Настроим Cisco
быстро и просто

Чем отличается роутер от межсетевого экрана и NGFW

Июнь 9, 2024

Маршрутизатор

Маршрутизатор (Router) — это устройство, созданное главным образом для передачи пакетов на основе информации об ip адресах. Его задача — получить пакет на одном из своих интерфейсов, заглянуть в таблицу маршрутизации и решить в какой интерфейс и на какой следующий шлюз отправлять трафик дальше.

Практически у каждого маршрутизатора есть базовая функция безопасности — возможность создания правил доступа — Access Control Lists (ACL).  В них нужно указать ip адреса источника, назначения, протокол и порт и пометить: разрешен ли такой трафик или запрещен. Таким образом можно регулировать сетевой трафик, ограничивая нежелательные соединения.

Пример:

от адреса 192.168.1.10 до адреса 8.8.8.8 протокол TCP и порт 443 действие Разрешить

 

Важно!

Важно отметить, что логика работы ACL в маршрутизаторах похожа на трафарет, который устройство прикладывает к входящему или исходящему пакету. Если совпадение есть — пропускает трафик. Если совпадений нет — не пускает.

Например, можно сделать такое правило для какого-нибудь внешнего ip адреса сайта в сети Интернет, на котором располагаются вредоносные программы.

Однако, нужно всегда помнить, что маршрутизатор создан в первую очередь для передачи трафика, а не для его контроля. Его задача — стабильность и скорость передачи трафика.

 

Межсетевой экран

Межсетевой экран (firewall) — это устройство безопасности. Он создан именно для контроля трафика и обладает в своей базе гораздо большим арсеналом возможностей. Здесь также есть списки доступа и они выглядят точно также, как и маршрутизаторах — адрес источника, адрес назначения, протокол, порт и действие (разрешить или запретить). Ключевое отличие в том, что межсетевой экран для ряда протоколов анализирует состояние установленных сессий. Эта технология называется stateful inspection.

Разницу в логике работы ACL с маршрутизатором отлично можно увидеть на примере протокола TCP (HTTPS). Представим, что пользователь в корпоративной сети идет на какой-то сайт в Интернет, посылая запрос. В этот момент маршрутизатор и межсетевой экран будут действовать одинаково — получив запрос пользователя посмотрят в свои базы правил и пропустят через себя трафик.

Далее веб сервер отвечает на запрос пользователя и тут логика маршрутизатора и межсетевого экрана будет работать также одинаково — оба пропустят ответный пакет. А в чем тогда разница?

Разница будет тогда, когда злобный хакер решит попробовать взломать вашу сеть и попытается обмануть устройство, выставив себя за веб сервер. Он попробует сразу послать пакет, сделав его ответным на несуществующий запрос. Если у вас будет стоять маршрутизатор, то он обратится к своей базе правил, увидит соответствие и благополучно пропустит такой пакет, не заподозрив неладное. Дальше хакер может установить соединение с каким-то из узлов внутри сети и продолжить вершить свои темные дела.

А вот межсетевой экран, получив ответный пакет после быстрого анализа поймет, что для него не было запросов. И такой пакет пропускать не станет, Еще и в лог сделает соответствующую запись, чтобы администратор обязательно обратил внимание на такие попытки.

За возможность работы этой и других функций безопасности межсетевому экрану приходится расплачивается своей производительностью. А выводом из всего этого будет то, что оба устройства важны и нужны, только у каждого из них своя область применения. Если нужно передать большие объемы трафика, то нужен маршрутизатор.  А если нужно контролировать сетевой трафик, то не обойтись без межсетевого экрана.

 

NGFW

NGFW — Next Generation FireWall.  Развитие технологий привело к тому, что у производителей оборудования появилась возможность объединить несколько устройств безопасности в одно. В качестве базы взят обычный межсетевой экран, а к нему в виде виртуальных модулей добавлены дополнительные возможности, например модуль IPS — Intrusion Prevention System.

Если по-простому, то IPS — это модуль, который содержит в себе несколько тысяч заготовленных правил. Правила называются сигнатурами и каждая из них описывает набор параметров, по которым можно определить вредоносный трафик. NGFW сверяет поступающий трафик с этой базой и применяет к трафику заданные действия (разрешения, уведомления, блокировки…)

Также очень полезен модуль Application Control. Он позволяет указывать в правилах доступа не протокол и порт, а конкретное приложение. Например в обычном межсетевом экране для разрешения SSH трафика необходимо открыть TCP 22. Но ведь какой-то сервер или служба могут работать по протоколу SSH, но использовать нестандартный порт. Например 10022 (или любой другой). Это может быть сделано как разработчиком для каких-то целей, так и использоваться злоумышленниками, которые пытаются замаскировать свою активность. NGFW с наличием модуля App Control позволит указать в правиле доступа именно протокол SSH, после чего устройство будет регулировать такой тип трафика несмотря на порт TCP. Удобне и безопасно.

Модуль Network Antivirus — позволяет проводить антивирусную проверку для проходящих через устройство файлов.

Модуль URL filtering — позволяет открыть доступ в Интернет на определенные категории сайтов. Например разрешить пользователям читать новости, пользоваться поисковыми системами и онлайн магазинами, при этом запретить контент для взрослых, запрещенные вещества и другие непотребства.

Модуль SSL Inspection — позволяет расшифровывать SSL (HTTPS) трафик с целью поиска уязвимостей и вредоносной активности. NGFW получает запрос от пользователя на доступ к веб ресурсу в интернете, расшифровывает его и отправляет дальше от своего имени. Без этого модуля NGFW не может заглянуть внутрь такого трафика, так как передаваемые данные зашифрованы.

 

Читайте другие статьи о сетях В стиле Deltaconfig 

telegram-iconНаш канал в Telegram

×

Форма для связи