
Обзор межсетевых экранов, систем IPS и IDS
Безопасность
Время чтения
6 минут
По оценке агентства Cyber Security Ventures, к 2025 году ущерб от киберпреступлений составит $10.5 трлн и будет продолжать расти. Эта тенденция подтверждается также отчетами Интерпола и «Лаборатории Касперского». Они свидетельствуют об увеличении количества кибератак и сетевых вторжений на фоне уменьшения бюджетов на киберзащиту из-за финансового кризиса.
В последние годы развитие средств информационной безопасности идет параллельно с разработкой новых методов атак. Новое поколение устройств защиты включает в себя функции межсетевого экранирования, обнаружения вторжений, web-фильтрации, потокового антивируса, терминации VPN-подключений и другие. Это поколение является стандартом при построении систем информационной безопасности.
В статье мы подробно разберем использование межсетевых экранов в связке с системами обнаружения (IDS) и предотвращения (IPS) вторжений для защиты инфраструктуры компаний. Вы узнаете, что это такое, как работает и чем отличается.
Что такое межсетевой экран
Межсетевой экран (МЭ, он же брандмауэр или фаервол) — программный или программно-аппаратный комплекс, предназначенный для фильтрации исходящего и входящего сетевого трафика. Функции и алгоритмы МЭ позволяют ему анализировать параметры сетевого соединения, такие как: адрес и порт источника, адрес и порт назначения, используемые протоколы, состояние установленной сессии.
Межсетевые экраны нового поколения (Next Generation Firewall, NGFW) также способны распознавать трафик конкретных приложений и выполнять инспекцию зашифрованного соединения (SSL/TLS Decription). Таким образом, межсетевой экран обеспечивает защиту от несанкционированного доступа из внешней сети.
Как работает и для чего нужен
Межсетевой экран может быть представлен в виде отдельного софта или составляющей приложения. Например, МЭ часто включаются в состав современных средств защиты конечных устройств (EDR). Но чаще всего, межсетевые экраны применяемые для защиты инфраструктуры, реализуются в виде программно-аппаратных комплексов отдельных решений.
Межсетевые экраны — базовый уровень защиты внутренних сетей, который нужен для:
сокрытия структуры внутренней сети от сети «Интернет»;
недопущения проникновения в сеть организации небезопасного трафика из недоверенных сетей;
отслеживания состояния сессии;
блокировки передачи трафика на основе протоколов, источников или приемников, портов отправки и назначения, а также иных параметров.

Существует недостаток использования только межсетевых экранов для защиты внутренних сетей организации. Он состоит в том, что МЭ не выявляет вредоносный или атакующий трафик, если он соответствует правилам или политикам доступа, реализуемым МЭ. То есть межсетевой экран не может защитить уязвимый сервер, имеющий доступ к интернету, от атаки эксплоита (вредоносной программы), если этот доступ разрешен. Поэтому сейчас функционал МЭ дополняется функционалом целого ряда систем, ключевыми из которых являются IDS или IPS, которые ранее применялись как отдельные решения.
Что такое IDS
IDS (Intrusion Detection System, система обнаружения вторжений) — программная или аппаратно-программная система сетевой безопасности, предназначенная для выявления сетевых атак и аномалий. Инструменты IDS могут использоваться отдельно или же в составе межсетевых экранов.
Что делает, от чего защищает
IDS отслеживает трафик, сравнивая его с собственной базой данных возможных сетевых атак и базовой сетевой активностью. Такой механизм работы позволяет обнаруживать:
сетевые атаки;
неавторизованный доступ к данным;
действия вредоносных скриптов и программ;
функционирование сканеров портов;
нарушение политик безопасности;
обращение к центрам управления бот-сетями и майнинг-пулам;
аномальную активность.
Обнаружить нарушения политик безопасности можно за счет написания своих собственных паттернов детектирования. Это помогает отслеживать определенное поведение в сети.
Важно заметить, что IDS-система не отражает атаки, а только обнаруживает их и уведомляет администратора, помогая найти причину и устранить ее.
Что такое IPS
IPS (Intrusion Prevention System, система предотвращения вторжений) — программная или аппаратная система сетевой безопасности, предназначенная для обнаружения несанкционированных действий и атак, а также автоматизированного противодействия им. Фактически IPS выступает вторым рубежом защиты, располагающимся за фаерволом или входящим в его состав.
Что делает, от чего защищает
IPS выполняет сопоставление трафика известным паттернам сетевых атак для выявления:
изменения тенденций сетевого трафика;
попыток несанкционированного доступа;
попыток обращения к небезопасным ресурсам из сети организации.
Intrusion Prevention System способна не только выявлять риски на разных уровнях, но и автоматически отвечать на них:
блокировать небезопасный трафик;
генерировать событие ИБ для администратора.
Таким образом, IPS является инструментом активной защиты.
Отличия
Основное различие систем заключается в методе реагирования на нарушение информационной безопасности. По сути, IDS является инструментом мониторинга: может только распознать опасные действия и предупредить о них. В свою очередь, IPS-система — механизм более широкого применения. Он не только выявляет проблему, но и сразу запускает процессы противодействия ей. Например, сброс соединения или блокировку IP-отправителя.
Кроме различия в способе реагирования на атакующий или подозрительный трафик, IPS и IDS отличаются способом установки в инфраструктуре сети и по отношению к сетевому трафику. Если, как правило, IDS системы устанавливаются «сбоку» от сетевых потоков, обрабатывая копию трафика, проходящего через сеть, то IPS обычно устанавливаются «в разрыв» и стоят на проходе трафика через активное сетевое оборудование.

В этом случае преимущество IDS заключается в следующем. При исчерпании ресурсов, которые имеются у средства защиты для обработки трафика, IDS не будет оказывать влияния на пропуск трафика через сеть. IPS же установленный на проходе обрабатываемого трафика, является узким местом системы защиты. Как дополнительный модуль в составе межсетевого экрана, IPS дает дополнительную нагрузку на оборудование МЭ и в большинстве случаев является частью МЭ нового поколения (Next Generation Firewall, NGFW).
Возможности систем
IPS и IDS-системы имеют ряд полезных возможностей:
Обнаружение по сигнатурам — трафик проверяется на соответствие профилю известных атак (шаблонов). Это позволяет выявить атаки, вредоносные коды, движение ложного трафика и другие риски. Подходит для обнаружения и блокирования известных атак.
Обнаружение на основе аномального поведения в данных — системы могут использовать не только шаблоны, но и распознавать новые (нешаблонные) варианты атак. Как правило, для этого задействуется искусственный интеллект и модели машинного обучения.
Наблюдение за пользователями в реальном времени — алгоритмы собирают данные о трафике и комплексно анализируют его. Это позволяет не только находить проблемы, но и точно идентифицировать их: откуда была угроза, когда и каким способом.
Примечание
Кроме того, IPS и IDS-системы могут создавать профили базовой активности для каждого узла.
Резюме
Сегодня межсетевые экраны во взаимодействии с IPS и IDS-системами являются одним из ключевых средств обнаружения и защиты от действий злоумышленников. Системы IPS и IDS относительно легко настраиваются, просто управляются и могут обеспечить высокую точность мониторинга сетей.
Между IPS и IDS-системами есть отличия, обусловленные местом интеграции инструментов в цепочку обработки трафика, и особенности, определяющие спектр задач и ограничений. Именно поэтому, функционал межсетевых экранов лучше дополнять функционалом систем IDS и IPS, повышая уровень защиты.
Межсетевые экраны, системы обнаружения и предотвращения вторжений — базовые элементы сетевой безопасности при построении периметровой системы защиты информации в любой компании. Широкий выбор относительно стоимости и функционала этих устройств может удовлетворить любого клиента. Решения есть, как в программном, так и в аппаратном исполнении, свободно распространяемые и проприетарные (частные), а также имеющие различные характеристики. Дополнения межсетевых экранов IDS и IPS помогают повысить эффективность работ служб информационной безопасности и своевременно реагировать на сетевые атаки. При этом не обязательно ограничиваться только этими решениями. Существуют и другие системы, способные обеспечить высокий уровень информационной безопасности
Любое средство защиты информации требует от администратора глубоких знаний его применения и до сих пор не теряет актуальности. При правильной настройке межсетевые экраны и IPS/IDS могут принести большую пользу для повышения уровня защищенности инфраструктуры организации.
Для комплексной сетевой защиты корпоративных ресурсов в облаке SberCloud предлагает подключение межсетевого экрана NGFW.
Мы продолжаем обзор решений информационной безопасности в нашей следующей статье о решениях класса UTM, NGFW, NTA.
Вам может понравиться


Cloud.ru и AI: как мы поддержали выход Wildberries на новый рынок

Какие новости за февраль и март — дайджест Cloud.ru

INSERT INTO SQL: примеры добавления данных в таблицу

Node.js на Ubuntu 24.04: как установить и настроить

Что такое HTTPS и как он защищает ваши данные

REST API: что это и как использовать

Как создать Telegram Web App: инструкция по разработке Mini App

Как привлекать клиентов и зарабатывать до 20% на рекомендациях: готовые инструменты

Коды ошибок HTTP: что нужно знать о серверных и клиентских ошибках

Лучшие дистрибутивы Linux: выбор популярных версий

Система управления базами данных (СУБД): что это такое и зачем нужна

Все о Telegram-ботах: какие бывают и как их сделать самому

VPS/VDS: что это такое и чем они отличаются? Полное руководство

Что такое NVMe и как он отличается от SATA SSD и M.2

Микросервисная архитектура: чем она хороша и кому нужна

Как развернуть WordPress в облаке: инструкция для новичков

Применение LLM в бизнесе: опыт лидеров и роль облачного провайдера

Центры обработки данных (ЦОД): что это и как они работают

Какие новости за январь — дайджест Cloud.ru

Команда grep в Linux: как искать строки и шаблоны

PostgreSQL: что это за СУБД и чем она хороша

Что может chmod: как управлять доступами к файлам и папкам в Linux

Как узнать IP-адрес в Linux через командную строку

Как узнать IP-адрес своего компьютера

Система MySQL: что это и для чего нужна

Команды kill и killall в Linux: как завершить ненужные процессы

Работа с файлами в Linux: их создание и организация через терминал

Стандарт Tier III для дата-центра: что значит и почему это круто

Какие новости за декабрь и начало января — дайджест Cloud.ru

Что такое FTP-протокол и как настроить FTP сервер

Белые и серые IP, динамические и статические - в чем различие

Как защищать сайты и приложения в облаке от DDoS-атак

Какие новости за ноябрь — дайджест Cloud.ru

BAT-файлы: что это такое, зачем они нужны и как их создавать

Гайд по протоколу HTTP: расшифровка, структура и механизм работы

Межсетевой экран, firewall и брандмауэр: что это, в чем между ними разница и зачем они нужны

Kubernetes на Cloud.ru Evolution: возможности и преимущества

Какие новости за октябрь — дайджест Cloud.ru

Как создать сетевую архитектуру для размещения межсетевых экранов на платформе Облако VMware

Рассказать про технологии лампово, или Как мы провели конференцию GoCloud Tech для инженеров и...

Какие новости за сентябрь — дайджест Cloud.ru

Высокоресурсные вычисления: роль суперкомпьютеров в жизни и бизнесе

Реферальная программа Cloud.ru: как устроена и как на ней зарабатывать

Сетевая модель OSI: что это такое и зачем она нужна

Какие новости за август — дайджест Cloud.ru

Сетевые протоколы передачи данных — что это такое и какие бывают

Какие новости за июль — дайджест Cloud.ru

Как новые возможности в юридических документах Cloud.ru облегчают работу с договорами и не только

Какие новости за июнь — дайджест Cloud.ru

Как обновления VMware Cloud Director облегчают управление и делают работу с инфраструктурой в ...

Как мы рассчитывали «Панораму российского IT-рынка» за 2022 год

Как снизить риски утечки данных и санкций госрегуляторов: 152-ФЗ в Cloud.ru

Бесплатный курс по работе с Cloud.ru Advanced: рассказываем, в чем польза, кому подойдет и как...

Как модель Anything as a Service упрощает IT-процессы

Снижение рисков на производстве: AI-сервис распознает нарушения ношения СИЗ

Kandinsky 2.1: новый уровень в генерации изображений по текстовому описанию

Облачные сервисы для стартапов: как пройти путь от идеи до цифрового продукта и не разориться

Создать пользователя, настроить 2FA, связаться с поддержкой — новые возможности личного кабине...

VDI: что это, как работает и в чем выгода для бизнеса

Как защитить облачную инфраструктуру — рассказываем на примере межсетевого экрана нового покол...

Как начать использовать AI/ML на практике

Бессерверные вычисления: что это за технология и кому она нужна

Чек-лист: как обеспечить безопасность облачной инфраструктуры

Искусственный интеллект

Что такое IaaS?

Что такое PaaS

Machine Learning

Data Science

Машинное обучение без учителя

Классическое машинное обучение

Нейронные сети

Глубокое обучение

Защита персональных данных: как легче соблюдать закон с Cloud.ru и сохранять спокойствие

Как сохранить IT-инфраструктуру и бизнес: руководство к действию

Машинное обучение и Big Data в кибербезопасности

Ответы на актуальные вопросы

Что такое DDoS-атаки, чем они опасны и как от них защититься

Аудит информационной безопасности: что это, зачем и когда его проводить

Межсетевые экраны: UTM, NGFW-системы, NTA, NDR

PostgreSQL vs MySQL: какая система подходит вашему бизнесу

Основы резервного копирования

Специальное предложение «180 дней тестового периода резервного копирования» для всех клиентов
Платформа SberCloud Advanced теперь обеспечивает максимальный уровень защиты персональных данных

Что такое объектное хранилище S3 и как его используют

Customer Enablement: как SberCloud работает с клиентами, чтобы сделать миграцию в облако комфо...

Сеть доставки контента CDN: новые функциональные возможности и преимущества

Объясняем на кейсах: польза CDN для бизнеса

Новая Windows Server 2022 в облаке SberCloud — новые возможности клиентов

Запуск нового сервиса Managed OpenShift в облачной среде SberCloud

Как работает технология DNS

SberCloud Advanced запустила третью ресурсную зону доступности для комфортной работы клиентов

PostGIS в PostgreSQL — как можно использовать

GitLab для начинающих: как и для чего используется

Краткий обзор методологии CI/CD: принципы, этапы, плюсы и минусы

Персональные данные: правильно обрабатываем и храним

Кто и зачем использует облачные модели IaaS и PaaS

152-ФЗ в облаке: хранение персональных данных в облаке

Как работает CDN (Content Delivery Network)?

Service Level Agreement (SLA): все о соглашении об уровне сервиса

Что такое «интернет поведения» (IoB)?

Чек-лист: 6 шагов для успешной миграции в облако

Машинное обучение: просто о сложном

Профессия DevOps-инженер: кто это и чем занимается

Гайд по Kubernetes. Эпизод I: k8s для неразработчиков

Публичные, частные и гибридные облака: в чем разница?
