В этой части мы продолжим описание решения многоступенчатой защите на основе шлюзов USG Performance Series, в частности, Zyxel USG40W. Предыдущие части: первая и вторая. Но в начале стоит вспомнить о причинах, которые побуждают системных администраторов, специалистов по ИТ-безопасности использовать подобные устройства.
Далее мы перейдём к описанию Zyxel USG40W, взяв за основу оба варианта web-интерфейса: «Простой Режим» и «Режим Опытного Пользователя».
Зачем нужна многоступенчатая защита?
Иногда можно услышать мнение на тему: о том, что многоступенчатая защита скорее относится к разряду роскоши, нежели к необходимым вещам.
«Конторка наша маленькая, вот есть корпоративный антивирус (Enterprise версия, между прочим) и вроде пока хватает» ...
В качестве аргументов в защиту такой позиции, выдвигаются самые разные утверждения. Например, со всех сторон муссируется тот факт, что на потоке нельзя проверить зашифрованный трафик (и это естественно, он как раз и шифруется для того, чтобы не быть прочитанным на промежуточных узлах).
ПРИМЕЧАНИЕ. На современных устройствах устанавливается целый комплекс средств для повышений уровня безопасности, который может включать: антивирус, антиспам, контекстную фильтрацию, систему защиты от вторжений.
Еще иногда приводят аргумент, что при проверке аппаратно-программным антивирусным шлюзом нельзя использовать поведенческий анализатор. А вот локальных антивирусах данный метод широко используется.
Скажем прямо — было бы странно внедрять такой механизм на Интернет-шлюзе. Грубо говоря, представьте, картину, когда каждый исполняемый файл, картинка, словом, любой объект вначале сохраняется на промежуточном устройстве, проверяется в тестовом окружении на выделенной машине, и только потом, спустя какое-то время, например, двое суток — выдаётся пользователю. Такой вот «тетрис по переписке».
Надо отметить, что описанный off-line метод всё же применяется, но для совсем других задач. Например, при внедрении нового программного обеспечения, тестирования обновлений и так далее. Наличие sandbox в закрытой тестовой среде на отдельном сервере — это тоже одна из частей многоступенчатой защиты. Для Интернет-шлюзов данный вариант проверки не подходит.
ПРИМЕЧАНИЕ. Для того, чтобы снизить риски в Интернет, можно использовать систему контентой фильтрации, ограничивающей доступ к порно-продукции, пиратским ресурсам и другим наиболее вероятным местам обитания malware.
Очень важно понимать, что многоступенчатая защита — это именно ДВЕ и БОЛЕЕ (!) ступени защиты. Антивирусный Интернет-шлюз — это никак не замена антивируса на конечном устройстве. Основная задача антивирусного шлюза — снять нагрузку с локального антивируса.
Например, большое число вредоносных и фишинговых вложений до сих пор приходит через почтовый спам. Если локальный антивирус на компьютере пользователя будет проверять всю неотфильтрованную почту — ему, мягко говоря, придётся несладко. Наличие антиспама шлюзе избавляет систему защиты на отдельном компьютере от необходимости проверять большую часть таких писем. Антивирус на шлюзе может отсечь ещё значительную часть писем с «сюрпризами». И на долю локального антивируса придётся не так уж много работы.
Важно отметить момент, что опасность может возникнуть на каждом компьютере в сети. Не важно, что у сотни пользователей всё проверяется прекрасно, а у одного-единственного антивирус вовремя не получил обновлений и пропустил вредоносный код. В конечном счёте всё равно откуда пришла беда — с одного-единственного компьютера, где пользователь открыл письмо с трояном или со всех сразу. Централизованная отсечка подобных «подарков» антиспамом и антивирусом на шлюзе способна обезопасить всех пользователей, на которых распространяется политика защиты.
ПРИМЕЧАНИЕ. Используйте многоступенчатую защиту, чтобы разгрузить локальный антивирус. Особенно это актуально при большом количестве срабатываний на простые угрозы. Установка защитного шлюза возьмёт на себя часть работы по анализу простых случаев, что положительно скажется на быстродействии системы в целом.
Для того, чтобы раз и навсегда понять разницу между решением из одного корпоративного антивируса и многоступенчатой защитой, можно сравнить ИТ-инфраструктуру с жилым домом.
В современных домах повсеместно присутствует электронный замок с домофоном. Делается это для того, чтобы ограничить доступ в подъезд разного рода «непонятным личностям». И подобный метод отсечки нежелательных посетителей вполне оправдывает себя.
Да, любой метод защиты несовершенен. В случае с тем же домофоном злоумышленник может прошмыгнуть в открытую дверь вслед за жильцом, выведать код от домофона или раздобыть ключ. Поэтому всё равно необходимо иметь хорошую крепкую дверь и надёжный замок для защиты квартиры. Но если оценивать ситуацию в целом, то жизнь с домофонами гораздо комфортнее, чем там, где двери в подъезд нараспашку и каждый житель вынужден заботиться о безопасности сам по себе.
Вот о таких «супер-домофонах» для ИТ-инфраструктуры от компании Zyxel и пойдёт речь ниже.
Шлюзы USG Performance Series USG40/ USG40W/ USG60/ USG40W — интерфейс и возможности
В предыдущей части был рассмотрен процесс настройки входа в web-интерфейс, его разделение на основные режимы и обновление прошивки.
Основная цель материала текущей статьи — помочь ориентироваться при управлении и настройке таких шлюзов.
Напомним, что существует два варианта управления: «Простой режим» и «Режим опытного пользователя».
Простой Режим
Управление в простом режиме большей частью основано на использовании «мастеров настройки» (wizard) и представляет собой возможность пошаговой конфигурации. Таким способом можно настроить подключение к внешней сети (WAN интерфейс), VPN, Wi-Fi и так далее.
Рисунок 1. Общий вид интерфейса «Простой режим».
Преимущества данного метода управления в простоте начальной настройки, как говорится «не мудрствуя лукаво». Одновременно это является ограничением — часть параметров остаются «за кадром» и для их изменения приходится перейти в режим «Опытный пользователь».
Рисунок 2. Фрагмент мастера первоначальной настройки.
ПРИМЕЧАНИЕ. Если затрудняетесь быстро найти ту или иную настройку в режиме «Опытный пользователь», попробуйте переключиться в «Простой режим» и выполнить необходимое действие через мастера настроек. Далее Вы сможете использовать созданные настройки как шаблон для более тонкого тюнинга.
Режим Опытный Пользователь
Как уже было сказано выше, этот режим предназначен для выполнения максимально полной адаптации под существующие нужды.
Настроек и правда очень много. Поэтому крайне рекомендуется перед началом работы прочесть документацию.
Линейка USG Performance Series имеет очень богатый набор функций. И в рамках небольшой статьи не получится глубоко погрузиться в данную область. Ограничимся описанием общих принципов, чтобы было проще ориентироваться в web-интерфейсе. Также рассмотрим часть действий, которые стоит выполнить, как говорится «сразу после знакомства».
Web-интерфейс устройств USG Performance Series состоит из 4х основных разделов.
Переключение между режимами происходит при помощи активных эле ментов в левой части экрана.
Стоит отметить, что разделение функций по этим разделам носит скорее условный характер. Ниже приводится краткое описание каждого из них.
1. Системный монитор
Это самое первое, что видит пользователь после входа в систему в режиме «Опытный пользователь».
Данный раздел предназначен для экспресс-контроля и получения информации о произошедших событиях. Английское название — Dashboard, то есть окно для быстрого доступа к наиболее используемым функциям и важной информации.
Рисунок 3. Раздел Системный монитор. Дополнительно красным контуром выделены «экранные кнопки» для перехода между разделами.
В принципе, всё что здесь представлено, дублируется в других разделах. Системный монитор позволяет ускорить доступ к нужным функциям, но не заменяет стандартные методы мониторинга настройки. Dashboard, он и в Африке — Dashboard.
2. Мониторинг
Эта обширная область интерфейса служит для получения оперативной информации о состоянии системы и произошедших событиях.
Данный раздел состоит из нескольких подразделов:
- Статус системы;
- Беспроводная сеть;
- Статус VPN;
- Статистика UTM;
- Лог.
Каждый из этих пунктов в свою очередь содержит дополнительные подпункты. В целом раздел мониторинга содержит большой объем информации по широкому спектру событий.
Рисунок 4. Раздел Мониторинг.
Для более подробного описания стоит обратиться к документации.
3. Конфигурация
Основное предназначение — выполнение тонких настроек системы защиты, доступа по VPN, правил фильтрации на брандмауэре и множество других полезных вещей.
Раздел «Конфигурация» включает подразделы:
- Набор мастеров «Быстрая настройка»;
- Лицензирование;
- Беспроводная сеть;
- Сеть;
- Веб-аутентификация;
- Политика безопасности;
- Cloud CNM;
- VPN;
- BWM;
- Профиль UTM;
- Объект;
- Система;
- Логи & Отчеты.
Рисунок 5. Раздел «Конфигурация».
Мы ещё вернемся к этому разделу, когда будем рассматривать необходимые действия.
4. Обслуживание
Предназначен для выполнения работ по поддержанию рабочего состояния системы.
Содержит подразделы:
- Файловый менеджер;
- Диагностика;
- Обзор маршрутизации;
- Завершение работы.
Как я уже писал выше, деление отнесение той или иной функции в какой-либо из разделов — вещь условная. Но, в целом, такая разбивка по разделам позволяет систематизировать многочисленные функции этих устройств и помогает быстрее ориентироваться.
Рисунок 6. Раздел Обслуживание.
Первоначальные действия
Первое, что нужно сделать, после приобретения устройства — зарегистрировать. Сделать это можно из web-интерфейса, перейдя в раздел «Конфигурация» — подраздел «Лицензирование» — и далее пункт «Регистрация».
Рисунок 7. Раздел «Конфигурация» — Регистрация устройства.
После регистрации необходимо установить лицензии на требуемые сервисы: антивирус, антиспам, защите от вторжений, контентную фильтрацию.
Для этого необходимо в том же окне (раздел «Конфигурация» — подраздел «Лицензирование» — «Регистрация») выбрать пункт «Сервис» и по очереди активировать необходимые службы, используя активный элемент в виде ссылки «Activate».
Рисунок 8. Раздел «Конфигурация» — Активация антивируса.
Теперь, после знакомства с интерфейсом и регистрации продукта, можно переходить к настройке шлюза под свою инфраструктуру.
К услугам администратора — подробная документация, База Знаний и развитая служба технической поддержки Zyxel.
Заключение
Шлюзы Zyxel USG Performance Series можно сравнить с многоцелевым военным кораблем способным решать широкий спектр задач по обеспечению безопасности в заданном регионе.
Однако, чтобы управлять такой боевой единицей, необходимо запастись необходимыми знаниями и навыками. Поэтому этап ознакомления с документацией будет не лишним.
В то же время развитый удобный web-интерфейс и интерфейс командной строки (CLI) позволят легко адаптироваться как специалистам, имеющим опыт работы сетевым оборудованием других вендоров, так и совсем новичкам.