности информации:
• Несанкционированный доступ к информации, содержащейся в информационной системе;
• Отказ в обслуживании информационной системы и (или) ее отдельных компонентов;
• Несанкционированная передача информации из информационной системы в информационно-телекоммуникационные сети или иные информационные системы;
• Несанкционированное воздействие на МЭ, целью которого является нарушение его функционирования, включая преодоление или обход его функций безопасности;
• Несанкционированное получение сведений о сети информационной системы (автоматизированной системы управления), а также об ее узлах.
Чтобы сделать правильный выбор, сначала нужно ответить на вопрос: для чего нужен межсетевой экран? В общем смысле он позволяет контролировать и фильтровать проходящий через него сетевой трафик. Другими словами, межсетевые экраны защищают компьютеры (или компьютерные сети) от несанкционированного доступа, взлома хакерами извне, и блокируют подозрительные ресурсы. Для организации данная функция межсетевых экранов очень важна, поскольку злоумышленники могут проникнуть в сеть, зашифровать данные и потребовать за них выкуп.
Подобная схема вымогательства распространена среди хакеров, но она далеко не единственная. В любом случае если компьютеры не защищены, то проникновение в сеть организации не подразумевает ничего хорошего, и межсетевое экранирование решает проблему.
Современный межсетевой экран — это, как правило, не только защита, но и целый набор других полезных опций. Такое решение правильнее называть шлюзом безопасности. Наиболее важные функции:
- Блокировка ресурсов с неподобающим контентом. Особенно актуально в заведениях, где доступ в интернет могут получить дети. Подобную блокировку необходимо проводить не только по морально-этическим соображениям, но и по требованию закона № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию».
- Блокировка сайтов, отвлекающих сотрудников от работы. Если в организации стоит сетевой шлюз, то вместо Facebook они увидят такую картинку:
- Составление отчетов о том, на какие сайты ходил тот или иной сотрудник. Помогает руководителю понять, кто занимается делом, а кто на рабочем месте решает личные проблемы.
- Равномерное распределение трафика по пользователям. Особенно полезно для отелей, чтобы никто из постояльцев не смог «положить» интернет, скачивая фильмы или игры.
- SMS-идентификация новых пользователей в публичных Wi-Fi-сетях: в кафе, ресторанах и других заведениях. Это требование закона.
Что такое МСЭ?
Эта аббревиатура расшифровывается как «межсетевой экран». Несмотря на то что мы не пишем «Меж Сетевой Экран», в сокращенном варианте прижилось именно трехбуквенное обозначение. Иногда употребляют такие понятия, как файрвол (от английского firewall) или брандмауэр, но подразумевают почти всегда межсетевой экран. Даже в Википедии запрос «файрвол» перебрасывает на статью про МСЭ.
Требования к межсетевым экранам
Межсетевые экраны бывают различных типов и классов защиты. Самые высокие, 1-й, 2-й и 3-й классы, применяются в организациях, работающих с гостайной. Для большинства государственных учреждений (школы, университеты, муниципалитеты и т.п.) достаточно 5-го класса. Подробнее о классах защиты межсетевых экранов можно прочитать на официальном сайте ФСТЭК России.
Для государственных организаций обязательным требованием является использование межсетевых экранов, имеющих сертификат ФСТЭК.
Если межсетевой экран покупает для своих нужд коммерческая организация, то она вольна выбирать из любых решений. На первое место выходят такие параметры как стоимость, производительность, функциональность и мощность защиты.
Небольшим организациям рынок предлагает купить межсетевые экраны в виде программы, устанавливаемой на один из компьютеров сети, который как раз и выполняет роль шлюза. Плюсы такого решения в низкой стоимости (не нужно покупать дополнительное оборудование) и простоте реализации. Минусов гораздо больше: это и ограниченное количество защищаемых компьютеров, и слабая производительность (если программа работает на маломощном компьютере). Такие решения подойдут небольшим фирмам, кафе, хостелам.
Более серьезные организации используют программно-аппаратные комплексы, или UTM-системы, обеспечивающие мощную комплексную защиту от сетевых угроз. Как правило, UTM-решение стоит в разы дороже, чем программный межсетевой экран, но оно производительнее и функциональнее, потому что работает на специально подготовленном "железе".
Читайте также: