McAfee Next generation firewall termékismertető

McAfee Next generation firewall termékismertető 2015.06.30.

Áttekintés A McAfee next generation firewall termékcsaládja nagyvállalati ügyfelek, nagy teljesítményű, intelligens védelmét oldja meg. A termék valósidőben frissíti adatbázisát, így képes pillanatok alatt reagálni az új kártevőkre, így a McAfee felhő alapú tudásbázisával együtt az egyik legjobb védelmi megoldás a piacon. A tűzfal természetesen az elvárásoknak megfelelően next generation típusú, képes lefedni adatközponti, telephelyi igényeket is.

1. ábra: A McAfee next generation tűzfal logikai moduljai

A termékcsalád jellemzői: -

intelligens védelem nagyvállalatoknak

-

az üzletileg értékes adatok védelmére kifejlesztve

-

hálózati szinten óvja a vállalati végpontokat, támadásoktól, kártevőktől

-

könnyen integrálható már meglévő IT rendszerekbe

-

könnyen skálázható, ahogy a vállalati igények változnak

-

csökkenő költségek biztonsági és hálózati oldalon

Egyedi előnyök: -

intelligens biztonsági megoldás

-

alkalmazás szintű védelem

-

„evasion” típusú támadások elleni védelem

-

egységes szoftver platform

-

hibatűrő rendszer kialakítható

-

központi menedzsment felület

-

beépített IPS és SSL VPN modul

A McAfee Next Generation Firewall (McAfee NGFW) teljes körű védelmet nyújt, hiszen részletes és hangolható alkalmazás szintű védelmet ad, beépített IPS modullal rendelkezik, elérhető a VPN modul is, valamint egy deep packet inspection tűzfal modul (képes a hálózati forgalmat összeállítani, normalizálni, és elemezni is). E mellett hatékony, bővíthető, skálázható a rendszer, mely biztonságot nyújt a legtöbb támadási típus ellen. Adatvesztés elleni védelem A nagyvállalatoknak az adatvesztések ellen is jó megoldással kell rendelkezniük, hiszen sok esetben a „szellemi tőke” a vállaltok legnagyobb értéke, melynek a védelme a legfontosabb. Az alkalmazás szinten is futó tűzfal modul képes erre a védelemre, hiszen elemzi a munkaállomások, laptopok szerverek forgalmát, erre a forgalom monitorozásra pedig részletes szabályok ültethetők, így készíthető szabály zónára, IP tartományra, felhasználókra, kritikus dokumentumra, alkalmazásra, kommunikációs csatornára is.

2. ábra: A McAfee NGFW három modult tartalmaz és három platformon elérhető Rugalmasság mindenekelőtt Az egységes szoftver platform képes lekövetni a vállalti igények változását, könnyen módosítható a Layer-2 tűzfal szerepköre tűzfalról VPN gateway-re, vagy IPS-re. Az egységes platform mindezt optimalizálva nyújtja a sebesség majdnem teljesen független a bekapcsolt modulok számától. A termékcsalád ráadásul elérhető fizikai appliance-ként, szoftveres megoldásként, vagy akár virtuális szerverként is. Üzletileg kritikus alkalmazások Az adatok védelme a legfontosabb, a McAfee NGFW erre három skálázható, nagy rendelkezésre állású opciót is nyújt: - Aktív-aktív cluster – akár 16 eszköz is egyetlen cluster-be rendezhető, így bővíthető az eszközpark, növelhető a sebesség és a rendelkezésre állás - Transparent session failover – a McAfee NGFW több módszert is támogat, mellyel elérhető, hogy tűzfal eszköz kiesés esetén a felhasználó semmit ne vegyen észre ebből és automatikusan átkerüljön egy másik tűzfal platformra - McAfee Multi-Link – Nagy rendelkezésre állású megoldás, hogy az esetlegesen kieső internet kapcsolat se okozhasson gondot, ilyenkor automatikusan átáll a rendszer a tartalék vonalra Egyedi védelem Minden egyes nappal fejlődnek a támadók, egyre újabb sérülékenységek kerülnek napvilágra, alkalmazások avulnak el, újabb támadási felületek jelennek meg. Ha ezek egyike is célba ér, akkor a támadó képes a belső hálózatban lévő adatokat ellopni, eladni, nyilvánosságra hozni, melyek akár a vállalat végét is jelenthetik, hiszen sérül a hírnév. Ilyen újdonság az AET (advanced evasion techniques), mely képes jó néhány védelmi megoldást kijátszani. Ez a módszer a kívánt kártevőt szétbontja hálózati rétegek, protokollok között, aktívan használja a masking és az obfuscation technikát, hogy még nehezebb legyen felismerni. Ahogy a célzott végpontra kerül, már képes újból a „teljes csomagot” összeállítni, és máris aktív kártevő található a védett

zónában (ezeket ráadásul elég nehéz észlelni a későbbiekben is, hetek is eltelhetnek az észlelésig). A McAfee NGFW többszintű védelmet nyújt, mely azonosítja a hálózati réteget, a protokollt, az alkalmazást, és még a felhasználót is, hogy finom hangolható legyen a szabálykészlet. Teljes csomagot monitoroz (deep packet inspection), képes akár a normalizálásra, vagy a stream alapú vizsgálatra is. Ezen vizsgálatok is segítik az AET elleni küzdelmet, az anomáliák kiszűrésének a lehetőségét. A forgalom csak azután kerül továbbításra, ha mindegyik modul megvizsgálta a teljes forgalmat, és nem detektált kártetőt (a McAfee NGFW eddig több, mint 800 millió AET-t képes észlelni).

3. ábra: HTTPS forgalom analízis

A tudás hatalom A szigetszerű védelmi megoldások nem képesek a fontos információk, támadási vektorok megosztására, így sokkal kevésbé hatékonyak. A McAfee „Security Connected” filozófiája mögött sok millió végpont, több tucat termékcsalád, és a McAfee belső mérnöki csapata áll, ezzel könnyebben, gyorsabban megoszthatóak a kinyert információk, akár valósidőben is védekezhetünk az új támadási vektorok ellen. A Security Connected képes McAfee megoldásokkal integrációra, de akár 3rd party termékekkel is összeköthető: -

ePo Orchestrator – a McAfee NGFW képes lekérdezni a végponti menedzsment megoldást, így plusz információk kaphatók a végpontokról, felhasználókról, így könnyebben szűrhetőek az anomáliák, egyszerűsíthetők a folyamatok, szabályok.

-

Enterprise Security Manager – a SIEM megoldás folyamatosan tárolja a logokat, riasztásokat küld, ellenőrzi a compliance állapotot, valósidejű biztonsági állapot értéket ad ki, és az integrációnak köszönhetően lecsökken a válaszidő.

-

McAfee Advanced Threat Defense – képes akár sandboxing technológiával is az új, zero-day támadások elleni védelemre. A sandboxing mellett statikus és dinamikus kódellenőrzésre is képes. Az integrációnak köszönhetően az NGFW által nem osztályozható file-ok továbbküldhetőek elemzésre az ATD eszköznek.

-

McAfee Global Threat Intelligence – a McAfee felhő alapú tudásbázisa a reputation adatbázisok folyamatos karbantartásával segíti a védekezést, mely szintén valósidőben frissül.

4. ábra: Integrációs lehetőségek

Teljes körű menedzsment – egyetlen konzolról A McAfee NGFW eszközök akár egyetlen felületről is menedzselhetők, legyen szó akár több száz tűzfal modulról is. A McAfee Security Management Center (SMC) egyetlen felületről nyújtja ezt, hiszen innen az eszközök, a modulok, az alkalmazások, a szabályok, a logolás és a riportok is testre szabhatóak. Az egyedi grafikus felület egyszerűen kezelhető, teljes képet ad a hálózatról, ezáltal csökkenti a szükséges erőforrások számát.

5. ábra: Az SMC konzol alá bármely NGFW termék beköthető

License konstrukciók A McAfee NGFW rugalmasan ajánlható, hiszen az egyes modulok, akár egyesével, akár csomagban is elérhető. Ilyen opciók lehetnek: -

firewall modul

-

VPN feature pack

-

IPS

-

Web Filtering

-

antivirus

-

antispam

McAfee NGFW specifikáció Támogatott platformok Appliance

Több hardver eszköz elérhető, különböző teljesítménnyel és hálózati kártya opciókkal

Szoftver

x86 alapú szerverekhez

Virtuális appliance

VMware ESX, Oracle VM, és KVM támogatás

Modulok

Tűzfal, IPS, VPN gateway

Firewall/VPN modul Általános

Stateful és stateless állapotvizsgálat

Azonosítás Magas rendelkezésre állás

IP cím hozzárendelés

Címfordítás

Routing

Dinamikus routing

IPv6

Belső adatbázis, LDAP, Microsoft Active Directory, RADIUS, TACACS+ -

Active-active cluster

-

Active-standby cluster

-

Stateful failover

-

VRRP

-

Server load balancing

-

Link aggregation (802.3ad)

-

Link failure detection

-

Statikus (IPv4 és IPv6

-

DHCP

-

PPPoA

-

PPPoE

-

Statikus NAT (IPv4, IPv6)

-

Source NAT

-

Port address translation

-

Destination NAT

-

Statikus (IPv4 és IPv6)

-

Szabály alapú route

-

Statikus multicast routing

-

IGMP proxy

-

RIPv2

-

RIPng

-

OSPFv2

-

OSPFv3

-

BGP

-

PIM-SM

-

Dual stack IPv4/IPv6

-

ICMPv6

CIS redirection

-

DNSv6

-

HTTP, FTP, SMTP protokollok továbbítása a content inspection server (CIS) felé

IPS, layer 2 firewall modul Általános

Access control

Magas rendelkezésre állás

-

Stateless packet filtering (Dix/IEEE)

-

Stateful packet filtering (IP protokoll)

-

Logical Interface matching ( VLAN, fizikai interface)

-

VLAN re-tagging

-

MAC address filtering

-

IPv4 and IPv6

-

Tunneled IP

-

IP-in-IP

-

IPv6 encapsulation

-

GRE

-

Layer 2 firewall clustering (active-passive)

-

IDS clustering (active-active/active-passive)

-

IPS serial clustering (active-active)

-

Fail-open interface support (IPS mode)

-

Dynamic inspection overload handling (IPS mode)

-

IKEv1

-

IKEv2

-

IPsec (IPv4, IPv6)

-

AES-128

-

AES-256

-

AES-GCM-128

-

AES-GCM-256

-

Blowfish

-

DES

IPSec VPN Protokollok

Titkosítás

-

3DES1

-

AES-XCBC-MAC

-

MD5

-

SHA-1

-

SHA-2-256

-

SHA-2-512

Diffie-Hellmann

-

DH group 1, 2, 5, 14, 19, 20, 21

Azonosítás

-

RSA

-

DSS

-

ECDSA signatures with X.509 certificates

-

pre-shared keys

-

XAUTH

-

EAP

-

Szabály alapú VPN

-

Route-based VPN (GRE, IP-IP, SIT)

-

Hub and spoke

-

Full mesh

-

Partial mesh

-

McAfee Multi-Link

-

McAfee Multi-Link (load sharing, active/standby, link aggregation)

-

VPN kliens Microsoft Windows-on

-

Automatic configuration update

-

Automatic failover (McAfee Multi-Link)

-

Client security check

-

Secure domain logon

-

Android 4.0

-

Mac OS X 10.7

Message digest

Site-to-Site VPN

Kliens VPN

SSL VPN Kliens elérés

-

Windows Vista SP2 (vagy újabb)

-

OWA

-

Intranet elérés

Támogatott protokoll

-

SMTP

Engine

-

Score alapú algoritmus

Szűrési módszerek

-

Testreszabható mail envelope/header/content

-

Local anti-spoofing, relay

-

Honeypot filtering

-

SPF/MX record

-

DNS-based blacklist

Portál elérés

Antispam

Minden modulban elérhető funkciók Encapsulation

Access control

QoS

-

Ethernet

-

802.1q VLAN

-

PPPoA

-

PPPoE

-

Interface zones

-

Idő

-

TLS information

-

Domain name

-

User information

-

Network applications

-

Client application

-

Agent

-

Policy based traffic shaping

-

Guaranteed/maximum bandwidth prioritization

-

Differentiated services code point (DSCP) matching/marking

-

Policy-based concurrent session limiting

-

Policy-based TCP MSS rewrite

-

Decryption-based detection

-

Message length sequence analysis

-

Protokoll

-

File

-

Alkalmazás

-

Sandboxing

-

statikus analízis (PE file, Adobe file, MS Office Suite file, Archives, Java, Android Application Package)

Inspection Anti Botnet

Dinamikus context analízis

McAfee Advanced Threat Defense

McAfee Global Threat Intelligence

Osztályozás a felhő alapú reputation adatbázisból

McAfee antimalware engine

Támogatott protokollok:

Normalizáció

Fingerprinting

AET (Advanced evasion techniques)

-

FTP

-

HTTP

-

HTTPS

-

POP3

-

IMAP

-

SMTP

Ethernet, H.323, GRE, IPv4, IPv6, ICMP, IP-in-IP, IPv6 encapsulation, UDP, TCP, DNS, FTP, HTTP, HTTPS, IMAP, IMAPS, MGCP, Modbus/TCP, MSRPC, NetBios Datagram, OPC Classic, OPC UA, Oracle SQL Net ,POP3, POP3S, RSH, RSTP, SIP, SMTP, SSH, SunRPC, NBT, SCCP, SMB, SMB2, SIP, TCP Proxy, TFTP -

TCP

-

UDP

-

Multilayer traffic normalization

-

Vulnerability-based fingerprints

-

Fully upgradable software-based inspection engine

-

Evasion and anomaly logging

DoS/DDoS

Blokkolási képességek

-

SYN/UDP flood detection

-

Concurrent connection limiting, interface-based log compression

-

Protection against slow HTTP request methods

-

Direct blocking

-

Connection reset

-

Blacklisting (local and distributed)

-

HTML response

-

HTTP redirect

-

HTTP

-

HTTPS

URL Filtering Támogatott protokollok Engine Adatbázis

Kategória alapú adatbázis, lokális whitelist, blacklist opcióval -

Több, mint 280 millió domain (több milliárd aloldallal)

-

43 nyelv támogatása

-

82 kategória