Как выбрать брандмауэр для вашего малого бизнеса
Выбор межсетевого экрана — дело непростое, особенно для малого бизнеса с ограниченным бюджетом. Скорее всего, брандмауэр, который вы решите купить, станет вашей первой линией защиты. Таким образом, вы хотите не только получить наилучшее соотношение цены и качества, но также хотите, чтобы этот брандмауэр был эффективным.
В этой статье вы узнаете , как правильно выбрать брандмауэр. Я понимаю, что у вас не может быть просто любого брандмауэра. Будучи ключевым лицом, принимающим решения, или ИТ-менеджером малого бизнеса, вы, вероятно, сталкиваетесь с бюджетными, кадровыми и кадровыми ограничениями, которые не беспокоят крупные предприятия. Вот почему я собираюсь адаптировать эту статью «Выбор брандмауэра» специально для вас.
Прежде чем делать что-либо еще, вы знаете, почему вы выбираете брандмауэр в первую очередь? Что делает брандмауэр? Давайте уберем это с дороги в первую очередь.
Краткий обзор брандмауэров
Вообще говоря, брандмауэр проверяет пакеты и на основе набора правил определяет, следует ли пропускать эти пакеты или блокировать их. Вы можете определить эти правила самостоятельно. С другой стороны, в случае с современным брандмауэром вы можете попросить экспертов по безопасности из компании, разработавшей брандмауэр, определить эти правила. Но почему важна возможность разрешать и блокировать пакеты?
Это важно, потому что некоторые из этих пакетов могут быть вредоносными по своей природе. Они могут сканировать вашу сеть на наличие открытых портов для использования . Кроме того, они могут нести вредоносное ПО. Злоумышленник может легко использовать сеть для получения доступа к вашим системам. Следовательно, вам необходимо идентифицировать и предотвратить проникновение этих вредоносных пакетов.
Некоторые вредоносные пакеты также могут исходить из вашей сети. Это может произойти, когда, скажем, один из ваших хостов уже заражен вредоносным ПО. Эта вредоносная программа может попытаться подключиться к своему серверу управления и контроля (C&C). Если вы не знали, это сервер, на который вредоносные программы передают украденные данные или получают от них команды.
Подводя итог, можно сказать, что способность блокировать как входящие, так и исходящие угрозы является основной причиной, по которой вы должны купить брандмауэр. Итак, теперь я установил, что делает брандмауэр и зачем он вам нужен. Пришло время перейти к следующим шагам, которые могут помочь вам в выборе брандмауэра для вашего бизнеса. У вас есть много факторов, чтобы рассмотреть. Некоторые из них полагаются на определенные функции брандмауэра, поэтому сначала поговорим об этих функциях.
Понимание основных функций брандмауэра
Различные типы брандмауэров имеют разные наборы функций, но начнем с самых основных. Когда вы покупаете брандмауэр, велика вероятность того, что в него уже включены следующие функции:
Пакетная фильтрация
Фильтрация пакетов — это самая основная функция, которую вы когда-либо найдете в брандмауэре. Он проверяет данные заголовка пакета и сравнивает их с набором правил брандмауэра, чтобы определить, может ли проверяемый пакет пройти или нет. Брандмауэр, который может выполнять только фильтрацию пакетов , доступен по цене, быстр и эффективен. Однако этого недостаточно для противодействия изощренным киберугрозам. Вы можете использовать его для изоляции критически важных узлов от остальной части вашей сети. Короче говоря, вы не должны полагаться на него для защиты всей вашей сети.
Контроль состояния
Обычно работая в тандеме с фильтрацией пакетов, проверка с отслеживанием состояния записывает данные заголовка пакета для определения состояния соединения. Это позволяет ему, например, определить, является ли пакет частью открытого соединения. Если это не так, подозрительный пакет блокируется. Брандмауэры с этой функцией могут динамически открывать и закрывать порты в зависимости от состояния соединения. Вы можете использовать это в своих интересах, чтобы уменьшить подверженность угрозам, нацеленным на открытые порты.
Функциональность маршрутизатора
Некоторые брандмауэры имеют встроенные функции маршрутизатора (и наоборот, некоторые маршрутизаторы также имеют функции брандмауэра). Это означает, что помимо возможности фильтровать трафик, они также могут направлять трафик туда, куда должны. Однако, если у вас есть несколько хостов за этим брандмауэром, я бы рекомендовал вам использовать выделенный маршрутизатор для маршрутизации трафика.
Теперь, когда вы знакомы с общими функциями брандмауэра, давайте поговорим о функциях, которые приятно иметь и на которые стоит обратить внимание при выборе брандмауэра.
Знакомство с другими функциями брандмауэра
В предыдущем разделе я сосредоточился только на самых основных функциях брандмауэра. Вы не сможете обеспечить надежную защиту, если будете полагаться только на эти возможности. Если вы ищете лучший брандмауэр для малого бизнеса для своей организации, вы должны смотреть дальше основ. Вот 8 основных функций, на которые следует обращать внимание при выборе брандмауэра.
1. Глубокая проверка пакетов
Глубокая проверка пакетов (DPI) проверяет не только заголовки пакетов, но и их полезные данные. Прокси-брандмауэры и брандмауэры следующего поколения (NGFW) — это типы брандмауэров, которые поддерживают эту возможность. В NGFW модуль DPI обычно работает в тандеме с модулем системы обнаружения вторжений/системы предотвращения вторжений (IDS/IPS) для выявления вирусов, червей и других вредоносных программ. Поскольку эти угрозы могут быть действительно опасными и даже разрушительными, вам следует выбрать брандмауэр, поддерживающий эту возможность.
2. Защита от DDoS-атак
Массовые распределенные атаки типа «отказ в обслуживании» (DDoS) могут нарушить ваши бизнес-операции и помешать вашим пользователям пройти через них (дополнительную информацию см. в разделе часто задаваемых вопросов ниже). Защита от DDoS — это функция, разработанная специально для предотвращения таких типов атак. Если у вас есть общедоступная служба, и вы не можете позволить, чтобы она была недоступна для клиентов/пользователей, вам следует серьезно подумать об этой функции.
3. Виртуальная частная сеть
Функция виртуальной частной сети (VPN) использует шифрование для защиты сетевых подключений от перехватчиков или атак типа «человек посередине» (дополнительную информацию см. в разделе часто задаваемых вопросов). Если к вашей сети через Интернет подключаются несколько пользователей (например, удаленные работники или работники вспомогательных офисов), брандмауэр с функциональностью VPN может оказаться очень полезным.
4. Фильтрация спама по электронной почте
Спам-письма — это не только неприятность; они также могут быть опасными, если ссылаются на вредоносные сайты. Некоторые брандмауэры легко поддерживают фильтрацию спама в электронной почте, которая может обнаруживать спам и предотвращать его попадание в почтовые ящики ваших пользователей. Если их не проверять, спам-сообщения могут мгновенно заполнить эти почтовые ящики спамом и даже увеличить риск заражения вредоносным ПО. Вот почему я рекомендую обратить внимание на эту функцию при выборе брандмауэра для вашей компании.
5. Веб-фильтрация
Веб-фильтрация предотвращает посещение пользователями вредоносных веб-сайтов. Вам нужна эта возможность, потому что пользователи обычно не могут определить, является ли сайт вредоносным или нет. Если они попадут на вредоносный сайт, то могут загрузить вредоносное ПО или невольно поделиться личными данными. Если вы спросите меня, я бы поставил фильтрацию спама в электронной почте и веб-фильтрацию на один уровень важности.
6. Система обнаружения вторжений/система предотвращения вторжений
Ключевая функция большинства NGFW — система обнаружения/предотвращения вторжений (IDS/IPS) помогает обнаруживать угрозы. Он использует сопоставление с образцом, аномалии, эвристики и другие методы для обнаружения индикаторов угроз в пакетной информации и поведении. Вы можете использовать эту расширенную функцию для обнаружения потенциальных угроз, которые могут обойти традиционные функции брандмауэра, такие как фильтрация пакетов и проверка состояния.
7. Шифрование/дешифрование SSL/TLS
Шифрование/дешифрование SSL/TLS — это функция, которая позволяет брандмауэру расшифровывать соединения, зашифрованные с помощью SSL/TLS, проверять их содержимое, а затем повторно шифровать их по мере прохождения. Вы можете использовать эту функцию, доступную в большинстве NGFW, для автоматической проверки и обнаружения вредоносного контента, который может скрываться в зашифрованных соединениях.
8. Сканирование вредоносных программ
Вот еще одна функция, которую вы часто найдете в NGFW. Сканирование вредоносных программ помогает обнаруживать вредоносные программы в сетевых подключениях. Обнаружив вредоносные программы на сетевом уровне, вы можете предотвратить их заражение ваших хостов и других конечных устройств в вашей сети.
Когда дело доходит до выбора брандмауэра или лучшего из них для вашей организации, недостаточно просто выбирать на основе функций. Как я указывал ранее, у вас есть несколько других факторов, которые следует учитывать. Теперь поговорим об этих других факторах.
Другие факторы, которые следует учитывать при выборе брандмауэра
Как ключевой человек, принимающий решения в малом бизнесе, вы должны учитывать несколько критериев, прежде чем выбирать брандмауэр. Сколько это стоит? Каков размер вашей организации? Вам нужен удаленный доступ? Это лишь некоторые из вопросов, которые вы должны задать себе перед тем , как выбрать брандмауэр. Остановимся на этих факторах подробнее.
Сколько это стоит?
Цена брандмауэра может варьироваться от менее ста долларов до более чем ста тысяч долларов. Да, этот диапазон довольно широк. Но как только у вас будет готовый бюджет, будет легче сузить список. Вот несколько примеров брандмауэров и их соответствующие цены на момент написания этой статьи:
| Брандмауэр | Краткое описание | Цена |
| TP-Link ER605 | Это пример маршрутизатора со встроенными функциями брандмауэра. | 60 долларов |
| Ubiquiti Networks EdgeRouter X | Это еще один пример маршрутизатора со встроенными функциями брандмауэра. | 246 долларов |
| Фортинет Фортигейт 40F | Это брандмауэр начального уровня нового поколения. | 590 долларов США |
| SonicWall TZ370 TotalSecure | Это более продвинутый NGFW, чем тот, что был выше. | 1031 доллар США |
| Cisco Огневая мощь 4115 | Этот NGFW в основном используется в центрах обработки данных. | 150 297 долларов США |
Просто помните, что вы также должны учитывать потенциальные затраты, связанные с кибер-инцидентом. Сколько вы можете потратить в конечном итоге, если пострадаете от утечки данных, атаки программы-вымогателя или длительного простоя из-за DDoS-атаки? Примите это во внимание, прежде чем ограничивать себя определенным ценовым диапазоном.
Каков размер вашей организации?
Размер вашей организации может помочь вам определить подходящую пропускную способность (подробнее об этом в FAQ) для вашего брандмауэра и даже типа брандмауэра. Например, предположим, что ваш малый бизнес находится в верхней части спектра с точки зрения количества пользователей. Если это так, вам, вероятно, понадобится брандмауэр, способный обрабатывать большой сетевой трафик или высокую пропускную способность.
Еще одна причина, по которой следует учитывать размер вашей организации, заключается в том, что если у вас небольшое население, у вас есть возможность выбрать программный брандмауэр. Вы можете установить программные брандмауэры на многие конечные устройства (например, ноутбуки, ПК, планшеты, телефоны и т. д.).
Однако если у вас крупная организация с большим количеством конечных устройств, вам следует выбрать аппаратный брандмауэр. Наша статья о различных типах брандмауэров может дать вам представление о том, чем отличаются эти два типа.
Каковы ваши основные угрозы кибербезопасности?
Основная цель брандмауэра — защитить вашу сеть от киберугроз. Однако не все существующие киберугрозы могут повлиять на вашу сеть так сильно, как на другие сети. Поэтому вам следует выбрать брандмауэр, который эффективен против самых серьезных угроз. Вот несколько примеров некоторых из этих угроз, чтобы проиллюстрировать, что я имею в виду:
DDoS-атаки
DDoS-атаки (подробнее см. FAQ ниже) представляют собой серьезную угрозу для сетей, в которых размещаются критически важные службы. Например, предположим, что у вас есть общедоступный сервер передачи файлов, который поддерживает все ваши электронные бизнес-транзакции. Если этот сервер станет недоступным, ваши основные бизнес-операции могут остановиться. Это совершенно неприемлемо.
Таким образом, поскольку DDoS-атака может вывести этот сервер из строя, вам следует подумать о выборе брандмауэра с возможностями защиты от DDoS-атак. Однако тот же аргумент не применим к сети, которая не подключена напрямую к Интернету или в которой не запущена какая-либо критически важная служба.
Потеря данных
Будете ли вы хранить или обрабатывать большое количество конфиденциальных данных за брандмауэром? Если в этой сети хранится информация об интеллектуальной собственности или данные, на которые распространяются такие правила, как HIPAA или PCI DSS, вам потребуется какой-либо механизм предотвращения потери данных (DLP). DLP может обнаруживать конфиденциальные данные и предотвращать их утечку из вашей сети.
Поскольку брандмауэры обычно располагаются на входе и выходе из вашей сети, они идеально подходят для обеспечения функций DLP. Если вы имеете дело с большим количеством конфиденциальных данных, брандмауэр с функциями DLP определенно заслуживает внимания.
MITM-атаки и сокрытие вредоносного ПО в соединениях SSL/TLS
Атаки «человек посередине» (MITM) (подробности см. в разделе «Часто задаваемые вопросы») могут подвергнуть риску конфиденциальные данные, такие как имена пользователей и пароли. Если у вас есть причины для беспокойства по поводу этих атак, вы можете использовать SSL/TLS для защиты сетевых подключений.
Однако есть загвоздка. Обычный брандмауэр не сможет проверять пакеты, зашифрованные с помощью SSL/TLS. Затем другие злоумышленники могут злоупотреблять этим ограничением, скрывая вредоносные программы и сообщения C&C в этих зашифрованных пакетах. Не беспокойтесь, так как вы можете устранить обе угрозы (MITM и зашифрованное вредоносное ПО). Вы можете сделать это, используя брандмауэр, способный шифровать/дешифровать соединения SSL/TLS, проверять содержимое, а затем повторно шифровать его перед отправкой.
Программы-вымогатели
Вот одна угроза, которая может нанести серьезный ущерб любой сети. Программы-вымогатели могут привести к серьезным простоям, а также к потере данных (путем повреждения файлов). Более того, в последнее время частота атак программ-вымогателей была довольно высокой. В отчете опубликованный в прошлом году, поставщик корпоративной безопасности Fortinet сообщил, что число инцидентов с программами-вымогателями увеличилось на 1100% за последние двенадцать месяцев до публикации отчета. Таким образом, с точки зрения рисков программы-вымогатели представляют очень высокий риск для бизнеса.
Брандмауэр, оснащенный DPI, фильтрацией спама в электронной почте, веб-фильтрацией, IDS / IPS и сканированием вредоносных программ, — ваш лучший выбор. Хотите знать , как выбрать брандмауэр, который может снизить риск атаки программ-вымогателей? Выберите один с такими возможностями. Давайте теперь вернемся и продолжим обсуждение других важных факторов.
Как выглядит ваша внутренняя сеть?
Разнообразие вашей внутренней сети также может повлиять на выбор брандмауэра. Если ваша сеть состоит из большого количества устройств и платформ, выбор программного или локального брандмауэра может оказаться нереалистичным. Помните, что большинство программных брандмауэров зависят от платформы. Брандмауэр, созданный для Windows, может не поддерживать устройства Mac, Linux, iOS или Android. Фактически, брандмауэр, созданный для настольной операционной системы (ОС) Windows, может не работать на серверной ОС Windows.
Итак, это означает, что если вы пойдете по пути программного обеспечения, вам придется иметь дело со сложностями установки и настройки каждой ОС. Проведите инвентаризацию вашей ИТ-среды. Если он имеет высокую степень разнообразия, вы можете рассмотреть возможность выбора аппаратного брандмауэра. Аппаратный брандмауэр работает как отдельное устройство, поэтому ему все равно, какие устройства или операционные системы у вас работают за ним.
Вам нужен удаленный доступ?
Если вам необходимо поддерживать удаленных работников и других пользователей, которым требуется удаленный доступ, вы должны помнить, что эти пользователи могут быть уязвимы для MITM-атак. Хотя принуждение пользователей придерживаться сетевых протоколов, защищенных SSL/TLS, таких как HTTPS, может снизить этот риск, есть еще один вариант. Вы можете выбрать брандмауэр со встроенными функциями VPN. Как упоминалось ранее, VPN помогает шифровать данные.
Предоставляет ли ваш поставщик брандмауэра качественную поддержку клиентов?
Рано или поздно у вашего брандмауэра возникнут технические проблемы. Некоторые из этих проблем могут быть слишком сложными для вашего назначенного ИТ-специалиста. Некоторые проблемы могут возникнуть даже глубокой ночью.
Таким образом, вы должны убедиться, что у вашего поставщика брандмауэра есть квалифицированная группа поддержки клиентов, которая может помочь вам, когда вам понадобится техническая помощь. Если возможно, ищите поддержку 24/7, если ваш бизнес работает круглосуточно, так как вы никогда не знаете, когда ваш брандмауэр выйдет из строя или как долго он будет отключен.
И вот оно. Это важные вопросы, которые вы должны задать себе, прежде чем выбрать брандмауэр для своего бизнеса. Но вы можете спросить: «После того, как я рассмотрю эти факторы, как мне выбрать лучший брандмауэр для моего бизнеса ?» Узнайте в следующем разделе.
Выбор лучшего брандмауэра для вашего бизнеса
Разные предприятия предъявляют разные требования — даже к покупке чего-то такого, казалось бы, обыденного, как брандмауэр. Ваши бюджетные требования, угрозы, с которыми вы сталкиваетесь, состав вашей внутренней сети и т. д. могут полностью отличаться от требований других малых предприятий.
Таким образом, не существует жестких и быстрых правил, определяющих, какой брандмауэр лучше всего подходит для малого бизнеса. Не существует такой вещи, как универсальный брандмауэр. Скорее, вам следует рассмотреть различные факторы, чтобы определить, какой брандмауэр лучше всего подходит для вас. Надеюсь, предыдущие разделы этой статьи помогли вам в этом отношении. Давайте закругляться!
Нижняя линия
Каждый ИТ-руководитель малого бизнеса должен знать , как выбрать брандмауэр, прежде чем покупать брандмауэр. В этой статье я познакомил вас со всеми основными и важными моментами, которые необходимо учитывать перед покупкой.
Вы узнали об основных мотивах выбора брандмауэра, некоторых основных и дополнительных функциях брандмауэра, а также о нескольких факторах, которые необходимо учитывать. Я надеюсь, что вы сможете использовать знания, которые вы получили сегодня, чтобы обосновать свое решение о покупке. Не стесняйтесь обращаться к этой статье в будущем, если вам это понадобится.
У вас есть еще вопросы по выбору брандмауэра? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже!
Часто задаваемые вопросы
Что такое SSL/TLS?
SSL/TLS расшифровывается как Secure Sockets Layer или Transport Layer Security (TLS). Это технологии, которые защищают различные протоколы прикладного уровня, такие как HTTP и FTP, с помощью шифрования. Шифрование защищает данные, делая их нечитаемыми. SSL — более старая технология, а TLS — текущая, но большинство пользователей продолжают использовать аббревиатуру SSL, поскольку она все еще более широко известна.
Что такое пропускная способность в контексте брандмауэров?
Пропускная способность, которая обычно выражается в Мбит/с или Гбит/с, представляет собой показатель, показывающий, сколько трафика может пройти через брандмауэр в единицу времени (обычно секунд). Чем выше пропускная способность брандмауэра, тем быстрее через него может проходить трафик. Вообще говоря, высокая пропускная способность соответствует более высоким ценникам, так что это то, что вам нужно учитывать. Кроме того, пропускная способность, указанная в техническом описании брандмауэра, обычно измеряется с отключенными всеми функциями безопасности. Реальная пропускная способность будет намного ниже.
Что такое C&C-сервер?
C&C, или C2, означает командование и управление. Это серверы, с которыми взаимодействует вредоносное ПО для отправки удаленных данных или получения команд. Некоторые из этих сообщений используют преимущества HTTPS и других протоколов, зашифрованных с помощью SSL/TLS, чтобы оставаться незамеченными.
Что такое DDoS-атака?
Распределенная атака типа «отказ в обслуживании » или DDoS-атака — это сетевая атака, предназначенная для перегрузки вычислительных ресурсов цели. Эти атаки могут замедлить работу вашей сети и помешать законным пользователям подключаться к вашим службам.
Что такое атака «человек посередине»?
Атака «человек посередине» — это кибератака, при которой злоумышленник перехватывает соединение и пытается извлечь конфиденциальные данные, такие как имена пользователей и пароли. Сетевые протоколы, отправляющие незашифрованные данные, уязвимы для этого типа атак.
Что такое программы-вымогатели?
Программа-вымогатель — это разновидность вредоносного ПО, которое блокирует файлы или даже целые системы путем их шифрования, а затем отображает сообщение с требованием выкупа. В записке о выкупе обычно содержится предупреждение о том, что если жертва не заплатит в назначенное время, файлы будут навсегда зашифрованы. В настоящее время это самая большая угроза вредоносного ПО.
Ресурсы
TechGenix: информационные бюллетени
Подпишитесь на наши информационные бюллетени, чтобы получать больше качественного контента.
TechGenix: руководство по включению брандмауэров в Azure
Узнайте, как включить брандмауэр и виртуальные машины в учетных записях хранения Azure.
TechGenix: статья о лучших межсетевых экранах
Откройте для себя лучшие межсетевые экраны для предприятий и малого и среднего бизнеса.
TechGenix: статья о сценариях Runbook и брандмауэре Azure
Узнайте, как запускать и останавливать брандмауэр Azure с помощью сценария Runbook.
TechGenix: Статья о брандмауэре как услуге
Изучите брандмауэр как услугу.
TechGenix: Дополнительные статьи о брандмауэрах
Изучите различные статьи о брандмауэрах.