Für diejenigen, die eine Firewall wählen

Einführung

Es war einmal eine Zeit, in der das einzige Mittel zum Schutz des Netzwerkumfangs ein Router von einem alten Computer mit einem kostenlosen UNIX-ähnlichen Betriebssystem sein konnte, z. B. FreeBSD und einer regulären Firewall.

Heute haben Systemadministratoren Zugriff auf zahlreiche spezialisierte Distributionen zur Installation auf dem Server sowie auf vorgefertigte Hardware- und Softwaresysteme.

Die Entwicklung von Angebot und Nachfrage hat zu einer verstärkten Spezialisierung geführt.

Früher war es Aufgabe der ausgewählten Gurus, den Zugang zum Netzwerk zu organisieren und die Sicherheit zu gewährleisten. Jetzt wächst die Anzahl der Punkte mit Internetzugang von Tag zu Tag, und jeder Schüler kann ein Gateway, einen Router, einen Zugangspunkt verbinden und den Datenverkehr innerhalb des Netzwerks verteilen.

Netzwerkbedrohungen haben sich ebenfalls geändert. Jetzt besteht die Hauptgefahr nicht in Hackern der "alten Schule", sondern in Masseninfektionen mit neuen Arten von Viren und Trojanern. Bei der Vorbereitung von Angriffen können Angreifer Ressourcen von Drittanbietern verwenden, z. B. vorgefertigte Botnets (Zombie-Netzwerke), um Spam zu senden, DDOS-Angriffe zu organisieren usw.

Das ist aber noch nicht alles. Bei der Entwicklung des Netzwerks spielt nicht nur das Sicherheitsniveau beim Absender und Empfänger eine wichtige Rolle, sondern auch die Art und Weise, wie die Informationen übertragen werden: in welcher Form, auf welcher Route usw.

Wenn Sie diese Fragen unbeantwortet lassen, müssen Sie andere Fragen beantworten, zum Beispiel: "Wo ist das Geld vom Konto geflossen?", "Wie haben SIE davon erfahren?" und "Wann funktioniert am Ende etwas ?!"

Jetzt müssen Sie genau wissen, wovor und vor was wir schützen und welches Tool besser zu wählen ist.

Was Zyxel bietet: Spezifische Trennung

Es gibt zwei Hauptbereiche, die geschützt werden müssen:

1. Zugriff auf Ressourcen von Drittanbietern und Zugriff von Benutzern von Drittanbietern auf Unternehmensressourcen (z. B. auf eine Website). Diese Lösungen können mit Cloud-Ressourcen in den Zyxall-Gateways der ZyWALL ATP-Serie und den vollständig geschlossenen Serien von USG gemeinsam genutzt werden.
2. Die Verbindung einzelner Knoten, zum Beispiel Zweige mit einem Zentrum oder Einzelpersonen mit einem Arbeitgeber. Dies erfolgt normalerweise über virtuelle private VPN-Kommunikationskanäle, und die Zyxel ZyWALL VPN-Serie ist hier geeignet.

Tabelle 1. Klassifizierung von Zyxel-Gateways der ZyWALL VPN-, USG- und ZyWALL ATP-Serie.

Hinweis Es gibt auch eine Zyxel-Gateway-Familie, die wir in diesem Kapitel nicht behandeln werden. Dies sind Cloud-fähige Zyxel Nebula-Geräte. Da es jedoch „unmöglich ist, die Unermesslichkeit zu erfassen“, konzentrieren wir uns jetzt auf die klassische Version von Geräten mit lokaler Steuerung.

Es ist zu beachten, dass es trotz der Unterschiede einige Gemeinsamkeiten gibt. In jedem Bereich können wir Lösungen für große Unternehmen und kleine Organisationen herausgreifen. Dies bringt einige Designmerkmale mit sich.


Abbildung 1. Gateway für die Unternehmensnutzung des USG2200-VPN .

Einige kleine Geschäftsmodelle verfügen beispielsweise über integrierte WiFi-Module zur Verwendung als drahtlose Zugangspunkte.


Abbildung 2. Gateway zum Sichern von Netzwerken in kleinen USG60W-Organisationen.

Da sich die Funktionen aller drei Bereiche teilweise überschneiden, werden wir über den empfohlenen Umfang sprechen.

Wenn Sie versuchen, eine VPN-Verbindung auf dem USG-Gateway aufzubauen oder ein VPN zum Schutz des Netzwerks zu verwenden, passiert natürlich nichts Schlimmes, aber es ist nicht zu effektiv.

Bevor Sie zu den Merkmalen für jede Richtung übergehen, ist es daher hilfreich, ihre gemeinsamen Merkmale zu untersuchen.

Wer gewarnt wird, ist bewaffnet
Das OneSecurity.com-Portal wird als einzelnes Hosting für Betriebsinformationen verwendet. Diese spezielle Ressource enthält betriebliche Bulletins und Empfehlungen zu aktuellen Sicherheitsbedrohungen. OneSecurity bietet die neuesten Informationen und Empfehlungen zur Verbesserung der Netzwerksicherheit. Dies hilft Unternehmen und IT-Fachleuten, ihre Netzwerke trotz der wachsenden Anzahl von Bedrohungen zu sichern.

Der Zugriff auf dieses Portal ist der Einfachheit halber in die grafische Oberfläche der Produkte der USG-Serie und der ZyWALL VPN-Serie integriert. Informationen und Ressourcen werden mit einem Klick in der GUI-Konsole dieser Produkte gesucht. Dank dieses Ansatzes können Sie schnell und einfach Informationen zu aktuellen Bedrohungen und deren Beseitigung erhalten. Das Material wird in Form eines etablierten FAQ-Formats (Frequently Asked Questions) präsentiert. Auf diese Weise können Sie rechtzeitig alle erforderlichen Maßnahmen ergreifen, um sich vor erkannten Bedrohungen zu schützen.

Inhaltsfilterung
Die Inhaltsfilterung wird verwendet, um den Zugriff auf gefährliche und nicht zum Mainstream gehörende Websites zu blockieren. Die kürzlich veröffentlichte neue Version von Content Filtering 2.0 enthält Verbesserungen der Sicherheitsfunktionen HTTPS Domain Filter, Browser SafeSearch und Geo IP Blocking, um die Sicherheit Ihrer Webverbindung zu verbessern.

Schnelles und sicheres Update
Diese Funktion ist auch allen drei Bereichen gemeinsam.
Um die Suche nach dem erforderlichen Firmware-Update (Firmware) der erforderlichen Version zu erleichtern, wird der neue Cloud Helper-Dienst verwendet, der Informationen zu den neuesten Firmware-Versionen bereitstellt.

Die neueste Version ist sofort nach der offiziellen Veröffentlichung verfügbar, was ihre Authentizität und Zuverlässigkeit garantiert.

Zyxel ZyWALL VPN-Serie

Empfohlener Verwendungsbereich - Sichere und zuverlässige VPN-Verbindung
Der Hauptzweck ist das Tunneln des Datenverkehrs mithilfe des sicheren Verschlüsselungsalgorithmus Secure Hash Algorithm 2 (SHA-2).

Mit ZyWALL VPN 50/100/300 können Sie einen schnellen und sicheren Datenaustausch zwischen lokalen Servern, Remote-Geräten und Cloud-bereitgestellten Anwendungen implementieren.


Abbildung 3. Gateway zum Aufbau zuverlässiger ZyWALL VPN300 VPN-Verbindungen.

Unabhängig davon ist die Unterstützung für das Failover und den Fallback der Dual-WAN-Funktion erwähnenswert. Aufgrund des Vorhandenseins von zwei WAN-Verbindungen, von denen eine als primäre und die zweite Sicherung verwendet wird, wechselt die Zyxel VPN-Firewall bei einem Ausfall der primären Verbindung automatisch zur Sicherung.

Außerdem verwendet die ZyWALL VPN-Serie die Multi-WAN-Lastausgleichs- / Failover-Funktion und unterstützt USB-Modems von Mobilfunknetzen aus der Liste der kompatiblen Geräte, mit denen eine WAN-Verbindung reserviert werden kann, vollständig.
Um Kanäle mit hohen Zuverlässigkeitsanforderungen zu erstellen, bietet die ZyWALL VPN-Serie einen Betriebsmodus als Teil eines ausfallsicheren Clusters (Hochverfügbarkeit, HA) im Aktiv-Passiv-Modus.

Die ZyWALL VPN-Serie unterstützt IPSec Load Balancing und Failover, wodurch zusätzliche Fehlertoleranz für das Wechseln geschäftskritischer VPNs bei der Implementierung der VTI-Schnittstelle bereitgestellt wird.

Unterstützte VPN-Funktionen und mehr :

• VPN-Verbindung mit IPSec VPN-Funktion Lastausgleich und Failover zwischen Standorten.
• Fernzugriff über SSL, IPSec und L2TP über IPSec VPN.
• Ein Gateway in der Zentrale des VPN kann auch eine IPSec-VPN-Verbindung mit der Amazon VPC-Cloud für den sicheren Zugriff auf verschiedene Cloud-Anwendungen herstellen und das Unternehmensnetzwerk erweitern, indem Cloud-Ressourcen damit verbunden werden. Dies kann sowohl über die grafische Oberfläche als auch über die Befehlszeilenschnittstelle (CLI) verwendet werden.
• Management Hotspot Management (beginnend mit VPN100) - Bereitstellung des Internetzugangs, beispielsweise für Besucher von Cafés, Restaurants, Hotelgästen usw. Sie können verschiedene Serviceebenen bereitstellen und ein Ereignisprotokoll gemäß den gesetzlichen Bestimmungen führen.
• Dank der Integration des Facebook-WLAN-Dienstes in den ZyWALL-VPN-Dienst können kleine Geschäfte und Restaurants ihren Besuchern nicht nur einen Internetzugang bieten, sondern auch ihre Beliebtheit bei Facebook verbessern.
• Ein integrierter Access Point Controller bietet eine zentrale Verwaltung für eine flexible drahtlose Bereitstellung. Mit der AP Controller-Funktion in der ZyWALL VPN-Serie können Sie mehrere Zugriffspunkte zentral über eine einzige Benutzeroberfläche verwalten. Diese Funktion erleichtert die Bereitstellung und Wartung des WLAN-Netzwerks eines Unternehmens.
• IPSec-VPN-Konnektivität von Standort zu Standort.
• IPSec VPN HA-Failovercluster (Lastausgleich und Failover) für Hochverfügbarkeits-VPN-Verbindungen.
• Organisieren Sie den sicheren Zugriff auf interne Ressourcen mithilfe von SSL, IPSec und L2TP über IPSec VPN.
• USG / ZyWALL-Verbindung über den IPSec-VPN-Kanal mit Microsoft Azure für den sicheren Zugriff auf verschiedene Cloud-Anwendungen.

Für größere Unternehmen sind leistungsfähigere Gateways besser geeignet, z. B. USG110 / 210/310, die über leistungsfähigere Hardware verfügen, eine größere Anzahl von Verbindungen unterstützen können und so weiter.

Es ist erwähnenswert, dass dieses Gerät nach dem Prinzip "Ich trage alles bei mir" arbeitet. Hier und VPN, und ein gutes Maß an Schutz und Bandbreitenbegrenzung.

Wenn Sie sich jedoch speziell auf Sicherheitsfunktionen konzentrieren müssen, ist es besser, Gateways der Zyxel ZyWALL ATP-Serie mit Unterstützung für den Zyxel Cloud-Cloud-Service zu verwenden.

Zyxel ZyWall ATP-Serie

Empfohlene Verwendung - verbesserter Malware-Schutz und Anwendungsoptimierung

Das Hauptaugenmerk dieser Familie sicherer Gateways kann als Anziehen von Cloud-Ressourcen bezeichnet werden, um das Schutzniveau zu erhöhen.

Die Ressourcen eines, selbst des leistungsstärksten Gateways, reichen nicht aus, um viele eingehende Bedrohungen zu analysieren und zu diagnostizieren.

Daher scheint es ein sehr gerechtfertigter Schritt zu sein, zusätzliche Cloud-Ressourcen im Rahmen eines sicheren verschlüsselten Zugriffs zu gewinnen.

Achtung! Zyxel Cloud ist nicht am Informationsaustausch zwischen dem sicheren Gateway und dem externen Zugriff beteiligt. Das heißt, der Verkehr passiert ihn nicht. Die Cloud-Ressource wird in erster Linie für den schnellen Informationsaustausch über Schwachstellen sowie für die Ergebnisse einer zusätzlichen Überprüfung verdächtiger Objekte verwendet, beispielsweise als Teil der Sandbox (Sandboxing).

Im Allgemeinen ähnelt die Zyxel ZyWall ATP-Funktionsfamilie der zuvor diskutierten Zyxel USG-Version, aber die Unterstützung von Cloud-Mechanismen verbessert Dienste wie den Virenschutz, dem immer Ressourcen fehlen, erheblich.


Abbildung 4. Cloud-fähiges Gateway zur Sicherung des ATP200-Netzwerks.

Im Folgenden sind einige Unterscheidungsmerkmale aufgeführt, die für die Gateways dieser Serie spezifisch sind - Zyxel ZyWall ATP.

Zyxel Cloud Maschinelles Lernen
Zyxel Cloud identifiziert unbekannte Dateien auf allen ATP-Firewalls, sammelt Ergebnisse in einer Datenbank und sendet täglich Aktualisierungen an alle Gateways der ATP-Familie. Auf diese Weise können Sie Wissen über neue Bedrohungen sammeln und das System mithilfe von maschinellem Lernen entwickeln. Somit "lernt" die Cloud-Umgebung, neuen Angriffen standzuhalten.

Sandboxing - Sandboxing
Dies ist eine Cloud-basierte isolierte Umgebung, in der verdächtige Dateien abgelegt werden, um neue Arten von Schadcode zu identifizieren, einschließlich der Startmethode. Was Streaming-Antivirus nicht erkennen kann, zeigt sich in Sandbox.

Fazit

Natürlich ist es in einem kleinen Artikel unmöglich, die gesamte Bandbreite der Möglichkeiten zu beschreiben, die modernen Zyxel-Sicherheitsgateways zur Verfügung stehen.
Weitere Informationen finden Sie in unserem Blog über Habr, in den Materialien auf der Zyxel-Website und natürlich in der Produktdokumentation.

Quellen

[1] Aufbau eines erweiterten Virenschutzsystems für ein kleines Unternehmen. Teil 1. Auswahl einer Strategie und Lösung.
[2] Aufbau eines erweiterten Antivirenschutzsystems für ein kleines Unternehmen. Teil 2. ZyWall USG40W Antivirus-Gateway von Zyxel.
[3] Aufbau eines erweiterten Antivirenschutzsystems für ein kleines Unternehmen. Teil 3
[4] Iss selbst Frühstück, teile deine Arbeit mit der Cloud.
[5] Eine Seite auf der offiziellen Website von Zyxel, die sich mit Firewalls befasst.