На прошедшей в октябре выставке-конференции Infosecurity Russia 2008 компания ЕSET впервые представила в нашей стране новое программно-аппаратное UTM-решение ESET NOD32 Firewall. Напомним, что UTM (Unified threat management) — это интегрированные продукты, объединяющие функции межсетевого экрана, обнаружения и предотвращения вторжений, антивирусной защиты и шлюза в одном аппаратном комплексе. Согласно прогнозам агентства IDC, в 2008 г. объем рынка UTM достигнет 2 млрд долл. и перерастет рынок традиционных средств — сетевых экранов и VPN. Традиционно UTM-решения базируются на использовании функций защиты периметра сети. Новизна же подхода ESET заключается в том, что в ее продукте в основу софтверной части системы положены технологии антивирусной защиты.

Задача, которую ставили перед собой разработчики, заключалась в создании мощного и простого в эксплуатации устройства, способного защитить периметр корпоративной сети. ESET NOD32 Firewall сочетает функции межсетевого экрана, VPN-шлюза, прокси-сервера с возможностью контентной фильтрации и защиты от нежелательной почты, системы обнаружения и предотвращения вторжений, обеспечивает защиту трафика HTTP, SMTP, POP3, SIP, FTP от вредоносного ПО. Структурно ESET NOD32 Firewall представляет собой сервер семейства Dell Power Edge c предустановленным ПО в среде ОС семейства Unix.

Известно, что злоумышленникам не составляет особого труда замаскировать отправляемые вредоносные программы под пакеты стандартных разрешенных протоколов, поэтому необходима проверка всего трафика с помощью антивирусного решения, составляющего неотъемлемую часть надежной системы безопасности. Разработчики ESET NOD32 Firewall пошли по пути интеграции апробированного антивирусного компонента, аппаратной платформы и набора функциональных сервисов. В продукт встроены кэширующий прокси-сервер уровня приложений и прокси-сервер электронной почты, на которых используется антивирусная система.

Следуя концепции UTM, разработчики ESET NOD32 Firewall рассматривают межсетевой экран, контролирующий безопасность соединения, как один из основных элементов системы. Решение позволяет создавать адаптированные правила при помощи утилиты командной строки iptables (стандартный интерфейс управления работой межсетевого экрана netfilter для ядер Linux 2.6 и Linux 2.4). Постоянную защиту от возможных сетевых атак обеспечивают системы обнаружения и предотвращения вторжений. ESET NOD32 Firewall может блокировать исходящие сообщения шпионских программ в том случае, если внутри периметра уже появилась зараженная машина.

Системы выявления сетевых вторжений (IDS) анализируют трафик в режиме реального времени, распознавая атаки различного рода. Система предотвращения сетевых атак (IPS) автоматически назначает действия для блокирования сетевых процессов, подпадающих под правила. Это позволяет предотвратить широко распространенные виды сетевых атак: скрытое сканирование, сбор баннеров сетевых служб, атака различных сервисов типа «переполнение буфера», умышленное нарушение структуры сетевых пакетов, DoS-атаки.

Используемый в ESET NOD32 Firewall антиспам-модуль фильтрует нежелательные сообщения по содержанию, домену, IP-адресу, адресу электронной почты, по странам и языкам. Система защиты от спама сочетает методы «черных списков» (сервисы RBL, DNSBL, MSBL), политики отправителя и «серые списки» и представляет собой обучаемое решение. Оптимизируя применяемые правила, администратор может повысить выявляемость спама, ускорить процесс обработки электронной почты и снизить потребление аппаратных ресурсов.

Решения класса UTM — это не просто защита, но уже готовый элемент сети, обеспечивающий целый ряд сетевых функций. Поэтому при разработке ESET NOD32 Firewall особое внимание уделялось вопросу интеграции решения в уже сложившуюся сетевую среду различных компаний. Поддерживаются различных методы аутентификации — Radius, SMB/Netbios, Novell eDirectory, LDAP и Active Directory/NTLM/Kerberos. Благодаря внедренным в него функциям DNS-сервера, DHCP-сервера, NTP-сервера и DDNS решение NOD32 Firewall может рассматриваться как дополнение к существующим элементам корпоративной ИТ-инфраструктуры.

Доступ сотрудников в Интернет можно регулировать по различным параметрам соединения, времени, личным данным пользователей и принадлежности к доменной группе. Управление трафиком (Traffic Shapin) позволяет регулировать ширину канала и обеспечивать высокое качество соединения наиболее нуждающимся в этом приложениям, таким как IP-телефония.

Кроме этого, решение позволяет контролировать трафик по содержанию (контент-фильтрация), минимизируя посещение нецелевых Интернет-ресурсов. Нетрудно подсчитать, что если каждый сотрудник тратит по часу в день на посещение не относящихся к работе сайтов, в год это уже полтора месяца «виртуального» простоя. Сайты группируются по 30 категориям, общее количество ресурсов в базе достигает 20 млн сайтов. Администратору нетрудно запретить доступ пользователя к группам сайтов и к отдельным ресурсам, которые заведомо не понадобятся для работы.

Для повышения доступности корпоративных ресурсов можно организовать кластер устройств с резервированием каналов и автоматическим переключением в случае отказа или сбоя. ESET NOD32 Firewall обеспечивает возможность объединения территориально удаленных сегментов сетей путем создания защищенных VPN-соединений. При этом поддерживаются различные режимы объединения сетей, алгоритмы аутентификации и шифрования, позволяющие максимально защитить конфиденциальные соединения.

Интерфейс решения, отчеты и техническая документация реализованы полностью на русском языке. Данный продукт не просто адаптирован для российского рынка, а разработан специально для него, с учетом потребностей бизнеса. Решение ориентировано на средние и крупные организации с численностью рабочих станций от 100 и выше. В зависимости от количества пользователей возможны три варианта поставки, отличающиеся мощностью аппаратной части, — модификации SMB, Business и Corporate (соответственно до 100, до 250 и до 1000 пользователей).