UserGate NGFW: комплексная защита корпоративной сети

Информационная безопасность больше не ограничивается антивирусом и паролями. Современные угрозы становятся изощреннее, а корпоративная инфраструктура — все более распределенной и сложной: офисы, удаленные сотрудники, облачные сервисы, филиалы. Чтобы управлять рисками и защитить свои ресурсы, компании нуждаются в едином решении, которое совмещает контроль, фильтрацию и предотвращение атак.

UserGate NGFW — как раз такой инструмент: он помогает выстроить эффективную и масштабируемую защиту, не усложняя работу IT-команды. В этой статье расскажем, как именно.

Что такое UserGate NGFW

UserGate NGFW (Next Generation Firewall) — это межсетевой экран нового поколения, который не просто контролирует трафик, но и глубоко анализирует его, защищая сеть от современных угроз. В отличие от обычных фаерволов, которые работают на уровне портов и IP-адресов, NGFW способен «заглянуть» внутрь приложений, распознать пользователей и понять, какие именно данные проходят через сеть.

Он выпускается в нескольких вариантах:

• физическое устройство (готовое аппаратно-программное решение);
• виртуальный межсетевой экран для гибкой интеграции в облачные среды и ЦОДы;
• Security as a Service (SECaaS) — защита в виде облачного сервиса, который не требует установки оборудования у вас в офисе.

Возможности UserGate NGFW

UserGate NGFW объединяет в себе сразу несколько функций для комплексной защиты сети и данных компании:

• Защита на уровне приложений. Решение проверяет не просто адрес и порт, а сам контент и поведение приложений. NGFW может идентифицировать и заблокировать угрозы, замаскированные под обычный трафик, что значительно повышает безопасность сети.
• Антивирусная проверка и блокировка угроз. UserGate NGFW включает встроенный антивирус, который автоматически проверяет весь входящий и исходящий трафик. Это позволяет своевременно выявлять и блокировать вирусы и вредоносное ПО еще до того, как они попадут на устройства пользователей.
• Выявление и предотвращение вторжений. Система способна отслеживать подозрительную активность и атаки в режиме реального времени благодаря встроенным технологиям COB (Система Обнаружения Вторжений). Все угрозы фиксируются, а любые попытки атак блокируются автоматически.
• Контроль почтового трафика. NGFW проверяет электронную почту и вложения на наличие опасного содержимого. Так он предотвращает фишинговые атаки, кражу данных и распространение вредоносного программного обеспечения.
• Интеграция с внешними системами безопасности. UserGate NGFW легко взаимодействует с внешними антивирусами и DLP-системами через протокол ICAP.
• Автоматическое реагирование на инциденты (SOAR). Сценарии автоматического реагирования SOAR позволяют заранее прописать правила, по которым система сама отреагирует на угрозу без участия администратора.
• Управление интернет-доступом. Администратор может гибко настроить, кто и к каким ресурсам получает доступ. UserGate NGFW учитывает множество критериев: приложения, пользователей, типы данных и время доступа. Это помогает снизить нагрузку на канал, сократить ненужный трафик и исключить попадание на вредоносные ресурсы.
• Оптимизация сетевого трафика и маршрутизация. UserGate NGFW позволяет управлять пропускной способностью каналов, задавать приоритеты для разных сервисов и приложений, а также использовать динамическую и статическую маршрутизацию для оптимальной работы сети.

Кому будет полезен UserGate NGFW

UserGate NGFW подойдет организациям, которым важно не просто фильтровать трафик, а управлять всей сетевой безопасностью из единой точки. Он хорошо работает в компаниях с разветвленной IT-инфраструктурой, удаленными филиалами, а также в тех случаях, когда важно соответствие требованиям к защите данных и устойчивости к атакам.

Кто точно выиграет от внедрения UserGate NGFW:

• Госструктуры и госкомпании. Структурам, которые работают с персональными данными, внутренними базами и документами, важно обеспечить защиту на всех уровнях. UserGate NGFW помогает соответствовать требованиям регуляторов и предотвращать утечки информации.
• Торговые сети и ритейл. UserGate NGFW позволяет защитить POS-терминалы, внутреннюю сеть и данные клиентов. Он снижает риски кражи персональных данных и обеспечивает безопасную работу онлайн-сервисов и кассовых систем.
• Промышленные предприятия и энергетика. UserGate NGFW поддерживает промышленные протоколы (например, SCADA), поэтому подходит для защиты производственных систем от киберугроз и атак, которые могут привести к простоям или авариям.
• Образовательные учреждения. В школах, колледжах и вузах в интернет выходят множество пользователей, поэтому там важно контролировать нагрузку, а также фильтровать контент, к которому будет доступ через компьютеры учреждений. С NGFW можно настраивать доступ для разных групп и отслеживать активность.
• Банки и финансовые организации. Им он помогает защититься от целевых атак, фишинга и вредоносных программ, направленных на финансовые данные клиентов. Контроль приложений и пользователей повышает уровень защиты онлайн-операций и транзакций.
• Центры обработки данных (ЦОДы) и облачные провайдеры. Решение подходит для интеграции в виртуальную инфраструктуру, помогая контролировать и защищать трафик между различными сегментами сети, а также обеспечивает безопасность клиентских данных и сервисов.

Если вашей компании важно не просто блокировать угрозы, а полностью контролировать сетевую безопасность на уровне приложений и пользователей, UserGate NGFW — определенно то, что нужно.

Интеграция UserGate NGFW

UserGate NGFW легко встраивается в уже существующую сеть — будь то офисная сеть, облачные сервисы или распределенные филиалы. Возможны разные сценарии внедрения, в зависимости от того, какие ресурсы вы защищаете и где они расположены.

Защита облачных ресурсов

Если основные рабочие станции находятся в офисе, а ключевые сервисы — в облаке, UserGate NGFW можно использовать для защиты именно этих облачных систем. Для этого межсетевому экрану присваивается внешний IP-адрес, и на него настраивается маршрутизация с рабочих мест. В таком варианте:

• весь трафик к информационным системам проходит через NGFW;
• внешние подключения к облаку тоже фильтруются;
• нагрузка на ресурсы минимальна;
• изменения в инфраструктуре почти не требуются.

UserGate NGFW позволяет сконцентрировать защиту на наиболее критичных сервисах, при этом не затрагивая всю корпоративную сеть.

Полная фильтрация трафика в локальной сети

Если требуется контролировать не только обращения к облаку, но и весь трафик локальной сети, UserGate NGFW можно развернуть как основное защитное звено. Для этого между ним и граничным маршрутизатором настраивается защищенный VPN-канал, а доступ в интернет разрешается только через него.

Преимущества такого подхода:

• фильтруется весь трафик пользователей;
• работает потоковый антивирус и система обнаружения атак;
• блокируются нежелательные сайты и вредоносные скрипты;
• снижается риск заражения локальных машин.

Это решение обеспечивает комплексную фильтрацию как входящего, так и исходящего трафика.

Защита удаленных филиалов

Если у компании есть новые офисы или точки продаж, можно быстро подключить их к общей системе безопасности. Достаточно установить маршрутизатор с поддержкой L2TP поверх IPsec и настроить VPN-подключение к облачному UserGate NGFW.

В таком случае:

• весь трафик филиала направляется через межсетевой экран;
• пользователи получают доступ в интернет через прокси на NGFW;
• трафик к головному офису идет по защищенному каналу.

Удаленный доступ для сотрудников

UserGate NGFW поддерживает удаленное подключение без установки дополнительных приложений. Через captive-портал можно настроить доступ по RDP прямо из браузера. При этом используются:

• авторизация с двухфакторной проверкой (MFA);
• контроль устройств, с которых выполняется подключение;
• фильтрация и запись действий пользователя при доступе к внутренним ресурсам.

Это удобно для команд, которые работают удаленно или с внешними подрядчиками. Администратор получает полный контроль над тем, кто и как подключается к сети.

Сценарии можно комбинировать, адаптируя систему под реальные потребности бизнеса. UserGate NGFW не требует кардинальной перестройки сети и подходит как для локальной установки, так и для гибридной архитектуры с облаками и удаленными точками.

UserGate NGFW доступен в виде виртуального образа, а для его запуска потребуется надежная и гибкая инфраструктура. У нас есть готовые решения:

• Облачные серверы — идеальная среда для быстрого развертывания UserGate NGFW с гибкими настройками CPU, RAM и дисков.

• Выделенные серверы — подойдут для развертывания NGFW в крупных корпоративных проектах и ЦОДах с высокими требованиями к изоляции и производительности.

• Частное облако на базе VMware — для организаций с распределенной структурой и потребностью в приватном контуре.

Все решения размещаются в дата-центрах на территории РФ и соответствуют требованиям к информационной безопасности.

Как развернуть виртуальный образ UserGate NGFW

UserGate NGFW доступен в виде готового виртуального образа, который быстро разворачивается на популярных системах виртуализации: VMware, Oracle VirtualBox, Hyper-V и QEMU-KVM. Вам не придется устанавливать и настраивать компоненты вручную.

Это лишь один из способов установки. Подробнее на сайте UserGate.

1. Перейдите на официальный сайт и закажите образ NGFW.
2. Разверните готовый образ в облаке. Если у вас еще нет собственной платформы, обратите внимание на облачные решения от Рег.облака. Они подходят для любых проектов — и для небольших сервисов, и для крупных корпоративных систем.
3. Импортируйте образ. Импорт выполняется через интерфейс вашей платформы виртуализации. Для Hyper-V образ подключается как диск к новой виртуальной машине. В настройках нужно отключить службы интеграции — это важный момент для корректной работы NGFW.
4. Настройте ресурсы. Рекомендуется выделить:

• не менее 8 ГБ оперативной памяти (при необходимости добавьте 1 ГБ на каждые 100 пользователей);
• объем диска не менее 200 ГБ (оптимально — 300 ГБ и выше).

Для QEMU-KVM можно использовать команду:

5. Настройте виртуальные интерфейсы. UserGate NGFW использует 4 интерфейса, каждый из которых связан с определенной зоной:

• Management;
• Trusted;
• Untrusted;
• DMZ.

6. После запуска виртуальной машины войдите в меню поддержки (Support Menu) и выберите Factory Reset.

Как настроить UserGate NGFW

1. Подключитесь к интерфейсу управления.

Если в сети работает DHCP, подключите интерфейс port0 и включите NGFW. После загрузки система отобразит IP-адрес, по которому можно открыть веб-интерфейс.

Если DHCP недоступен, задайте IP-адрес вручную через CLI (командную строку). Затем подключитесь к веб-интерфейсу по адресу вида https://:8001.

2. На первом экране веб-интерфейса выберите язык, на котором будет продолжена работа.
3. Установите логин и пароль администратора для доступа к интерфейсу управления.
4. Перейдите в раздел «Интерфейсы». Назначьте каждому нужному интерфейсу IP-адрес и привяжите его к соответствующей зоне:

• Management — для управления (обычно port0);
• Trusted — для внутренней сети (LAN);
• Untrusted — для подключения к интернету;
• DMZ, VPN и другие — при необходимости.

5. В разделе «Шлюзы» задайте IP-адрес интернет-шлюза на интерфейсе, подключенном к зоне Untrusted.
6. Перейдите в раздел DNS и укажите IP-адреса используемых DNS-серверов — провайдерских или внутренних корпоративных.
7. В настройках времени (UserGate → «Настройки» → «Настройка времени сервера») подключите синхронизацию с NTP-серверами, чтобы журнал событий был точным.
8. Для активации NGFW введите PIN-код и заполните форму регистрации. На этом этапе системе потребуется доступ в интернет.
9. Перейдите в раздел NAT и маршрутизация. Убедитесь, что правило NAT from Trusted to Untrusted включено — оно позволяет пользователям выходить в интернет. При необходимости добавьте дополнительные правила.
10. Откройте раздел Межсетевой экран. Включите правило Allow trusted to untrusted, чтобы разрешить трафик из внутренней сети в интернет. Создайте дополнительные правила в зависимости от задач.
11. В разделе Администраторы UserGate создайте других администраторов и задайте им роли.
12. Перейдите в «Пользователи и устройства». Возможны варианты:

• создать локальных пользователей;
• использовать внешние серверы (например, LDAP);
• настроить доступ для всех через пользователя Any.

13. В разделе «Фильтрация контента» создайте правила, которые будут ограничивать доступ к нежелательным HTTP/HTTPS-ресурсам.
14. В разделе Веб-безопасность добавьте фильтры для блокировки вредоносных или подозрительных сайтов.
15. Если требуется расшифровывать HTTPS-трафик, создайте соответствующие правила в разделе «Инспектирование SSL».

Заключение

UserGate NGFW — это решение для тех, кто хочет держать безопасность под контролем. Оно помогает управлять трафиком, фильтровать угрозы и следить за доступом, не перегружая IT-команду. Подходит как для небольших офисов, так и для крупных компаний.

Если вы ищете понятный и эффективный способ защитить корпоративную сеть — UserGate NGFW стоит взять на заметку.

Попробуйте NGFW в Рег.облаке — развертывание за считанные минуты и комплексная защита сети.