مرحبا بالجميع!
نواصل سلسلة من المقالات حول موضوع تكامل تكنولوجيا المعلومات المتكاملة.
واليوم نريد أن نتحدث عن أحد التطورات المحلية التي يمكننا ، بوصفنا مكملة ، أن نقدم لعملائنا حل مشكلة ضمان أمن محيط الشبكة. هذا صحيح بشكل خاص في سياق السياسات القطاعية ومتطلبات استبدال الواردات.
كان فرض العقوبات تحديًا ، بما في ذلك بالنسبة للمهندسين الذين حصلوا على شهادات ، وقاعدة معرفة ضخمة حول حلول البائعين الأجانب ، لكن في مرحلة ما أجبروا على التحول سريعًا إلى "الموجة الجديدة" ، وبدأوا فعلًا الكثير من جديد.
كان على المطورين المحليين أيضًا الوصول إلى مستوى جديد من أجل تقديم بديل مناسب على الفور لقادة حلول تكنولوجيا المعلومات. الآن يمكننا أن نقول بالفعل أنهم يقومون بعمل جيد. دعنا ننتقل إلى مثال معين ، وهو شاشة برنامج UserGate Internet. دعونا نفكر بإيجاز في المهام التي تسمح لنا بحلها وما هي إمكانيات التنمية التي تكمن فيها.
لذلك ، دعونا نتحدث عن ما يقدمه برنامج UserGate من الناحية الوظيفية ، وفي المجالات التي يمكن تطبيقها.
الشكل 1 - وظائف جدران الحماية لبرنامج UserGate
الشكل 2 - مجالات التطبيق لجدران برنامج UserGate الناريةخصص المطورين الكثير من الوقت لإنشاء نظام أساسي خاص بهم ، والذي لا يعتمد على استخدام شفرة المصدر الخاصة بشخص آخر ووحدات الطرف الثالث. يعمل برنامج UserGate على أساس نظام التشغيل UG OS الذي تم إنشاؤه خصيصًا والمدعوم باستمرار والمتطور.
في الواقع ، يعد UserGate بوابة إنترنت عالمية لفئة إدارة التهديدات الموحدة (حماية موحدة للتهديدات) ، تجمع بين وظائف جدار الحماية وجهاز التوجيه ومكافحة فيروسات البوابة ونظام الكشف عن الاختراق والوقاية منه (SOV) وخادم VPN ونظام تصفية المحتوى ووحدة مراقبة المحتوى والإحصاءات وأكثر من ذلك. يتيح لك المنتج إدارة شبكة الشركة وتحسين حركة المرور التي تستخدمها ومنع تهديدات الإنترنت بشكل فعال.
دعونا نلقي نظرة فاحصة على ما يقدمه برنامج UserGate فيما يتعلق بوظيفة أمان الشبكة والحماية من تهديدات الشبكة.
جدار الحماية
يقوم جدار حماية الجيل التالي المدمج من برنامج UserGate (NGFW - جدار حماية الجيل التالي) بتصفية حركة المرور عبر بروتوكولات معينة (على سبيل المثال ، TCP ، UDP ، IP) ، وبالتالي حماية الشبكة من هجمات المتسللين وأنواع مختلفة من عمليات الاقتحام القائمة على استخدام هذه البروتوكولات.
كشف التسلل والوقاية منه
يسمح لك نظام كشف التسلل والوقاية منه (SRO) بالتعرف على النشاط الضار داخل الشبكة. الهدف الرئيسي من النظام هو الكشف عن التهديدات وتسجيلها والوقاية منها في الوقت الفعلي ، بالإضافة إلى تقديم التقارير. يمكن للمسؤول إنشاء ملفات تعريف COB متعددة (مجموعات من التوقيعات ذات الصلة بحماية خدمات معينة) وتعيين قواعد COB التي تحدد الإجراءات لنوع حركة المرور المحددة ، والتي سيتم فحصها من قبل وحدة COB وفقا لملفات التعريف المعينة.
مكافحة الفيروسات فحص حركة المرور
يسمح لك برنامج UserGate Streaming Antivirus بتوفير فحص مكافحة الفيروسات لحركة المرور دون التضحية بأداء الشبكة وسرعتها. وفقًا للبائع ، تستخدم الوحدة قاعدة بيانات شاملة للتوقيع يتم تحديثها باستمرار. كحماية إضافية ، يمكن توصيل وحدة تحليل مجريات الأمور.
التحقق من حركة البريد الإلكتروني
يمكن لبرنامج UserGate معالجة حركة مرور البريد العابر (SMTP (S) ، POP3 (S)) ، وتحليل مصدرها ، وكذلك محتويات الرسالة والمرفقات ، والتي تضمن حماية موثوقة ضد هجمات البريد العشوائي والفيروسات والتزوير والتصيد. يوفر برنامج UserGate أيضًا القدرة على تكوين تصفية البريد بمرونة حسب مجموعة المستخدمين.
العمل مع أنظمة الأمن الخارجية
من الممكن نقل HTTP / HTTPS وحركة البريد (SMTP ، POP3) إلى خوادم ICAP الخارجية ، على سبيل المثال ، لمسح مكافحة الفيروسات أو لتحليل البيانات المرسلة بواسطة المستخدمين بواسطة أنظمة DLP. يمكن للمسؤول تحديد حركة المرور المطلوبة لإرسالها إلى ICAP ، وكذلك تكوين العمل مع مزارع الخوادم.
إدارة TP ASU
في الإصدار الجديد من النظام الأساسي ، أصبح من الممكن تكوين وإدارة نظام التحكم الآلي في العمليات للإنتاج التكنولوجي (ACS TP). يمكن للمسؤول التحكم في حركة المرور من خلال تكوين قواعد للكشف عن الأحداث وحظرها وتسجيلها. يتيح لك ذلك أتمتة العمليات الأساسية للعملية ، مع الحفاظ على القدرة على التحكم والتدخل إذا لزم الأمر.
وضع سياسات الأمن باستخدام البرامج النصية
يمكن لـ UserGate تقليل الوقت بين اكتشاف الهجوم ورد الفعل إليه بشكل كبير بفضل أتمتة الأمان باستخدام آلية البرمجة النصية (SOAR - تزامن الأمان والأتمتة والاستجابة). هذا المفهوم في ذروة الشعبية ويسمح للمسؤول بإنشاء نصوص (التشغيل وفقًا للخطة أو عند اكتشاف هجوم) ، حيث تتم كتابة الإجراءات التلقائية استجابة لأحداث معينة. يوفر هذا النهج تكوينًا مرنًا لسياسات الأمان ، ويقلل من مشاركة الإنسان بسبب أتمتة المهام المتكررة ، كما يتيح أيضًا تحديد أولويات السيناريوهات للاستجابة السريعة للتهديدات الحرجة.
الآن دعونا نرى ما التقنيات التي يقدمها برنامج UserGate لتوفير حلول لمشاكل التسامح والموثوقية.
التجميع ودعم الفشل
يدعم برنامج UserGate نوعين من الكتل: مجموعة التكوين ، والتي تتيح لك تحديد إعدادات موحدة للعقد داخل المجموعة ، ومجموعة تجاوز الفشل ، مصممة لضمان التشغيل المتواصل للشبكة. يمكن أن تعمل مجموعة تجاوز الفشل في وضعين: Asset-Asset و Asset-Passive. كلاهما يدعم تزامن جلسات المستخدم ، والذي يوفر الشفافية للمستخدمين الذين يقومون بتبديل حركة المرور من عقدة إلى أخرى.
FTP عبر HTTP
تسمح لك وحدة FTP عبر HTTP بالوصول إلى محتويات خادم FTP من متصفح المستخدم.
دعم لمقدمي متعددة
عند توصيل النظام بعدة موفرين ، يتيح لك برنامج UserGate تكوين بوابة لكل منهم لتوفير الوصول إلى الإنترنت. يمكن للمسؤول أيضًا ضبط موازنة حركة المرور بين الموفرين من خلال الإشارة إلى وزن كل عبّارة ، أو تحديد إحدى العبّارات باعتبارها البوابة الرئيسية مع التبديل إلى الموفرين الآخرين إذا كانت البوابة الرئيسية غير متوفرة.
إدارة عرض النطاق الترددي
تُستخدم قواعد التحكم في النطاق الترددي للحد من القناة لمستخدمين محددين أو مضيفين أو خدمات أو تطبيقات محددة. من بين أشياء أخرى ، تتمتع منتجات UserGate بوظائف واسعة إلى حد ما لتوجيه حركة المرور ونشر الموارد المحلية.
يتيح لك برنامج UserGate استخدام التوجيه الثابت والديناميكي. يتم تنفيذ التوجيه الديناميكي باستخدام بروتوكولي OSPF و BGP ، مما يجعل من الممكن استخدام برنامج UserGate في شبكة مؤسسة موجهة معقدة. يمكن للمسؤول إنشاء قواعد NAT في النظام (لتزويد المستخدمين بإمكانية الوصول إلى الإنترنت) ، وكذلك قواعد للنشر الآمن للموارد الداخلية على الإنترنت باستخدام الوكلاء العكسيين لـ HTTP / HTTPS و DNAT للبروتوكولات الأخرى.
من حيث المبدأ ، لا شيء مبتكر ، ولكن لكي يشعر مهندسو العميل بالهدوء النسبي ، فإن هذه التقنيات كافية تمامًا.
إدارة المرور والتحكم في الوصول إلى الإنترنت
إذا كان لديك وصول إلى الإنترنت ، فهناك مهمة التحكم في حركة المرور. منذ وقت ليس ببعيد ، كان معظم العملاء من الشركات مهتمين في المقام الأول بتقليل تكلفة الوصول إلى الإنترنت (خاصة بالنسبة للشركات الصغيرة) والأمن (جميع أنواع برامج مكافحة الفيروسات نجحت في حل هذه المشكلة لفترة طويلة). اليوم ، يتم إيلاء المزيد والمزيد من الاهتمام لكيفية استخدام الموظفين للشبكة وكيفية التأكد من أن أفعالهم لا تهدد أمن الخدمات الحيوية للأعمال.
يوفر استخدام وحدة فلترة الإنترنت تحكمًا إداريًا على استخدام الإنترنت ويمنع الزيارات إلى الموارد التي يحتمل أن تكون خطرة ، وكذلك ، عند الضرورة ، المواقع غير العاملة. لتحليل أمان الموارد التي يطلبها المستخدمون ، يتم استخدام خدمات السمعة وأنواع MIME من المحتوى (الصور ومقاطع الفيديو والنصوص وما إلى ذلك) والقواميس المورفولوجية الخاصة التي يوفرها برنامج UserGate ، وكذلك قوائم عناوين URL باللونين الأبيض والأسود. باستخدام Useragent ، يمكن للمسؤول حظر أو السماح بالعمل مع نوع معين من المتصفح. يوفر برنامج UserGate القدرة على إنشاء قوائم بالأبيض والأسود الخاصة بك ، وقواميس ، وأنواع MIME ، وقواميس صرفية و Useragent ، وتطبيقها على المستخدمين ومجموعات المستخدمين. حتى المواقع الآمنة يمكن أن تحتوي على صور غير مرغوب فيها على لافتات تكون محتوياتها مستقلة عن مالك المورد. برنامج UserGate يحل هذه المشكلة عن طريق حظر الشعارات ، وحماية المستخدمين من المحتوى السلبي. برنامج UserGate ، في رأينا ، لديه وظيفة شيقة للغاية تتمثل في حقن الشفرة في صفحات الويب. يسمح لك بإدراج الكود الضروري في جميع صفحات الويب التي يعرضها المستخدم. علاوة على ذلك ، يمكن للمسؤول تلقي مقاييس متنوعة لكل عنصر من عناصر الصفحة ، وإذا لزم الأمر ، إخفاء عناصر مختلفة من الظهور على صفحات الويب.
باستخدام تقنية MITM (Man In The Middle) ، من الممكن تصفية ليس فقط حركة المرور العادية ، ولكن أيضًا تشفير حركة المرور (بروتوكولات HTTPS و SMTPS و POP3S) وتوقيعها باستخدام شهادة جذر موثوق بها للتشفير بعد التحليل. يسمح لك النظام بتكوين التحقق من حركة المرور بشكل انتقائي ، على سبيل المثال ، عدم فك تشفير موارد فئة "التمويل".
يساعد برنامج UserGate في إجبار ميزة البحث الآمن على تنشيط Google و Yandex و Yahoo و Bing و Rambler و Ask وبوابة YouTube. بمساعدة هذه الحماية ، يمكن تحقيق كفاءة عالية ، على سبيل المثال ، عن طريق تصفية الردود على الطلبات حسب محتوى الرسوم أو الفيديو. يمكنك أيضًا حظر محركات البحث التي لا تحتوي على ميزة بحث آمنة. بالإضافة إلى ذلك ، لدى المسؤولين أدوات لحظر الألعاب والتطبيقات على الشبكات الاجتماعية الأكثر شعبية ، على الرغم من إمكانية الوصول إلى الشبكات الاجتماعية ذاتها.
تدعم المنصة آليات ترخيص المستخدم المختلفة: البوابة الأسيرة ، Kerberos ، NTLM ، في حين أن الحسابات يمكن أن تأتي من مصادر مختلفة - LDAP ، الدليل النشط ، FreeIPA ، TACACS + ، Radius ، SAML IDP. يسمح لك تفويض SAML IDP أو Kerberos أو NTLM بالشفافية (دون طلب اسم مستخدم وكلمة مرور) لتوصيل المستخدمين في مجال Active Directory. يمكن للمسؤول تكوين قواعد الأمان ، وعرض القناة ، وقواعد جدار الحماية ، وتصفية المحتوى والتحكم في التطبيق للمستخدمين الفرديين ، ومجموعات المستخدمين ، وكذلك جميع المستخدمين المعروفين أو غير المعروفين. بالإضافة إلى ذلك ، يدعم المنتج تطبيق قواعد الأمان لمستخدمي خدمات المحطة الطرفية باستخدام وكلاء خاصين (وكلاء خدمات المحطة الطرفية) ، وكذلك استخدام وكيل ترخيص لأنظمة تشغيل Windows. لضمان قدر أكبر من الأمان للحسابات ، من الممكن استخدام المصادقة متعددة العوامل باستخدام الرموز المميزة لـ TOTP (خوارزمية كلمة مرور الوقت المستندة إلى الوقت) أو الرسائل القصيرة أو البريد الإلكتروني. يمكن أن تكون وظيفة توفير الوصول المؤقت إلى الشبكة مفيدة للضيف اللاسلكي مع التأكيد عبر البريد الإلكتروني أو الرسائل القصيرة. في هذه الحالة ، يمكن للمسؤولين إنشاء إعدادات أمان منفصلة لكل عميل مؤقت.
استنتاج
حاولنا في هذه المقالة التحدث باختصار عن الوظيفة التي يتم تنفيذها على نظام جدار حماية برنامج UserGate. حتى الآن ، ظلت تقنيات تنظيم الشبكات الافتراضية لشبكة موزعة جغرافيا ، ووصول مستخدم آمن إلى موارد الشركة ، وما إلى ذلك ، خارج الأقواس.
كل هذه الموضوعات ، وصولاً إلى أمثلة على تكوينات التقنيات المختلفة ، تم التخطيط لها في المقالات التالية على منصة برنامج UserGate.