УПРАВЛЯЕМЫЙ СЕРВИС МЕЖСЕТЕВЫХ ЭКРАНОВ БЕЗОПАСНОСТИ ПРОИЗВОДСТВА РОССИИ

прямым конкурентом являются компании Fortinet USA, CISCO

Испытайте преимущества системы

NGFW MATRESHKA.

d052eae2-5513-49ba-b3b1-a0930c5c4775png

Уникальный сервис позволяет получить точный контроль над инфраструктурой безопасности бизнеса, используя все преимущества функционального превосходства и высокий уровень производительности.

Множество инструментов безопасности объединены в одном решении, чтобы сократить расходы на дополнительные меры обеспечения безопасности. NGFW MATRESHKA также может быть интегрирована во все типы инфраструктуры систем информационной безопасности с пропускной способностью телекоммуникационной сети до 10000 Мб/с.
Эффективные механизмы мониторинга трафика блокируют до 99,4% киберугроз. Политики безопасности могут быть реализованы в соответствии со стандартами безопасности компании и требованиями регулятора ФСБ и ФСТЭК.


 

Основной функционал:
Брандмауэр
Маршрутизация
VPN-ГОСТ
Биометрическая авторизация пользователя
Безопасное удаленное управление
Фильтрация URL
Защита от DDоS
Расширенный DNS-сервер
Проверка SSL
Балансировка входящей нагрузки

Переход на полный сервис

Наши специалисты готовы поделиться своими знаниями и опытом с нашими Заказчиками. Поэтому мы регулярно организовываем технические тренинги в режиме онлайн и предоставляем нашей аудитории оперативную информацию о современных тенденциях в области кибербезопасности.

NGFW Matreshka программно-аппаратный комплекс следующего поколения, позволяющий отражать сложнейшие сетевые атаки, производя глубокий анализ сетевого трафика, тем самым точнее определяя протоколы и приложения, даже если используются не стандартные порты. 

Основными задачами комплекса являются:
- инспекция сетевого трафика;
- обнаружение проникновения или распространения вредоносных программ;
- обнаружение сетевых аномалий;
- детектирование потенциальных угроз и попыток эксплуатации известных уязвимостей.
Система использует режимы обнаружения или предотвращения при этом оповещая о результатах администратора системы.

Intech picturejpg

Типовые сценарии внедрения.

Продвинутый

1png

На периметре сети используется какой-либо Stateful Firewall, который имеет минимум три сегмента: Internet, DMZ, локальная сеть. На этом же МЭ может организовываться Site-to-Site VPN и RA VPN

В DMZ как правило находятся публичные сервисы. Там же чаще всего находится какое-либо Anti-Spam решение с функционалом антивируса.
За маршрутизацию локального трафика отвечает коммутатор ядра (
L3), на котором также минимум два сегмента: сегмент пользователей и сегмент серверов. В сегменте серверов располагают Proxy-сервер с функционалом антивируса и сервер корпоративной почты. Довольно часто сегмент серверов защищается дополнительным МЭ (виртуальный или “железный”).

В качестве дополнительной меры защиты может применяться IPS, который мониторит копию трафика (подключен к SPAN-порту). На практике мало кто “отваживается” ставить IPS в online режим.

Упрощенный

2png

Почти весь секьюрити функционал развернут в рамках единого UTM-решения Matreshka (Firewall, Proxy, AV, Anti-Spam, IPS). Для маршрутизации локального трафика используется коммутатор ядра (Core SW L3). На нем же выделен сегмент серверов с почтовым сервером и другими сервисами компании.

SMB

Самый простой вариант. Отличается от предыдущего отсутствием коммутатора ядра. Т.е. трафик между локальными сегментами и в Интернет маршрутизируется через одно устройство Matreshka. Данный вариант часто встречается в небольших компаниях, где небольшой трафик.

3png


Matreshka NGFW как устройство периметра. Самый простой и самый правильный вариант внедрения. Matreshka NGFW должна — стоять на границе сети.


4png


Какие преимущества:

  • Отпадает необходимость использования выделенного proxy. Matreshka умеет функционировать в режиме proxy, однако весь необходимый функционал работает и в режиме “маршрута по умолчанию” для всех локальных сетей. Настроили default gateway и забыли. Никаких явных прокси в браузерах пользователей.

  • По умолчанию присутствует IPS и сразу в inline режиме. Можно выставить Detect если боитесь проблем. Не нужно думать о том, как завернуть трафик через выделенное IPS устройство и как быстро вернуть трафик назад в случае проблем.

  • Антивирус для веб-трафика, в том числе для HTTPS-трафика (при включенной SSL-инспекции).

  • Антивирус для почтового трафика. Проверка ссылок и вложений.

  • Анти-спам функционал.

  • Возможность быстрого внедрения функционала “песочницы” (sandbox). Практически все современные NGFW имеют возможность активации песочницы (облачной или локальной).

  • Встроенная отчетность по всем ИБ инцидентам.

Как видите, схема сильно упрощается. Убирается несколько традиционных средств сетевой защиты. С одной стороны это плюс (упрощается администрирование) с другой стороны минус (единая точка отказа). 

На что обратить внимание выбирая NGFW, который будет стоять на периметре сети:

  • Наибольшее внимание здесь нужно уделить функционалу проверки почты (конечно если вы собираетесь убирать текущее anti-spam решение). Для полноценной работы с почтой, NGFW должен иметь MTA (mail transfer agent) на борту. Фактически в этом режиме NGFW заменяет SMTP-relay, что позволяет выполнять глубокую проверку почтового трафика. В том числе проверку вложений в “песочнице”. Если MTA нет, то необходимо как минимум оставить SMTP-relay.

  • Даже если MTA присутствует в NGFW, внимательно ознакомьтесь с возможностями фильтрации почты. Один из важнейших критериев — наличие карантина (либо способы его организовать).

  • Естественно должна поддерживаться HTTPS-инспекция. Без этой функции от NGFW остается одно название.

  • Кол-во приложений, которые NGFW может различать. Обязательно проверьте, определяет ли выбранное вами решение нужные вам приложения (в том числе веб-приложения).

NGFW Matreshka как proxy-сервер

Как ни странно, но это тоже довольно распространенный вариант. Хоть NGFW и не разрабатывался как proxy. Типовая схема:

5png

Преимущества такого варианта:

  • Скорость внедрения. Заменили старый Proxy и готово.

  • Не нужно менять текущую схему или маршрутизацию.

На этом пожалуй плюсы заканчиваются. Хотя озвученные преимущества очень часто становятся решающими для многих компаний.

NGFW Matreshka как ядро

Распространенный вариант для небольших сетей. Маршрутизация всего трафика (Интернет, локальный, серверный) “вешается” на NGFW. L3 коммутатор отсутствует, либо просто не используется для маршрутизации.

6png

Преимущества такого варианта:

  • Удобство администрирования. Все access-list-ы в одном месте.

  • Скорость развертывания. Как правило NGFW ставится таким образом в топологиях где и до этого МЭ выполнял роль ядра сети.

  • Все плюсы варианта “NGFW на периметре сети”.

NGFW Matreshka в режиме bridge

Менее популярный вариант, но все же встречается чаще чем хотелось бы. В этом случае текущая логика сети никак не меняется, трафик на втором уровне проходит через NGFW, который работает в режиме моста:

7png

Оставлять сторонний IPS в таком случае нет смысла (тем более на мониторинг трафика). NGFW вполне справится с его функцией. Такой вариант применяется чаще всего в более продвинутых инфраструктурах, где изменения топологии по какой-то причине невозможны либо крайне нежелательны.
Преимущества такого варианта:

  • Скорость внедрения. Менять логику сети не нужно, максимум переткнуть кабель или “завернуть” VLAN.

  • Меньше хопов — проще логика сети.


UTM matreshka picpng