Брандмауэры существуют уже три десятилетия, и они радикально развивались, чтобы включать функции, которые раньше продавались как отдельные устройства, и извлекать собранные извне данные, чтобы принимать более взвешенные решения о том, какой сетевой трафик разрешать и какой трафик блокировать. Последние версии известны как корпоративные брандмауэры, или брандмауэры следующего поколения (NGFW).

Брандмауэр – это сетевое устройство, которое отслеживает входящие и исходящие пакеты в сетях и блокирует или разрешает их в соответствии с правилами, установленными для определения того, какой трафик разрешен, а какой – нет. Существует несколько типов межсетевых экранов, которые развивались в течение многих лет, становясь все более сложными и принимая во внимание больше параметров при определении того, следует ли разрешить пропуск трафика. Брандмауэры изначально использовались как фильтры пакетов, но современные делают намного больше.

Первоначально размещенные на границах между доверенными и ненадежными сетями, теперь также развернуты межсетевые экраны для защиты внутренних сегментов сетей, таких как центры обработки данных, от других сегментов сетей организаций. Они обычно развертываются как устройства, созданные отдельными поставщиками, но их также можно приобрести как виртуальные устройства – программное обеспечение, которое клиенты устанавливают на собственное оборудование.
Вот основные типы межсетевых экранов.

Эти брандмауэры действуют как шлюз между конечными пользователями, которые запрашивают данные, и источником этих данных. Хост-устройства подключаются к proxy-серверу, а proxy-сервер устанавливает отдельное соединение с источником данных. В ответ исходные устройства устанавливают соединения с proxy, а proxy устанавливает отдельное соединение с хост-устройством. Перед передачей пакетов по адресу назначения proxy-сервер может отфильтровать их для применения политик и маскирования местоположения устройства получателя, а также для защиты устройства и сети получателя.

Преимущество брандмауэров на основе proxy-сервера заключается в том, что машины вне защищаемой сети могут собирать только ограниченную информацию о сети, поскольку они никогда не подключаются к ней напрямую.

Основным недостатком межсетевых экранов на основе proxy является то, что завершение входящих подключений и создание исходящих подключений, а также фильтрация вызывают задержки, которые могут снизить производительность. В свою очередь, это может исключить использование некоторых приложений через брандмауэр, потому что время отклика становится слишком медленным.

Улучшение производительности по сравнению с брандмауэрами на основе proxy-серверов проявилось в виде создания SPI-брандмауэров, которые отслеживают область информации о соединениях и делают ненужным брандмауэр для проверки каждого пакета. Это значительно уменьшает задержку, вносимую фаэрволом. Поддерживая состояние соединений, эти брандмауэры могут, например, отказаться от проверки входящих пакетов, которые они идентифицируют как ответы на законные исходящие соединения, которые уже были проверены. Первоначальная проверка устанавливает, что соединение допустимо, и, сохраняя это состояние в своей памяти, брандмауэр может проходить через последующий трафик, который является частью этого же диалога, без проверки каждого пакета.

Брандмауэры web-приложений логически размещаются между серверами, которые поддерживают web-приложения, и интернетом, защищая их от определенных атак HTML, таких как межсайтовый скриптинг, SQL-инъекция и другие. Они могут быть аппаратными или облачными или могут быть встроены в приложения самостоятельно, чтобы определить, должен ли каждый клиент, пытающийся получить доступ к серверу, иметь доступ.

Пакеты могут быть отфильтрованы, используя не только состояние соединений, а также адреса источника и назначения. Это та область, где NGFW вступают в игру. Они включают в себя правила, которые разрешено использовать отдельным приложениям и пользователям, и объединяют данные, собранные с помощью других технологий, для принятия более обоснованных решений о том, какой трафик разрешать, а какой отбрасывать.

Например, некоторые из этих NGFW выполняют фильтрацию URL-адресов, могут прерывать соединения уровня защищенных сокетов (SSL) и безопасности транспортного уровня (TLS), а также поддерживают программно-определяемые глобальные сети (SD-WAN) для повышения эффективности динамической SD-передачи. Функции, которые исторически обрабатывались отдельными устройствами, теперь включены во многие NGFW, это:

В то время как базовые технологии брандмауэра идентифицируют и блокируют определенные типы сетевого трафика, IPS используют более детальную безопасность, такую как отслеживание сигнатур и обнаружение аномалий, для предотвращения проникновения угроз в сети. Будучи отдельными платформами, функциональность IPS все более становится стандартной функцией брандмауэра.

Глубокая проверка пакетов - это тип фильтрации пакетов, который выходит за пределы того, откуда приходят и собираются пакеты, и проверяет их содержимое, например, показывая, к какому приложению обращаются или какие данные передаются. Эта информация может сделать возможным применение более интеллектуальных и детальных политик для брандмауэра. DPI может использоваться для блокировки или разрешения трафика, но также для ограничения полосы пропускания, которую могут использовать отдельные приложения. Это также может быть инструментом для защиты интеллектуальной собственности или конфиденциальных данных от выхода из защищенной сети.

Зашифрованный по протоколу SSL трафик защищен от глубокого анализа пакетов, поскольку его содержимое не может быть прочитано. Некоторые NGFW могут прервать трафик SSL, проверить его, а затем создать второе соединение SSL с нужным адресом назначения. Это может быть использовано, например, для предотвращения отправки злонамеренными сотрудниками конфиденциальной информации за пределы защищенной сети, а также пропуска легитимного трафика.

Входящие вложения или сообщения с внешними источниками могут содержать вредоносный код. Используя песочницу, некоторые NGFW могут изолировать эти вложения и любой содержащийся в них код, выполнить его и выяснить, является ли он вредоносным. Недостатком этого процесса является то, что он может потреблять много циклов ЦП и вносить заметную задержку в трафике, проходящем через брандмауэр. Есть другие функции, которые могут быть включены в NGFWs. Они могут поддерживать получение данных, собранных другими платформами, и использовать их для принятия решений по брандмауэру. Например, если исследователи обнаружили новую сигнатуру вредоносного ПО, брандмауэр может принять эту информацию и начать отфильтровывать трафик, содержащий сигнатуру.

Согласно последним рейтингам корпоративных брандмауэров Gartner, лидерами, назначенными поставщиками, являются Checkpoint, Cisco, Fortinet и Palo Alto Networks. По данным IDC, четыре лидера в магическом квадранте Gartner также являются лидерами по количеству доходов, получаемых их продуктами. В совокупности они контролировали более половины доли рынка брандмауэров в первом квартале прошлого года, сообщает IDC. Пять лет назад лидерами брандмауэра Gartner были только Checkpoint и Palo Alto, но в 2017 году Fortinet прорвался, и в 2018 году Cisco вошла в высшую категорию. Из этих поставщиков Gartner также присудила Cisco, Fortinet и Palo Alto награды Customer Choice Awards, основанные на отзывах клиентов об их продуктах. В общей сложности клиенты рассмотрели 17 поставщиков и представили в общей сложности 3 406 отзывов, из которых 2 943 были о поставщиках, признанных лидерами. Другими 12 поставщиками, не упомянутыми здесь, являются AhnLab, Barracuda Networks, Forcepoint, GreyHeller, Hillstone Networks, Huawei, Juniper Networks, New H3C, Sangfor, Sonic Wall, Stormshield и Watchguard.