Расширенная настройка брандмауэра на серверах.

Информатек Диджитал » Ресурсы » Расширенная настройка брандмауэра на серверах.

Освоить расширенная настройка брандмауэра на серверах Это уже не только вопрос крупных корпораций. Любая компания, серьезно относящаяся к кибербезопасности, должна понимать, как сегментировать сеть, определять зоны, создавать подробные правила и максимально эффективно использовать как периметровый брандмауэр, так и сам брандмауэр Windows на каждом компьютере и сервере.

В этом руководстве вы подробно узнаете, как... Межсетевые экраны нового поколения (NGFW)Как проектировать зоны (LAN, WAN, DMZ, VLAN), какие типы правил применять (программные, портовые, протокольные, IP-адреса и т. д.), как использовать преимущества... Брандмауэр Windows с расширенной безопасностьюКакова роль таких инструментов, как SimpleWall, и какие лучшие практики следует соблюдать, чтобы предотвратить превращение всей этой структуры в неуправляемый хаос?

Межсетевые экраны нового поколения на серверах: гораздо больше, чем просто фильтрация портов.

Межсетевые экраны следующего поколения, такие как FortiGate NGFWОни объединяют в одном устройстве передовые сетевые функции и глубокую безопасность. Они не просто открывают или закрывают порты; они анализируют трафик на уровне приложений, проверяют зашифрованное содержимое и интегрируются со сложными облачными, локальными, беспроводными и архитектурами удаленного доступа.

В случае с FortiGate, сердцем системы является ФортиОССпециализированная операционная система, объединяющая политики безопасности и сетевые функции: интегрированная SD-WAN, универсальная ZTNA, управление трафиком в беспроводных и проводных сетях, а также централизованное управление благодаря FortiManager.

Кроме того, эти команды полагаются на собственная архитектура ASIC (специализированные чипы) для ускорения проверки и расшифровки пакетов без снижения производительности или скачков энергопотребления, даже при высокой нагрузке на сеть и наличии сотен или тысяч одновременных сессий.

Защита от угроз усиливается благодаря Услуги FortiGuardкоторые добавляют искусственный интеллект для обнаружения вредоносных программ, подозрительного трафика, эксплойтов и целенаправленных атак, вписывая все это в концепцию Fortinet Security Fabric: защищенную инфраструктуру, которая охватывает сеть, конечные устройства и облако для скоординированного реагирования на инциденты.

Проектирование зон межсетевого экрана и сегментация сети на серверах.

Прежде чем начать создавать правила, как будто завтра не наступит, необходимо разработать... зонирование архитектуры и сегментация сетиЧем ровнее сетка ворот, тем легче нападающему перемещаться в стороны, оказавшись в непосредственной близости от неё.

Первый шаг — определить ключевые активы и услугиВеб-серверы, базы данных, внутренние приложения, POS-терминалы, VoIP-АТС, гостевые сети и т. д. В зависимости от их критичности и степени уязвимости они группируются в различные логические зоны.

Стандартная практика заключается в создании ДМЗ (демилитаризованная зона) Для серверов, предоставляющих услуги непосредственно в интернете (электронная почта, VPN, веб-приложения, общедоступные порталы и т. д.), эти системы должны быть изолированы как от внешней сети, так и от наиболее важной внутренней сети, максимально ограничивая трафик, проходящий между различными областями.

Серверы, доступ к которым возможен только изнутри организации, расположены в внутренние серверные зоныВ свою очередь, они отделены от пользовательской сети, сети управления и любой лабораторной или испытательной среды. Для практической реализации этого обычно используются коммутаторы с поддержкой... VLAN поддерживать разделение также на уровне 2.

В средах IPv4 все внутренние сети должны использовать частные полигоны (RFC1918) и используют механизмы NAT для доступа к Интернету. Трансляция обычно выполняется на периметровом межсетевом экране, который также обеспечивает соблюдение правил входящего и исходящего трафика для каждой конкретной зоны.

Списки контроля доступа (ACL) и правила взаимодействия между зонами

После того как зоны определены и назначены интерфейсам или подинтерфейсам межсетевого экрана, настало время... ACL (списки контроля доступа)Это правила, определяющие, какой транспорт разрешен, а какой запрещен между этими зонами.

Идея состоит в том, чтобы для каждого интерфейса или подинтерфейса определить набор максимально простых правил. специфический и детализированный Возможные требования включают: исходный IP-адрес или подсеть, целевой IP-адрес или подсеть, протокол (TCP, UDP, ICMP и т. д.), задействованные порты и действие (разрешить или запретить). Чем менее общими будут правила, тем меньше будет пробелов в безопасности.

Хорошей практикой является завершение каждого упражнения по передней крестообразной связке правилом... «Отрицать всё» подразумеваетсяЭто служит своего рода страховкой: если пакет не соответствует ни одному из существующих правил разрешений, он блокируется. После этого создаются очень специфические исключения для тех потоков, которые действительно необходимы.

Также рекомендуется отключить публичный доступ к административным интерфейсам межсетевого экрана (HTTP, HTTPS, SSH и т. д.), позволяющего управлять только из очень специфических внутренних сетей или через защищенную VPN-сеть управления.

Современные межсетевые экраны нового поколения (NGFW) могут выходить за рамки портов и IP-адресов, используя преимущества различных протоколов. управление приложениемВеб-категории, система предотвращения вторжений (IPS) и расширенный анализ файлов (песочница). Если вы уже оплатили эти функции, имеет смысл активировать и настроить их в критически важных рабочих процессах, особенно тех, которые пересекают периметр безопасности.

Разрешительный межсетевой экран против ограничительного межсетевого экрана на серверах

Ключевым моментом при разработке политики межсетевого экрана (будь то периметровая или операционная) является решение о том, следует ли начинать с определения соответствия требованиям безопасности. разрешительный или ограничительный.

В одном разрешительный брандмауэр Главное неявное правило — «разрешить всё». Блокируется только то, что явно определено правилами запрета. Такой подход обычно используется в доверенных локальных сетях (LAN) или на компьютерах, настроенных как «частная сеть» в Windows.

В одном ограничительный брандмауэр Происходит обратное: главное правило — «запретить всё». Пропускается только трафик, соответствующий явно заданным правилам разрешения. Эта философия распространена в интерфейсах глобальных сетей (WAN), в межсетевых экранах, таких как pfSense или корпоративные NGFW, а также в устройствах, настроенных как «публичная сеть».

Например, Windows использует это по умолчанию. ограничительная политика в отношении входящих подключений (блокирует все, что прямо не разрешено) и либеральная политика в отношении расходов (Это разрешает всё, кроме того, что вы заблокировали.) Это можно настроить в расширенных свойствах брандмауэра.

Что на самом деле может предложить брандмауэр Windows на серверах?

El Брандмауэр Windows с расширенной безопасностью Это гораздо более мощная система, чем многие себе представляют. Она может контролировать входящий и исходящий трафик, фильтровать данные по IP-адресу, порту, протоколу, службе, сетевому интерфейсу, типу профиля (домен, частный, публичный) и даже по пользователю или группе в некоторых сценариях.

Среди его возможностей особо выделяются следующие: фильтрация пакетов На базовом уровне система генерирует подробные журналы (которые затем можно проанализировать с помощью средства просмотра событий или отправить в SIEM-систему), обнаруживает общедоступные сети для автоматического применения более строгого профиля и интегрируется с другими уровнями безопасности, такими как Windows Defender.

Для малых предприятий и множества серверных сред хорошо настроенный сервер может быть более, чем достаточноОсобенно в сочетании с надежным антивирусным программным обеспечением и правильными методами администрирования. Однако важно помнить о его ограничениях: он не заменяет межсетевой экран нового поколения (NGFW) или выделенную систему предотвращения вторжений (IPS).

В качестве недостатков следует отметить, что брандмауэр Windows по умолчанию не предоставляет эту функцию. глубокая проверка пакетов Благодаря использованию расширенных сигнатур, система не блокирует собственную телеметрию, уведомления носят ненавязчивый характер (она практически не оповещает о новых подключениях), а способ просмотра журналов неудобен для пользователей, не обладающих техническими знаниями.

Доступ к брандмауэру Windows с расширенными функциями безопасности.

Для управления расширенными настройками брандмауэра в среде Домен Active DirectoryВ идеале следует работать с Объекты групповой политики (GPO)Необходимо состоять в группе администраторов домена или иметь делегированные права доступа к групповым политикам.

Из консоли управления политиками вы перемещаетесь по следующим пунктам: Политики > Конфигурация компьютера > Параметры Windows > Параметры безопасности > Брандмауэр Windows с расширенными настройками безопасностиТам можно определить общие правила для клиентских компьютеров и серверов, подключенных к домену.

Если речь идет о один сервер или локальный компьютерВам просто нужны права администратора на этом устройстве. Самый быстрый способ открыть консоль — нажать кнопку START и ввести команду. вф.мск и нажмите Enter. Откроется консоль брандмауэра Windows с расширенными настройками безопасности для этого компьютера.

На главном экране отображается правила входящих соединений, правила исходящих соединений, правила безопасности соединений а также настройка различных профилей (доменный, частный, публичный), наряду с областью мониторинга, где видны только активные правила.

Профили, глобальная политика и поведение по умолчанию.

Панель свойств брандмауэра управляет глобальными параметрами для каждого из них. профиль сети (домен, частная сеть, публичная сеть). Эти параметры определяют поведение брандмауэра при подключении сетевого адаптера к определенному типу сети.

Для каждого профиля можно выбрать, будет ли включен брандмауэр. включен или выключенОпределяет, блокируются или разрешаются входящие соединения, не соответствующие ни одному из правил, и то же самое относится к исходящим соединениям.

Также можно настраивать следующие параметры: уведомления при блокировке программыместо, где журналы брандмауэрамаксимальный размер этих журналов и особая обработка трафика, защищенного туннелями IPsec VPN, которая, как правило, считается более надежной.

В Надзор Здесь отображаются все активные правила, включая правила из объектов групповой политики (GPO) и правила, определенные локально. Здесь вы можете посмотреть, какие правила активны и с какими параметрами, а также открыть и изменить их свойства.

Правила въезда и выезда: направление движения.

При работе с правилами в брандмауэре Windows одной из наиболее распространенных ошибок является вводить в заблуждение относительно направления движения транспортаПравила приема входящих пакетов применяются к пакетам, поступающим на компьютер; правила отправки исходящих пакетов применяются к пакетам, покидающим компьютер и направляющимся на другую машину.

Если цель состоит в предотвращении подключений из интернета к серверу, потребуется создать или изменить правила въездаЕсли же, наоборот, цель состоит в том, чтобы предотвратить подключение серверной службы или программы к внешнему миру, необходимо принять соответствующие меры. правила выхода.

Каждая запись в списке указывает, включено правило (зеленая галочка) или отключено. Отключенные правила не влияют на трафик, даже если они по-прежнему определены. Часто встречаются предопределенные правила Windows, которые присутствуют, но не активны до тех пор, пока не понадобятся.

Чтобы хорошо понять Поток источника/назначения и локальный/удалённый порт Это крайне важно, чтобы избежать создания правил, которые никогда не применяются или которые открывают доступ к большему количеству ресурсов, чем действительно необходимо, что очень часто встречается при настройке сложных сервисов.

Типы правил в брандмауэре Windows

Мастер создания правил брандмауэра Windows предлагает четыре основные категории: программа, порт, предопределенные и пользовательскиеКаждый из них предназначен для разных сценариев, и важно тщательно выбирать в зависимости от того, чего вы хотите достичь.

Правила программа сосредоточьтесь на конкретном исполняемом файле; те из порт Они фильтруют по номеру порта TCP или UDP; предопределенный Они упрощают управление привычными службами Windows; и персонализированный Они позволяют очень точно настраивать параметры, комбинируя несколько критериев одновременно.

Во всех случаях мастер завершает работу вопросом о том, какое действие мы хотим применить (разрешить, разрешить только при использовании IPsec или заблокировать) и к каким сетевым профилям будет применяться это правило (домен, частная сеть, публичная сеть). Наконец, название и описание чтобы его можно было легко идентифицировать позже.

На критически важных серверах стоит уделить время надлежащему документированию правил, указывая на следующее: Какую услугу она защищает и зачем она существует?чтобы в будущих проверках или при внесении изменений не оставалось сомнений в его полезности.

Правила, установленные программой: тонкий контроль над отдельными сервисами.

Правила типов программа Они представляют собой удобный способ управления трафиком приложения без необходимости запоминать все используемые им порты. Их можно применять как к входящему, так и к исходящему трафику.

В мастере выберите параметр «Путь к этой программе» и укажите путь. путь к исполняемому файлуМожно использовать переменные среды, чтобы гарантировать корректное применение правила, даже если программа установлена ​​в разных путях на разных компьютерах.

На серверах, на которых размещаются службы внутри svchost.exe Для других многосервисных контейнеров можно настроить правило таким образом, чтобы оно применялось только к определенным сервисам, выбрав сервис по его короткому имени. Это позволяет, например, различать трафик конкретного RPC-сервиса в рамках одного процесса.

Настоятельно рекомендуется комбинировать правило программы с ограничениями на вкладке Протоколы и портыЯвно указывая, на каких портах приложение может прослушивать или использовать их. Если вы попытаетесь открыть другой порт, брандмауэр заблокирует его.

Правила для портов: классическая фильтрация TCP/UDP.

Правила типов порт Они позволяют разрешать или блокировать трафик на основе номера локального или удаленного порта и протокола (в основном TCP или UDP). Их можно использовать как для входящих, так и для исходящих правил.

В типичном правиле обработки входящих запросов, например, для открытия... TCP-порт 21Выбирается TCP, указывается "конкретные локальные порты", и вводится 21. Можно указать несколько портов, разделенных запятыми (например, 21,20,22), или диапазоны, такие как 5000-5100, даже смешивая отдельные порты и диапазоны в одном правиле.

Далее вы выбираете действие (разрешить, разрешить, если безопасно, заблокировать) и профили, к которым оно будет применяться. Это простой способ открыть определенные стандартные службы (HTTP, HTTPS, RDP и т. д.) без необходимости вдаваться в детали конкретных программ.

В случае правила выходаНаиболее распространенная практика — указание удаленного порта, поскольку именно к нему сервер пытается подключиться. Типичный пример использования — блокировка всего исходящего трафика на подозрительные порты или ограничение взаимодействия определенных приложений только через определенные порты.

Предопределенные и настраиваемые правила

Лас- предопределенные правила Они объединяют готовые конфигурации для распространенных служб Windows (общий доступ к файлам и принтерам, удаленный рабочий стол и т. д.). Просто выберите службу, укажите, разрешить или заблокировать ее, выберите профили, и готово.

Эта опция удобна, когда вам нужно быстро включить или ограничить внутреннюю службу, не тратя время на выяснение того, какие порты и протоколы она использует в каждом конкретном случае. В фоновом режиме система создает несколько специальных правил, охватывающих эту службу.

Лас- специальные правила Это наиболее полные и обеспечивающие максимальный контроль параметры. Они позволяют указать все параметры: программу (или все программы), тип службы, IP-протокол (с перечнем TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route и т. д.), комбинацию локальных и удаленных портов, исходные и целевые IP-адреса (включая диапазоны и подсети), а также дополнительные условия.

В таких протоколах, как ICMPv4 или ICMPv6, вы можете выбрать, следует ли... Они поддерживают все типы ICMP. или только определенные сообщения (запрос эхо-ответа, превышение времени и т. д.). Вы даже можете определить конкретные типы и коды, которые не отображаются в общем списке.

Кроме того, при определении IP-адресов в разделе «Область действия» мастер позволяет добавлять целые диапазоны или подсети (например, 192.168.10.0/24), чтобы еще больше сузить круг устройств, которые могут использовать это правило, как локально, так и удаленно.

Правила входящего трафика ICMP на серверах

Решение о разрешении или запрете ICMP-трафика к серверу является стратегическим. вступающее в силу правило ICMP Это позволяет устройству отвечать на пинги и определенные диагностические сообщения сети, что очень полезно для административных задач, но также может предоставить информацию злоумышленнику.

Чтобы создать правило ICMP для входящего трафика в брандмауэре Windows, откройте расширенные настройки консоли и перейдите в раздел... Реглас де энтрада и создается новое пользовательское правило. В разделе программ обычно выбирают «Все программы».

На экране протокола выберите ICMPv4 или ICMPv6 Это зависит от используемого сетевого стека. Если вы работаете как с IPv4, так и с IPv6, вам потребуется создать правило для каждого из них. Параметр настройки позволяет выбрать конкретные типы ICMP, которые вы хотите разрешить (только эхо-запрос/эхо-ответ или более широкий набор).

Далее определяются область действия (какие IP-адреса можно пинговать), действие (обычно разрешающее соединение) и сетевые профили, в которых будет действовать правило. Наконец, правилу присваивается описательное имя для удобства идентификации.

Правила входящих и исходящих услуг или программ

В некоторых ситуациях возникает желание позволить Специализированная служба, прослушивание входящего трафика или, наоборот: предотвратить связь программы с внешним миром через любой необходимый порт.

Для входящей части создается пользовательское правило, выбирается "Путь к этой программе", и указывается исполняемый файл службы. Затем это правило можно настроить таким образом, чтобы оно применялось только к службам, размещенным внутри этого исполняемого файла, выбрав службу по ее короткому имени.

Есть даже возможность настроить тип SID службы используя команду sc sidtype Это влияет на то, как данная служба может использоваться в правилах брандмауэра. Изменение значения на RESTRICTED может предотвратить её запуск, поэтому это следует делать осторожно и только тогда, когда такая защита необходима.

Что касается исходящей части, процесс аналогичен, но создается... правило выходаЕсли вы хотите полностью заблокировать доступ этой программы к Интернету, укажите путь к исполняемому файлу, установите действие «Блокировать соединение» и выберите профили, доступ к которым вы хотите ограничить.

Специальные настройки для RPC и динамических портов.

Сервисы, которые используют RPC (удаленный вызов процедур) Этот трафик может быть особенно чувствительным, поскольку он использует динамические порты, которые система назначает во время выполнения. Для контролируемого пропуска этого трафика через брандмауэр Windows обычно необходимо создать два специальных правила.

Первый направляется в Служба назначения конечных точек RPC, расположенный в %systemroot%\system32\svchost.exe. Правило настроено для применения к службе RpcSs, в качестве протокола установлен TCP, а для локального порта выбран параметр "RPC Endpoint Mapper".

Второе правило создано для Сетевая служба с поддержкой RPC Мы хотим разрешить это, указав путь к исполняемому файлу, который его содержит, а также связав его с конкретной службой. В данном случае для локального порта выбираются "динамические порты RPC".

В обоих правилах корректируются область действия (разрешенные IP-адреса), действие (разрешить соединение) и профили. Таким образом, только устройства и службы, отвечающие этим условиям, могут использовать преимущества переадресации портов RPC.

Ведение журналов, аудит и устранение неполадок брандмауэров Windows.

Когда что-то работает не так, как должно, журналы брандмауэра и события аудита являются источником информации. первый источник информацииРекомендуется правильно настроить сбор логов до того, как он вам понадобится.

В свойствах брандмауэра, на вкладке каждого профиля, можно настроить следующие параметры. путь к файлу журналаУказывается максимальный размер в КБ, а также, регистрируются ли потерянные пакеты, успешные соединения или и то, и другое. В серверных средах обычно рекомендуется регистрировать и то, и другое для получения четкого обзора.

С другой стороны, с помощью инструмента командной строки аудитпол.exe Можно включить определенные подкатегории аудита, такие как изменения политик, чтобы система генерировала подробные события при изменении политик межсетевого экрана или IPsec.

При исследовании проблемы полезно фиксировать состояние сети с помощью netstat -ano > netstat.txt и список процессов с tasklist > tasklist.txtСопоставив PID процессов в tasklist с активными соединениями в netstat, можно определить, какая программа использует конкретный порт.

В сложных сценариях Microsoft предоставляет такие скрипты, как... TSS.ps1 для сбора расширенных трассировок механизма фильтрации Windows (WFP), которые затем упаковываются в ZIP-файл и могут быть проанализированы или отправлены в службу технической поддержки.

Внешние инструменты: SimpleWall и межсетевые экраны сторонних производителей.

Встроенный в Windows брандмауэр работает хорошо, но его часто не хватает. более интуитивно понятный интерфейс а также понятные уведомления при первой попытке приложения подключиться к интернету. Вот тут-то и пригодятся сторонние решения.

Одним из легковесных вариантов с открытым исходным кодом для Windows является Простая стенаОна использует платформу фильтрации Windows (WFP), но не вносит прямых изменений в брандмауэр Windows. Вместо этого она создает собственные правила через WFP для управления доступом каких приложений.

Среди его особенностей можно выделить следующие: простой редактор правилВнутренние списки для блокировки телеметрии и слежки Windows, заблокированные журналы пакетов, совместимость с IPv6, а также поддержка системных служб и приложений из Microsoft Store.

SimpleWall позволяет создавать постоянные или временные правила (которые исчезают после перезапуска), активировать фильтры глобально и классифицировать программы как разрешенные, заблокированные или заблокированные незаметно. Однако для того, чтобы ваши правила вступили в силу, SimpleWall должен работать в фоновом режиме.

Помимо SimpleWall, некоторые пользователи выбирают... коммерческие межсетевые экраны С расширенными функциями: углубленный анализ пакетов, предварительно настроенные списки защиты от трассировки, песочница, поведенческий анализ, расширенные графические панели мониторинга и улучшенная видимость исходящего трафика. Многие из этих продуктов интегрируются с брандмауэром Windows или частично заменяют его.

Производительность, преимущества и недостатки использования межсетевых экранов на серверах.

Использование межсетевого экрана, будь то на уровне периметра или операционной системы, имеет небольшое значение. стоимость в производительностиПоскольку каждый сетевой пакет анализируется по одному или нескольким правилам. Это может быть заметно на оборудовании с очень ограниченными возможностями или очень устаревшей аппаратурой. Проверьте Руководство по оптимизации серверов Linux для смягчения последствий.

Однако преимущество наличия первый барьер обороны Это очень важно: система снижает уязвимость к внешним атакам, контролирует, какие приложения могут подключаться извне, генерирует полезные журналы для аудита и адаптирует уровень защиты в зависимости от того, находитесь ли вы в доверенной или общедоступной сети.

Главными недостатками, помимо влияния на производительность, являются: сложность обслуживания (особенно для неопытных пользователей) и ложное чувство безопасности: брандмауэр не заменяет хороший антивирус, обновления системы или, конечно же, здравый смысл администратора.

Кроме того, надлежащее управление правилами требует времени: анализа фактически используемых правил, удаления устаревших правил, документирования изменений и проверки того, чтобы при проведении экспресс-тестов или временных исключений не были непреднамеренно оставлены лазейки.

Передовые методы обеспечения безопасности межсетевых экранов на серверах.

В серьёзной серверной среде недостаточно просто установить четыре правила и забыть об этом. Существует ряд других способов. хорошая практика которые помогают поддерживать контроль и снижать долгосрочные риски.

Первый шаг — это применение принцип наименьших привилегий (PoLP)Это относится как к пользователям, так и к правилам. Здесь избегаются общие правила, такие как «разрешить всё с любого IP-адреса», и вместо этого определяются правила, адаптированные к конкретным IP-адресам или подсетям, конкретным портам и известным приложениям.

Ещё один важный момент — это поддержание брандмауэра и его компонентов в исправном состоянии. всегда обновляетсяЭто включает в себя установку исправлений операционной системы, физического программного обеспечения межсетевого экрана, сигнатур IPS и любых обновлений, выпущенных поставщиком, предпочтительно после тестирования в тестовой среде.

Наконец, крайне важно выполнить развертывание. эффективный мониторинг и регистрацияОтправляйте журналы в SIEM-систему, устанавливайте оповещения о подозрительных закономерностях (например, блокировка множества пакетов с одного и того же IP-адреса) и периодически просматривайте отчеты, а не просто собирайте их «на всякий случай».

Помимо логического уровня, физическая охрана Важные особенности межсетевого экрана включают в себя: размещение оборудования в закрытых стойках, ограниченный доступ в техническое помещение и резервное копирование конфигурации для быстрого отката в случае возникновения проблем после внесения изменений.

Дополнительные уровни защиты: фильтрация URL-адресов, VPN, IPS, QoS и управление приложениями.

Большинство современных межсетевых экранов нового поколения (NGFW) позволяют включать расширенные функции, дополняющие базовую фильтрацию пакетов и правила IP-адресов/портов.

El фильтрация URL-адресов Это позволяет классифицировать веб-сайты по категориям (вредоносное ПО, социальные сети, контент для взрослых, P2P-загрузки и т. д.) и блокировать те, которые считаются неприемлемыми или опасными, что помогает как повысить безопасность, так и обеспечить соблюдение правил допустимого использования.

Лас- VPNНезависимо от того, идет ли речь о соединении между офисами или удаленном доступе, VPN используют такие протоколы, как IPsec или SSL/TLS, для шифрования трафика между офисами и удаленными пользователями. Межсетевые экраны обычно интегрируют оконечный узел этих VPN и применяют к зашифрованному трафику те же политики управления, что и к остальной части сети.

Un Система предотвращения вторжений (IPS) Она в режиме реального времени анализирует трафик, выявляя известные схемы атак или странное поведение, и может автоматически блокировать соединения, пытающиеся использовать уязвимости системы или приложений.

El управление приложением Это обеспечивает гораздо большую прозрачность, чем просто указание порта: это позволяет вам решать, какие конкретные приложения (например, Skype, Dropbox, игровые приложения и т. д.) разрешены или заблокированы, даже если они используют стандартные или зашифрованные порты.

И, наконец, Качество обслуживания (QoS) Это позволяет расставлять приоритеты для критически важного трафика (голосовая связь, видеоконференции, бизнес-приложения) по сравнению с другими, менее важными потоками, предотвращая превращение масштабной загрузки или резервного копирования в сеть, непригодную для использования конечным пользователем.

Тщательно ухаживайте за собой. расширенная настройка брандмауэра на серверахНачиная с проектирования зон и детальных правил и заканчивая использованием функций нового поколения, ведением журналов, аудитом и такими инструментами, как SimpleWall или выделенный межсетевой экран нового поколения (NGFW), именно это отличает сеть, которая «более-менее справляется», от инфраструктуры, действительно готовой противостоять атакам, расти без потери контроля и соответствовать современным требованиям безопасности.