Новый игрок на рынке сетевой безопасности

Компания «Инфосистемы Джет» обладает наиболее высокой компетенцией в России по решениям Huawei Symantec в области информационной безопасности. Давайте проведем экспертный анализ характеристик продуктов Huawei Symantec и посмотрим, насколько небезосновательны заявления вендора.

Комплексный подход к обеспечению сетевой безопасности

Компания Huawei Symantec предлагает собственную реализацию комплексного подхода к обеспечению безопасности базовой ИТ-инфраструктуры. Для оценки широты спектра решений вендора рассмотрим предлагаемые продукты с позиции лидеров рынка сетевой безопасности, например, компании Cisco, и их стратегии построения самозащищающейся сети (Cisco Self-Defending Network). Эта стратегия позволяет классифицировать всю продуктовую линейку по шести функциональным направлениям. Решения компании Huawei Symantec представлены в пяти таких направлениях.

1. Защищенная сетевая платформа
В данной категории рассматриваются устройства, являющиеся основой при построении вычислительных сетей – маршрутизаторы, коммутаторы, точки беспроводного доступа и т.д. На данном направлении компания Huawei Symantec предлагает шлюзы безопасной маршрутизации Secoway SRG20. Решения серии SRG20 представляют собой комбинированные сетевые устройства, сочетающие в себе функции маршрутизации и коммутации с расширенными средствами обеспечения безопасности. По своим функциональным возможностям устройства Secoway SRG20 во многом схожи с маршрутизаторами Cisco ISR. Наряду со статической маршрутизацией, устройства SRG20 поддерживают протоколы динамической маршрутизации RIP, OSPF и BGP. Кроме того, устройствами поддерживается динамическая маршрутизация туннелей IPSec VPN. Производительность старших моделей линейки SRG20 достигает 500 тыс. пакетов в секунду (в режиме L3 forwarding), что сопоставимо с производительностью маршрутизаторов Cisco ISR серии 3800, позиционируемых в сегменте Large Branch – Medium Enterprise.

Решения серии SRG20 имеют следующие функции обеспечения безопасности:

• механизм контроля состояний (stateful inspection), предоставляющий защиту от DDoS-атак и атак на уровне приложений;
• интегрированный VPN-шлюз (IPSec VPN и SSL VPN);
• интегрированная система предотвращения вторжений;
• потоковый антивирус и антиспам (используются сигнатуры Symantec);
• функция URL-фильтрации;
• контроль трафика P2P и служб мгновенных сообщений.

Типовая схема построения распределенной сетевой инфраструктуры на базе устройств Secoway SRG20 представлена на рис. 1 .

Рис. 1. Схема типовой сетевой инфраструктуры на базе решений Secoway SRG20

2. Сетевая безопасность
В этой категории рассматриваются выделенные защитные устройства: межсетевые экраны, средства построения VPN, системы предотвращения вторжений и т.д. На данном функциональном направлении компания Huawei Symantec представлена универсальными шлюзами безопасности Secoway USG (по функционалу устройства схожи с Cisco ASA), VPN-шлюзами SVN3000.

Универсальные шлюзы безопасности младшей серии (USG2000) объединяют в себе функции сетевого коммутатора, маршрутизатора, межсетевого экрана, шлюза VPN и беспроводной точки доступа. Такие решения могут использоваться для построения сетевой инфраструктуры компаний малого бизнеса, небольших филиалов крупных компаний.

Решения серии USG5000 обладают более высокой производительностью, что позволяет применять их в сетях средних и крупных предприятий. Функционал позволяет организовывать отказоустойчивые сетевые решения с поддержкой резервирования и балансирования нагрузки. Типовая схема использования устройств серии USG5000 представлена на рис. 2 .

Рис. 2. Типовая схема использования устройств серии USG5000

Устройства серии USG9000 являются самыми производительными среди всей линейки USG. Они имеют модульную архитектуру, позволяющую на базе одного шасси использовать до 8 процессинговых модулей. Расширенные возможности по построению отказоустойчивого решения с высочайшей производительностью позволяют использовать устройства серии USG9000 для построения высокоскоростных сетей передачи данных операторов связи, для построения крупных центров обработки данных, а также в качестве основы при построении сетевой инфраструктуры крупных компаний.

Рассмотрим VPN-шлюзы Huawei Symantec. Устройство SVN3000 является классическим шлюзом для организации безопасного доступа по моделям Site-to-Site VPN (объединение в единую защищенную сеть нескольких распределенных филиалов одной организации) и Remote Access VPN (создание защищенного канала между сегментом корпоративной сети и одиночным пользователем). Модель Site-to-Site VPN реализована по технологии IPSec VPN, модель Remote Access VPN – по технологии SSL VPN, позволяющей удаленному сотруднику получить доступ к ресурсам корпоративной сети, используя только стандартный браузер операционной системы (т.е. без установки дополнительного ПО). Для аутентификации удаленных пользователей могут использоваться как встроенные механизмы (аутентификации по имени пользователя и паролю), так и внешние сервисы (RADIUS, LDAP, RSA SecurID, X.509 и др.). Кроме того, устройства SVN3000 поддерживают технологию виртуальных шлюзов VPN SSL (до 128 шлюзов). На рис. 3 представлена типовая схема применения продуктов серии SVN3000. 

Рис. 3. Типовая схема применения устройств серии SVN3000

3. Доверенные оконечные устройства

Решение Secospace TSM является реализацией компаний Huawei Symantec технологии Network Access Control (NAC), позволяющей предоставлять доступ к информационным ресурсам только доверенным пользователям, использующим рабочие станции, конфигурации которых соответствуют требованиям политики безопасности компании.

Для получения доступа к ресурсам сети сначала пользователю требуется пройти процедуру аутентификации. Secospace TSM поддерживает аутентификацию на основе имени пользователя и пароля, MAC-адреса сетевого интерфейса рабочей станции и учетной записи LDAP. Затем в автоматическом режиме производится проверка соответствия конфигурации программно-технических средств рабочей станции пользователя требованиям политики безопасности. В случае успешного результата проверки пользователю предоставляется доступ к сетевым ресурсам, в противном случае – осуществляется блокировка и изоляция рабочей станции. На протяжении всего времени работы пользователя с защищенными сетевыми ресурсами ПО Secospace TSM  в прозрачном режиме осуществляет мониторинг действий пользователя, а также контроль изменений конфигураций программно-технических средств рабочей станции.

Secospace TSM состоит из следующих компонентов:

• Secospace Agent (SA) – клиентское ПО, функционирующее на рабочих станциях пользователей;
• Security Access Control Gateway (SACG) – аппаратный шлюз, контролирующий права доступа рабочих станций к сети;
• Secospace Manager (SM) – центральный программный компонент архитектуры Secospace TSM, обеспечивающий управление системой;
• Secospace Controller (SC) – программный компонент, обеспечивающий координацию модулей системы;
• Secospace Recover Server (SRC) – программный компонент, позволяющий приводить рабочие станции пользователей в соответствие требованиям политики безопасности.

На рис. 4 представлена типовая архитектура  решения Secospace TSM.

Рис. 4. Архитектура решения Secospace TSM

4. Защита и контроль контента
В рамках стратегии Cisco Self-Defending Network в данной категории рассматриваются продукты для контроля и защиты электронной почты и веб-трафика. Среди продуктов Huawei Symantec отсутствуют выделенные решения класса Cisco IronPort, позволяющие решать подобные задачи, однако базовые функции антивирусной и антиспам проверок электронной почты, URL-фильтрации веб-трафика интегрированы в маршрутизаторы SRG20.

В этой категории Huawei Symantec позиционирует существенно более функциональные и производительные решения серии Secoway SIG 9800, предназначенные, в первую очередь, для сетей операторов связи. Решения построены на основе модульной платформы высокой доступности (>99,9999%). Платформа позволяет использовать до 32 многоядерных процессоров, обеспечивающих максимальную полосу пропускания 80 Гб/с. В Secoway SIG 9800 используется технология DPI (Deep Packet Inspection), позволяющая контролировать, помимо веб- и почтового трафика, передачу данных в пиринговых сетях (P2P), VoIP-телефонию, потоковое мультимедиа, трафик сервисов мгновенных сообщений, трафик игровых приложений и т.д. Данное решение предоставляет механизм управления полосой пропускания на основе гибко настраиваемых политик в привязке к конкретным пользователям, приложениям, целевым URL и времени. Необходимо отметить, что Secoway SIG 9800 позволяет обнаруживать и успешно бороться с трафиком сетевых червей, ботнет-сетей, спамом. Более того, на базе устройств этой серии возможно реализовать защиту от DDoS-атак.

5. Защита приложений
В данной категории рассматриваются решения класса Application Firewall, однако среди продукции Huawei Symantec они не представлены.

6. Управление, контроль соответствия, идентификация
В этой категории вендором представлено решение по мониторингу событий безопасности Secoway eLog. Продукт позволяет централизованно собирать и анализировать протоколы работы сетевых устройств Huawei Symantec, а также других устройств, использующих стандартный протокол Syslog. Решение поддерживает стандартные для такого класса продуктов функции:

• выдача оповещений в случае обнаружения инцидентов безопасности;
• предоставление доступа пользователям системы на основе ролевой модели;
• поддержка распределенной архитектуры;
• генерация отчетности.

7. Организация защищенного документооборота
Компания Huawei Symantec имеет в своем активе продукт, который нельзя отнести к какой-либо из вышеперечисленных категорий – Secospace Document Security Management (DSM). Это решение позволяет организовать защищенный документооборот не только в рамках контролируемого периметра компании, но и за его пределами (при обмене документами с партнерами, клиентами, удаленными сотрудниками). Продукты со схожим функционалом имеются у компаний Oracle (Oracle Information Rights Management) и Microsoft (Microsoft Rights Management Services). 

Продукт Secospace DSM состоит из следующих компонентов:

• DSM management center – ПО верхнего уровня архитектуры Secospace DSM, отвечающее за координацию всех компонент системы, управление правами пользователей и управление инцидентами;
• DSM server – ПО, обеспечивающее аутентификацию и авторизацию пользователей, хранение ключей шифрования, мониторинг и аудит действий пользователей;
• DSM client – ПО, функционирующее на рабочих станциях пользователей, обеспечивающее процесс прозрачного шифрования и контроль доступа к документам.

Типовая архитектура решения представлена рис. 5 .

Рис. 5. Типовая архитектура решения Secospace DSM

Механизм работы этого решения следующий. При создании документа (в формате MS Office, pdf, jpg, gif) его содержимое зашифровывается, к документу прикрепляется метка, содержащая информацию о правах доступа, сроках действия этих прав и других атрибутах безопасности. При открытии такого документа клиентское ПО (DSM Client), функционирующее на рабочей станции пользователя, обращается к серверу Secospace DSM для подтверждения прав доступа и обмена ключевой информацией, после чего происходит расшифрование содержимого документа. При закрытии документ снова зашифровывается. Основным преимуществом такого подхода является то, что документ всегда хранится в зашифрованном виде, а это существенно снижает риск раскрытия конфиденциальной информации злоумышленником при перехвате файла, хищении носителей информации и ноутбуков.

Особенности продуктов Huawei Symantec

Пытаясь определить главную особенность продукции Huawei Symantec, в первую очередь, необходимо отметить более высокую производительность решений компании по сравнению с аналогичными решениями конкурентов, причем этот факт справедлив как для продуктов уровня SOHO и SMB, так и для продуктов уровня Enterprise. Например, универсальные шлюзы безопасности серии Secoway USG5000 обладают пропускной способность до 8 Гб/с, имеют возможность обрабатывать до 2 млн. одновременных соединений и до 150 тыс. новых соединений в секунду, таким образом, позволяя защитить сетевую инфраструктуру, в том числе, и от DDoS-атак уровня Mpps (например, лавинные атаки SYN, UDP, ICMP, DNS), эти показатели соответствуют уровню старших моделей Cisco ASA серии 5580. При этом максимальное количество одновременных VPN-туннелей USG5000 составляет 20 тыс., и это вдвое превосходит возможности устройств Cisco ASA 5580. А топовое решение Huawei Symantec серии Secoway USG9300, строящееся по модульной архитектуре, позволяет добиться поистине беспрецедентной производительности: пропускная способность до 80 Гб/с, количество одновременных соединений до 32 млн. и до 2 млн. новых соединений в секунду.

Необходимо отметить, что зачастую многие решения компании помимо основного функционала обладают рядом особенностей. В частности, в том же шлюзе безопасности Secoway USG5000 реализован механизм защиты трафика GTP (GPRS Tunneling Protocol), этот функционал весьма востребован в сетях передачи данных телекоммуникационных компаний. Кроме того, шлюзы этой серии  обладают функцией идентификации и управления трафиком P2P, позволяющей эффективно ограничивать такой трафик, тем самым гарантируя ширину полезной полосы пропускания каналов, также обладают возможностью фильтрации URL, функционалом IPS.

Маршрутизаторы серии SRG20 обладают расширенными возможностями работы с беспроводными сетями: наряду со стандартной поддержкой сетей Wi-Fi имеется возможность работы в сотовых сетях второго (GSM/GPRS/EDGE) и третьего поколений (HSDPA/WCDMA). К сожалению, в связи с небольшим уровнем проникновения сетей 3G на территории РФ, в настоящее время данный функционал является именно интересной особенностью, а не техническим преимуществом.

Компания Huawei Symantec является во многом технологическим последователем своих материнских компаний. В частности, в шлюзах безопасной маршрутизации используются антивирусные сигнатуры и антиспам-алгоритмы компании Symantec. Аппаратная составляющая продуктов Huawei Symantec основывается на платформах компании Huawei, хорошо зарекомендовавших себя в телекоммуникационной отрасли, благодаря высокой отказоустойчивости и резервированию критичных узлов.

Подводя итоги

Если говорить о продуктах компании Huawei Symantec в области информационной безопасности в целом, необходимо отметить широту спектра решений как с точки зрения функционала (универсальные шлюзы безопасности, VPN-шлюзы, шлюзы безопасной маршрутизации, решения по управлению безопасностью терминалов, решения по обеспечению защищенного документооборота), так и с точки зрения целевого потребителя (решения для малого, среднего и крупного бизнеса).

Очевидно, что компания Huawei Symantec представила рынку решения, обладающие высокой производительностью, интересными функциональными особенностями и демократичными ценами. Можно с уверенностью сказать, что такое сочетание характеристик способно привлечь внимание потенциального потребителя, особенно в условиях сложившейся экономической обстановки.