Журнал "Information Security/ Информационная безопасность" #6, 2023

Подход на основе профи- лей, с одной стороны, позво- ляет создавать процесс обработки трафика в более удобном и более соответ- ствующем реальному миру ключе, а с другой стороны – избавиться от той части про- верок, которая лишена практического смысла, но при этом создает вычисли- тельную нагрузку на шлюз. В рамках уже действую- щей лицензии заказчики могут перейти с обычной версии Ideco NGFW на Ideco NGFW VPP. NGFW VPP, который разраба- тывается в духе современных мировых трендов средств обра- ботки трафика. Архитектура Ideco NGFW VPP Vector Packet Processing (VPP) – это высокопроизводительная сетевая платформа для работы с трафиком за счет использо- вания векторного подхода. Идея заключается в том, что обработка всех сетевых пакетов представляется в виде графа, где каждый узел графа – это определенный профиль работы с пакетами, а каждая ветка – логика работы. При векторной обработке операции выпол- няются над несколькими сете- выми пакетами одновременно. Операции могут включать в себя обработку заголовков, фильтрацию, изменение полей заголовков, агрегацию данных и другие манипуляции. Благодаря возможности обра- ботки векторами производи- тельность обработки трафика значительно увеличивается по сравнению с традиционными подходами. Стоит отметить, что компания Intel в своих процессорах нового поколения поддерживает аппа- ратное ускорение VPP-инструк- ций, чтобы обработка трафика на базе фреймворка VPP рабо- тала максимально быстро без дополнительных аппаратных ускорителей. Профили: революция в построении политик Важное принципиальное новшество Ideco NGFW VPP – это использование концепции профилей при построении политик обработки сетевого трафика. В базовом Ideco NGFW в пра- вилах есть множество фильт- рующих модулей: L4-файрвол, L7-файрвол, контент-фильтр, система предотвращения втор- жений, антивирус и др. В Ideco NGFW VPP есть лишь один файрвол, но реализующий на базе профилей все много- образие сценариев обработки. Профилями могут быть IPS, обработка приложений, контент- фильтр, SSL-инспекция и т.п. Рассмотрим эту концепцию подробнее. Всем известна сетевая модель OSI с уровнями от L1 до L7. Классический модуль межсетевого экранирования в NGFW отвечает за фильтрацию до транспортного уровня L4, а если нужна инспекция на более высоком уровне, напри- мер для прикладного протокола, то используется контент-фильтр или модуль контроля приложе- ний. Написания правил для NGFW на основе профилей выглядит так: после обработки пакета на L4 можно указать селектор, чтобы выбрать определенную часть трафика, и назначить про- филь, который будет подклю- чаться к обработке сессий, под- падающих под указанный селектор. Например, если в дата-цент- ре трафик идет через шлюз, но при этом значительную его часть составляют видеодан- ные, то в правилах Ideco NGFW VPP можно отключить профиль IPS для селектора, указываю- щего на пакеты этого типа. Таким образом можно суще- ственно разгрузить шлюз и увеличить его производитель- ность без ущерба для безопас- ности. Другой пример: в сети уста- новлен файловый сервер, работающий по протоколу Samba. Для того чтобы защи- тить его, нужно установить политику для его IP-адреса и добавить к ней профиль обработки IPS. Еще один пример: комбинация профилей для зашифрованного HTTPS-трафика. После обработ- ки в межсетевом экране L4 селектор выбирает зашифро- ванные TLS-сессии, к ним при- меняется TLS-профиль для рас- шифровки, а затем по селектору HTTP-сессий – профили URL- фильтрации и контент-фильтра. Если же после расшифровки TLS обнаружился обычный TCP- трафик, для которого в политике селектор не указан, то обработка завершается. Подход на основе профилей, с одной стороны, позволяет соз- давать процесс обработки тра- фика в более удобном и более соответствующем реальному миру ключе, а с другой сторо- ны – избавиться от той части проверок, которая лишена прак- тического смысла, но при этом создает вычислительную нагрузку на шлюз. Заключение У большинства российских NGFW-решений, построенных на базе Linux, обработка тра- фика происходит на уровне ядра. В Ideco NGFW VPP вся обработка вынесена в простран- ство пользователя, где намного проще разрабатывать и отла- живать код, а значит, можно быстрее развивать продукт. Это также позволяет сделать NGFW более надежным, поскольку любая ошибка на уровне ядра с большой вероятностью при- ведет к краху системы. Разработчики Ideco NGFW VPP ставят перед собой амби- циозную задачу: обогнать по ско- рости все отечественные NGFW- решения, при этом быстро нарас- тив функциональность. В рамках уже действующей лицензии заказчики могут перейти с обычной версии Ideco NGFW на Ideco NGFW VPP. Увы, из-за принципиально раз- ного подхода к формированию политик обработки невозможно сделать корректный автомати- ческий перенос всей базы пра- вил с обычной версии на VPP, так что все настройки придется создавать с начала. В дальнейшем продукты Ideco NGFW и Ideco NGFW VPP будут развиваться параллельно, ведь часть модулей и данных исполь- зуется в обоих продуктах. Например, в правилах IPS есть много сигнатур, в том числе расширенная база правил от "Лаборатории Касперского" и из других источников, включая ФинЦЕРТ и НКЦКИ. Они могут с успехом применяться в обеих версиях Ideco NGFW. Однако поскольку решение Ideco NGFW VPP архитектурно сильно отличается от Ideco NGFW, то требуется его отдель- ная сертификация со стороны ФСТЭК России. Этот процесс готовится к старту, причем уже с учетом новых требований – как многофункциональный меж- сетевой экран, по новой терми- нологии ФСТЭК России. l • 25 NGFW www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ IDECO см. стр. 70 NM Реклама