Нередко причиной осложнений, возникающих в процессе нашей работы с компьютерными системами становится их устаревшая конструкция. Ведь используемое оборудование и программное обеспечение проектировались 10 или даже 20 лет тому назад, а тогда компьютерный мир принципиально отличался от сегодняшнего. Эффективность применения таких продуктов заметно снижается вследствие их устаревшей архитектуры.
Сказанное в полной мере относится и к традиционным межсетевым экранам (firewall), которые впервые появились два десятка лет тому назад, в конце 80-х. На начальном этапе межсетевые экраны представляли собой программное обеспечение фильтрации пакетов, проверявшее входящий и исходящий сетевой трафик. Если пакет с данными не отвечал определенным ИТ-администратором условиям, его передача просто блокировалась. Со временем межсетевые экраны стали контролировать конкретные приложения и следить за трафиком Internet, проходящим через конкретные порты. Эти экраны проектировались исходя из того, что каждому приложению соответствует свой протокол, а каждый протокол использует свой порт. Скажем, порт 80 соответствовал протоколу HTTP, а протокол HTTP обслуживал Web-браузеры. Порт 25 связан с протоколом SMTP, который, в свою очередь, предназначен для работы с электронной почтой.
Сегодня это утверждение уже не вполне справедливо. Многие современные приложения обладают достаточной гибкостью и при осуществлении обмена информацией могут менять порты. Программы Skype и BitTorrent, к примеру, способны использовать разные порты, в том числе порт 80 или 443. Традиционные межсетевые экраны не рассчитаны на управление трафиком такого рода. Принцип строгой привязки приложений к определенным портам сейчас уже устарел.
В результате появилась целая индустрия дополнительных средств безопасности, к числу которых относились системы обнаружения и предотвращения вторжения, а также сканеры, предназначенные для выявления вирусов и других вредоносных программ. Они должны были устранить бреши, остававшиеся после установки унаследованных межсетевых экранов. В итоге в корпоративной сети сформировалась причудливая смесь из разнородных приложений безопасности, которые многократно сканировали трафик и усложняли инфраструктуру.
Оценив возможность настройки и регулирования межсетевых экранов, группа специалистов по безопасности основала в 2005 году стартап, перед которым ставилась задача основательной модернизации архитектуры межсетевых экранов. Используя опыт работы, накопленный в компаниях Check Point Software Technologies, Juniper Networks и NetScreen Technologies, инженеры приступили к формированию технологического багажа Palo Alto Networks.
Цель заключалась в том, чтобы с помощью единого программного обеспечения межсетевого экрана решить сразу три задачи.
- Научиться идентифицировать приложения и управлять ими, в том числе и теми, которые обещали повысить эффективность бизнеса.
- Предотвратить внешние угрозы и причинение вреда сети.
- Упростить инфраструктуру безопасности.
Классификацию трафика, идентификацию пользователей и их групп и сканирование контента межсетевой экран Palo Alto осуществляет с использованием оригинального однопроходного процесса. Подход, при котором в одной приложении нашли отражение сразу три технологии, позволяет отказаться от внедрения дополнительных продуктов.
- Технология классификации трафика App-ID позволяет точно идентифицировать информацию почти 900 приложений, циркулирующую в сети, независимо от порта, протокола, шифрования SSL и прочих ухищрений.
- Технология User-ID привязывает IP-адреса к конкретным пользовательским идентификаторам, обеспечивая контроль за сетевой активностью каждого из пользователей. Интеграция с сервисом каталогов Active Directory упрощает получение релевантной информации о пользователе, в частности о назначенной ему роли и о группах, в которые он входит.
- Технология Content-ID служит для сканирования контента и предотвращения угроз, которые может нести в себе трафик. Она подразумевает строгий контроль за всеми операциями в Web, а также фильтрацию файлов и данных.
Таким образом, межсетевой экран позволяет определять детализированные политики, регламентирующие одновременно работу пользователей и их групп, функционирование приложений и прохождение конкретного контента. Так, обращение к онлайн-конференциям WebEx можно разрешить только сотрудникам отдела продаж, запретив при этом совместное использование информации на настольных компьютерах. Отделу маркетинга можно открыть доступ к социальным сетям наподобие Facebook, заблокировав остальное.
Резонно было бы предположить, что возложение всех этих функций на одно устройство приведет к задержкам. Но инженеры Palo Alto взялись за модернизацию межсетевого экрана, полностью переосмыслив его архитектуру. Межсетевой экран проектировался с прицелом на оборудование, поддерживающее конкретные функции и параллельную обработку. Вместо того чтобы обрабатывать пакеты за несколько проходов, на каждом из которых выполняются определенные функции, манипулирование над потоками данных осуществляется с использованием линейной модели. Это помогает добиваться оптимального быстродействия даже при больших объемах трафика.
Межсетевой экран Palo Alto, заменяя собой множество устройств, позволяет упростить сетевую инфраструктуру. Джон Ковачевич, системный аналитик Техасского сельскохозяйственно-машиностроительного университета, установив устройство Palo Alto Networks, отказался от старого оборудования и теперь управляет пропускной способностью трафика с помощью нового экрана.
"Мы не можем запретить студентам использовать одноранговые приложения, но можем понизить их приоритет, -- пояснил Ковачевич. -- В результате трафик приложений электронного обучения проходит по сети быстрее".
Устройство Palo Alto служит также для защиты от вирусов и других угроз. Благодаря интеграции с Active Directory Ковачевич может идентифицировать любой зараженный компьютер, а также его владельца. После такой идентификации он связывается со студентом и планирует процедуру очистки от вирусов.
"Мне больше не нужно следить за тем, кто к какому порту подключен, -- отметил Ковачевич. -- Все обращения осуществляются по имени. Я рад, что все функции выполняет только одно устройство. Раньше у нас в сети было развернуто множество самых разных устройств, а теперь все они пылятся на полке. Palo Alto предлагает продукт с массой возможностей по очень привлекательной цене".
Слова эти наверняка приятно ласкают слух создателям межсетевого экрана, которые воспользовались своим шансом и выпустили продукт совершенно нового типа, реализовав в нем передовые технологии, отвечающие требованиям современной эпохи Internet-приложений.