Huawei Symantec USG Unified Threat Management – гарант Вашей безопасности в 1U исполнении
Информационная безопасность Информационная безопасность

Сеть-полезна или опасна?

Главная>Информационная безопасность>Huawei Symantec USG Unified Threat Management – гарант Вашей безопасности в 1U исполнении
Информационная безопасность Тема номера

Huawei Symantec USG Unified Threat Management – гарант Вашей безопасности в 1U исполнении

Дата публикации:
29.12.2009
Посетителей:
92
Просмотров:
72
Время просмотра:
2.3

Авторы

Спикер
Иван Перов Эксперт Huawei Symantec

Сеть-полезна или опасна?

 
Какое-то время тому назад, обратившись к специалисту по сетям передачи данных, независимо от того, является он представителем крупного вендора, специализирующегося на производстве сетевого оборудования, или администратором небольшой корпоративной или домовой сети, с вопросом о том, что же такое сетевая безопасность, вы наверняка получили бы в качестве ответа (и в результате длительных графических представлений на листе бумаги) некую схему, пеструю от кружочков и ромбиков, облачков и «кирпичных стенок», а также соединительных линий различного вида между ними, где каждая из фигурок являла бы собой фаервол с антивирусом, коммутатор с маршрутизатором или какой-либо еще сетевой элемент... Но в целом, это был бы ответ на ваш вопрос, а именно: базовая концепция защищенной сети передачи данных.

 

 

Действительно, уже довольно давно необходимость защиты сетевых ресурсов, не только осуществляющих взаимодействие с Internet, но и потенциально открытых для различных атак, исходящих из других локаций в виде самых разных  вредоносных программ и процессов, стала явной. В эволюции развития сетевого взаимодействия с применением различных технологий связи и протоколов, а также с ростом необходимости для различных бизнес-структур иметь возможность удаленного взаимодействия по сети, точка входа в корпоративную сеть стала также и точкой проникновения внутрь инфраструктуры большого количества вирусов и атак, направленных на самые разные элементы сети. Подобные интервенции могут преследовать самые различные цели: от понижения эффективности работы сети через DoS/DDoS-атаки и до попыток завладения конфиденциальной информацией, иногда приводящих к серьезным последствиям, таким как потеря средств, деловой репутации и интеллектуальной собственности. Все чаще атаки извне стали носить характер направленных, т.е. нацеленных на конкретные узлы и ресурсы, в целях не только хищения информации, но и нарушения работоспособности этих узлов, подмены или нарушения структуры данных. Нужно иметь в виду, что вопреки очень популярной точке зрения о «внешнем» характере большинства атак, большая часть вредоносных действий, как ни странно, исходит изнутри самой сети. По некоторым данным, от 60% до 80% всех деструктивных активностей, фиксируемых в современных корпоративных сетях передачи данных в последние годы, порождается внутри самих сетей.

Представьте себе, какой исчерпывающей информацией о внутренней топологии сети и логическом расположении систем хранения важной корпоративной информации могут обладать некоторые сотрудники конкретной организации, и какой потенциальный вред это может повлечь. Также большой вред может быть причинен сотрудниками неумышленно, в силу неправомерного использования тех или иных программ, паролей, внешних устройств и т.д., не заблокированных и используемых внутри организации по причине отсутствия эффективных механизмов и политик предотвращения их развертывания и нанесения ими ущерба ресурсам компании. Несанкционированный доступ сотрудников ко многим внешним ресурсам, таким как Bit Torrent'ы, YouTube и др., может существенно повлиять на производительность сети.

 

От разрозненной конкуренции – к унифицированным решениям!

Таким образом, понимая потенциальные риски, опасность и необходимость контроля за внутренними ресурсами, уже сейчас большая часть коммерческих и государственных организаций, иных структур, а также частных лиц, вне зависимости от географического положения, внедряют в своих сетях и на своих рабочих станциях самые различные механизмы защиты от атак, вирусов, а также несанкционированного использования своих ресурсов. Однако исторически развитие того или иного функционала в продуктах (программных или аппаратных) конкретных вендоров носило, как правило, довольно узкую направленность. В результате этого обстоятельства компании, предпринимающие попытки защитить свою сеть, учитывая весь комплекс предлагаемых средств и решений, необходимый для выполнения большей части задач по предупреждению, выявлению и предотвращению атак, а также восстановлению сети в результате совершенных атак, часто сталкиваются с рядом технических, бюджетных, административных и прочих препятствий. Мультивендорные решения могут оказаться чрезвычайно негибкими, дорогими и избыточными. С технической точки зрения очень нередки случаи программных и аппаратных несовместимостей различных продуктов, в силу отличных друг от друга способов реализации того или иного функционала различными вендорами. Следует также отметить, что с ростом сетевой инфраструктуры организаций, внедрением новых сервисов, и, так или иначе, усложнением внутренней структуры, также растут требования к автоматизации управления этими сервисами, в том числе и системами защиты.

 

В силу описанных выше обстоятельств, учитывая современные требования рынка, многие производители решений в области сетевой безопасности пришли к пониманию необходимости не только унификации некоторых протоколов и стандартов, но и разработки инновационных программно-аппаратных решений, основной концепцией которых являлась бы максимально возможная интеграция основного функционала различных элементов, выполняющих те или иные задачи обеспечения сетевой безопасности на базе одной платформы. Именно эти тенденции привели к появлению UTM, Unified Threat Management, определенного не очень точно, но, с точки зрения большинства вендоров, способного объединить в себе большую часть функций основных систем безопасности, используемых в современных сетях передачи данных, таких как фаервол, антивирус, механизмы AAA, а также Intrusion Detection/Prevention system (IDS/IPS).

 

UTM Huawei Symantec – богатый функционал в 1U устройстве

Решение UTM компании Huawei Symantec – это результат большой работы, проделанной в области разработок программного и аппаратного комплекса, оптимизации механизмов взаимодействия большого количества элементов, интегрированных на одну платформу, несущую функционал фаервола, IDS/IPS-систем, систем фильтрации различных типов траффика, спам-фильтров, антивирусов и включающую возможность эффективного дифференцирования и управления траффиком конечных пользователей на базе одной платформы, управляемой одной операционной системой.

 

UTM – это реализованный на базе фаерволов USG-серий 2000 и 5000 и включающий в себя, помимо базового функционала фаервола (простые и расширенные аксесс-листы, функция NAT/NAPT, поддержка до 12 настраиваемых и преднастроенных зон, поддержка статической и динамической маршрутизации RIP, OSPF, технологии VLAN, протоколов PPP, PPPoE, HDLC, функции DHCP, QoS), также ряд функций, позволяющих гибко управлять сетевым трафиком, обеспечивая максимально эффективные способы сетевой защиты.

 

Фаерволы USG 2000-й и 5000-й серий могут работать в режимах Routing, Transparent и Composite, тем самым адаптируясь под требования конкретной сети. Помимо прочих функций фаервола, также поддерживаются функции:

 

  • Blacklisting;
  • MAC-IP binding;
  • FIFO, PQ, CQ, WFQ, CQC, CBWFQ, WRED, CAR;
  • L2TP, GRE, IPSec, SSL VPN;
  • ограничение на количество соединений по IP;
  • статистика проходящего трафика и атак;
  • отслеживание и ограничение трафика типа P2P;
  • огранричение по скорости для доступа к ресурсам типа YouTube, BitTorrents;
  • механизмы AAA (RADIUS, HWTACACS);
  • IDS/IPS;
  • фильтрация e-mail посредством Real-time Blackhole list (RBL).

 

Возможность распознавания и анализа протоколов уровня приложений позволяет устройству фильтровать весь нежелательный трафик внутри сети, например, ограничивать использование сотрудниками ресурсов развлекательного толка.

 

Устройства UTM поддерживают протокол VRRP, применение которого позволит обеспечить резервирование по схеме Active-Standby, что существенно повысит отказоустойчивость сети.

Высокочастотный процессор, выполненный в соответствии с современными стандартами, обеспечивает высокую производительность, что крайне важно для быстрой обработки трафика, в соотвествии с настроенными политиками, в том числе и для обработки заголовков уровня приложений. База данных сигнатур позволяет оперативно отслеживать вирусы и имеет возможность обновления.

 

Механизмы защиты от DoS/DDoS-аттак позволяют защитить сеть от таких неприятностей, как SYN flood, ICMP flood,UDP flood, Fraggle, Smurf, WinNuke, IP Spoofing, ARP spoofing, ARP flood. Фаерволы Huawei Symantec могут управляться как через GUI, так и через CLI операционной системы VRP локально консолью или удаленно по Telnet или SSH. Серия USG5000 поддерживает протокол GTP, таким образом появляется возможность использования этих устройств в PS Core сотового оператора на Gn- и Gp-интерфейсах. Данная линейка оборудования Huawei Symantec позволяет осуществить конфигурации до 4 Gigabit Ethernet + 10 Fast Ethernet портов для серии USG 2000 и вплоть до 8 Gigabit Ethernet портов для серии USG 5000. Также поддерживаются 3G интерфейсные платы, платы ADSL2+ и E1/CE1. Данные платформы представляют собой 1U решения, что существенно экономит место в стойке, а революционно низкое потребление электроэнергии (~35 Вт для USG2000 и ~100 Вт для USG5000) делает данные устройства лидерами по экономичности в своем классе.

 

Продукты UTM компании Huawei Symantec ориентированы на представителей крупного и среднего (USG5000) и среднего-малого (USG2000) бизнеса. Возможность гибкой конфигурации программного обеспечения и плотности портов позволяет максимально удовлетворить потребности заказчика.

 

Нужно отметить, что компания Huawei Symantec придерживается гуманистической концепции, вследствии чего использует для своего оборудования антирадиационные материалы, отвечающие электромагнитным стандартам и уменьшающие электромагнитную радиацию, создавая для заказчиков здоровую и благоприятную рабочую обстановку.

Уведомления об обновлении тем – в вашей почте

Рецепты создания «умного города»

Для начала перечислим компоненты, позволяющие назвать город по-настоящему «умным».

Технологии Huawei - весь ЦОД из одних рук

О решениях Huawei для создания ЦОД – системах электропитания (ИБП) и охлаждения, контейнерных и модульных ЦОД от вендора

Как построить «умную» городскую среду

И з 7 млрд жителей Земли почти 50% проживает в городах, и доля городских жителей растет на 3–4% в год.

Стандартное средство контроля над распределенными неоднородными клиентскими средами

Точное и предсказуемое управление ИТ-инфраструктурой и её поддержка - это сложная задача. Каждый день администраторы сталкиваются с необходимостью развертывания или миграции систем, установки нового ПО и исправлений, устранения неполадок и др.

Технологии управления хранением данных компании VERITAS Software Часть 2

Как правило, по мере расширения любого предприятия быстро возникает необходимость иметь несколько центров обработки данных. Обычно оптимальным решением таких задач, как быстрое реагирование на запросы клиентов, обеспечение надежной «цепочки ...

Технологии управления хранением данных компании VERITAS Software. Часть 1

Сегодня невозможно себе представить современное предприятие без развитой информационной инфраструктуры. Успешное ведение бизнеса напрямую связано с обработкой больших объемов информации, которая, в основном, представляется в виде элек...

Внедрение системы контроля утечек информации на основе Symantec DLP в «Евразийском банке»

Евразийский банк является активным участником финансового рынка Казахстана. На начало 2009 года банк представлен во всех крупнейших городах Казахстана 18 филиалами и 50 отделениями.

Интеллектуальное хранение

Пакет решений Symantec Veritas Storage Foundation (VxSF) на сегодняшний день является одним из лидирующих продуктов Enterprise-уровня для управления хранением данных.

Актуальные вопросы выявления сетевых атак

С увеличением зависимости мировой экономики и государственных структур от Интернет, возрастает и уровень риска, связанного с осуществлением сетевых атак на ресурсы сетей, подключенных к Интернет. Осуществление атак через сеть Интернет ...

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня