이는 인텔이 의뢰해 유럽 대기업과 중견기업의 IT부서장 1000여 명을 대상으로 실시한 설문조사 결과가 바로 그것이다. 설문조사의 목적은 업계 전문가들이 가장 우려하는 문제를 파악하는 것이었습니다. 응답자의 절반 이상이 즉각적인 해결이 필요한 문제인 네트워크 보안 문제를 꼽았습니다. 다른 조사 결과도 꽤 기대된다. 예를 들어, 네트워크 보안 요소는 정보 기술 분야의 다른 문제들 중 하나로 이어집니다. 5년 전과 비교하면 중요성이 15%나 높아졌다.
설문 조사 결과에 따르면, 우수한 자격을 갖춘 IT 전문가는 보안 문제 해결에 업무 시간의 30% 이상을 소비합니다. 대기업(직원 500명 이상)의 상황은 훨씬 더 놀랍습니다. 응답자의 약 4분의 1이 이러한 문제를 해결하는 데 시간의 절반을 소비합니다.

위협과 보호의 균형

안타깝게도 네트워크 보안 문제는 현대 통신에 사용되는 기본 기술과 불가분의 관계가 있습니다. IP 프로토콜 제품군을 개발할 때 네트워크 전체의 신뢰성이 우선시되었습니다. 이러한 프로토콜이 등장할 당시 네트워크 보안은 완전히 다른 방식으로 보장되었는데, 이는 글로벌 네트워크의 맥락에서 사용하기에는 비현실적이었습니다. 개발자의 근시안에 대해 큰 소리로 불평할 수는 있지만 상황을 근본적으로 바꾸는 것은 거의 불가능합니다. 지금 잠재적인 위협으로부터 자신을 보호할 수 있으면 됩니다..
이 기술의 주요 원칙은 다음과 같습니다. 네트워크 보안에 대한 잠재적 위협과 필요한 보호 수준 간의 균형. 보안 비용과 실현된 위협으로 인해 발생할 수 있는 피해 비용 사이에 균등성이 보장되어야 합니다.
현대의 대기업과 중소기업에게 정보통신 기술은 비즈니스 수행의 기반이 되었습니다. 따라서 위협의 영향에 가장 민감한 것으로 나타났습니다. 네트워크가 더 크고 복잡할수록 이를 보호하는 데 더 많은 노력이 필요합니다. 더욱이 위협을 생성하는 데 드는 비용은 위협을 무력화하는 데 드는 비용보다 훨씬 적습니다. 이러한 상황으로 인해 기업은 다양한 위협으로 인해 발생할 수 있는 위험의 결과를 신중하게 평가하고 가장 위험한 위협에 대해 적절한 보호 방법을 선택해야 합니다.
현재 기업 인프라에 대한 가장 큰 위협은 내부 리소스에 대한 무단 액세스 및 네트워크의 정상적인 작동 차단과 관련된 행위에서 비롯됩니다. 그러한 위협은 상당히 많지만 각각은 기술적 요인과 인적 요인의 조합에 기반을 두고 있습니다. 예를 들어, 회사 네트워크에 악성 프로그램이 침투하는 것은 네트워크 관리자가 보안 규칙을 무시한 결과일 뿐만 아니라 스팸의 유혹적인 링크를 이용하기로 결정한 회사 직원의 과도한 호기심으로 인해 발생할 수 있습니다. 우편. 따라서 보안 분야의 최고의 기술 솔루션이라도 모든 질병에 대한 만병통치약이 되기를 바라서는 안 됩니다.

UTM급 솔루션

안전은 항상 상대적인 개념입니다. 너무 많으면 우리가 보호하려는 시스템 자체를 사용하는 것이 눈에 띄게 더 어려워집니다. 따라서 합리적인 타협이 네트워크 보안을 보장하는 첫 번째 선택이 됩니다. 러시아 기준에 따른 중소기업의 경우 이러한 선택은 계급 결정에 의해 도움이 될 수 있습니다. UTM(통합 위협 관리 또는 통합 위협 관리), 다기능 네트워크 및 정보 보안 장치로 자리 잡고 있습니다. 이러한 솔루션의 핵심은 방화벽, 침입 탐지 및 방지 시스템(IPS), 안티 바이러스 게이트웨이(AV) 기능 등 다양한 장치의 기능을 결합한 소프트웨어 및 하드웨어 시스템입니다. 종종 이러한 컴플렉스는 VPN 네트워크 라우팅, 스위칭 또는 지원과 같은 추가 작업을 해결하는 임무를 맡습니다.
UTM 솔루션 제공업체는 중소기업을 위한 솔루션을 제공하는 경우가 많습니다. 아마도 이 접근 방식은 부분적으로 정당화될 수 있습니다. 그러나 여전히 우리나라의 중소기업에서는 인터넷 제공업체의 보안 서비스를 이용하는 것이 더 쉽고 저렴합니다.
다른 범용 솔루션과 마찬가지로 UTM 장비에도 장단점이 있습니다.. 첫 번째는 별도의 보안 장치에서 유사한 수준의 보호를 구성하는 것과 비교하여 구현 비용 및 시간 절약을 포함합니다. UTM은 또한 광범위한 보안 문제를 쉽게 해결할 수 있는 사전 균형 및 테스트를 거친 솔루션입니다. 마지막으로, 이 클래스의 솔루션은 기술 인력의 자격 수준을 그다지 요구하지 않습니다. 모든 전문가가 설정, 관리 및 유지 관리를 처리할 수 있습니다.
UTM의 가장 큰 단점은 범용 솔루션의 모든 기능이 특수 솔루션의 동일한 기능보다 덜 효과적이라는 사실입니다. 그렇기 때문에 고성능이나 높은 수준의 보안이 필요할 때 보안 전문가는 개별 제품의 통합을 기반으로 하는 솔루션을 선호합니다.
그러나 이러한 단점에도 불구하고 UTM 솔루션은 규모와 활동 유형이 크게 다른 많은 조직에서 요구되고 있습니다. Rainbow Technologies에 따르면 이러한 솔루션은 예를 들어 정기적인 DDoS 공격을 받는 가전제품 온라인 상점 중 하나의 서버를 보호하기 위해 성공적으로 구현되었습니다. UTM 솔루션을 통해 자동차 회사 중 하나의 메일 시스템에서 스팸 양을 크게 줄일 수도 있었습니다. 지역적인 문제를 해결하는 것 외에도 양조회사의 본사와 지점을 포괄하는 분산 네트워크에 대한 UTM 솔루션 기반의 보안 시스템을 구축한 경험이 있습니다.

UTM 제조업체 및 해당 제품

UTM 등급 장비에 대한 러시아 시장은 외국 제조업체의 제안에 의해서만 형성됩니다. 불행하게도 국내 제조업체 중 어느 누구도 아직 이 등급의 장비에 대한 자체 솔루션을 제공할 수 없었습니다. 회사에 따르면 러시아 개발자가 만든 Eset NOD32 방화벽 소프트웨어 솔루션은 예외입니다.
이미 언급한 바와 같이 러시아 시장에서 UTM 솔루션은 주로 기업 네트워크에 최대 100~150개의 일자리를 보유한 중견 기업이 관심을 가질 수 있습니다. 리뷰에 제시할 UTM 장비를 선택할 때 주요 선택 기준은 편안한 사용자 경험을 보장할 수 있는 다양한 작동 모드에서의 성능이었습니다. 제조업체에서는 방화벽, IPS 침입 방지 및 AV 바이러스 보호 모드에 대한 성능 사양을 지정하는 경우가 많습니다.

해결책 체크포인트라고 UTM-1 에지방화벽, 침입 방지 시스템, 안티 바이러스 게이트웨이, VPN 및 원격 액세스 도구를 결합한 통합 보안 장치입니다. 솔루션 제어에 포함된 방화벽은 수많은 애플리케이션, 프로토콜 및 서비스와 함께 작동하며 비즈니스 애플리케이션 범주에 분명히 맞지 않는 트래픽을 차단하는 메커니즘도 갖추고 있습니다. 예를 들어 IM(인스턴트 메시징) 및 P2P(피어 투 피어) 트래픽이 있습니다. 바이러스 백신 게이트웨이를 사용하면 이메일 메시지, FTP 및 HTTP 트래픽에서 악성 코드를 모니터링할 수 있습니다. 이 경우 파일 크기에는 제한이 없으며 아카이브 파일의 압축 풀기는 "즉시" 수행됩니다.
UTM-1 Edge 솔루션은 VPN 네트워크에서 작업하기 위한 고급 기능을 갖추고 있습니다. OSPF 동적 라우팅 및 VPN 클라이언트 연결이 지원됩니다. UTM-1 Edge W 모델은 IEEE 802.11b/g WiFi 액세스 포인트가 내장되어 있습니다.
대규모 배포가 필요한 경우 UTM-1 Edge는 Check Point SMART와 원활하게 통합되어 보안 관리를 크게 단순화합니다.

시스코 회사전통적으로 네트워크 보안 문제에 더 많은 관심을 기울이고 필요한 다양한 장치를 제공합니다. 검토를 위해 모델을 선택하기로 결정했습니다. 시스코 ASA 5510, 이는 기업 네트워크 경계의 보안을 보장하는 데 중점을 두고 있습니다. 이 장비는 모듈형 UTM 등급 보호 시스템을 포함하는 ASA 5500 시리즈의 일부입니다. 이 접근 방식을 사용하면 특정 기업의 네트워크 기능 특성에 맞게 보안 시스템을 조정할 수 있습니다.
Cisco ASA 5510은 방화벽, VPN 도구, 침입 방지 시스템, 바이러스 백신 및 스팸 방지 도구 등 네 가지 기본 키트로 제공됩니다. 이 솔루션에는 광범위한 기업 네트워크를 위한 관리 인프라를 구축하기 위한 Security Manager 시스템, 네트워크 환경을 모니터링하고 보안 위반에 실시간으로 대응하도록 설계된 Cisco MARS 시스템과 같은 추가 구성 요소가 포함되어 있습니다.

슬로바키아 사람 이셋컴퍼니소프트웨어 패키지를 공급합니다 Eset NOD32 방화벽기업 방화벽 기능 외에도 Eset NOD32 안티 바이러스 보호 시스템, 메일(스팸 방지) 및 웹 트래픽 필터링 도구, IDS 및 IPS 네트워크 공격 탐지 및 방지 시스템을 포함하는 UTM 클래스입니다. 이 솔루션은 VPN 네트워크 생성을 지원합니다. 이 컴플렉스는 Linux를 실행하는 서버 플랫폼에 구축되었습니다. 장치의 소프트웨어 부분이 개발되었습니다. 국내 기업 레타아이티, Eset의 러시아 대표 사무소가 관리합니다.
이 솔루션을 사용하면 네트워크 트래픽을 실시간으로 모니터링할 수 있으며, 웹 리소스 카테고리별로 콘텐츠 필터링을 지원합니다. DDoS 공격으로부터 보호하고 포트 스캔 시도를 차단합니다. Eset NOD32 방화벽 솔루션에는 DNS 서버, DHCP 지원 및 채널 대역폭 변경 제어가 포함됩니다. SMTP 및 POP3 메일 프로토콜의 트래픽이 제어됩니다.
이 솔루션에는 VPN 연결을 사용하여 분산된 기업 네트워크를 생성하는 기능도 포함되어 있습니다. 동시에 다양한 네트워크 집합 모드, 인증 및 암호화 알고리즘이 지원됩니다.

포티넷 회사전체 장치 제품군을 제공합니다 포티게이트 UTM 클래스는 높은 수준의 성능을 유지하면서 네트워크 보호를 제공할 수 있을 뿐만 아니라 기업 정보 시스템을 실시간으로 안정적이고 투명하게 운영할 수 있는 솔루션을 포지셔닝합니다. 검토를 위해 우리가 선택한 모델 FortiGate-224B, 이는 150~200명의 사용자가 있는 기업 네트워크의 경계를 보호하는 것을 목표로 합니다.
FortiGate-224B 장비에는 방화벽 기능, VPN 서버, 웹 트래픽 필터링, 침입 방지 시스템은 물론 바이러스 백신 및 스팸 방지 보호 기능이 포함되어 있습니다. 이 모델에는 레이어 2 LAN 스위치와 WAN 인터페이스가 내장되어 있어 외부 라우팅 및 스위칭 장치가 필요하지 않습니다. 이를 위해 RIP, OSPF, BGP 프로토콜을 이용한 라우팅과 네트워크 서비스 제공 전 사용자 인증 프로토콜을 지원합니다.

SonicWALL 회사이 리뷰에 솔루션이 포함된 다양한 UTM 장치를 제공합니다. NSA 240. 이 장비는 해당 라인의 주니어 모델로, 중소기업 및 대기업 지점의 기업 네트워크 보안 시스템으로 활용하는 것을 목표로 하고 있다.
이 라인은 잠재적 위협에 대한 모든 보호 수단의 사용을 기반으로 합니다. 방화벽, 침입 방지 시스템, 바이러스 백신 및 스파이웨어 방지 게이트웨이가 있습니다. 56개 사이트 카테고리별로 웹 트래픽을 필터링합니다.
솔루션의 하이라이트 중 하나로 SonicWALL은 들어오는 트래픽에 대한 심층 검색 및 분석 기술을 언급합니다. 성능 저하를 방지하기 위해 이 기술은 다중 프로세서 코어에서 병렬 데이터 처리를 사용합니다.
이 장비는 VPN을 지원하고 고급 라우팅 기능을 갖추고 있으며 다양한 네트워크 프로토콜을 지원합니다. 또한 SonicWALL의 솔루션은 SIP 및 H.323 프로토콜을 사용하여 VoIP 트래픽을 서비스할 때 높은 수준의 보안을 제공할 수 있습니다.

제품 라인에서 WatchGuard 회사검토를 위해 솔루션이 선택되었습니다. 파이어박스 X550e는 네트워크 보안을 보장하기 위한 고급 기능을 갖춘 시스템으로 자리매김하고 중소기업 네트워크에서의 사용을 목표로 합니다.
이 제조업체의 UTM 클래스 솔루션은 혼합 네트워크 공격에 대한 보호 원칙을 기반으로 합니다. 이를 달성하기 위해 장비는 방화벽, 공격 방지 시스템, 바이러스 백신 및 스팸 방지 게이트웨이, 웹 리소스 필터링, 스파이웨어 방지 시스템을 지원합니다.
이 장비는 한 보호 수준에서 특정 기준으로 검사된 네트워크 트래픽이 다른 수준에서는 동일한 기준으로 검사되지 않는 공동 보호 원칙을 사용합니다. 이 접근 방식을 사용하면 높은 장비 성능을 얻을 수 있습니다.
해당 솔루션의 또 다른 장점은 제조업체가 서명으로부터 보안 독립성을 보장하는 제로 데이 기술 지원을 요구한다는 것입니다. 이 기능은 아직 효과적으로 대응되지 않은 새로운 유형의 위협이 나타날 때 중요합니다. 일반적으로 "취약성 기간"은 몇 시간에서 며칠까지 지속됩니다. 제로데이 기술을 사용하면 취약점 창으로 인해 부정적인 결과가 발생할 가능성이 눈에 띄게 줄어듭니다.

자이셀(ZyXEL) 회사최대 500명의 사용자가 있는 기업 네트워크에서 사용하는 것을 목표로 하는 UTM급 방화벽 솔루션을 제공합니다. 이것 ZyWALL 1050 솔루션완전한 바이러스 보호, 침입 방지 및 가상 사설망 지원을 포함한 네트워크 보안 시스템을 구축하도록 설계되었습니다. 이 장치에는 네트워크 구성에 따라 WAN, LAN, DMZ 및 WLAN 인터페이스로 사용하도록 구성할 수 있는 5개의 기가비트 이더넷 포트가 있습니다.
이 장치는 방화벽 및 NAT 수준에서 SIP 및 H.323 프로토콜을 통한 VoIP 애플리케이션 트래픽 전송은 물론 VPN 터널에서의 패킷 전화 통신 트래픽 전송도 지원합니다. 동시에 VoIP 트래픽, 전체 서명 데이터베이스를 갖춘 안티 바이러스 시스템 작동, 60개 웹 사이트 카테고리에 대한 콘텐츠 필터링 및 스팸 방지를 포함한 모든 유형의 트래픽에 대한 공격 및 위협을 방지하는 메커니즘의 기능이 보장됩니다.
ZyWALL 1050 솔루션은 다양한 개인 네트워크 토폴로지를 지원하고, VPN 집중기 모드에서 작동하며, 가상 네트워크를 균일한 보안 정책으로 영역으로 결합합니다.

UTM의 주요 특징

전문가의 의견

Dmitry Kostrov, MTS OJSC 기업 센터 기술 보호국 프로젝트 디렉터

UTM 솔루션의 범위는 주로 중소기업으로 분류되는 기업에 적용됩니다. 네트워크 리소스를 보호하기 위한 별도의 장비 클래스인 UTM(Unified Threat Management)이라는 개념은 국제 기관 IDC에 의해 도입되었습니다. 이에 따르면 UTM 솔루션은 다양한 장치의 기능을 결합하는 다기능 소프트웨어 및 하드웨어 시스템입니다. 일반적으로 여기에는 방화벽, VPN, 네트워크 침입 탐지 및 방지 시스템은 물론 바이러스 백신, 스팸 방지 게이트웨이 및 URL 필터링 기능이 포함됩니다.
진정으로 효과적인 보호를 달성하려면 장치가 다중 레벨로 활성화되고 통합되어야 합니다. 동시에 많은 보안 장비 제조업체는 이미 UTM과 관련된 상당히 다양한 제품을 보유하고 있습니다. 올인원 시스템뿐만 아니라 시스템 배포의 단순성으로 인해 이러한 장치 시장이 매우 매력적입니다. 이러한 장치를 구현할 때 총 소유 비용과 투자 수익은 매우 매력적으로 보입니다.
하지만 이 UTM 솔루션은 "스위스 칼"과 같습니다. 모든 상황에 맞는 도구가 있지만 벽에 구멍을 뚫으려면 실제 드릴이 필요합니다. 새로운 공격에 대한 보호, 서명 업데이트 등의 출현 가능성도 있습니다. "클래식" 기업 네트워크 보호 체계에서 개별 장치를 지원하는 것과는 달리 속도가 빠르지 않습니다. 단일 실패 지점 문제도 남아 있습니다.

손쉬운 구성, 안전한 사전 설치된 설정, 보안 필터링을 보장하는 데 필요한 모든 심층 트래픽 분석 모듈(침입 방지 시스템, 애플리케이션 제어, 콘텐츠 필터)이 특징인 최신 UTM 솔루션입니다. Ideco가 무엇을 할 수 있는지 살펴보겠습니다.

주요 특징들

Ideco ICS 기능:

• 외부 위협으로부터 사용자와 기업 네트워크 보호 - 침입 방지 시스템, 애플리케이션 제어(DPI), 웹 트래픽 콘텐츠 필터링(HTTPS 포함), Kaspersky 안티바이러스 및 안티스팸, 게시된 웹 서버 보호(웹 애플리케이션 방화벽), DLP 및 통합 SIEM 시스템, 방화벽.
• 포괄적인 인터넷 트래픽 관리 - 사용자 인증, 채널 밸런싱, 제한, 우선순위 지정, 보고.
• 통신 도구 및 메일 - 메일 서버, 다단계 스팸 필터링, 바이러스 및 피싱 링크 방지, 릴레이로 사용 시 전체 필터링 기능, 최신 웹 인터페이스.
• 기업 네트워크 구축 - 원격 사용자를 안전하게 연결, 지점 간 보안 채널 구성(PPTP, OpenVPN, IPsec을 사용한 VPN 지원을 통해 거의 모든 라우터 또는 소프트웨어 게이트웨이를 네트워크에 연결할 수 있음), 공급자에 대한 다중 연결 사용, 라우팅, Active와의 통합 예배 규칙서.

Ideco ICS는 다음 보안 모듈을 결합합니다.
* 방화벽;
* 침입 방지 시스템;
* 애플리케이션 제어;
* 콘텐츠 필터(HTTP 및 HTTPS 프로토콜);
* 웹 애플리케이션 방화벽;
* 안티 바이러스 트래픽 스캐닝;
* 스팸 방지 및 메일 트래픽 확인;
* DoS 및 무차별 대입 공격으로부터 보호합니다.
* VPN을 통한 안전한 원격 액세스.

웹 애플리케이션 방화벽은 게시된 웹 애플리케이션을 보호하기 위한 방화벽 모듈입니다. 러시아 UTM 솔루션 중에서 Ideco ICS가 이러한 기능을 갖춘 유일한 솔루션이라는 점에 유의해야 합니다.
이 모든 내용은 회사 웹사이트에서 읽을 수 있으므로 직접 실습하여 Ideco ICS가 종이가 아닌 실제 생활에서 어떻게 보이는지 확인하는 것이 좋습니다. 그리고 설치부터 시작하겠습니다.

Ideco ICS 설치

설치에는 복잡한 것이 없습니다. 사용자의 개인 계정에서 ISO 이미지를 다운로드하고 플래시 드라이브나 디스크에 굽고(원하는 대로) 부팅해야 합니다.
설치는 매우 빠르고 복잡하지 않습니다. 주요 내용은 다음과 같습니다.
1. BIOS에서 시간과 날짜가 올바르게 설정되어 있는지 확인해야 합니다. 이는 Active Directory와의 통합에 매우 중요합니다(그러나 시간과 날짜가 잘못된 경우 서버가 연결된 후 자동으로 동기화됩니다). 인터넷).
2. 최소 3800MB의 RAM이 필요합니다.
3. 설치, 업데이트 및 복구 모드가 지원됩니다(그림 1).
4. 드라이브의 모든 데이터가 삭제됩니다.
5. 설치 프로세스 중에 로컬 네트워크 인터페이스(그림 2)를 구성하고 시간대를 선택해야 합니다.
6. 설치에는 약 4GB의 디스크 공간이 필요합니다.
7. 설치 프로그램은 관리자 사용자 이름과 비밀번호를 제공합니다(그림 3).

사용자 개입이 거의 없이 설치가 이루어집니다. 사용자가 해야 할 일은 미래 게이트웨이의 IP 주소를 입력하고 시간대를 선택하는 것뿐입니다.

게이트웨이 관리: 콘솔

재부팅합니다(그림 4). 자세히 살펴보면 xinetd 슈퍼서버, 바인딩 DNS 서버, nginx, Squid, KLMS 등을 사용하여 Ideco가 구축된 구성 요소를 확인할 수 있습니다.

게이트웨이 콘솔에 액세스하려면 서비스 모드 비밀번호를 입력해야 합니다. 게이트웨이 제어 메뉴는 그림 1에 나와 있습니다. 5. 메뉴 명령:
* 서버 모니터링 - 프로세서 로드, 메모리 및 디스크 사용량에 대한 정보를 표시합니다(그림 6).
* 네트워크 모니터링 - 네트워크 사용량에 대한 정보(bmon)입니다.
* 네트워크 매개변수 - 여기에서 IP 주소와 게이트웨이 마스크를 변경할 수 있을 뿐만 아니라 현재 네트워크 구성도 볼 수 있습니다(그림 7).
* 데이터베이스 백업 - 데이터베이스 백업을 생성하는 도구입니다. 여기서는 백업에서 데이터베이스를 복원할 수도 있습니다.
* 콘솔은 원하는 것은 무엇이든 할 수 있는 본격적인 콘솔입니다. 개인적으로 가장 먼저 한 일은 설치가 얼마나 많은 공간을 차지하는지 살펴보는 것이었습니다. 3.2GB가 조금 넘습니다(그림 8).
* 서비스 - 관리자의 IP 주소를 설정하고, 방화벽 규칙을 비활성화하고, 모든 사람에게 인터넷을 허용하고, SSH를 통해 서버에 액세스하도록 허용하고, 관리자 비밀번호를 재설정할 수 있는 하위 메뉴를 엽니다.
* 비밀번호 변경 - 관리자 비밀번호를 변경할 수 있습니다.
* 서버 재부팅 - 전체 및 소프트를 포함하여 서버를 재부팅합니다. 즉, 전체 컴퓨터가 아닌 서비스만 재부팅합니다.
* 종료 - 관리 콘솔을 종료합니다.

웹 인터페이스

웹 인터페이스에 액세스하려면(결국 서비스 모드보다 더 많은 기능이 있음) URL https://IP 주소가 사용됩니다. 여기서 IP 주소는 설정에 지정된 주소입니다. 입력하려면 그림 1에 표시된 데이터를 사용하십시오. 3. 웹 인터페이스의 메인 페이지는 그림과 같습니다. 10.

실제로 웹 인터페이스에 로그인한 후 무엇을 해야 할까요? 그것은 모두 현재 작업에 달려 있습니다. 작업이 단지 사용자 그룹에게 인터넷 액세스를 제공하는 것이라면 최소한 외부 인터페이스(당사 서버가 인터넷 액세스를 제공하는 인터페이스)를 선택하고 사용자를 추가해야 합니다.

프런트엔드 추가

외부 인터페이스를 추가하려면 "서버 > 인터페이스" 섹션으로 이동하여 "외부" 인터페이스 역할을 선택하고 해당 이름을 입력하고 네트워크 매개변수를 설정해야 합니다. 연결 테스트를 위해 IP 주소를 설정할 수 있으며(Google 서버 - 8.8.8.8 사용 가능) 가능한 경우 백업 인터페이스를 선택할 수도 있습니다. 두 개의 외부 인터페이스가 있는 경우 기본 인터페이스에 대해 "Main" 스위치를 설정해야 합니다.

사용자 생성

"사용자" 섹션에서 먼저 인증 유형을 선택해야 합니다(그림 16). 가장 간단한 경우에는 IP 인증을 선택할 수 있습니다. 이 옵션은 누가 누구인지 분명할 때뿐 아니라 인터넷에 액세스하기 위해 게이트웨이를 신속하게 배포해야 하지만 전체 구성을 나중에 수행해야 하는 경우 소규모 네트워크에 적합합니다.
왼쪽 사이드바에는 "그룹 추가" 및 "사용자 추가" 버튼이 있습니다. 보다 쉬운 관리를 위해 사용자를 그룹으로 묶는 것이 좋습니다. "Office" 그룹을 만들어 보겠습니다(그림 12).

그러면 인터페이스에 그룹 설정이 표시됩니다(그림 13). "사용자 생성" 버튼을 클릭하여 그룹 사용자 추가 도구를 호출합니다(그림 14). 추가된 사용자에 대한 이름 접두사, 사용자 로그인 접두사 및 IP 주소 범위를 지정해야 합니다. 물론 사용자를 한 명씩 추가할 수도 있지만 이는 그리 편리하지 않습니다. 특히 이를 자동화하는 것이 가능한 경우에는 더욱 그렇습니다.

사실 그게 전부입니다. 남은 것은 클라이언트의 Ideco ICS 서버의 IP 주소를 게이트웨이로 설정하는 것뿐입니다. 이 작업을 수행하기가 너무 게으른 경우 "서버 > DHCP" 섹션에서 DHCP 서버를 활성화하고 해당 매개변수를 설정할 수 있습니다(그림 16). 최소한 클라이언트에 대한 IP 주소 범위와 기본 게이트웨이 할당을 지정해야 합니다.

당면한 작업이 단순히 사용자에게 인터넷 액세스를 제공하는 것이라면 이미 완료된 것입니다. 모든 작업(Ideco ICS 설치 포함)을 수행하는 데 약 20분이 걸렸습니다. OS 자체 설치를 고려하지 않으면 서버를 설정하는 것보다 이 기사를 읽는 데 더 많은 시간을 소비하게 됩니다.

차단 및 모든 종류의 제한

지금까지 구성된 모든 것은 Linux/FreeBSD 서버에서 매우 빠르게 구성될 수 있습니다. 하지만 이제 재미가 시작됩니다. "서버", "콘텐츠 필터" 섹션으로 이동합니다. 여기에서 서버가 차단할 콘텐츠를 선택할 수 있습니다. 따라서 "파일 차단" 범주(그림 17)에는 차단 대상 파일 유형이 표시됩니다. 그리고 "표준" 범주에서는 VPN(모든 버전에서 인기 있는 모든 VPN 서비스 및 프로그램이 차단됨), 토렌트, 웹 프록시, 성인 콘텐츠가 포함된 사이트 등을 차단할 수 있습니다.

이러한 콘텐츠 필터를 수동으로 설정하려면 시간이 좀 걸립니다. Ideco ICS를 사용하면 몇 번의 클릭만으로 필요한 리소스를 잠글 수 있습니다. 이 경우 방화벽이나 프록시를 구성할 필요가 없습니다.
표준 콘텐츠 필터의 기본에는 34개의 트래픽 카테고리와 90만 개 이상의 URL이 포함되어 있으며, 고급 콘텐츠 필터에는 143개의 카테고리와 5억 개 이상의 URL이 포함되어 있습니다. 두 데이터베이스 모두 정기적으로 업데이트되고 최신 상태로 유지됩니다. 사이트 유형별로 차단하는 기능 외에도 이러한 동일한 데이터베이스를 사용하면 사용자의 트래픽 소비를 기준으로 웹 보고를 분류할 수 있습니다. 즉, 직원들이 업무에 얼마나 많은 시간을 소비하는지, 근무시간 중 오락이나 개인적인 관심사에 얼마나 많은 시간을 소비하는지를 파악할 수 있을 것입니다.

이데코 ICS의 장점

Ideco ICS의 주요 기능:

• 처음에는 모든 모듈, 서비스, 방화벽 및 콘텐츠 필터링 규칙이 구성되어 네트워크 및 서버를 최대한 보호합니다.
• 많은 설정은 변경할 수 없습니다. 즉, 원하는 바나 경험이 없더라도 시스템을 불안전하게 구성할 수 없습니다.
• 설정이 쉽습니다.
• Active Directory와의 통합을 지원합니다.
• 모든 사용자와 장치는 인터넷에 액세스할 수 있는 권한을 받아야 합니다. 무단 트래픽을 금지하므로 사용자 및 장치의 인터넷 사용에 대한 통계를 항상 얻을 수 있습니다.
• 국내 콘텐츠 필터링 데이터베이스(고급 콘텐츠 필터)는 서구 데이터베이스보다 러시아 인터넷 부문에 더 적합합니다.
• 콘텐츠 필터링용 데이터베이스, 바이러스 백신(Kaspersky 바이러스 백신, 그림 19 참조), 침입 방지 시스템(자체 개발 기반)을 포함한 완전한 러시아 솔루션입니다.
• 널리 사용되는 브라우저 플러그인, Opera VPN, Yandex.Turbo를 포함한 콘텐츠 필터링 시스템(익명화 기능)을 우회하려는 시도를 차단합니다.
• 편리한 신고 시스템.

메일서버

Ideco ICS는 Active Directory와 통합할 수 있는 기능을 갖춘 게이트웨이만은 아닙니다. 무엇보다도 이 제품에는 "서버 > 메일 서버" 섹션에서 구성할 수 있는 메일 서버가 내장되어 있습니다(그림 20).

침입 방지 시스템(IDS)

기본적으로 Ideco ICS에는 침입 방지 시스템(IDS)이 탑재되어 있어 익명 사용자를 차단할 수도 있습니다. IDS를 구성하려면 "보안 > 침입 방지" 섹션으로 이동하여 IDS/IPS를 활성화해야 합니다(그림 21).

"규칙" 탭에서는 IDS 규칙 그룹을 정의할 수 있습니다(그림 22). 여기에서 Opera VPN, 익명화 기능, 공격 등의 차단을 활성화/비활성화할 수 있습니다.

IDS를 실행하려면 서버에 최소 8GB의 RAM이 필요합니다.
기능에는 침입 방지 시스템에 일반적인 기능(공격자, 봇넷 차단 및 트래픽에서 위험한 서명 검색)이 포함되어 있지만, 이 시스템을 사용하면 심층 분석 없이 IP 평판 및 GeoIP를 기반으로 트래픽을 차단할 수 있습니다(트래픽 필터링 속도 향상). DoS 및 DDoS 공격에 대한 저항력 증가)뿐만 아니라 Windows 원격 측정(다른 공급업체의 제품에는 수행되지 않는 이 운영 체제 사용자에 대한 추적 기능)을 차단합니다.

보고서 및 통계

"보고서" 섹션에서는 다양한 통계 정보를 보고 내보낼 수 있습니다. HTML, CSV, XLS 형식으로 보고서를 내보낼 수 있습니다. CSV 형식은 다른 소프트웨어 제품의 보고서에 대한 후속 분석에 편리합니다.

추가 정보는 Ideco 개발자의 리뷰에서 확인할 수 있습니다.

Ideco ICS 보안 게이트웨이는 러시아 UTM 솔루션 시장에서 제공되는 고유한 제품입니다. 이 현대 제품은 네트워크 위협에 대한 포괄적인 보호를 제공하고 사실상 구성이 필요하지 않습니다. 이 솔루션을 배포하는 데는 몇 분밖에 걸리지 않으며 보호 및 차단부터 Active Directory 지원 및 세부 보고에 이르기까지 모든 종류의 기능을 갖춘 본격적인 게이트웨이가 출력됩니다.

UTM과 NGFW는 같은 것이라는 의견이 있습니다. 나는 이 의견을 불식시키고 싶다.

무엇이 먼저 나왔나요?

맞습니다. 먼저 UTM(Unified Threat Management)이 있었습니다. 이것은 올인원 시스템입니다. 한 서버에 여러 보호 엔진을 한 번에 설치하려는 현명한 생각이 있었습니다. 이제 보안 전문가는 하나의 시스템에서 여러 보안 엔진을 동시에 제어하고 운영할 수 있는 기회를 갖게 되었습니다. 이제 방화벽, VPN, IPS, 바이러스 백신, 웹 필터 및 스팸 방지가 함께 작동합니다. 다른 사람은 DLP와 같은 다른 엔진을 사용합니다. 현재 SSL 및 SSH 암호 해독 엔진과 애플리케이션 구문 분석 및 차단 엔진은 OSI ISO 모델의 7개 계층 모두에서 필수입니다. 일반적으로 엔진은 SNORT의 IPS, clamav 바이러스 백신 또는 iptables 방화벽과 같이 다양한 공급업체에서 가져오거나 심지어 무료로 가져옵니다. 방화벽은 트래픽을 위한 라우터 또는 스위치이기도 하므로 동적 라우팅 엔진도 대부분 일부 제조업체에서 제공합니다. 수요가 증가함에 따라 필요한 엔진에 대한 몇 가지 우수한 개발을 구매하고 하나의 UTM 장치 내에서 작업을 결합할 수 있는 대형 플레이어가 시장에 나타났습니다. 예를 들어 Check Point는 NFR에서 IPS를 구입했고 Cisco는 Sourcefire에서 IPS를 구입했습니다. 인기 브랜드는 Gartner UTM 광장에서 볼 수 있습니다. Gartner에 따르면 2017년 UTM 리더는 Check Point, Fortinet 및 Sophos입니다.

UTM 아키텍처의 단점. NGFW가 탄생한 이유는 무엇입니까?

그림 1. UTM 작업 아키텍처의 예.

UTM의 첫 번째 아키텍처 도전문제는 내부의 모든 엔진이 차례로 네트워크 패킷을 서로에게 전송하고 이전 엔진이 작업을 마칠 때까지 기다렸다가 자체 시작했다는 것입니다. 결과적으로 공급업체가 장치에 더 많은 기능을 구축할수록 작동 속도가 느려집니다. 결과적으로 이러한 장치의 사용자는 트래픽이 전혀 흐르지 않도록 IPS 및 바이러스 백신 또는 서명의 일부를 비활성화해야 합니다. 즉, 보안장비에 대한 비용을 지불하고 라우터로만 사용하는 것으로 보입니다. 보호 엔진이 서로를 기다리지 않고 병렬로 작동하도록 뭔가를 생각해 내야했습니다.
NGFW 제조업체의 새로운 움직임은 동일한 트래픽을 동시에 확인하는 특수 칩을 사용한다는 것입니다. 이는 각 프로세서가 자체 기능을 담당하기 시작했기 때문에 가능해졌습니다. 하나에는 IPS 서명이, 다른 하나에는 바이러스 백신 서명이, 세 번째에는 URL 서명이 연결되었습니다. 모든 엔진에서 모든 서명을 활성화할 수 있습니다. 성능 저하 없이 트래픽이 완벽하게 보호됩니다. 이러한 유형의 프로그래밍 가능 칩을 FPGA(프로그래밍 가능 논리 집적 회로) 또는 영문 FPGA라고 합니다. ASIC과의 차이점은 즉시 재프로그래밍이 가능하고 새로운 기능(예: 마이크로코드나 기타 기능을 업데이트한 후 새 서명 확인)을 수행할 수 있다는 것입니다. 이것이 NGFW가 사용하는 것입니다. 모든 업데이트는 FPGA 칩에 직접 플래시됩니다.

그림 2. Palo Alto Networks NGFW 아키텍처의 예.

UTM의 두 번째 아키텍처 과제모든 파일 작업을 수행하려면 하드 드라이브가 필요하게 되었습니다. 하드 드라이브의 읽기 속도는 얼마나 됩니까? 초당 100MB. 데이터 센터의 속도가 10Gbps라면 UTM은 어떻게 될까요? 회사의 300명이 Microsoft 네트워크(SMB 프로토콜)를 통해 파일 폴더를 다운로드하기로 결정한 경우 UTM은 어떻게 합니까? 잘못된 UTM은 단순히 100%로 로드되고 작동이 중지됩니다. 이 경우 고급 UTM에는 보호 엔진의 작동을 자동으로 비활성화하는 다양한 메커니즘이 내장되어 있습니다. 즉, 바이러스 백신 우회, ips 우회 등 하드웨어 부하가 해당 기능을 초과할 때 보안 기능을 끄는 기타 메커니즘입니다. 파일을 저장하는 것뿐만 아니라 아카이브의 압축도 풀어야 한다면 어떻게 해야 할까요? 작업 속도가 더욱 감소합니다. 따라서 UTM은 속도가 중요하지 않거나 보안이 옵션인 소규모 기업에서 주로 사용되었습니다.

실습에 따르면 네트워크 속도가 증가하자마자 UTM에서는 라우팅 및 패킷 방화벽을 제외한 모든 엔진을 끄거나 일반 방화벽만 설치해야 합니다. 즉, 오랫동안 파일 바이러스 백신 작업 속도를 높이는 것이 작업이었습니다.

2007년에 등장한 최초의 NGFW 제조업체의 새로운 아키텍처 변화는 파일이 더 이상 디스크에 저장되지 않는다는 것입니다. 즉, 바이러스 백신 검사를 위한 모든 트래픽 분석, 디코딩 및 파일 조립이 메모리에서 수행되기 시작했습니다. 이를 통해 보안 장치의 성능이 크게 향상되었으며 보안 장치와 하드 드라이브의 성능이 분리되었습니다. 네트워크 속도는 하드 드라이브 속도보다 빠르게 증가하고 있습니다. NGFW만이 보안 인력을 구할 수 있습니다. Gartner에 따르면 현재 NGFW에는 Palo Alto Networks와 Check Point라는 두 리더가 있습니다.

UTM 및 NGFW의 레이어 7 애플리케이션에서는 어떻게 작동합니까?

NGFW의 출현으로 고객은 레이어 7 애플리케이션을 정의하는 새로운 기회를 갖게 되었습니다. 네트워크 엔지니어는 ISO 7계층 OSI 네트워킹 모델을 연구합니다. 이 모델의 레이어 4에서는 TCP 및 UDP 프로토콜이 작동하는데, 이는 지난 20년 동안 IP 네트워크에서 트래픽 분석 및 트래픽 관리에 충분하다고 간주되었습니다. 즉, 일반 방화벽은 단순히 IP 주소와 포트만 표시합니다. 다음 5~7레벨에서는 무슨 일이 일어나나요? 차세대 방화벽은 모든 수준의 추상화를 확인하고 어떤 애플리케이션이 어떤 파일을 전송했는지 보여줍니다. 이를 통해 네트워크 상호 작용에 대한 IT의 이해도가 크게 향상되고 개방형 애플리케이션 내에서 터널링을 노출하고 포트만이 아닌 애플리케이션을 차단할 수 있으므로 보안이 강화됩니다. 예를 들어 일반 구세대 방화벽으로 스카이프나 비트토렌트를 차단하는 방법은 무엇입니까? 응, 절대 안돼.

UTM 공급업체는 결국 애플리케이션 정의 엔진을 추가했습니다. 그러나 TCP, UDP 및 ICMP 수준의 포트 4와 teamviewer, tor, skype와 같은 트래픽에서 애플리케이션 콘텐츠 검색 수준의 두 가지 트래픽 관리 엔진이 있습니다. UTM에는 여러 정책이 있는 것으로 나타났습니다. 하나는 포트를 제어하고 두 번째는 애플리케이션을 제어합니다. 그리고 이로 인해 많은 어려움이 발생하므로 결과적으로 아무도 응용 프로그램 관리 정책을 사용하지 않습니다.

애플리케이션 수준의 시각화 주제에 대한 프레젠테이션을 첨부합니다. 이는 Shadow IT 주제에도 적용됩니다. 하지만 이에 대한 자세한 내용은 나중에..

현대 인터넷은 많은 위협으로 가득 차 있으므로 관리자는 네트워크 보안을 보장하는 데 많은 시간을 할애합니다. 다기능 UTM 보안 장치의 등장은 보안 전문가들의 관심을 즉시 끌었습니다. 여러 보안 모듈을 쉽게 배포하고 관리할 수 있도록 결합합니다. 오늘날에는 많은 구현을 찾을 수 있으므로 선택이 때로는 쉽지 않습니다. 널리 사용되는 솔루션의 기능을 이해해 봅시다.

UTM이란 무엇입니까?

네트워크 및 바이러스 공격, 스팸, 안전한 데이터 교환 구성의 필요성이 증가함에 따라 기업에는 안정적이고 관리하기 쉬운 보안 솔루션이 필요합니다. 이 문제는 이기종 보안 시스템을 배포할 기술적, 재정적 능력이 없는 중소기업의 네트워크에서 특히 심각합니다. 그리고 일반적으로 그러한 조직에는 훈련된 전문가가 충분하지 않습니다. 이러한 상황을 위해 UTM(Unified Threat Management, 통합 보안 장치)이라고 하는 다기능 다중 레벨 네트워크 장치가 개발되었습니다. 방화벽에서 발전한 UTM은 오늘날 방화벽과 DPI(심층 패킷 검사), 침입 방지 시스템(IDS/IPS), 스팸 방지, 바이러스 백신, 콘텐츠 필터링 등 여러 솔루션의 기능을 결합합니다. 이러한 장치에는 VPN, 사용자 인증, 로드 밸런싱, 트래픽 계산 등을 구성하는 기능이 있는 경우가 많습니다. 단일 설정 콘솔이 있는 올인원 장치를 사용하면 신속하게 작동할 수 있으며 이후 업데이트도 쉽습니다. 모든 기능을 사용하거나 새로운 기능을 추가하세요. 전문가에게 필요한 것은 보호 대상과 방법을 이해하는 것뿐입니다. UTM 비용은 일반적으로 여러 애플리케이션/장치를 구입하는 것보다 낮으므로 총 비용도 낮습니다.

UTM이라는 용어는 점점 늘어나는 네트워크 공격에 대처할 수 있는 범용 보안 장치를 식별하기 위해 2004년 9월에 발표된 World Wide Threat Management Security Appliances 2004-2008 Forecast에서 IDC(International Data Corporation)의 Charles Kolodgy가 만들어낸 용어입니다. 처음에는 세 가지 기능(방화벽, DPI, 바이러스 백신)만 있다고 가정했지만 이제는 UTM 장치가 제공하는 기능이 훨씬 더 다양해졌습니다.

UTM 시장은 상당히 규모가 크고 연간 25~30%의 성장을 보이고 있으므로(점차적으로 "순수한" 방화벽을 대체함) 거의 모든 주요 업체가 이미 하드웨어와 소프트웨어 모두에서 솔루션을 선보였습니다. 어떤 것을 사용할지는 개발자의 취향과 신뢰, 적절한 지원 여부, 물론 특정 조건의 문제인 경우가 많습니다. 유일한 요점은 계획된 로드를 고려하여 안정적이고 생산적인 서버를 선택해야 한다는 것입니다. 이제 하나의 시스템이 여러 검사를 수행하고 이를 위해서는 추가 리소스가 필요하기 때문입니다. 이 경우 주의가 필요합니다. UTM 솔루션의 특성은 일반적으로 방화벽의 처리량을 나타내며 IPS, VPN 및 기타 구성 요소의 기능은 훨씬 낮은 경우가 많습니다. UTM 서버는 단일 액세스 포인트로, 장애가 발생하면 본질적으로 조직에 인터넷이 연결되지 않으므로 다양한 복구 옵션도 불필요하지 않습니다. 하드웨어 구현에는 메인 CPU의 부하를 완화하기 위해 암호화 또는 컨텍스트 분석과 같은 특정 유형의 데이터를 처리하는 데 사용되는 추가 보조 프로세서가 있는 경우가 많습니다. 그러나 소프트웨어 구현은 모든 PC에 설치될 수 있으며 모든 구성 요소를 문제 없이 업그레이드할 수 있습니다. 이런 점에서 OpenSource 솔루션(Untangle, pfSense, Endian 등)은 소프트웨어 비용을 크게 절약할 수 있어 흥미롭습니다. 이러한 프로젝트의 대부분은 고급 기능과 기술 지원을 갖춘 상용 버전도 제공합니다.

플랫폼: FortiGate
프로젝트 웹사이트: fortinet-russia.ru
라이센스: 유료
구현: 하드웨어

2000년에 설립된 캘리포니아 회사 Fortinet은 오늘날 소규모 사무실(FortiGate-30)부터 데이터 센터(FortiGate-5000)까지 다양한 워크로드를 목표로 하는 UTM 장치의 최대 공급업체 중 하나입니다. FortiGate 장치는 네트워크 위협으로부터 보호하는 하드웨어 플랫폼입니다. 이 플랫폼에는 방화벽, IDS/IPS, 안티 바이러스 트래픽 검사, 안티 스팸, 웹 필터 및 애플리케이션 제어 기능이 탑재되어 있습니다. 일부 모델은 DLP, VoIP, 트래픽 조절, WAN 최적화, 내결함성, 네트워크 서비스 액세스를 위한 사용자 인증, PKI 등을 지원합니다. 활성 프로필 메커니즘을 사용하면 비정형 트래픽을 감지하고 이러한 이벤트에 대한 대응을 자동화할 수 있습니다. 바이러스 백신은 높은 수준의 성능을 유지하면서 아카이브를 포함하여 모든 크기의 파일을 검사할 수 있습니다. 웹 필터링 메커니즘을 사용하면 75개 이상의 웹사이트 카테고리에 대한 액세스를 설정하고 시간에 따른 할당량을 지정할 수 있습니다. 예를 들어 엔터테인먼트 포털에 대한 액세스는 근무 시간 외에만 허용할 수 있습니다. 애플리케이션 제어 모듈은 개별 애플리케이션 및 카테고리에 대해 지정된 트래픽 조절 규칙에 관계없이 일반적인 트래픽(Skype, P2p, IM 등)을 감지합니다. 보안 영역과 가상 도메인을 사용하면 네트워크를 논리적 서브넷으로 나눌 수 있습니다. 일부 모델에는 두 번째 레이어 LAN 스위치 인터페이스와 WAN 인터페이스가 있으며 RIP, OSPF 및 BGP 프로토콜을 통한 라우팅이 지원됩니다. 게이트웨이는 투명 모드, 정적 및 동적 NAT의 세 가지 옵션 중 하나로 구성할 수 있으므로 모든 네트워크에 FortiGate를 쉽게 구현할 수 있습니다. 액세스 포인트를 보호하기 위해 WiFi의 특수 수정인 FortiWiFi가 사용됩니다.
보호된 네트워크 외부에서 작동하는 시스템(Windows PC, Android 스마트폰)을 보호하기 위해 FortiClient 에이전트 소프트웨어를 설치할 수 있습니다. 여기에는 전체 세트(방화벽, 바이러스 백신, SSL 및 IPsec VPN, IPS, 웹 필터, 스팸 방지 등)가 포함됩니다. ). FortiManager 및 FortiAnalyzer는 여러 Fortinet 장치를 중앙에서 관리하고 이벤트 로그를 분석하는 데 사용됩니다.
웹 및 CLI 인터페이스 외에도 FortiGate/FortiWiFi의 기본 구성을 위해 GUI 및 CLI(명령은 Cisco와 유사)에 대한 액세스를 제공하는 FortiExplorer 프로그램(Win 및 Mac OS X에서 사용 가능)을 사용할 수 있습니다.
FortiGate의 기능 중 하나는 콘텐츠 분석 및 네트워크 트래픽 처리를 제공하고 네트워크 성능에 영향을 주지 않고 네트워크 위협을 실시간으로 감지할 수 있는 특수 FortiASIC ​​칩 세트입니다. 모든 장치는 특수 OS인 FortiOS를 사용합니다.

플랫폼: 체크포인트 UTM-1
프로젝트 웹사이트: rus.checkpoint.com
라이센스: 유료
구현: 하드웨어

Check Point는 UTM-1, UTM-1 Edge(원격 사무실) 및 Safe@Office(소규모 회사)의 3가지 UTM 등급 장치 라인을 제공합니다. 솔루션에는 방화벽, IPS, 바이러스 백신 게이트웨이, 스팸 방지, SSL VPN 및 원격 액세스 도구 등 네트워크를 보호하는 데 필요한 모든 것이 포함되어 있습니다. 방화벽은 대부분의 애플리케이션과 서비스(200개 이상의 프로토콜)에 내재된 트래픽을 구분할 수 있으며 관리자는 IM, P2P 네트워크 또는 Skype에 대한 액세스를 쉽게 차단할 수 있습니다. 웹 애플리케이션 보호 및 URL 필터링이 제공되며 Check Point의 데이터베이스에는 쉽게 차단할 수 있는 수백만 개의 사이트가 포함되어 있습니다. 바이러스 백신은 HTTP/FTP/SMTP/POP3/IMAP 스트림을 검사하고 파일 크기에 제한이 없으며 아카이브 작업을 수행할 수 있습니다. 문자 W가 있는 UTM-1 모델에는 Wi-Fi 액세스 포인트가 내장되어 있습니다.
IPS는 취약성 서명, 프로토콜 및 개체 동작 분석, 이상 탐지 등 다양한 탐지 및 분석 방법을 사용합니다. 분석 메커니즘은 중요한 데이터를 계산할 수 있으므로 트래픽의 10%를 주의 깊게 확인하고 나머지는 추가 확인 없이 통과합니다. 이는 시스템의 부하를 줄이고 UTM의 효율성을 높입니다. 스팸 방지 시스템은 IP 평판, 콘텐츠 분석, 블랙리스트 및 화이트리스트 등 여러 기술을 사용합니다. 동적 라우팅 OSPF, BGP 및 RIP를 지원하고 여러 사용자 인증 방법(비밀번호, RADUIS, SecureID 등), DHCP 서버가 구현됩니다.
이 솔루션은 필요한 경우 기능을 원하는 수준으로 확장하여 필요한 수준의 보안과 비용을 제공할 수 있는 소위 소프트웨어 블레이드라고 하는 모듈식 아키텍처를 사용합니다. 이러한 방식으로 게이트웨이에 웹 보안 블레이드(웹 인프라 감지 및 보호), VoIP(VoIP 보호), 고급 네트워킹, 가속 및 클러스터링 블레이드(분기 환경에서 최대 성능 및 가용성)를 장착할 수 있습니다. 예를 들어 웹 보안에 사용되는 웹 애플리케이션 방화벽(Web Application Firewall)과 고급 스트리밍 검사(Advanced Streaming Inspection) 기술을 사용하면 컨텍스트가 여러 개의 TCP 패킷으로 분할되더라도 실시간으로 처리할 수 있고, 헤더를 교체하고, 사용된 애플리케이션에 대한 데이터를 숨기고, 사용자를 리디렉션할 수 있습니다. 오류에 대한 자세한 설명이 포함된 페이지로 이동합니다.
웹과 Telnet/SSH를 이용하여 원격제어가 가능합니다. 여러 장치를 중앙 집중식으로 설정하려면 Check Point SmartCenter를 사용할 수 있습니다. SMART(보안 관리 아키텍처) 기술을 사용하면 보안 정책에 포함된 모든 Check Point 요소를 관리할 수 있습니다. 정책 시각화, LDAP 통합, 업데이트, 보고서 등을 제공하는 추가 모듈을 통해 SmartCenter 기능이 확장됩니다. 모든 UTM 업데이트는 Check Point 업데이트 서비스를 사용하여 중앙에서 수신됩니다.

플랫폼: ZyWALL 1000
프로젝트 웹사이트: zyxel.ru
라이센스: 유료
구현: 하드웨어

ZyXEL이 생산하는 대부분의 보안 게이트웨이는 기능상 UTM으로 안전하게 분류될 수 있지만 공식 분류자에 따르면 현재 이 라인에는 중소 규모를 겨냥한 5개의 ZyWALL USG 50/100/300/1000/2000 모델이 포함되어 있습니다. 네트워크(최대 500명의 사용자). ZyXEL 용어에서는 이러한 장치를 "네트워크 보안 센터"라고 합니다. 예를 들어, ZyWALL 1000은 네트워크 보안 및 트래픽 관리 문제를 해결하도록 설계된 고속 액세스 게이트웨이입니다. Kaspersky 스트리밍 안티 바이러스, IDS/IPS, 콘텐츠 필터링 및 스팸 방지 보호(Blue Coat 및 Commtouch), 대역폭 제어 및 VPN(IPSec VPN을 통한 IPSec, SSL 및 L2TP)이 포함됩니다. 그건 그렇고, 구매할 때 국제 또는 러시아 펌웨어에주의를 기울여야합니다. 후자의 경우 관세 동맹 제한으로 인해 IPsec VPN 및 SSL VPN 터널에 56비트 DES 키가 사용됩니다.
액세스 정책은 여러 기준(IP, 사용자 및 시간)을 기반으로 합니다. 콘텐츠 필터링 도구를 사용하면 특정 주제에 대한 사이트 액세스와 특정 프로그램 IM, P2P, VoIP, 메일 등의 작동을 쉽게 제한할 수 있습니다. IDS 시스템은 서명을 사용하고 네트워크 웜, 트로이 목마, 백도어, DDoS 및 악용으로부터 보호합니다. 이상 탐지 및 방지 기술은 OSI 레이어 2 및 3의 게이트웨이를 통과하는 패킷을 분석하여 불일치를 식별하고 32가지 유형의 네트워크 공격을 식별 및 차단합니다. 엔드포인트 보안 기능을 사용하면 OS 유형, 활성 바이러스 백신 및 방화벽의 존재 여부, 설치된 업데이트의 존재 여부, 실행 중인 프로세스, 레지스트리 설정 등을 자동으로 확인할 수 있습니다. 관리자는 특정 매개변수를 충족하지 않는 시스템의 네트워크 액세스를 금지할 수 있습니다.
다중 인터넷 액세스 예약 및 로드 밸런싱을 구현했습니다. SIP 및 H.323 프로토콜을 통한 VoIP 전송은 방화벽 및 NAT 수준과 VPN 터널에서 가능합니다. 간단한 VLAN 구성 및 가상 별칭 인터페이스 생성이 제공됩니다. LDAP, AD, RADIUS를 사용한 인증이 지원되므로 조직에서 이미 채택한 규칙을 기반으로 보안 정책을 구성할 수 있습니다.
주요 구성 요소의 기반에 대한 업데이트와 일부 기능(Commtouch 스팸 방지, VPN 터널 수 증가)의 활성화는 연결 카드를 사용하여 수행됩니다. 구성은 CLI와 웹 인터페이스를 사용하여 수행됩니다. 기술자가 초기 설치를 도와줄 것입니다.

OS: Untangle Server 9.2.1 크루저
프로젝트 웹사이트: untangle.com
라이센스: GPL
구현: 소프트웨어
하드웨어 플랫폼: x86, x64
시스템 요구 사항: Pentium 4 또는 유사한 AMD, 1GB RAM, 80GB 디스크, NIC 2개.

모든 *nix 배포판은 완전한 UTM 솔루션으로 구성될 수 있습니다. 이에 필요한 모든 것은 패키지 저장소에서 사용할 수 있습니다. 그러나 단점도 있습니다. 모든 구성 요소를 독립적으로 설치하고 구성해야 하며(이미 약간의 경험이 필요함), 중요한 것은 단일 관리 인터페이스가 없다는 것입니다. 따라서 이러한 맥락에서 OpenSource 시스템을 기반으로 구축된 기성 솔루션은 매우 흥미롭습니다.
동명의 회사에서 제작한 Untangle 배포판은 2008년에 등장했고 그 접근 방식으로 즉시 커뮤니티의 관심을 끌었습니다. Debian을 기반으로 하며 모든 설정은 간단하고 직관적인 인터페이스를 사용하여 이루어집니다. 처음에 이 배포판은 Untangle Gateway라고 불렸으며 안전한 인터넷 액세스를 제공하고 다양한 위협으로부터 내부 네트워크를 보호하기 위해 독점 Forefront TMG를 완전히 대체하기 위해 소규모 조직(최대 사용자 300명)에서 사용하기 위한 것이었습니다. 시간이 지남에 따라 배포판의 기능과 능력이 더 넓어지고 이름이 Untangle Server로 변경되었으며 배포판은 이미 더 많은 수의 사용자(서버 성능에 따라 최대 5000명 이상)를 지원할 수 있습니다.
처음에는 Untangle의 보안 기능이 모듈 형태로 구현됩니다. 기본 시스템을 설치한 후에는 보호 모듈이 없으며 관리자가 필요한 것을 독립적으로 선택합니다. 편의를 위해 모듈은 5개의 패키지(Premium, Standard, Education Premium Education Standard 및 Lite)로 나뉘며, 그 가용성은 라이센스에 따라 결정되며 패키지 자체는 목적에 따라 필터와 서비스의 두 그룹으로 나뉩니다. 모든 OpenSource 애플리케이션은 바이러스 및 스파이웨어에 대한 트래픽 검사, 콘텐츠 필터, 배너 및 스팸 차단, 방화벽, 프로토콜 제어, IDS/IPS, OpenVPN, 액세스 정책(Captive Portal)을 제공하는 13개의 애플리케이션이 포함된 무료 Lite로 수집됩니다. Lite 패키지에 포함된 보고서 모듈을 사용하면 관리자는 네트워크 활동, 프로토콜, 감지된 스팸 및 바이러스, 결과를 이메일로 보내고 PDF, HTML, XLS로 내보낼 수 있는 사용자 활동 등 가능한 모든 상황에 대한 보고서를 받을 수 있습니다. , CSV 및 XML. 이는 Snort, ClamAV, SpamAssasin, Squid 등과 같은 널리 사용되는 OpenSource 애플리케이션을 기반으로 합니다. 또한 Untangle 서버는 라우팅, NAT, DMZ, QoS 등 모든 네트워크 기능을 제공하며 DHCP 및 DNS 서버를 갖추고 있습니다.
상용 패키지에는 로드 밸런싱 및 장애 조치, 채널 및 애플리케이션 대역폭 제어, Active Directory 작업을 위한 모듈, 백업 설정 및 기타 기능이 포함되어 있습니다. 지원은 유료로 제공되지만 많은 질문에 대한 답변은 공식 포럼에서 찾을 수 있습니다. 또한 이 프로젝트는 Untangle이 사전 설치된 기성 서버를 제공합니다.
구성을 위해 Java로 작성된 편리한 인터페이스가 제공되며 모든 변경 사항과 운영 통계가 실시간으로 표시됩니다. Untangle을 사용하여 작업할 때 관리자는 *nix에 대한 깊은 지식이 필요하지 않으며 결과적으로 무엇을 얻을 수 있는지 이해하는 것만으로도 충분합니다. 배포판 설치는 매우 간단합니다. 마법사의 지시를 따르기만 하면 나중에 다른 마법사가 게이트웨이 구성을 도와줄 것입니다.

엔디안 방화벽

OS: 엔디안 방화벽 커뮤니티 2.5.1
프로젝트 웹사이트: endian.com/en/community
라이센스: GPL
하드웨어 플랫폼: x86
시스템 요구 사항: CPU 500MHz, 512MB RAM, 2GB

Endian Firewall 개발자는 하드웨어 및 소프트웨어 플랫폼으로 구현된 여러 버전의 제품을 제공합니다. 가상 머신용 버전도 있습니다. 모든 릴리스는 GPL에 따라 라이센스가 부여되지만 Community Edition ISO 이미지와 소스 코드만 무료로 다운로드할 수 있습니다. 운영 체제는 CentOS를 기반으로 하며 방화벽 기능, IDS/IPS, HTTP/FTP/POP3/SMTP 트래픽의 바이러스 백신 검사, 스팸 방지 보호, 콘텐츠 필터, 스푸핑 방지 및 안티 바이러스를 제공하는 모든 Linux 관련 애플리케이션을 포함합니다. -피싱 모듈 및 보고 시스템. 키 또는 인증서 인증을 통해 OpenVPN 및 IPsec을 사용하여 VPN을 생성할 수 있습니다. 콘텐츠 필터에는 사이트의 20개 이상의 카테고리 및 하위 카테고리에 대한 기성 설정이 포함되어 있으며 블랙리스트 및 상황별 필터링 기능이 있습니다. ACL을 사용하면 개별 사용자, 그룹, IP, 시간 및 브라우저에 대한 액세스 매개변수를 지정할 수 있습니다. 연결, 트래픽 및 사용자 경험에 대한 통계가 유지됩니다. 특정 이벤트가 발생하면 관리자의 이메일로 메시지가 전송됩니다. 로컬 사용자 인증, Active Directory, LDAP 및 RADIUS가 제공됩니다. 인터페이스를 사용하면 VLAN 생성, QoS 관리 및 SNMP 지원이 쉬워집니다. 처음에는 배포 키트에 ClamAV 바이러스 백신이 포함되어 있으며 선택적으로 Sophos 바이러스 백신 엔진을 사용할 수도 있습니다.
설정에는 웹 인터페이스와 명령줄이 사용됩니다. 초기 설치는 인터넷 연결 유형을 설정하고 인터페이스(LAN, WiFi, DMZ)를 할당할 수 있는 마법사를 사용하여 수행됩니다. 다중 IP 주소를 외부 인터페이스에 할당할 수 있으며 MultiWAN이 지원됩니다. 간편한 설정을 위해 네트워크 인터페이스는 RED, ORANGE, BLUE 및 GREEN 영역으로 구분됩니다. 방화벽 규칙에는 이미 이들 간의 교환을 결정하는 설정이 포함되어 있습니다. 설정은 그룹으로 나누어져 있으며, 그 이름은 적절한 주의를 기울여 이해하기 쉽습니다.

결론

복잡한 UTM 시스템은 방화벽과 같은 기존 솔루션을 점차 대체하고 있으므로 자세히 살펴볼 가치가 있습니다. 특정 조건에 따라 다양한 옵션이 적합합니다. OpenSource Endian Firewall과 Untangle은 중소 규모 네트워크를 보호하는 데 상당한 능력을 갖추고 있습니다. 물론 UTM은 개별 PC에 설치된 보안 조치를 대체하는 것이 아니라 보완하여 LAN 입구에 추가 보호 라인을 생성합니다.

UTM 시스템이라고도 불리는 범용 통합 위협 관리 장치는 컴퓨터 보안을 보장하기 위해 만들어졌습니다. 기존 유형의 방화벽으로는 점점 더 정교해지는 네트워크 공격에 더 이상 대처할 수 없었기 때문에 디지털 데이터 보호를 위한 방화벽 사용이 2004년부터 시작되었습니다. 통합 위협 관리는 표준 방화벽을 수정한 것이므로 개인 데이터 보호를 보장하는 기능을 포함합니다. 이는 UTM 솔루션에 검색 작업을 포함하고 네트워크 위협, 바이러스 백신, 방화벽 및 VPN을 방지함으로써 가능해집니다.

통신과 글로벌 정보기술을 연구하는 기업인 IDC가 '통합위협관리'라는 용어를 처음으로 사용했다. UTM의 가장 큰 장점은 시스템이 바이러스 백신, 콘텐츠 필터, IPS(침입 및 네트워크 공격 방지 서비스) 등 사용자에게 필요한 모든 기능을 동시에 수행하는 단일 복합체라는 것입니다. 이는 여러 장치를 동시에 관리하는 것보다 훨씬 편리하고 효율적입니다. 동시.

UTM 아키텍처

UTM은 소프트웨어 솔루션(전용 서버 또는 가상 머신에 설치)과 소프트웨어 및 하드웨어 복합체로 구현될 수 있습니다. 후자의 경우 범용 중앙 프로세서뿐만 아니라 여러 특수 프로세서도 계산에 사용됩니다. 이 특성 덕분에 UTM 게이트웨이의 작동 속도는 1Gbps 이상에 도달할 수 있습니다.

콘텐츠 프로세서

의심스러운 네트워크 패킷과 보관된 파일을 고속 처리하고 메모리에 이미 기록된 위협 유형과 비교하도록 설계되었습니다. 트래픽은 네트워크를 통해 직접 처리되지 않고 범용 CPU에서 처리되므로 IPS 및 바이러스 백신 서비스와 논리적으로 관련된 작업의 계산 속도가 빨라집니다.

네트워크 프로세서

네트워크 스트림의 고속 처리를 제공하여 다른 시스템 구성 요소의 로드를 줄입니다. 또한 암호화, 네트워크 주소 변환 및 TCP 세그먼트 처리를 수행합니다. 보안 서비스를 우회하기 위해 데이터가 조각화되어 있는 경우에도 위협을 계산할 수 있으며, 이를 정렬하여 최종 데이터 패킷의 실제 목적을 계산합니다.

보안 프로세서

바이러스 백신, 데이터 손실 방지 서비스 및 IPS(네트워크 침입 방지) 서비스의 성능을 크게 향상시킬 수 있습니다. 계산하기 어려운 작업을 수행하므로 CPU 부담이 크게 줄어듭니다.

소프트웨어 구성 요소

방화벽

다단계 방화벽은 네트워크 수준뿐만 아니라 애플리케이션 수준의 공격으로부터 사용자를 보호합니다. 내부 데이터에 대한 액세스는 인증 후에만 수행되므로 인증된 사용자에게만 액세스가 보장됩니다. 다양한 사용자에 대해 다양한 수준의 액세스 권한을 생성할 수 있습니다. 조직 네트워크의 내부 아키텍처를 공개하지 않고 네트워크 주소의 NAT 변환이 지원됩니다.

IPSEC VPN

암호화 도메인 또는 라우팅 규칙을 기반으로 보안 VPN 네트워크를 빠르고 쉽게 생성하여 암호화, 인증 및 액세스 제어 기능을 결합합니다. 원격 사용자, 개체 및 네트워크를 안전하게 연결할 수 있습니다.

URL 필터링

직원이 지정된 웹 페이지 목록에 액세스하지 못하도록 차단하여 원치 않는 사이트를 필터링합니다. 콘텐츠 유형별로 분류할 수 있는 대규모 URL 데이터베이스로 작업할 수 있습니다. 개별 사용자나 서버에 대해 화이트리스트 또는 블랙리스트를 생성할 수 있습니다.

바이러스 백신 및 스팸 방지

바이러스 검사는 사용자의 하드 드라이브(보안 게이트웨이)에 도달하기 전에 수행됩니다. 일반적으로 가장 일반적으로 사용되는 프로토콜(POP3/IMAP4, FTP, HTTP, SMTP)이 지원됩니다. 또한 바이러스 백신은 일반적으로 압축 파일을 검사할 수 있습니다.

스팸은 메시지가 수신된 IP 주소의 평판을 연구하고 수신된 데이터 패킷이 블랙리스트와 화이트리스트를 준수하는지 확인하여 차단됩니다. 메일에는 IPS가 제공되어 DDoS 공격과 버퍼 오버플로 공격으로부터 메일을 보호합니다. 편지의 전체 내용을 검사하여 악성 코드와 프로그램을 검사합니다.

클러스터링

처리량을 늘리고 이를 오프로드하여 컴퓨팅 코어에 로드를 균일하게 분산함으로써 방화벽의 성능을 향상시키기 위해 구현되었습니다. 백업 게이트웨이 간의 트래픽을 적절하게 배포하면 높은 수준의 내결함성을 달성하고 한 게이트웨이에서 다른 게이트웨이로 오류가 발생할 경우 트래픽을 리디렉션할 수 있습니다.

안전한 웹서핑

현재 웹 세션에 악성 코드가 있는지 검사합니다. 실행코드의 존재여부는 물론 위험도까지 판단하여 악성코드가 사용자의 컴퓨터에 도달하기 전에 차단할 수 있습니다. HTTP 응답에서 서버에 대한 정보를 숨겨 가능한 네트워크 공격을 방지할 수 있습니다.

외모의 전제 조건

대기업 및 기업의 서버에 대한 네트워크 공격 및 해킹이 증가함에 따라 시스템에 바이러스 및 웜을 퇴치할 수 있는 UTM 게이트웨이 구현의 필요성이 명백해졌습니다.

오늘날 취약하게 보호되는 시스템을 해킹하는 방법에는 여러 가지가 있습니다. 현대 기업이 직면한 주요 문제는 내부 데이터의 보안 부족과 직원 정보에 대한 무단 액세스입니다. 데이터 보안이 부족하면 막대한 재정적 손실이 발생합니다. 그러나 비교적 최근에야 기업에서는 회사 직원의 정보 액세스를 제어해야 할 필요성을 인식하기 시작했습니다. 네트워크 내 데이터를 보호하기 위한 전문 도구를 무시하면 기밀 데이터가 공개되고 손상될 수 있습니다.

UTM 솔루션의 목적은 제3자로부터 데이터를 보호하는 데 필요한 모든 범위의 애플리케이션을 제공하는 것입니다. 간단하고 사용하기 쉬운 UTM 시스템은 지속적으로 발전하고 있어 점점 더 복잡해지는 네트워크 공격에 대응하고 적시에 제거할 수 있습니다.

UTM 솔루션은 차세대 방화벽, 즉 NGFW(차세대 방화벽) 형태와 유사합니다. 기능면에서 이 장치는 UTM과 매우 유사하지만 통합 위협 관리의 경우처럼 중소 기업용이 아니라 대기업용으로 개발되었습니다. 처음에 NGFW 제작자는 포트와 프로토콜별 필터링을 결합하여 네트워크 공격을 보호하는 기능과 애플리케이션 수준에서 트래픽을 분석하는 기능을 제공하려고 했습니다.

현재 UTM 시장

최신 시장 조사에 따르면 UTM 시장은 2016~2020년 동안 약 15% 성장할 것으로 예상된다. UTM 솔루션의 주요 제공업체:

• 델 소닉 월
• 시스코(시스코 ASA-X)
• 체크포인트 소프트웨어 기술
• 주니퍼 네트웍스
• Kerio(GFI에서 인수)

UTM 솔루션 국내 개발자:

• A-Real (인터넷 제어 서버)
• Smart-Soft(TrafficInspector)

UTM: 포괄적인 솔루션

하나의 기능만을 수행하는 것을 목표로 하는 네트워크 솔루션의 사용은 서로 관리하고 통합하는 복잡성과 관련 높은 시간 및 재정적 자원으로 인해 더 이상 정당화되지 않습니다. 오늘날 네트워크 보안에는 이전에 개별적으로 작동했던 시스템의 기능을 결합하는 통합 접근 방식이 필요합니다. 이를 통해 더 짧은 시간에 더 높은 효율성으로 높은 생산성과 최적의 문제 해결이 보장됩니다.

여러 개의 서로 다른 장치 대신 하나의 UTM 솔루션을 사용하면 회사의 네트워크 보안 전략을 더 쉽게 관리할 수 있습니다. UTM 게이트웨이의 모든 구성 요소 구성은 하나의 콘솔에서 수행됩니다. 이전에는 여러 계층의 소프트웨어 및 하드웨어가 필요했습니다.

원격 사무실과 서버가 있는 기업에서 UTM 솔루션은 원격 네트워크 및 보호에 대한 중앙 집중식 관리를 제공합니다.

장점

사용되는 장치 수를 줄입니다.

사용되는 소프트웨어의 양과 지원을 위한 재정적 비용을 줄입니다.

쉽고 직관적인 컨트롤. 다양한 설정, 웹 인터페이스 및 확장 가능한 아키텍처의 가용성

하나의 장치만 사용하므로 직원 교육이 더 빨라집니다.

결함

UTM은 단일 실패 지점 솔루션이지만 일부 솔루션은 클러스터링을 지원합니다.

UTM 시스템이 최대 네트워크 데이터 속도를 지원하지 않는 경우 네트워크 처리량 및 응답 시간이 영향을 받을 수 있습니다.