Архитектура защищенных сетей. Типовой дизайн сети с NGFW

 *фрагмент из книги "Архитектура защищенных сетей. Perimeter Layer"

Прежде чем перейти к обзору основных игроков рынка NGFW давайте рассмотрим типовой дизайн корпоративной сети с применением межсетевого экрана. Ниже представлена примерная структурная схема:

Как видно из картинки, NGFW (выделен красной пунктирной линией), как правило, применяют именно на границе сети (тот самый периметр) и формируют, как минимум, 3 логических зоны (линии синего цвета):

- Публичная сеть, т.е. Интернет. Зона с наименьшим уровнем доверия.

- Локальная сеть, куда могут входить сети пользователей и сети локальных серверов/сервисов. Пример таких серверов: почтовый сервер, 1с сервер, файловый сервер, контроллер домена и т.д. Является доверенной зоной.

- DMZ. Сегмент, в котором располагаются публичные сервисы компании, к которым есть доступ из сети Интернет. Пример таких сервисов: сайт компании, FTP сервер, почтовый шлюз (SMTP) и т.д. Является недоверенной зоной, т.к. сегмент публичный, он может быть скомпрометирован и в дальнейшем использоваться для атаки на остальную сеть.

В реальной жизни зон конечно же может быть больше, а каждая зона может быть разбита на несколько сегментов, но все же ключевые роли мы перечислили. Именно пограничный NGFW формирует “Периметр сети” и именно здесь происходит фильтрация и проверка трафика максимальным количеством функций безопасности.

Модульный дизайн

На схеме можно заметить, что кроме NGFW на границе сети присутствуют пограничные маршрутизаторы. Иногда их называют “бордеры” (от англ. border - граница). Это довольно частая практика для крупных компаний, которые могут иметь несколько интернет каналов, использовать BGP (протокол динамической маршрутизации) для отказоустойчивого доступа к своим публичным ресурсам и применять прочие продвинутые функции маршрутизации.

Зачем так делать? Т.е. использовать выделенные “бордеры”? Дело в том, что большинство NGFW решений имеют весьма посредственный функционал в плане маршрутизации. И это нормально, NGFW это устройство безопасности, а не маршрутизатор. Многие об этом забывают и пытаются навесть абсолютно все задачи на единственное устройство. Естественно NGFW справится с простейшими задачами роутинга, но для серьезных инсталляций, где отказоустойчивость Интернет соединения является приоритетной задачей, лучше использовать выделенные маршрутизаторы. И это не единственный пример того, как некоторые критически важные задачи выносятся на отдельные решения. Вот частые кейсы:

- Каналообразующее оборудование для связи с филиалами. Устройства которые реализуют Site2Site VPN или SD WAN с филиалами компании.

- Шлюз удаленного доступа. Подключение удаленных сотрудников к корпоративной сети посредством Remote Access VPN.

Задачи проверки трафика, роутинга, связи с филиалами и предоставления удаленного доступа безусловно можно реализовать в рамках одного NGFW решения на периметре. Но подходит это обычно для небольших сетей с простыми задачами и небольшим трафиком. Для высоконагруженных и отказоустойчивых систем чаще применяют именно раздельный дизайн, который может выглядеть следующим образом:

Здесь у нас 4 функциональных модуля для 4х разных задач:

- NGFW как ядро периметра;

- “Бордеры”, как отказоустойчивость интернет подключения;

- Site2Site VPN / SD WAN решение для организации связи с филиалами;

- RA VPN шлюз для подключения удаленных сотрудников.

Давайте еще раз проговорим ключевой вопрос большинства начинающих “безопасников” - можно ли это все сделать на единственном NGFW? Как уже писал выше - иногда можно. Но представленная модульная схема более гибкая и отказоустойчивая. Выход из строя любого модуля не приводит к остановке всей сети. Дополнительный плюс такого дизайна - вы можете использовать специализированные решения, которые могут быть значительно лучше, чем встроенные функции в каком-либо NGFW. Ключевой минус такого дизайна - больше финансовых затрат и выше нагрузка на администрирующий персонал.

Поэтому при выборе NGFW и планировании сети важно четко понимать, какие функции вам нужны, насколько они критичны и стоит ли их выносить в отдельные функциональные модули.

Север-ЮГ / Запад-Восток

Если продолжить тему дизайна, то добавлю, что трафик пользователей в Интернет и трафик из Интернета в DMZ часто называют “Север-Юг”. Как вы уже поняли, для его проверки есть пограничный NGFW.

Но это не единственный вектор трафика в типовых корпоративных сетях. Есть еще трафик между локальных серверов и трафик от пользователей к этим же серверам. Этот вектор называется “Запад-Восток” и такой трафик не доходит до NGFW на периметре сети. Как можно видеть на картинке выше, локальную сегментацию как правило выполняют на коммутаторах ядра, которые лишены каких-либо функций по проверке трафика. Таким образом мы теряем возможность видеть угрозы, которые уже внутри - на Сетевом уровне (Network Layer согласно нашему концепту). Мы подробно обсудим особенности защиты на сетевом уровне в одной из следующих книг. А здесь же просто обозначим, что в крупных компаниях NGFW ставят не только на периметре, но и в ядре, для выполнения локальной сегментации и проверки трафика уже внутри сети. Пример на картинке ниже:

Естественно, что для внутренней сегментации требуются более производительные устройства, т.к. трафик “Запад-Восток” обычно значительно больше. Есть повышенные требования к наличию сетевых портов: их количество, скорость (1/10/40/100 Гбит/с) и тип (sfp/sfp+/qsfp и т.д.).

Однако, следует отметить, что для локального трафика редко используют абсолютно все типы проверок. Обычно ограничиваются контролем приложений и IPS. Такие функции как потоковый антивирус, или эмуляция проходящих файлов в “песочнице” чаще всего НЕ применяют.

Использование NGFW в качестве ядра является хорошей практикой с точки зрения безопасности, однако это не всегда возможно по финансовым причинам.