大家好!
我们继续讨论有关集成IT集成的系列文章。
今天,我们想谈谈作为集成商,我们可以为客户解决确保网络边界安全的问题的一项国内发展。 在分部政策和进口替代要求的情况下尤其如此。
实施制裁是一个挑战,其中包括获得证书的工程师,基于外国供应商解决方案的庞大知识基础,但在某些时候,他们被迫迅速切换到“新潮流”,实际上又重新开始了。
国内开发商也必须达到一个新的水平,以便及时为IT解决方案的领导者提供有价值的替代方案。 现在我们已经可以说它们做得很好。 让我们继续来看一个具体的示例,即UserGate Internet屏幕。 让我们简要考虑一下它可以解决的任务以及其中的发展潜力。
因此,让我们讨论一下UserGate从功能中提供了什么,以及可以在哪些领域应用。
图1-UserGate防火墙的功能
图2-UserGate防火墙的应用区域开发人员花费大量时间来创建自己的平台,该平台不依赖于使用他人的源代码和第三方模块。 UserGate在特别创建且不断支持且不断发展的操作系统UG OS的基础上运行。
从本质上讲,UserGate是统一威胁管理类(统一威胁防护)的通用Internet网关,结合了防火墙,路由器,网关防病毒,入侵检测和防御系统(SOV),VPN服务器,内容过滤系统以及监视模块的功能和统计信息等等。 该产品使您可以管理公司的网络,优化其使用的流量,并有效地防止Internet威胁。
让我们仔细看看UserGate在网络安全功能和针对网络威胁的防护方面所提供的功能。
防火墙
UserGate的内置下一代防火墙(NGFW-下一代防火墙)过滤通过某些协议(例如TCP,UDP,IP)的流量,从而基于这些协议的使用来保护网络免受黑客攻击和各种类型的入侵。
入侵检测与预防
入侵检测和防御系统(SRO)允许您识别网络内的恶意活动。 该系统的主要目标是实时检测,记录和预防威胁,并提供报告。 管理员可以创建各种COB配置文件(与保护某些服务相关的签名集),并设置COB规则,这些规则定义针对所选流量类型的操作,将由COB模块根据分配的配置文件进行检查。
防病毒流量扫描
UserGate Streaming Antivirus允许您在不牺牲网络性能和速度的情况下提供对流量的防病毒扫描。 根据供应商的说法,该模块使用广泛的签名数据库,该数据库会不断更新。 作为附加保护,可以连接启发式分析模块。
检查电子邮件流量
UserGate能够处理中转邮件流量(SMTP(S),POP3(S)),分析其来源以及邮件和附件的内容,从而确保可靠地防御垃圾邮件,病毒,仿冒和网络钓鱼攻击。 UserGate还提供了根据用户组灵活配置邮件过滤的功能。
使用外部安全系统
可以将HTTP / HTTPS和邮件流量(SMTP,POP3)传输到外部ICAP服务器,例如,用于防病毒扫描或用于分析DLP系统由用户传输的数据。 管理员可以指定需要将哪些流量发送到ICAP,以及配置服务器场的工作。
ASU TP管理
在该平台的新版本中,可以配置和管理用于技术生产的自动化过程控制系统(ACS TP)。 管理员可以通过配置检测,阻止和记录事件的规则来控制流量。 这使您可以自动化过程的基本操作,同时保持必要时进行控制和干预的能力。
使用脚本设置安全策略
由于使用脚本机制(SOAR-安全协调,自动化和响应)的安全自动化,UserGate可以显着减少检测到攻击和对其做出反应之间的时间。 这个概念已达到顶峰,并且允许管理员创建脚本(按计划运行或在检测到攻击时运行),在该脚本中,将针对某些事件编写自动操作。 这种方法提供了安全策略的灵活配置,由于重复性任务的自动化而减少了人员的参与,并且还可以对场景进行优先级排序以快速响应关键威胁。
现在,让我们看看UserGate提供了哪些技术来提供容错和可靠性问题的解决方案。
群集和故障转移支持
UserGate支持两种类型的群集:配置群集和故障转移群集,配置群集使您可以为群集中的节点指定统一的设置,以确保网络不间断地运行。 故障转移群集可以两种模式运行:资产-资产和资产-被动。 两者都支持用户会话的同步,这为用户将流量从一个节点切换到另一个节点提供了透明性。
通过HTTP的FTP
通过HTTP的FTP模块允许您从用户的浏览器访问FTP服务器的内容。
支持多个提供商
将系统连接到多个提供程序时,UserGate允许您为每个提供程序配置网关以提供对Internet的访问。 管理员还可以通过指示每个网关的权重来调整提供商之间的流量平衡,或者在主网关不可用时切换到其他提供商,将其中一个网关指定为主网关。
带宽管理
带宽控制规则用于限制特定用户,主机,服务或应用程序的通道。 其中,UserGate产品具有相当广泛的功能,可用于路由流量和发布本地资源。
UserGate允许您同时使用静态和动态路由。 动态路由是使用OSPF和BGP协议执行的,这使得可以在复杂的路由企业网络中使用UserGate。 管理员可以在系统中创建NAT规则(为用户提供Internet访问权限),以及使用HTTP / HTTPS的反向代理和其他协议的DNAT的反向代理在Internet上安全发布内部资源的规则。
原则上,没有什么创新,但是为了使客户的工程师感到相对平静,这些技术就足够了。
交通管理和互联网访问控制
如果您可以访问Internet,则需要控制流量。 不久之前,大多数公司客户主要对最小化Internet访问成本(特别是对小型公司)和安全性(各种防病毒软件已长期成功解决此问题)感兴趣。 如今,人们越来越关注员工如何使用网络以及如何确保其行为不会威胁到业务关键服务的安全性。
Internet过滤模块的使用提供了对Internet使用的管理控制,并阻止了对潜在危险资源以及必要时非工作站点的访问。 为了分析用户请求的资源的安全性,信誉服务,内容的MIME类型(照片,视频,文本等),UserGate提供的特殊形态词典以及URL黑白名单。 管理员可以使用Useragent禁止或允许使用特定类型的浏览器。 UserGate提供了创建自己的黑白名单,字典,MIME类型,形态字典和Useragent的功能,并将其应用于用户和用户组。 甚至安全站点也可能在横幅上包含不需要的图像,其内容独立于资源所有者。 UserGate通过阻止标语来解决此问题,从而保护用户免受负面内容的侵害。 我们认为UserGate具有将代码注入网页的非常有趣的功能。 它允许您将必要的代码插入用户查看的所有网页中。 此外,管理员可以接收页面每个元素的各种指标,并在必要时隐藏各种元素以防止在网页上显示。
使用MITM技术(中间人),不仅可以过滤常规流量,还可以过滤加密的流量(HTTPS,SMTPS,POP3S协议),并在分析后使用受信任的根证书对其进行签名以进行加密。 系统允许您配置选择性的流量验证,例如,不对“财务”类别的资源进行解密。
UserGate帮助强制为Google,Yandex,Yahoo,Bing,Rambler,Ask和YouTube门户激活“安全搜索”功能。 在这种保护的帮助下,例如通过过滤图形或视频内容对请求的响应,可以实现高效率。 您也可以阻止没有安全搜索功能的搜索引擎。 此外,尽管可以允许访问社交网络本身,但管理员仍具有在最流行的社交网络上阻止游戏和应用程序的工具。
该平台支持各种用户授权机制:强制门户,Kerberos,NTLM,而帐户可以来自各种来源-LDAP,活动目录,FreeIPA,TACACS +,Radius,SAML IDP。 授权SAML IDP,Kerberos或NTLM允许您透明地(不要求用户名和密码)连接Active Directory域中的用户。 管理员可以为单个用户,用户组以及所有已知或未知用户配置安全规则,通道宽度,防火墙规则,内容过滤和应用程序控制。 另外,该产品支持使用特殊代理(终端服务代理)将安全规则应用到终端服务的用户,以及使用Windows平台的授权代理。 为了确保帐户的更高安全性,可以使用使用TOTP令牌(基于时间的一次性密码算法),SMS或电子邮件的多因素身份验证。 提供临时访问网络的功能对于通过邮件或短信进行确认的访客WiFi可能非常有用。 在这种情况下,管理员可以为每个临时客户端创建单独的安全设置。
结论
在本文中,我们试图简要地讨论在UserGate防火墙平台上实现的功能。 到目前为止,用于为地理位置分布的网络组织虚拟网络以及用户对公司资源的安全访问等的技术仍然不在讨论之列。
在UserGate平台上的以下文章中计划了所有这些主题,包括各种技术的配置示例。