УПРАВЛЯЕМЫЙ МЕЖСЕТЕВОЙ ЭКРАН БЕЗОПАСНОСТИ с искуственным интеллектом

ПРОИЗВОДСТВА РОССИИ

является прямым конкурентом компании Fortinet USA

NGFW-AI MATRESHKA.

Оборудование позволяет получить точный контроль над инфраструктурой безопасности бизнеса, используя все преимущества функционального превосходства системы Искуственного интеллекта и высокий уровень производительности.

Множество инструментов безопасности объединены в одном решении, чтобы сократить расходы на дополнительные меры обеспечения безопасности. NGFW-AI MATRESHKA также может быть интегрирована во все типы инфраструктуры систем информационной безопасности с пропускной способностью телекоммуникационной сети до 10000 Мб/с.

Эффективные механизмы мониторинга трафика блокируют до 99,4% киберугроз. Политики безопасности могут быть реализованы в соответствии со стандартами безопасности любой компании и требованиями регулятора ФСБ и ФСТЭК.

Базовый функционал:

Брандмауэр
Маршрутизация
VPN-ГОСТ
Биометрическая авторизация пользователя
Безопасное удаленное управление
Фильтрация URL
Защита от DDоS
Расширенный DNS-сервер
Проверка SSL
Балансировка входящей нагрузки

Недостатки интернет-фильтрации

Интернет многое изменил в нашей жизни. Это изменило наш образ жизни, изменило способ общения, изменило наш взгляд на вещи и изменило способ ведения бизнеса. Интранет и Интернет стали одной из самых неотъемлемых частей компаний и организаций во всем мире. Будь то Америка, Австралия, Канада или любая другая страна, имеющая сотрудников онлайн. Однако эффективное и действенное использование Интернета сотрудниками не гарантируется.

Статистика:

40% интернет-использования на рабочем месте не связано с бизнесом

64% сотрудников используют Интернет на работе для личных задач

Большинство компаний фильтруют трафик. Они думают, что фильтрация интернета для сотрудников — единственный выход.

Однако в случае, если компания фильтрует интернет, она должна предоставлять одинаковые и равные преимущества каждому сотруднику и должна применять политику фильтрации повсеместно. Это может раздражать сотрудников, которые не нарушали никаких правил. Интернет-фильтры не всегда работают идеально. Иногда они могут заблокировать веб-сайт, который является необходимым на рабочем месте. В этом случае системные администраторы должны настраивать систему фильтрации каждый раз, когда необходимо просмотреть или получить доступ к этому конкретному веб-сайту для рабочих целей. А учитывая что создается или переименовывается от 3 до 5 миллионов веб-сайтов каждую неделю системному администратору невозможно применить обычную систему фильтрации. Когда конкретный веб-сайт запрещен в доступе, сотрудники организации думают о других способах доступа к запрещенным веб-сайтам. В большинстве случаев находят альтернативные способы доступа к этим запрещенным сайтам. Эти методы доступа к запрещенным веб-сайтам создают гораздо большую угрозу безопасности для бизнеса, чем открытый доступ к ним.

NGFW-AI Matreshka программно-аппаратный комплекс с  искусственным интеллектом ( AI) следующего поколения, позволяющий отражать сложнейшие сетевые атаки, производя глубокий анализ сетевого трафика, тем самым точнее определяя протоколы и приложения, даже если используются не стандартные порты.

Основными задачами комплекса являются:

инспекция сетевого трафика;
обнаружение проникновения или распространения вредоносных программ;
обнаружение сетевых аномалий;
детектирование потенциальных угроз и попыток эксплуатации известных уязвимостей.

Система использует режимы обнаружения или предотвращения при этом оповещая о результатах администратора системы.

Типовые сценарии внедрения.

Продвинутый

На периметре сети используется какой-либо Stateful Firewall, который имеет минимум три сегмента: Internet, DMZ, локальная сеть. На этом же МЭ может организовываться Site-to-Site VPN и RA VPN.

В DMZ как правило находятся публичные сервисы. Там же чаще всего находится какое-либо Anti-Spam решение с функционалом антивируса.

За маршрутизацию локального трафика отвечает коммутатор ядра (L3), на котором также минимум два сегмента: сегмент пользователей и сегмент серверов. В сегменте серверов располагают Proxy-сервер с функционалом антивируса и сервер корпоративной почты. Довольно часто сегмент серверов защищается дополнительным МЭ (виртуальный или “железный”).

В качестве дополнительной меры защиты может применяться IPS, который мониторит копию трафика (подключен к SPAN-порту). На практике мало кто “отваживается” ставить IPS в online режим.

Упрощенный

Почти весь секьюрити функционал развернут в рамках единого UTM-решения Matreshka (Firewall, Proxy, AV, Anti-Spam, IPS). Для маршрутизации локального трафика используется коммутатор ядра (Core SW L3). На нем же выделен сегмент серверов с почтовым сервером и другими сервисами компании.

SMB

Самый простой вариант. Отличается от предыдущего отсутствием коммутатора ядра. Т.е. трафик между локальными сегментами и в Интернет маршрутизируется через одно устройство NGFW-AI Matreshka. Данный вариант часто встречается в небольших компаниях, где небольшой трафик.

 

Matreshka NGFW-AI как устройство периметра. Самый простой и самый правильный вариант внедрения. Matreshka NGFW-AI должна — стоять на границе сети.

Какие преимущества:

  • Отпадает необходимость использования выделенного proxy. NGFW-AI Matreshka умеет функционировать в режиме proxy, однако весь необходимый функционал работает и в режиме “маршрута по умолчанию” для всех локальных сетей. Настроили default gateway и забыли. Никаких явных прокси в браузерах пользователей.

  • По умолчанию присутствует IPS и сразу в inline режиме. Можно выставить Detect если боитесь проблем. Не нужно думать о том, как завернуть трафик через выделенное IPS устройство и как быстро вернуть трафик назад в случае проблем.

  • Антивирус для веб-трафика, в том числе для HTTPS-трафика (при включенной SSL-инспекции).

  • Антивирус для почтового трафика. Проверка ссылок и вложений.

  • Анти-спам функционал.

  • Возможность быстрого внедрения функционала “песочницы” (sandbox). Практически все современные NGFW-AI имеют возможность активации песочницы (облачной или локальной).

  • Встроенная отчетность по всем ИБ инцидентам.

Как видите, схема сильно упрощается. Убирается несколько традиционных средств сетевой защиты. С одной стороны это плюс (упрощается администрирование) с другой стороны минус (единая точка отказа).

На что обратить внимание выбирая NGFW-AI, который будет стоять на периметре сети:

  • Наибольшее внимание здесь нужно уделить функционалу проверки почты (конечно если вы собираетесь убирать текущее anti-spam решение). Для полноценной работы с почтой, NGFW-AI должен иметь MTA (mail transfer agent) на борту.

  • Фактически в этом режиме NGFW-AI заменяет SMTP-relay, что позволяет выполнять глубокую проверку почтового трафика. В том числе проверку вложений в “песочнице”. Если MTA нет, то необходимо как минимум оставить SMTP-relay.

  • Даже если MTA присутствует в NGFW-AI, внимательно ознакомьтесь с возможностями фильтрации почты. Один из важнейших критериев — наличие карантина (либо способы его организовать).

  • Естественно должна поддерживаться HTTPS-инспекция. Без этой функции от NGFW-AI остается одно название.

  • Кол-во приложений, которые NGFW-AI может различать. Обязательно проверьте, определяет ли выбранное вами решение нужные вам приложения (в том числе веб-приложения).

 

NGFW-AI Matreshka как proxy-сервер

Как ни странно, но это тоже довольно распространенный вариант. Хоть NGFW-AI и не разрабатывался как proxy. Типовая схема:

Преимущества такого варианта:

  • Скорость внедрения. Заменили старый Proxy и готово.

  • Не нужно менять текущую схему или маршрутизацию.

На этом пожалуй плюсы заканчиваются. Хотя озвученные преимущества очень часто становятся решающими для многих компаний.

NGFW-AI Matreshka как ядро

Распространенный вариант для небольших сетей. Маршрутизация всего трафика (Интернет, локальный, серверный) “вешается” на NGFW. L3 коммутатор отсутствует, либо просто не используется для маршрутизации.

Преимущества такого варианта:

  • Удобство администрирования. Все access-list-ы в одном месте.

  • Скорость развертывания. Как правило NGFW ставится таким образом в топологиях где и до этого МЭ выполнял роль ядра сети.

  • Все плюсы варианта “NGFW на периметре сети”.

NGFW-AI Matreshka в режиме bridge

Менее популярный вариант, но все же встречается чаще чем хотелось бы. В этом случае текущая логика сети никак не меняется, трафик на втором уровне проходит через NGFW, который работает в режиме моста:

Оставлять сторонний IPS в таком случае нет смысла (тем более на мониторинг трафика). NGFW вполне справится с его функцией. Такой вариант применяется чаще всего в более продвинутых инфраструктурах, где изменения топологии по какой-то причине невозможны либо крайне нежелательны.

Преимущества такого варианта:

  • Скорость внедрения. Менять логику сети не нужно, максимум переткнуть кабель или “завернуть” VLAN.

  • Меньше хопов — проще логика сети.

Переход на полный сервис NGFW-AI Matreshka

Наши специалисты готовы поделиться своими знаниями и опытом с нашими Заказчиками. Поэтому мы регулярно организовываем технические тренинги в режиме онлайн и предоставляем нашей аудитории оперативную информацию о современных тенденциях в области кибербезопасности

简体中文EnglishРусский
0
Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
Принять