Главное меню

Обзор мирового и российского рынка прокси-серверов Secure Web Gateways (SWG)

На фоне стремительного развития ИБ-технологий стали ускользать из упоминания пионеры обеспечения безопасного сетевого взаимодействия — Secure Web Gateways (SWG). На российском рынке Secure Web Gateways стали почти незаметны на фоне развивающихся рынков UTM и NGFW. Поэтому в данном обзоре мы напомним о таких компонентах сетевой инфраструктуры, как прокси-серверы с функциями информационной безопасности, и расскажем о существующих на рынке решениях.

Введение

В настоящее время может показаться, что термин «прокси-сервер» исчез из употребления в профессиональных сообществах. Больший интерес сейчас проявляется к средствам защиты такого класса, как DLP, SIEM, SOC, NGFW, WAF, а прокси-серверы как бы остались в стороне. Однако это только первые впечатления. На самом деле прокси-серверы из самостоятельных решений перешли в состав многофункциональных комплексов, например, таких, как шлюзы/серверы безопасности или интернет-шлюзы.

Одним из хороших примеров такого развития является история роста Microsoft Proxy Server до ISA Server и далее до Microsoft Forefront Threat Management Gateway. Возможно, это не самый удачный пример, так как 9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG (основная поддержка прекращена 14.04.2015 года, а расширенная закончится 14.04.2020 года). О возможных вариантах замены Forefront TMG мы уже писали в нашей статье «Незаменимых нет: куда мигрировать с Forefront TMG?». Но речь сейчас не об этом.

В целом решения такого класса, как прокси-серверы — есть. И они представлены либо в виде самостоятельных продуктов (такие все-таки остались), либо в виде комплексных систем. При этом на рынке присутствуют как бесплатные продукты, так и платные. В этом обзоре мы расскажем о таких решениях, существующих на российском рынке.

Назначение и виды прокси-серверов

С терминологической точки зрения ничего нового в понятии прокси-сервера не появилось. По-прежнему это посредник между пользователями и интернет-ресурсами. Прокси-сервер предназначен для решения следующих задач:

  • Контроль доступа и использования интернет-ресурсов пользователями. Позволяет ограничить доступ к различным сайтам; установить квотирование трафика, полосы пропускания, временные интервалы доступа, выполнить контентную фильтрацию (например, рекламы). Поддерживает ведение журналов регистрации действий пользователя в Сети, включая фиксацию даты, времени и просмотренного содержимого.
  • Повышение скорости доступа к ресурсам и экономия трафика с сохранением пропускной способности. Позволяет сжимать трафик и кэшировать данные. Загруженная из интернета информация может быть передана пользователю в сжатом виде. При обращении пользователя к какому-либо интернет-ресурсу прокси-сервер сохраняет копию просмотренных веб-страниц в локальном хранилище. При повторном обращении и после проверки отсутствия изменений на ресурсе прокси-сервер предоставит пользователю сохраненную копию из локального хранилища.
  • Обеспечение конфиденциальности пользователей для внешних ресурсов. Позволяет скрывать для внешних ресурсов сведения об истинном источнике запроса. Для внешнего ресурса в качестве источника запроса будет выступать прокси-сервер, а не конечный пользователь.
  • Защита внутренней сети организации от внешнего доступа. Позволяет организовать обращения к внешним ресурсам только через прокси-сервер. Тем самым исключается возможность обратного доступа со стороны внешних ресурсов непосредственно на рабочие места внутри организации (так как видеть они будут только прокси-сервер, а не конкретные рабочие места). Кроме того, может поддерживаться шифрование.

    На практике выделяют следующие основные типы прокси-серверов:

  • Шлюз (gateway), или прокси-сервер туннелирования (tunneling proxy) — к такому типу относятся прокси-серверы, которые передают запросы и ответы между пользователями и интернет-ресурсами без изменений.
  • Прямой прокси-сервер (forward proxy) — прокси-сервер, ориентированный на доступ пользователей к внешним ресурсам интернета. Прямые прокси-серверы, по большому счету, можно разделить на два основных вида: внутренние и открытые (open proxy). К внутренним относятся прокси-серверы, устанавливаемые на границе сетевой инфраструктуры организации для управления (ограничения) доступа внутренних пользователей к интернет-ресурсам. Открытые прокси-серверы — это серверы, доступ к которым может получить любой пользователь интернета. В Сети в открытом виде размещаются и поддерживаются в актуальном состоянии перечни таких open-proxy-серверов. Как правило, открытые прокси-серверы пользователями применяются для обхода ограничений доступа к внешним интернет-ресурсам и анонимизации. Одним из представителей такого средства анонимизации выступает Tor — система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение, защищенное от прослушивания. По поводу обеспечения им анонимности мы уже высказывали свое мнение в статье «Действительно ли браузер Tor обеспечивает полную анонимность?». В данном обзоре мы не рассматриваем открытые прокси-серверы.
  • Обратный прокси-сервер (reverse proxy) — прокси-сервер, в противоположность прямому, ориентированный на доступ внешних сотрудников к внутренним ресурсам организации через интернет.

    В зависимости от способа подключения в сетевой инфраструктуре и дальнейшей работы прокси-сервера выделяют следующие основные варианты его применения:веб-прокси (web proxy), SOCKS-прокси, прозрачный прокси (transparent proxy), DNS-прокси и другие.

    Мировой рынок прокси-серверов

    Исследовательская компания Gartner объединила производителей прокси-серверов с функциями безопасности в сегмент Secure Web Gateways (SWG). Проведя свое исследование в 2017 году, Gartner распределила производителей по магическому квадранту следующим образом:

    Рисунок 1. Магический квадрант Gartner для SWG

    1

    В исследованиях указывается, что продукты, предлагаемые в виде облачных услуг (SWG-services), развиваются стремительнее, чем SWG-appliance. Однако, SWG-appliance все еще занимают более 70% рынка решений. Согласно определению, к SWG относятся продукты, обеспечивающие URL-фильтрацию, защиту от вредоносного кода и возможность контроля доступа приложений в интернет.

    Важно отметить, что в исследовании Gartner в качестве SWG не рассматриваются UTM-устройства и NGFW-устройства (которые также позволяют обеспечить фильтрацию URL-адресов и защиту от вредоносных программ).

    Лидерами мирового рынка, по результатам исследований компании Gartner, являются Symantec и ZScaler. В июне 2016 года компания Symantec сделала довольно хитрый ход, позволяющий ей перепрыгнуть из нишевых игроков рынка сразу в лидеры — она совершила крупную покупку, приобретя Blue Coat Systems Inc.

    К претендентам в лидерство, чьи продукты хорошо зарекомендовали себя на рынке, относятся: Cisco, Forcepoint (бывший Websense) и McAfee (бывший Intel Security).

    Основными нишевыми игроками рынка являются Barracuda Networks, Trend Micro, Sophos, Sangfor, ContentKeeper.

    Из квадранта 2017 года по сравнению с 2016 была исключена компания Trustwave. Это произошло из-за того, что компания не смогла получить заметного дохода от продажи SWG.

    По оценкам компании Gartner, совокупный доход вендоров, представленных в квадранте, в 2016 году составил $1,6 млрд. Таким образом, по сравнению с 2015 годом доход вырос на 7%. При этом доход от реализации облачных услуг составляет порядка 29% от общего объема реализованных в 2016 году решений. И, по прогнозам, эта доля будет увеличиваться с каждым годом.

    Российский рынок прокси-серверов

    Если на глобальном рынке такие продукты представлены сегментом SWG, то на российском рынке ситуация немного сложнее. Учитывая менталитет российского потребителя («нам бы все и сразу»), функции безопасности прокси-сервера отечественные вендоры стараются реализовать в составе своих комплексных решений. Явной и, наверное, самой передовой в этом случае альтернативой SWG в России являются UTM- и FW‑решения.

    На российском рынке наиболее распространены продукты таких международных компаний, как Blue Coat (с недавних пор Symantec), Cisco, Forcepoint (Websense) и Trend Micro. Бесплатную альтернативу продуктам этих компаний предлагает Squid-cache.org. Все эти компании, по нашей оценке, можно считать лидерами рынка в России. Присутствуют на рынке также ContentKeeper, Sophos, Barracuda Networks, Kerio Technologies.

    Отечественные вендоры предлагают решения со сходной функциональностью, но в других рыночных сегментах. К ним можно отнести: Entensys, «Етайп», «А-Реал Консалтинг», «Смарт-Софт» и Solar Security.

    Учитывая особенности российского рынка и многообразие представителей, наиболее распространенные в России продукты можно разделить на следующие группы:

    SWG-продукты:

  • Check Point Next Generation Secure Web Gateway
  • Cisco Web Security Appliance (WSA)
  • Forcepoint Web Security (бывший Websense TRITON AP-WEB)
  • Smart Soft Traffic Inspector
  • Solar Dozor Web Proxy (Solar Security)
  • Symantec Corporation (Blue Coat) ProxySG
  • Trend Micro InterScan Web Security

    Альтернатива SWG (UTM-, FW- и другие решения производителей, не вошедших в первую группу):

  • Entensys UserGate Web Filter
  • Fortinet FortiGate
  • Kerio Control
  • Интернет Контроль Сервер (компания «А-Реал Консалтинг», на основе open-source-решений)

    Бесплатные прокси-серверы:

  • Squid (open-source-решение)
  • 3proxy (open-source-решение)

    У производителей SWG-продуктов из первой группы есть свои собственные альтернативные решения, реализованные в виде комплексов UTM и NGFW, но мы решили кратко рассказать, что же могут предложить на этом поприще и другие вендоры.

    Для укрепления своих позиций на российском рынке вендоры стремятся включить свои продукты в «Единый реестр российских программ для электронных вычислительных машин и баз данных» и сертифицировать их в соответствии с требованиями ФСТЭК России.

    Отдельных представителей группы «альтернатива SWG», а именно UTM-решения, мы уже рассматривали ранее. Поэтому подобные комплексные решения в нашем обзоре мы будем рассматривать только с точки зрения функции безопасности прокси-сервера.

    Обзор SWG-продуктов

    Check Point Next Generation Secure Web Gateway

    Компания Check Point предлагает шлюз для защиты доступа к интернет-ресурсам нового поколения (Next Generation Secure Web Gateway). Этот продукт охватывает широкий спектр приложений и обеспечивает безопасное использование web 2.0, защиту от заражения вредоносными программами, гранулированный контроль и функции обучения конечных пользователей.

    Преимущества:

  • Блокирование доступа к зараженным (вредоносным и фишинговым) сайтам.
  • Блокирование использования опасных веб-приложений или их отдельных функций (библиотека 4800 веб-приложений).
  • Возможность использования опционально доступной IPS-системы для предотвращения эксплуатации уязвимостей браузера и приложений.
  • Проверка защищенного SSL-трафика, позволяет устанавливать исключения в рамках проверки SSL, пропуская без проверки отдельные части зашифрованного контента.
  • Фильтрация URL-адресов на основании категорий, пользователей, групп и устройств. Единые политики контроля для приложений и фильтрации URL.
  • Применение динамически обновляемого облачного сервиса ThreatCloud, который в режиме реального времени передает на интернет-шлюз информацию о новейших угрозах.
  • Гибкая система формирования и предоставления отчетов о часто используемых приложениях, посещаемых сайтах, детальной активности пользователей в интернете и многом другом.

    В качестве альтернативы этому продукту вендор предлагает Check Point Next Generation Firewall. Он выполняет контроль за идентификацией, блокирует или ограничивает использование приложений и виджетов для обмена сообщениями, сканирует передаваемые данные, а также обладает функционалом системы предотвращения вторжений (IPS). Этот продукт является одним из пакетов безопасности, поставляемых в составе программно-аппаратных комплексов.

    Cisco Web Security Appliance

    Компания Cisco предлагает шлюз для защиты доступа к интернет-ресурсам Cisco Web Security Appliance (WSA). Он объединяет в себе средства защиты от вредоносных программ, средства контроля и управления использованием веб-приложений и средства обеспечения безопасного мобильного доступа. Также WSA помогает защищать и контролировать веб-трафик организации, снижая ее затраты на интернет. Он реализован в виде программно-аппаратного устройства, виртуального образа (virtual appliance) и услуг облачной инфраструктуры.

    Преимущества:

  • Функционирование в качестве прозрачного прокси и явного прокси (explicit proxy).
  • Возможность функционирования в качестве обратного прокси.
  • Применение для таких протоколов передачи данных, как: HTTP/HTTPs, SOCKS, FTP, FTP over HTTP, WCCP.
  • Проверка защищенного SSL-трафика. Позволяет устанавливать исключения в рамках проверки SSL, пропуская без проверки отдельные части зашифрованного контента.
  • Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: basic, NTLM, LDAP.
  • Поддержка протокола ICAP — для интеграции с DLP или другими системами безопасности. Поддерживается интеграция с Active Directory.
  • Кэширование данных.
  • Выполнение контентной фильтрации и категорирования интернет-ресурсов.
  • Возможность обеспечения оперативной и всесторонней защиты веб-сайтов с помощью Talos Security Intelligence.
  • Наличие встроенных функций предотвращения утечки данных (DLP).
  • Обнаружение вредоносного кода и рекламного программного обеспечения. Интеграция с платформой защиты от вредоносного кода, поддерживающей в том числе и запуск исследуемого файла в песочнице.
  • Настройка ограничений на доступ в интернет по времени и пропускной способности.
  • Контроль доступа пользователей в интернет. Позволяет в том числе блокировать не сайты целиком, а отдельные веб-приложения.
  • Блокировка доступа к сайтам с опасной активностью (включая блокировку коммуникаций с ботнет-сетями и их командными центрами).
  • Поддержка технологий сквозного контроля сетевого доступа Cisco TrustSec.
  • Защита и контроль мобильных пользователей.
  • Гибкий механизм формирования отчетности.
  • Централизация отчетности при эксплуатации в режиме распределенных офисов и множества устройств.

    Альтернативой этому продукту от того же вендора является Cisco ASA с сервисами FirePower — Next Generation Firewall с активной защитой от угроз, контролем состояния в сочетании со средствами контроля приложений, системой предотвращения вторжений нового поколения и защитой от сложных вредоносных программ. Поставляется продукт в виде программно-аппаратного устройства.

    Forcepoint Web Security

    Продукты Forcepoint (более известной в России под старым именем Websense) ориентированы на предоставление сотрудникам организаций беспрепятственного доступа к данным с обеспечением защиты ее интеллектуальной собственности.

    Компания предлагает продукт Forcepoint Web Security — раньше он назывался TRITON AP-WEB. Он построен на универсальной платформе, обеспечивающей возможность интеграции с другими продуктами компании. Этот продукт обеспечивает комплексную защиту в режиме реального времени от целевых атак, кражи конфиденциальных данных, внедрения вредоносного кода. Forcepoint Web Security реализован в виде программного и аппаратного обеспечения, а также в форме услуги облачной инфраструктуры.

    Преимущества:

  • Применение в качестве прозрачного и явного прокси.
  • Применение в качестве обратного прокси.
  • Применение для таких протоколов, как HTTP/HTTPs, FTP, FTP over HTTP. Фильтрация IM-протоколов: Jabber, Yahoo Mail Char/Messenger, MSN, Google Talk.
  • Кэширование данных. Возможность использования в качестве DNS proxy cache — позволяет обрабатывать DNS-запросы, уменьшая нагрузку на удаленные DNS-серверы и время отклика на запросы.
  • Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: LDAP, RADIUS, Novell eDirectoary, Windows Directory, Microsoft TMG.
  • Возможность настройки квотирования времени доступа к интернету и блокирования доступа на определенный период.
  • Контентная фильтрация и категорирование интернет-ресурсов (включая новые ресурсы). Поддержка протокола ICAP (Internet Content Adaptation Protocol).
  • Мониторинг веб-трафика посредством использования песочницы для исследования поведения с помощью анализа кода в реальном времени, направленного на идентификацию угроз.
  • Возможность взаимодействия с вышестоящим (родительским) прокси-сервером. Построение цепочки прокси-серверов.
  • Интеграция с DLP-системой Forcepoint DLP.
  • Наличие гибкого механизма формирования отчетности.

    Вендор предлагает в том числе и альтернативный продукт — Forcepoint Stonesoft Next Generation Firewall. Он имеет функциональность детального контроля приложений, системы предотвращения вторжений (IPS), встроенной виртуальной частной сети (VPN) и глубокой проверки пакетов. Продукт реализован в виде программного и аппаратного обеспечения, а также в форме услуги облачной инфраструктуры.

    Smart-Soft Traffic Inspector

    «Смарт-Софт» разрабатывает комплексные средства обеспечения информационной безопасности, организации и контроля интернет-доступа. Компания предлагает свой флагманский продукт Traffic Inspector — сертифицированный по новым Требованиям ФСТЭК России комплексное решение информационной безопасности. Сертификат ФСТЭК России № 2407 (срок действия 15.08.2011 – 15.08.2020).

    Решение реализует следующий состав универсальных функций: организация доступа к интернету из локальной сети, контроль и учет трафика, межсетевой экран, антивирусная защита, блокировка рекламы, сайтов, спама, маршрутизация по условию, прокси-сервер, контентная фильтрация, ограничение скорости работы в интернете, биллинговая система и многое другое.

    Traffic Inspector устанавливается на стандартном персональном компьютере, выполняющем функции шлюза для LAN-сети и рассчитано на использование в Windows-среде.

    Преимущества:

  • Включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных».
  • Функционирует как прозрачный прокси.
  • Применение для таких протоколов, как HTTP/1.1 (поддержка FTP over HTTP, перенаправление SSL-соединений (метод HTTP CONNECT)), FTP, SOCKS 4/5.
  • Разграничение прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: basic (открытым паролем) или интегрированная через домен Windows (NTLM v. 1/2), по IP и MAC-адресам, VLan ID.
  • Гибкая настройка кэширования, включая индивидуальную настройку параметров кэширования для отдельных интернет-ресурсов.
  • Для фильтрации существует возможность указания типа контента, а также выполнения анализа протокола и URL вплоть до контекстного поиска с помощью регулярных выражений.
  • Контроль внешнего трафика посредством использования контролируемых счетчиков, описываемых в качестве IP-сетей.
  • Перенаправление HTTP-запросов на другой прокси-сервер (при использовании каскадной организации прокси-серверов) и блокирование HTTP-трафика, направляемого в обход прокси-сервера.
  • Ограничение индивидуальной скорости передачи и приема для каждого пользователя, группы пользователей.
  • Ограничение трафика по количеству пакетов (для предотвращения перегрузки сети).
  • Выставление отдельных ограничений скорости для конкретного типа трафика или исключения определенного типа трафика из состава контролируемых.
  • Выборочное включение записи в журнал регистрации всех запросов через прокси-сервер.
  • Запись сетевой статистики во внутреннюю СУБД программы, а также синхронизация внутренней СУБД с внешней базой на MSSQL 2005, либо MySQL, либо PosrgreSQL.

    Подробнее о Traffic Inspector можно узнать здесь.

    Альтернативным продуктом этого же вендора является Traffic Inspector Next Generation. Этот продукт представляет собой UTM-решение, построенное на базе open-sourсe-решения — OPNsense. Traffic Inspector Next Generation обеспечивает межсетевое экранирование с динамической фильтрацией пакетов, мониторинг и управление трафиком, а также анализ трафика на уровне приложений. Он может быть развернут на UNIX-подобных системах. Подробнее о Traffic Inspector Next Generation можно узнать здесь.

    Solar Dozor Web Proxy

    Компания Solar Security предлагает продукт: «Модуль перехвата и анализа интернет-трафика» (Dozor Web Proxy). Он предназначен для защиты корпоративных локальных вычислительных сетей от рисков, связанных с использованием веб-ресурсов, а также для контроля использования сотрудниками ресурсов интернета. Защита обеспечивается комплексом мер, включая фильтрацию содержимого информационного обмена, осуществляемого по протоколам HTTP(s) и FTP over HTTP, авторизацию пользователей и протоколирование их действий.

    Dozor Web Proxy работает под управлением Linux (дистрибутивы CentOS 6.7/RHEL 6.7).

    Преимущества:

  • Включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных» («Модуль перехвата и анализа интернет-трафика» (Dozor Web Proxy))
  • Балансировка и отказоустойчивость. Возможность работы в распределенном режиме (продукт развернут на нескольких серверах).
  • Работа прокси в прозрачном режиме, в том числе при контроле HTTPS.Возможность прозрачного контроля шифрованного трафика (SSL-трафика). Расшифровка трафика выполняется по технологии Man-in-the-Middle.
  • Возможность разграничения прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: basic, NTLM, Kerberos, IP-адреса. Поддерживается интеграция с Active Directory.
  • Организация фильтрации на основании более 30 параметров: членство в группе, URL или IP-адрес ресурса, ключевые слова, расписание, порты, протоколы, тип передаваемого файла, категории веб-сайтов.
  • Возможность использования для категоризации веб-ресурсов сторонних решений, например, Blue Coat или iAdmin, а также ведения локального списка категорий.
  • Возможность принудительного использования протокола HTTPs в случае его поддержки на стороне интернет-ресурса.
  • Возможность блокирования рекламных баннеров при помощи специальной базы adBlock.
  • Мониторинг деятельности пользователей в интернете и формирование сводных данных об их работе в виде разнообразных статистических отчетов (более 60 готовых шаблонов отчетов).
  • Возможность взаимодействия с вышестоящим (родительским) прокси-сервером.
  • Возможность интеграции с серверами антивирусов Symantec Scan Engine, DrWeb, Kaspersky Antivirus и ClamAv для защиты от вредоносных кодов, распространяемых через зараженные веб-сайты.
  • Контроль веб-запросов и интеграция с корпоративной DLP-системой Solar Dozor.

    Symantec ProxySG (Blue Coat ProxySG)

    Blue Coat ProxySG долгое время является лидером мирового рынка SWG. Фактически ProxySG — это целое семейство устройств, представляющих собой масштабируемую прокси-платформу. ProxySG предназначен для обеспечения безопасности взаимодействия с интернет-ресурсами (web security) и оптимизации работы бизнес-приложений (WAN optimization).

    ProxySG работает на основе фирменной операционной системы Blue Coat SGOS и поставляется в виде физических устройств (ProxySG и Advanced Security Gateway) и виртуальных образов (virtual appliance) для ESX/ESXi, Hyper-V или Amazon Web Services.

    Преимущества:

  • Функционирование в качестве прозрачного и явного прокси одновременно.
  • Возможность функционирования в качестве обратного прокси (Web Application Firewall бесплатный).
  • Контроль ненадлежащего использования интернет-ресурсов.
  • Применение для таких протоколов передачи данных, как: HTTP/HTTPs, CIFS, SSL, FTP, FTP-over-HTTP, MAPI, P2P, MMS, RTMP, RTSP, QuickTime, TCP-Tunnel, DNS, WCCP.
  • Поддержка протокола ICAP — для интеграции с DLP или другими системами безопасности.
  • Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: на основании локальных списков пользователей; IWA (Basic, NTLM, Microsoft Kerberos), LDAP (Active Directory, eDirectory, SunOne), CA eTrust SiteMinder, Oracle Access Manager, RADIUS; применение сертификатов; поддержка SSO и прозрачной аутентификации, а также последовательная аутентификация в нескольких системах.
  • Сжатие и кэширование данных.
  • Управления сетевыми протоколами и полосой пропускания каналов связи.
  • Позволяет блокировать отдельные приложения и действия в этих приложениях (например, загрузку/выгрузку вложений в веб-почте или отправку писем или сообщений в социальных сетях).
  • Выполнение контентной фильтрации и категорирования интернет-ресурсов — BlueCoat WebFilter или BlueCoat Intelligence Services.
  • Аппаратное ускорение SSL-трафика. Контроль параметров SSL-соединений: валидности сертификатов серверов, версий протоколов шифрования SSL/TLS, шифрования и контроля целостности SSL/TLS-соединения (cipher suites). Функционал Encrypted TAP позволяет отдать расшифрованный *-over-SSL-трафик (HTTPS, IMAPS и т. д.) на анализ во внешнее устройство безопасности (например, песочницу) в раскрытом виде.
  • Использование фирменной операционной системы Blue Coat SGOS.
  • Интеграция с такими решениями Blue Coat, как Content Analysis System, Malware Analysis Appliance, SSL Visibility Appliance и Intelligent Services. Интеграция с этими продуктами позволяет значительно повысить уровень сетевой безопасности.
  • Возможность сбора статистической информации и формирования отчетов в отношении протоколов передачи данных (более 60 контролируемых параметров), а также для определения эффективности и активности рабочих мест пользователей.

    Trend Micro InterScan Web Security

    Trend Micro InterScan Web Security предназначен для обеспечения динамической защиты на уровне интернет-шлюзов как от известных, так и от новейших комбинированных веб-угроз. Функции управления приложениями в сочетании с модулями обнаружения уязвимостей нулевого дня, поиска вредоносных программ, определения репутации веб-сайтов в режиме реального времени, фильтрации URL-адресов и расширенного обнаружения бот-сетей позволяют обеспечивать безопасность систем и эффективную работу пользователей.

    Trend Micro InterScan Web Security реализован в виде программного виртуального устройства (virtual appliance) — InterScan Web Security Virtual Appliance (IWSVA) и услуги облачной инфраструктуры, предоставляемой по модели SaaS — InterScan Web Security as a Service (IWSaaS).

    Преимущества:

  • Применение в качестве прозрачного моста и явного прокси.
  • Возможность применения в качестве обратного прокси.
  • Применение для мониторинга более чем 1000 интернет-протоколов и приложений, в числе которых: наиболее распространенные протоколы HTTP/HTTPs, FTP, приложения для мгновенного обмена сообщениями (мессенджеры), одноранговые сети (P2P), соцсети и потоковый медиаконтент.
  • Контентная фильтрация исходящего трафика с целью предотвращения утечки данных благодаря применению модуля защиты от утечек (DLP).
  • Мониторинг опасного контента, включая возможность расшифровки (полной или избирательной) HTTPs-трафика.
  • Настройка квотирования времени использования интернет-ресурсов (веб-активности пользователей).
  • Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: IP-адрес, наименование хоста, LDAP.
  • Блокировка доступа к сайтам с опасной активностью (включая блокировку коммуникаций с ботнет-сетями и их командными центрами).
  • Категоризация и оценка репутации URL-адресов.
  • Поддержка интеграции со сторонними кэширующими и обычными прокси-серверами, а также сетевыми хранилищами по протоколам ICAP и WCCP, Syslog и SNMP.
  • Централизованное управление распределенными шлюзами.
  • Гибкий механизм формирования отчетности. Централизация отчетности при эксплуатации в режиме распределенных офисов и множества устройств.

    Обзор продуктов других производителей — в качестве альтернативы SWG

    Entensys UserGate Web Filter

    Компания Entensуs (Новосибирск) разрабатывает продукты сетевой безопасности. Ее продукты: Entensys UserGate Web Filter и Entensys UserGate UTM.

    Entensys UserGate Web Filter обеспечивает фильтрацию загружаемого контента, блокировку опасных веб-страниц и негативных баннеров, защиту от вредоносов и многих других интернет-угроз. Продукт может быть развернут на виртуальных машинах (VMWare, Virtual Box и др.), в виде виртуального образа или аппаратно-программного комплекса. UserGate Web Filter предоставляет возможность встраивания в сеть на уровне L2, что не требует изменения существующей инфраструктуры.

    Преимущества:

  • Включен в «Единый реестр российских программ для электронных вычислительных машин и баз данных».
  • Обеспечение высокоточной URL-фильтрации. Морфологический анализ контента в реальном времени. Веб-фильтрация осуществляется на уровне обработки DNS- и HTTP-/HTTPs- запросов. Контентная фильтрация обеспечивается на основании технологии Deep Content Inspection (DCI).
  • Блокировка сторонней баннерной рекламы, приложений для социальных сетей.
  • Обеспечение безопасного поиска. Включает возможность принудительной активации «безопасного режима» в популярных поисковых системах и на YouTube.
  • Поддержка запросов на фильтрацию по ICAP-протоколу от любого внешнего прокси-сервера или сетевого шлюза.
  • Контроль, фиксация (журналирование) и анализ посещаемые пользователем интернет-ресурсы.
  • Антивирусная защита посредством применения собственного облачного антивируса, осуществляющего эффективную проверку трафика в режиме реального времени.
  • Работа прокси в прозрачном режиме.
  • Возможность контроля/фильтрации шифрованного трафика (HTTPs/SSL-трафика) посредством применения технологии подмены сертификата (trusted man-in-the-middle — MitM).
  • Блокировка IP-адресов ботнет-сетей посредством применения репутации адресов.
  • Поддержка работы с черными и белыми списками ресурсов.
  • Кэширование загружаемого контента.

    Кроме UserGate Web Filter у вендора есть аналог — это Entensys UserGate UTM. Он представляет собой интернет-шлюз — единое решение, включающее в себя: межсетевой экран нового поколения, систему обнаружения вторжений, защиту от вредоносных программ и вирусов, систему контент-фильтрации, серверный антиспам, VPN-сервер. Продукт может использоваться как программно-аппаратный комплекс или может быть установлен на виртуальной машине.

    Fortinet FortiGate

    Fortinet специализируется на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности. В числе решений межсетевые экраны, антивирусные программы, системы предотвращения вторжений и обеспечения безопасности конечных точек.

    Fortinet предлагает серию UTM-устройств FortiGate, которые поддерживают такие сервисы, как межсетевой экран (FW), VPN, IPS, контроль приложений, URL-фильтрация, антивирус и антиспам.

    Преимущества:

  • Функционирует в режиме Sniffer и как прозрачный прокси.
  • Применение для таких протоколов, как HTTP/HTTPs, FTP, SMTP/ SMTPs, POP3/ POP3s, IM.
  • Настройка ограничения по времени доступа в интернет.
  • Контентная фильтрация. Возможность создания собственных категорий фильтрации.
  • Настройка балансировки нагрузки. Настройка правил трансляции адресов.
  • Возможность использования функциональности DLP-решений.
  • Временная блокировка IP-адреса сервера (атакующего/атакуемого) или интерфейса с помощью функционала обнаружения и предотвращения вторжений (IPS).
  • Настройка записи в журнал доступа к выбранным категориям веб-сайтов.
  • Хранение журналов событий и копии трафика. Формирование отчетов (по запросу и по расписанию) на основе собранной информации.
  • Собственная операционная система FortiOS.

    Kerio Control

    Компания Kerio Technologies предлагает продукт Kerio Control (ранее известный как Kerio WinRoute Firewall и WinRoute Pro). Kerio Control — это программный межсетевой экран. Его основными функциями являются: организация безопасного доступа пользователей в интернет, надежная сетевая защита локальной сети, экономия трафика и рабочего времени сотрудников за счет ограничения нецелевого доступа к различным категориям веб-контента. Межсетевой экран сертифицирован ФСТЭК России — сертификат №3351 (срок действия 18.02.2015-18.02.2018).

    Kerio Control может быть развернут посредством использования: Software Appliance (основан на Linux kernel v.3.16), VMware Virtual Appliance и Hyper-V Virtual Appliance.

    Преимущества:

  • Функционирует как обратный прокси.
  • Применение для таких протоколов, как HTTP/HTTPs, FTP.
  • Разграничение прав доступа к ресурсам посредством следующих механизмов аутентификации: basic, NTLM, Kerberos.
  • Настройка ограничения по количеству подключений и временному интервалу.
  • Поддержка трансляции префикса сети для протокола IPv6.
  • Балансировка нагрузки между несколькими интернет-каналами с автоматическим переключением активного канала.
  • Возможность обеспечения гарантированной скорости передачи данных для трафика с высокой важностью (качество обслуживания QoS) и ограничения скорости передачи данных для трафика низкой важности.
  • Настройка квотирования: объема передаваемых данных пользователями, полосы пропускания и скорости передачи данных.
  • Возможность блокирования P2P-соединений.
  • Контентная фильтрация на основании временных интервалов, имен пользователей, приложений, веб-категорий, URL-групп, типов файлов. В том числе поддерживается применение регулярных выражений в отношении URL-правил.

    Интернет Контроль Сервер

    Компания «А-Реал Консалтинг» разрабатывает собственный продукт Интернет Контроль Сервер (далее — ИКС). Это комплексное решение, представляющее собой интернет-шлюз. ИКС может использоваться в качестве прокси-сервера и осуществляет сжатие данных, кэширование веб-страниц и объектов, скачанных из сети, защиту NAT, управление сетевой подсистемой, взаимодействие с вышестоящим (родительским) прокси-сервером, блокировку доступа пользователей к определенным URL-адресам. Возможно применение ИКС в качестве прозрачного прокси в случае отсутствия авторизации пользователей по логину/паролю, а также применение для протоколов HTTP/HTTPs, SOCKS.

    Также Интернет Контроль Сервер включает в себя межсетевой экран, VPN, контент-фильтр, DLP, сетевые сервисы, модули антивируса и антиспама. Интернет-шлюз для корпоративной сети может поставляться в виде программного и программно-аппаратного решения (с адаптированной аппаратной частью), также поддерживает виртуальное развертывание. Программный межсетевой экран ИКС является сертифицированной ФСТЭК России версией продукта — сертификат ФСТЭК №2623 (срок действия 19.04.2012 – 19.04.2018).

    Преимущества:

  • Регистрация Программного межсетевого экрана Интернет Контроль Сервер в Едином реестре российских программ для электронных вычислительных машин и баз данных.
  • Возможность объединения серверов в кластер и централизованное управление.
  • Система обнаружения вторжений Suricata.
  • Разграничение прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: по пользователям, IP-адресам, имени/паролю, через Active Directory, программу-агента, VPN-соединение (PPPoE, PPTP).
  • Поддержка функций брандмауэра и фильтрации содержимого (Layer 7-фильтрация, контент-анализ с помощью категорий трафика SkyDNS и KWF, категоризация сайтов).
  • Широкие возможности сетевых сервисов (файловый, почтовый, web-, ftp-, jabber-серверы, ip-телефония).
  • Учет трафика и формирование детальной статистики по обращениям пользователей к интернет-ресурсам.
  • Интеграция с антивирусами ClamAv, DrWeb и Kaspersky Antivirus.
  • Использование встроенной операционной системы. Дополнительное программное обеспечение не требуется.

    Обзор бесплатных прокси-серверов

    Squid

    Проект Squid начинался с NSF-гранта (NCR-9796082), а сейчас поддерживается инициативной группой. Squid представляет собой кэширующий прокси-сервер. Он был разработан как программа с открытым исходным кодом и распространяется в соответствии с лицензией GNU GPL.

    Может быть развернут на UNIX-подобных системах и на операционных системах Windows.

    Преимущества:

  • Бесплатный.
  • Использование в качестве прозрачного прокси-сервера в сочетании с некоторыми межсетевыми экранами и маршрутизаторами.
  • Использование в качестве обратного прокси-сервера. В данном режиме предоставляется возможность распределения запросов между несколькими серверами, тем самым осуществляется балансировка нагрузки и обеспечивается отказоустойчивость.
  • Применение для таких протоколов, как HTTP/HTTPs, FTP, Gopher.
  • Возможность интеграции с Active Directory.
  • Разграничение прав доступа к веб-ресурсам посредством следующих механизмов аутентификации: по IP-адресу (или доменному имени узла), по логину/паролю, по идентификатору используемого браузера.
  • Возможность ограничения максимальной скорости получения данных пользователем. Данная возможность реализована посредством механизма пулов задержки (delay pools).
  • Кэширование запросов пользователей.
  • Ограничение доступа пользователей к запрещенным ресурсам (или организация доступа только к разрешенным ресурсам). Контроль времени доступа.
  • Фильтрация (перенаправление) запросов пользователей к баннерам и счетчикам.

    3proxy

    Проект разработан и поддерживается инициативной группой. 3proxy — это кроссплатформенный комплект прокси-серверов. Он был разработан как программа с открытым исходным кодом и может использоваться по лицензии GNU GPL. 3proxy поставляется в двух вариантах:

  • В виде набора отдельных модулей: proxy, socks, pop3p, tcppm, udppm.
  • В виде универсального прокси-сервера (3proxy). Универсальный прокси-сервер представляет собой законченную программу, не требующую отдельных модулей.

    В силу кроссплатформенности может быть развернут на UNIX-подобных системах и на операционных системах Windows (включая 64-разрядные).

    Преимущества:

  • Бесплатный.
  • Небольшой по объему в силу отсутствия графического интерфейса. Вся настройка осуществляется с помощью создания и модификации конфигурационного файла.
  • Функционирует как прозрачный прокси-сервер.
  • Возможно применение в качестве обратного прокси-сервера (режим connect back).
  • Применение для таких протоколов, как HTTP/HTTPs, FTP, SOCKS v4/5, POP3, SMTP, IM-протоколов (AIM/ICQ, MSN).
  • Применение в качестве кэширующего DNS-прокси.
  • Ограничение доступа пользователей к веб-ресурсам с помощью списков доступа, формируемых на основании логинов пользователей, списка сетей (IP-адреса и маски), списка портов. Список пользователей формируется на основании логина (имени) пользователя и пароля (включая тип пароля).
  • Управление шириной потребляемого канала.
  • Квотирование трафика (по дням, неделям, месяцам) и скорости приема данных.
  • Перенаправление соединений на другой прокси-сервер (при использовании каскадной организации прокси-серверов).
  • Поддержка IPv6.

    Выводы

    Несмотря на появление новых классов средств защиты информации (DLP, SIEM, SOC ,UTM, NGFW и WAF), прокси-сервер по-прежнему остается востребованным компонентом сетевой инфраструктуры. Производители предлагают решения, реализующие функции прокси-сервера как в виде самостоятельных продуктов, так и в составе многофункциональных комплексов.

    На российском рынке много отечественных компаний, чьи продукты включены в «Единый реестр российских программ для электронных вычислительных машин и баз данных». Только в своем обзоре мы привели несколько таких компаний:

  • Entensys — решения Entensys UserGate Web Filter и Entensys UserGate UTM.
  • «А-Реал Консалтинг» — решение «Программный межсетевой экран «Интернет Контроль Сервер».
  • «Смарт-Софт» — решение Traffic Inspector (Traffic Inspector GOLD, Traffic Inspector FSTEC, Traffic Inspector Enterprise, Traffic Inspector Next Generation).
  • Solar Security — решение «Модуль перехвата и анализа интернет-трафика» (Dozor Web Proxy).

    Все представленные в обзоре продукты в целом обладают схожими по составу функциональными возможностями:

  • Ограничение доступа к ресурсам.
  • Квотирование трафика, полосы пропускания, временных интервалов доступа.
  • Контентная фильтрация (например, рекламные баннеры).
  • Сбор статистической информации о действиях пользователей в интернете (фиксация даты, времени и просмотренного содержимого).
  • Сжатие трафика и кэширование данных.
  • Сокрытие для внешних ресурсов сведений об истинном источнике запроса.
  • Разграничения прав доступа к ресурсам посредством различных механизмов аутентификации (авторизации).

    Отличия рассмотренных продуктов проявляются в следующем:

  • Способ подключения: в качестве прозрачного или обратного прокси, а некоторые могут использоваться в обоих режимах.
  • Наличие кэширования данных и способы его организации: в виде файлов или баз данных.
  • Механизмы аутентификации/авторизации: basic, NTLM, Kerberos, по IP-адресу, по логину/паролю, по результатам подзапроса, идентификатору используемого браузера, VLan ID.
  • Поддерживаемые протоколы: HTTP/HTTPs (поддержка FTP over HTTP), FTP, SOCKS 4/5, POP3, SMTP, SIP и H.323, TCP и UDP, Gopher.
  • Поддерживаемые платформы для установки прокси-сервера: физическая или виртуальная машина, UNIX-подобные системы, операционные системы Windows и macOS, собственная ОС, встроенная в продукт и не требующая установки дополнительного программного обеспечения.
  • Способах поставки: программные, программно-аппаратные решения.
  • Возможности взаимодействия с вышестоящими (родительскими) прокси-серверами.
  • Стоимости: бесплатные (Squid), платные — стоимость зависит от вида подписки (лицензии).
  • Возможность интеграции с DLP-системами из коробки по стандартным протоколам.

    В целом рынок прокси-серверов продолжает развиваться, но по большей части уже в составе комплексных решений, в том числе UTM. А на фоне общего технологического развития (применение облачной инфраструктуры и облачных сервисов, а также распространенность мобильных технологий) спрос на такие решения будет расти.

    Источник: anti-malware.ru

    Нет комментариев. Ваш комментарий станет первым!

    Ваш email адрес не будет опубликован.