Значимость внедрения межсетевого экрана нового поколения в информационную инфраструктуру крупной компании

Исходя из представленной модели угроз, а также из статистических выкладок, приведённых в первой главе моего исследования, нарушителем будем считать, в первую очередь, стороннего субъекта, атакующего информационную систему АО “Элгаз” извне, например путём отправки электронного сообщения, содержащего вирус, работнику организации (внешнего нарушителя), а основным деструктивным действием в информационной системе - угрозу (умышленную и неумышленную) нарушения непрерывной и полнофункциональной работы информационной системы, а также потерю защищаемой информации из-за неправомерного воздействия на неё.

Фактически можно выделить следующие угрозы информационной инфраструктуре предприятия:

1) Внедрение вредоносных программ с использованием электронной почты;

2) Внедрение вредоносных программ при загрузке веб-сайтов, содержащих вредоносный код;

3) Внедрение вредоносных программ, используя уязвимости сетевых протоколов;

4) Анализ структуры внутренней сети, используя информацию, передаваемую во внешние сети;

5) Использование возможностей удалённого управления системой;

6) Несанкционированный доступ к информации путём использования программного обеспечения технических средств информационной системы через дефекты и уязвимости программного обеспечения информационной системы;

7) Несанкционированный доступ к информации путём использования программного обеспечения технических средств информационной системы через применение вредоносного программного обеспечения.

При первом взгляде на выделенные угрозы кажется, что построенная модель не совсем верна, ведь для борьбы с вирусами достаточно антивирусный защиты, которая у нас есть, а для защиты сети межсетевого экрана. Однако проблема в том, что Microsoft Forefront Threat Management Gateway 2010 в момент выхода на рынок (2009 год) являлся очень функциональным, гибким в настройке, простым в интеграции решением и соответствовал требованиям обеспечения комплексной безопасности корпоративных сетей, о чём говорят в том числе крайне положительные отзывы экспертов, но, к сожалению, компания Microsoft в начале 2012 года объявила о прекращении дальнейшего развития продукта Forefront TMG (и вообще закрытия направления разработки межсетевых экранов). При этом продукт стал недоступен к приобретению с 01 декабря 2012 года, его основная поддержка прекращена 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года. В настоящий момент Microsoft всё ещё выпускает довольно редкие обновления антивирусных баз и сигнатур атак, однако очевидно, что дальнейших перспектив у продукта уже нет. Кроме того, в современных реалиях решение является недостаточно гибким, “живёт” в парадигме закрытости сети, ограничиваясь контролем протоколов TCP/UDP/ICMP, портов TCP/UDP и IP-адресов, не понимая, какие приложения пропускают через него трафик. Это является достаточно большой проблемой, так как для эффективной работы компании необходимо разрешать доступ в сеть Интернет некоторым приложениям, при этом ограничивая их функционал. Классический межсетевой экран этого сделать не может, и администраторам приходится полностью “разрешать” приложение в ущерб безопасности. У Kaspersky Endpoint Security также есть свои недостатки. Во-первых, как и любой продукт на конечной точке, он защищает исключительно АРМ, на которое установлен. Это значит, что администраторам нужно тщательно следить за вводом новых рабочих мест в действие, иначе устройство останется без защиты. Во-вторых, KES всё же продукт, ориентированный в первую очередь на реализацию файлового антивируса, а остальные возможности (в частности межсетевой экран) идут как дополнительные функции, из-за этого они ограничены по сравнению со специализированными решениями. И, наконец, главный недостаток состоит в том, что при использовании всех своих компонентов KES достаточно сильно влияет на производительность даже компьютеров средней вычислительной мощности, именно поэтому возможности KES в АО “Элгаз” задействованы не в полной мере, и основная нагрузка “ложится” на устаревший Microsoft Forefront Threat Management Gateway 2010.

Таким образом угрозы, также, как и технологии, применяемые в системах безопасности, не стоят на месте, и функций классических межсетевых экранов, выпущенных до 2010 года, ухе не хватает для полноценной защиты сети. Хорошим примером этому служит АО “Элгаз”, в котором классический межсетевой экран Microsoft Forefront Threat Management Gateway 2010 уже не справляется с возложенными задачами, а для “перекрытия” новых угроз используется локальное решение Kaspersky Endpoint Security 10, существенно снижающее производительность автоматизированных рабочих мест.

Фактически проанализировав имеющуюся структуру обеспечения информационной безопасности АО “Элгаз” можно сделать вывод о том, что система, на момент своего проектирования, была достаточно адекватна, однако угрозы, которые выделены в модели, постоянно прогрессируют (появляются новые уязвимости, вирусы, техники взлома), в отличие от существующей системы безопасности, которая не обновлялась и принятых меры защиты уже недостаточно.

Для нейтрализации выделенных угроз предлагается внедрить в структуру обеспечения информационной безопасности межсетевые экраны нового поколения вместо классических межсетевых экранов. В качестве примеров NGFW-решений можно привести Check Point Next Generation Firewall или Fortinet FortiGate, обзор которых представлен в следующей главе исследования. При внедрении NGFW-системы “перекрываются” не только сетевые аспекты безопасности, но и, например, благодаря расширениям, антивирусная защиты конечных точек -- тем самым нейтрализуются наиболее актуальные высокорисковые позиции из разработанной модели угроз.

ГЛАВА 3. СРАВНЕНИЕ МЕЖСЕТЕВЫХ ЭКРАНОВ НОВОГО ПОКОЛЕНИЯ И ВЫЯВЛЕНИЕ ТЕНДЕНЦИЙ ИХ РАЗВИТИЯ

В настоящее время на рынке межсетевых экранов нового поколения присутствует большое число игроков, представляющих как зарубежные компании, так и отечественные, и после того, как защищаемая организация поняла о необходимости внедрения в свою инфраструктуру NGFW-решения перед руководством стоит проблема выбора и внедрения конкретного продукта. Более того, на этапе завершения бесплатного предварительного тестирования продукта (пилотного проекта), без которого обычно не обходится ни одно внедрение столь сложной и дорогой системы, остро встаёт вопрос обоснования экономической эффективности использования выбранного решения.

В третьей главе своего исследования я опишу функциональность и особенности решений основных игроков на российском рынке межсетевых экранов, таких как Check Point Next Generation Firewall, Fortinet FortiGate, Traffic Insperctor Next Generation, а также Positive Technologies PT Application Firewall, проведу сравнение между собой этих решений, приведу экономическое обоснование предложенных мер защиты, а также возможные направления развития рынка NGFW-решений.

3.1 Check Point Next Generation Firewall

Check Point Software Technologies -- компания, работающая в сфере IT-безопасности. Основана в 1993 году в Израиле, начинала свой путь как разработчик программных, аппаратно-программных межсетевых экранов, и средств организации виртуальных частных сетей. В 2018 году штат компании насчитывает около 3500 работников, расположенных в 40 странах мира (включая Российскую Федерацию), является одним из лидеров рынка межсетевых экранов для корпоративных пользователей, все компании из Fortune 100 (список самых крупных компаний США) в том или ином объёме используют оборудование Check Point. Как и 25 лет назад основным направлением деятельности компании является разработка программно-аппаратных межсетевых экранов, однако в портфеле компании присутствует много других различных решений в области информационной безопасности, например антивирус (Endpoint Anti-Malware & Application Control), средство обнаружения целенаправленных атак (Next Generation Threat Prevention), система предотвращения утечки конфиденциальной информации (DLP), комплекс расследования инцидентов информационной безопасности (Endpoint Security Threat Forensics), устройства защиты от DDoS-атак (Check Point DDoS Protector), эмулятор угроз безопасности, а также глобальная служба уведомления об угрозах.

Отмечаю, что компания свои межсетевые экраны нового поколения позиционирует как “центры безопасности” организации, и указанные выше решения (например, антивирус, DLP или защита от DDoS) уже интегрированы в большинство моделей NGFW в составе “Программных блейдов” и могут быть в любой момент активированы (модульная архитектура в зависимости от комплектации) из панели управления. Всего существует четыре блейда из которых заказчик может выбрать подходящий в зависимости от задач и целей использования: Next Generation Firewall (NGFW), Secure Web Gateway (SWG), Next Generation Threat Prevention (NGTP) и Next Generation Data Protection (NGDP) [20]. Сравнение функций вышеуказанных блейдов представлено в таблице 3, где + означает включение указанной функции в пакет, а +/- -- возможность докупить функцию отдельно. При этом важно понимать, что чем больше модулей будет активно, тем более производительное оборудование придётся купить.

Таблица 3. Сравнительная характеристика блейдов Check Point

В 2016 году компания выпустила актуальную линейку программно-аппаратных решений, в которой все свои модели условно делит на несколько категорий в соответствии с предполагаемым размером сетевой инфраструктуры - решения для малого бизнеса (серии 1 и 3), решения для организаций среднего размера (серия 5), решения для корпораций (серия 15), а также решения для центров обработки данных (серия 23) и телекоммуникационных компаний (серии 41 и 61). На рисунке 16 представлен внешний вид межсетевого экрана Check Point 15400, который предназначен для корпораций. Сравнительная характеристика актуальных моделей аппаратно-программных межсетевых экранов представлена в таблице 4, стоимость рассчитывается в комплекте с NGTP-блейдом.

В качестве программного обеспечения для своих межсетевых экранов с 2012 года Check Point использует собственную специализированную защищённую операционную систему Gaia. Актуальная версия на данный момент R80.10. Интересно, что для тестирования интерфейса Gaia можно воспользоваться фирменной программой SmartConsole, она доступна для свободного скачивания и служит удобной оболочкой управления межсетевыми экранами. В программе есть специальный демонстрационный режим - при его активации в облаке Check Point на несколько часов создаётся индивидуальная управляемая виртуальная сетевая инфраструктура.

Рисунок 16. Межсетевой экран Check Point 15400

На рисунке 17 показан главный экран SmartConsole. В левой части отображаются основные разделы управления, например раздел с политиками, логами и глобальными настройками. В центральной части мы можем наблюдать перечень оборудования Check Point, присутствующего в сети на данный момент. При этом выводится текущее состояние устройств (его статус, загрузка центрального процессора, активные программные блейды). В случае, если мы выберем какой-либо межсетевой экран, чуть ниже появится более подробная информация о его функционировании, а также список задач и ошибок. Кнопка “Activate Blades” позволяет перейти к настройке используемых модулей (антивируса, DLP). Кроме того, при щелчке правой кнопкой мыши на устройстве появляется контекстное меню, из которого можно быстро настроить устройство или “найти” в каких сетях оно используется. В правой части разместилось меню быстрых действий, с помощью него можно оперативно перейти к настройке ролей, либо посмотреть на активные соединения в реальном режиме времени.

Вкладка “Security policy” (рисунок 18) представляет собой зону редактирования политик. Политики сгруппированы по разделам, что является достаточно удобным решением, редактирование осуществляется интуитивно, настройка не требует каких-либо специальных знаний, достаточно несколько раз потренироваться.

Вкладка “Logs & monitor” (рисунок 19) содержит в себе все события, произошедшие в сетевой инфраструктуре компании. В наличии быстрый поиск (включает в себя язык запросов), при нажатии на событие открывается подробная карточка, в нашем случае IPS-модулем была обнаружена попытка вторжения путём использования известной уязвимости. Данное событие было распознано, классифицировано, а попытка эксплуатации уязвимости предотвращена.

Во вкладке “Manage & settings” собраны все основные настройки программных блейдов, есть возможность управления профилями администраторов, осуществляется подробное логирование действий, изменяющих настройки модулей или политик. Для профессионалов доступна консоль, включающая в себя большое количество команд и ключей для тонкой настройки межсетевого экрана.

Таким образом, межсетевые экраны от компании Check Point представляют собой современные, достаточно дорогие, но максимально функциональные комплексные решения в области информационной безопасности. Управлять такими решениями несложно, интерфейс дружелюбный, при этом возможно сильно углубиться в конфигурации, настроить всё под конкретные задачи и условия, стоящие перед отделом безопасности. Однако к “минусам” решения часто относят недостаточный уровень стабильности выпускаемых версий программного обеспечения, а также оперативности технической поддержки.

В следующем разделе своего исследования я опишу решение FortiGate от компании Fortinet.

Таблица 4. Сравнительная характеристика актуальных межсетевых экранов Check Point

Рисунок 18. Вкладка “Security policies” Check Point SmartConsole

Рисунок 19. Вкладка “Logs & monitor” Check Point SmartConsole

3.2 Fortinet FortiGate

Fortinet -- компания, специализирующаяся на разработке аппаратного и программного обеспечения, а также сервисов в области информационной безопасности. Основана в 2000 году в США, начинала свой путь как разработчик межсетевого экрана FortiGate, в состав которого входила операционная система FortiOS и специализированные интегральные схемы FortiASIC (позволяют значительно ускорить обработку проходящего трафика). В 2018 году штат компании насчитывает около 5000 работников, расположенных в 88 странах мира (включая Российскую Федерацию), является одним из лидеров рынка межсетевых экранов для корпоративных пользователей. В настоящее время основным направлением деятельности компании является разработка программно-аппаратных межсетевых экранов нового поколения (как и ранее FortiGate), однако в портфеле присутствует много различных решений в области информационной безопасности - системы управления событиями безопасности FortiSIEM и FortiAnalyzer, “песочница” FortiSandbox, шлюз электронной почты FortiMail, межсетевой экран для защиты web-приложений FortiWeb, а также классическое оборудование для построения сети - коммутаторы, беспроводные точки доступа и усилители сигнала.

Необходимо отметить, что компания в реализации дополнительных возможностей межсетевых экранов FortiGate придерживается системы подписок [21]. Без подписок покупателю доступна только базовая функциональность системы, доступ к поддержке и обновлениям не предоставляется. Для того, чтобы получать обновления, например актуальные антивирусные базы (а без них использование антивируса теряет практически весь смысл), необходимо приобретение подписки. Подписка оформляется на каждое отдельное устройство Fortinet, срок подписки может быть от одного года до пяти лет, при этом чем дольше подписка, тем дешевле обойдётся каждый сервис в расчёте на год. Всего Fortinet предлагает три базовых варианта подписки - FortiCare, UTM Bundle и Enterprise Bundle. Сравнение подписок Fortinet представлено в таблице 5.

Таблица 5. Сравнительная характеристика типов подписок Fortinet

В 2018 году компания предлагает межсетевые экраны нового поколения FortiGate, все свои модели условно делит на несколько категорий в соответствии с предполагаемым размером сетевой инфраструктуры - решения начального уровня (серии 30-90), решения для среднего бизнеса (серии 100-900), решения для крупных предприятий (серии 1000-3000), а также решения для телекоммуникационных компаний (серии 5000-7000). На рисунке 20 представлен внешний вид межсетевого экрана Fortinet FortiGate 800D, который предназначен для среднего бизнеса. Сравнительная характеристика актуальных моделей аппаратно-программных межсетевых экранов представлена в таблице 6, стоимость рассчитывается с учётом покупки UTM Bundle на год.

Рисунок 20. Межсетевой экран Fortinet FortiGate 800D

FortiOS - специализированная операционная система, разработанная компанией Fortinet, является программной платформой для всех устройств FortiGate. Главной особенностью операционной системы является поддержка ускорителей FortiASIC. В настоящее время актуальной версией системы является 5.6 (вышла в январе 2017 года), готовится к выходу версия 6.0. Как и Check Point, компания Fortinet предлагает оценить интерфейс межсетевого экрана без необходимости его покупки или пилотного проекта - достаточно бесплатно зарегистрироваться и зайти на сайт (https://fortigate.fortidemo.com/) под своими учётными данными.

Далее рассмотрим основные вкладки интерфейса межсетевого экрана. На рисунке 21 изображён начальный (стартовый) экран FortiOS. Он представляет собой обзор в реальном времени инфраструктуры сети предприятия - уровень загрузки канала и межсетевого экрана, статистика соединений, количество выявленных угроз. При этом экран полностью настраивается - можно убрать виджет, добавить новый, изменить размер существующего. Всего на выбор доступно 19 виджетов с возможностью настройки каждого.

На вкладке “FortiView” администратору доступны подробные графики о движении трафика, карта угроз, статус песочниц FortiSandbox. Например на рисунке 22 изображён проходящий через межсетевой экран трафик в разбивке не только по портам и протоколам, но и по конкретным приложениям в реальном времени - это одна из основных функций NGFW.

Вкладка “Policy & Objects” предоставляет администратору доступ к визуализации и настройке политик. На рисунке 23 изображено окно обзора политик для протокола IPv4, отмечу, что для IPv6 есть отдельная вкладка. Кроме того, отдельными вкладками вынесены списки контроля, политики защиты от DoS и DDoS-атак, расписания работ различных политик.

Вкладка “Security Profiles” собрала в себе настройки всех модулей межсетевого экрана - антивируса, веб-фильтра, контроля приложений, DLP. В случае с антивирусом администратор может выбрать, какие протоколы будет исследовать система (доступны HTTP, SMTP, POP3, IMAP, MAPI, FTP), использовать ли песочницу для углублённого анализа файлов, и что делать, если найден заражённый файл (режим мониторинга или режим блокировки). Если мы рассматриваем опции контроля приложений, то обнаружим, что всего в базе данных решения находится более 2000 программ, которые разбиты по 19 категориям, а также пяти уровням риска. Трафик каждого из приложений (либо групп) можно регулировать - запрещать либо ограничивать.

Вкладка “Log & Report” предоставляет доступ ко всем логам и событиям, в наличии быстрый поиск (включает в себя язык запросов), каждое событие может быть представлено как в краткой форме, так и в полной, развёрнутой. События сгруппированы в том числе и по модулю, на котором оно произошло (например система обнаружения вторжений).

Таким образом, межсетевые экраны FortiGate от компании Fortinet сочетают в себе высокую производительность, дружелюбность интерфейса, а также хорошее соотношение цена/качество (особенно в среднем ценовом сегменте). Однако компания не так давно вышла на рынок Российской Федерации, таким образом количество партнёров, а также общий уровень доверия к решениям невелик по сравнению с устоявшимся игроками, такими, как компания Check Point. Кроме того, по оценкам экспертов, песочница FortiSandbox по возможностях сильно отстаёт от решений конкурентов.

В следующем разделе своего исследования я опишу решение Traffic Inspector Next Generation от компании Smart-Soft.

Таблица 6. Сравнительная характеристика актуальных устройств Fortinet FortiGate

Рисунок 21. Вкладка “Dashboard” FortiOS

Рисунок 22. Консоль приложений в FortiOS

Рисунок 23. Политики, применимые к трафику IPv4 в FortiOS

3.3 Traffic Inspector Next Generation

Смарт-Софт (ООО “Смарт-Софт”) -- российская компания, специализирующаяся на разработке программного обеспечения в области организации, контроля и защиты доступа в сеть Интернет. Основана в 2003 году, стартовой разработкой стал классический межсетевой экран Traffic Inspector. Отличительной особенностью продукта является направленность на программное исполнение (заказчик сам выбирает, какое аппаратное решение использовать для установки межсетевого экрана, ранее рассмотренные игроки Check Point и Fortinet старались изначально продвигать свои комплексные аппаратно-программные реализации).

На сегодняшний момент Смарт-Софт является одним из немногих разработчиков межсетевых экранов в Российской Федерации. В 2018 году компания имеет небольшой штат работников, офис расположен в Московской области, развёрнута партнёрская сеть, охватывающая десять стран на территории бывшего СССР. В настоящее время основным направлением деятельности компании является разработка программных межсетевых экранов Traffic Inspector и Traffic Inspector Enterprise (последние версии выпущены в мае 2017 года). В 2015 году компания разработала свой транспортный протокол Stable Stream, предназначенный для гарантированной передачи видео-контента, а в 2016 году портфель компании прирос новым продуктом - межсетевым экраном нового поколения Traffic Inspector Next Generation (последняя версия выпущена в феврале 2018 года), функции которого нам и будут интересны.

По умолчанию в состав Traffic Inspector Next Generation [22] входит межсетевой экран, инспектор пакетов (NGFW-функция, позволяет распознавать и фильтровать трафик приложений), веб-прокси-сервер, система обнаружения и предотвращения вторжений, VPN-сервисы, функции приоритезации трафика, отказоустойчивости, а также модуль визуализации трафика (для построения отчётов и графиков). Однако для расширения функций защиты заказчик может докупить дополнительные модули - антивирусной защиты (возможно использование движка Лаборатории Касперского (93'000 рублей/год) или Dr.Web (80'000 рублей/год)), фильтрации электронной почты (используется движок Лаборатории Касперского, 53'000 рублей/год), антирекламный модуль (Adguard, собственная разработка, фильтрация всплывающих окон и рекламных баннеров, 48'000 рублей/год), а также модуль контентного анализа (NetPolice, разработка Центра анализа Интернет-ресурсов, позволяет фильтровать поступающий контент по категориям и содержимому, 50'000 рублей/год). Стоит отметить, что для учреждений образования и здравоохранения, научно-исследовательских институтов, музеев, библиотек и детских домов компания даёт существенную скидку на покупку модулей - около 40%, также есть скидки и при продлении подписки на модули.

Вместе с выпуском Traffic Inspector Next Generation компания перешла к разработке и выпуску аппаратно-программных комплексов, и в настоящий момент доступна линейка устройств, состоящая из трёх моделей, предназначенных как для малого бизнеса, так и для крупных предприятий. На рисунке 24 представлен внешний вид межсетевого экрана Traffic Inspector Next Generation M1000, который предназначен для среднего бизнеса. Сравнительная характеристика актуальных моделей аппаратно-программных межсетевых экранов представлена в таблице 7, цена рассчитывается с учётом покупки всех дополнительных модулей на год.

Рисунок 24. Межсетевой экран Traffic Inspector Next Generation M1000

Таблица 7. Сравнительная характеристика актуальных устройств Traffic Inspector Next Generation

Программная реализация Traffic Inspector Next Generation основана на дистрибутиве для созданий межсетевых экранов OPNsense, который, в свою очередь, базируется на свободной операционной системе FreeBSD. Нужно отметить, что OPNsense является также свободным программным продуктом, основанным на дистрибутиве pfSense, то есть его может скачать и использовать абсолютно любой человек совершенно бесплатно, более того, доступны исходные коды - разработчики по всему миру имеют возможность изменять продукт под свои требования [23]. Именно таким образом и поступили в Смарт-софт - взяли за основу OPNsense и добавили некоторые функции - сравнение операционных систем представлено в таблице 8.

Таблица 8. Сравнение функций OPNsense и Traffic Inspector Next Generation

Управление межсетевым экраном осуществляется посредством веб-интерфейса. Скриншот панели управления представлен на рисунке 25. Весь интерфейс классически разделён на две зоны - в левой части располагается меню, отсортированное по функциональным возможностям, а в центральной части отображается основная информация выбранного раздела. На начальной странице расположены виджеты (администратор может добавить либо удалить их по своему усмотрению), отображающие системную информацию - версию программного обеспечения, уровень нагрузки на межсетевой экран, а также состояние служб.

В меню “Создание отчётов” администратору доступны наглядные графики и отчёты сетевой активности работников, а также, что интересно, благодаря поддержки протокола NetFlow возможно получать информацию о работе аппаратного обеспечения конечных точек, например строить отчёты по загрузке центрального процессора либо по использованию оперативной памяти конкретного автоматизированного рабочего места.

В меню “Система” собраны основные системные параметры межсетевого экрана - доступно обновление прошивки, настройка маршрутов и параметров отказоустойчивости, журнал событий. Кроме того, в меню есть пункт “Мастер”, с помощью которого можно быстро произвести первоначальную настройку устройства.

Раздел “Межсетевой экран” предоставляет доступ к правилам фильтрации, сетевой трансляции, ограничению трафика. Правила фильтрации отдельно задаются для LAN и WAN-адаптеров, располагаются в виде списка (скриншот интерфейса настройки правила фильтрации представлен на рисунке 26). Для каждого правила могут указываться различные параметры: отправитель и получатель, протокол, порт, расписание. Если пакет удовлетворяет требованию правила, то к нему применяется действие, описанное в правиле, например блокировка.

В устройстве реализован VPN-сервер (настройки представлены в одноимённом пункте меню), который может быть использован для объединения в единую сеть удалённых друг от друга офисов, например исполнительного органа, расположенного в Москве, и филиалов, находящихся в регионах Российской Федерации, а также для безопасного подключения к информационным системам предприятия единичных удалённых работников.

Раздел “Службы” содержит в себе настройки подключаемых модулей, таких как антивирусной проверки, системы обнаружения и предотвращения вторжений, системы контроля приложений. Система контроля приложений предназначена для интеллектуального распознавания протоколов прикладного уровня по сигнатурам, таким образом позволяя фильтровать трафик относительно конкретных приложений. Например можно заблокировать Skype или TeamViewer. Всего в базе решения около 200 различных программ, интерфейс настройки системы контроля приложений представлен на рисунке 27.

Подводя промежуточный итог, межсетевой экран Traffic Inspector Next Generation от компании Смарт-софт является интересным локальным российским решением, однако всё же уступающим в функциональности решениям западных компаний. Вместе с тем, конечная стоимость сравнима с зарубежными аналогами, что весьма странно, особенно с учётом программной реализации в виде доработанной открытой операционной системы. Очевидно, что рассмотренное решение в первую очередь ориентировано на государственных заказчиков, которым намного важнее сертификация устройства в контролирующих органах, чем функциональный уровень.

В следующем разделе своего исследования я опишу решение PT Application Firewall от компании Positive Technologies.

Рисунок 25. Панель управления Traffic Inspector Next Generation

Рисунок 26. Настройка правил фильтрации в Traffic Inspector Next Generation

Рисунок 27. Настройка контроля приложений в Traffic Inspector Next Generation

3.4 Positive Technologies PT Application Firewall

Positive Technologies (АО “Позитив Текнолоджиз”) -- российская компания, специализирующаяся на разработке программного обеспечения в области информационной безопасности. История компании началась в 2002 году разработкой сканера уязвимостей XSpider. Изначально продукт был выпущен в 1998 году в качестве решения с открытым исходным кодом, однако к моменту основания компании его создатели - Евгений Киреев и Дмитрий Максимов - решили запустить коммерческую версию продукта, что и произошло уже в 2003 году.

На сегодняшний момент компания завоевала лидирующие позиции на российском и европейском рынке систем анализа защищённости и соответствия стандартам, а также защиты веб-приложений. К 2018 году имеет глобальный статус (представительства расположены в США, Великобритании, Италии, Чехии, Корее и Тунисе), штат работников составляет порядка 700 человек, головной офис расположен в Москве. В настоящее время разработчик имеет достаточно широкий набор как продуктов (система контроля защищённости и соответствия стандартам информационной безопасности MaxPatrol, SIEM-система, система управления инцидентами ИБ PT ISIM, анализатор исходных кодов PT Application Inspector, комплексная система защиты от вредоносного ПО PT MultiScaner, ранее упомянутый сканер уязвимостей XSpider, программное обеспечение для ГосСОПКИ), так и сервисов (проведение тестов на проникновение, аудит информационной безопасности, SOC-центр). Среди решений своё, и далеко не последнее место занимает межсетевой экран уровня приложений PT Application Firewall, который мы рассмотрим подробнее.