Состоялся релиз firewalld 1.0 — динамически управляемого межсетевого экрана для Linux-систем. Он доступен в RHEL 7, Fedora 18, SUSE/openSUSE 15 и более новых версиях. Проект разрабатывает Red Hat, при этом первая версия вышла более 10 лет назад. Но лишь теперь проект добрался до релиза 1.0. Система написана на Python, при этом в ней отказались, наконец, от поддержки Python 2.

Другие изменения включают в себя перемещение правил NAT в семейство протоколов iNet, что позволило избавиться от дубликатов. Также поддерживается внутризонная пересылка данных по умолчанию. Это позволяет передавать пакеты без ограничений между сетевыми интерфейсами в рамках одной зоны (public, block, trusted, internal и так далее). Поддержка ipables пока что сохранена, но развивать её не планируется. Убрана возможность отслеживания TFTP-подключений, зато упростилась работа с WireGuard, Kubernetes и NetBIOS.

В целом, для конечных пользователей поведение firewalld со стандартной конфигурацией межсетевого экрана стало более предсказуемым, а число возможных проблем с настройками снизилось. Также отметим, что число зависимостей уменьшилось: для работы нужно только ядро Linux и некоторые python-библиотеки. Остальные пакеты стали опциональными. Исходный код доступен на GitHub.

Предварительный выпуск Azure Firewall Premium был анонсирован ещё в апреле, теперь же брандмауэр стал общедоступным. Он обеспечивает защиту высокочувствительных и регулируемых сред, таких как платежные системы и приложения здравоохранения, при миграции в облако.

Пользователи брандмауэра Azure Premium получают более мощные инстансы, позволяющие удовлетворить требования к производительности при использовании TLS, а также системы обнаружения и предотвращения вторжений (IDPS). Защищённость среды при этом соответствует стандарту безопасности данных в индустрии платежных карт (PCI DSS), а возможности масштабирования до 30 Гбит/с и интеграции с регионами доступа обеспечивают SLA на уровне 99,99%.

microsoft.com

Проверка исходящих TLS-подключений в брандмауэре Azure Premium охватывает транспортный уровень, а для входящих подключений предусмотрено использование шлюза приложений Azure, обеспечивающего сквозное шифрование. Трафик, который отправляется в исходное место назначения, шифруется повторно для дополнительной безопасности.

Система IDPS брандмауэра использует сигнатуры, позволяющие быстро обнаруживать известные типы атак. Брандмауэр Azure Premium способен предотвращать распространение вредоносных программ и вирусов по сетям. Администраторы могут настроить фильтрацию URL-адресов, включая исходящий доступ к определённым адресам. Эта возможность работает и для зашифрованного трафика TLS.

Также имеется возможность фильтрации исходящего трафика и настройка доступа пользователей к Интернету на основе категорий (например, социальные сети, поисковые системы, азартные игры), что позволяет сократить время настройки. А для упрощения используются политики брандмауэра Azure. Такой подход позволяет повторно использовать существующую интеграцию API с минимальными изменениями.

Политики Azure Premium предоставляют такие преимущества, как совместное использование общей конфигурации для нескольких брандмауэров, объединение правил с использованием групп и управление правилами с помощью аналитики. Стоимость развёртывания премиального брандмауэра на 40% выше, чем у стандартной версии, но плата за обработку данных остаётся такой же.

Palo Alto Networks совместно с NVIDIA разработали первый, по словам компаний, виртуальный межсетевой экран нового поколения (NGFW), который активно использует возможности BlueField — сопроцессора для обработки данных (DPU). Он ускоряет фильтрацию пакетов и пересылку данных, снимая нагрузку с центрального процессора.

Это позволяет повысить скорость обработки до 5 раз, а также задействовать интеллектуальную фильтрацию и другие функции работы с трафиком. В целом, такое программно-аппаратное решение позволит существенно увеличить безопасность центров обработки данных и корпоративных сетей. Как отмечается, система поддерживает пропускную способность до 100 Гбит/с.

Разработчики утверждают, что подобная система — первая на рынке. Она способна обнаруживать новые угрозы в сети, предотвращать кражу данных, отслеживать вредоносное ПО и так далее. При этом отмечается, что в обычных случаях до 80 % сетевого трафика в ЦОД проверяется брандмауэрами в принципе. Речь идёт о мультимедийных данных (потоковые видео, музыка и прочее), зашифрованных сессиях и так далее. Их проверка зачастую просто перегрузит CPU брандмауэров, потому они обычно избегают дополнительной инспекции.

Чтобы решить эту проблему, решение NVIDIA и Palo Alto Networks задействует службу Intelligent Traffic Offload (ITO), которая проверяет сетевой трафик, чтобы определить, выиграет ли каждый сеанс от проверки безопасности. Иначе говоря, ITO анализирует потенциальную нагрузку на DPU, чтобы понять, нужно ли проверять пакеты или нет. Это позволяет перенаправлять пакеты через межсетевой экран или напрямую потребителям.

Компания Cloudflare представила сервисы Magic WAN и Magic Firewall, а также объявила о партнёрских отношениях с крупными провайдерами решений для сетей и ЦОД, включая VMware, Aruba, Digital Realty, CoreSite и EdgeConneX, в рамках Cloudflare One, её облачного решения, предлагаемого по модели «сеть как услуга» (network-as-a-service).

Magic WAN с Magic Firewall предоставляет клиентам универсальное решение для подключения и защиты данных, устройств, офисов, облачных сетей и т. д. Magic WAN — это решение, предлагаемое по модели SaaS, которое соединяет любой источник трафика с глобальной сетью Cloudflare для безопасного и быстрого подключения, а Magic Firewall интегрируется с ним для обеспечения соблюдения норм безопасности для всего трафика. С помощью Magic WAN и Magic Firewall предприятия также могут ускорить работу своей сети и обеспечить более высокую безопасность, причём намного дешевле, чем при использовании MPLS.

«Компании тратят значительные ресурсы на предоставление и поддержку устаревших технологий подключения, таких как MPLS, — отметил Мэтью Принс (Matthew Prince), соучредитель и генеральный директор Cloudflare. — В Magic WAN мы используем глобальную сеть Cloudflare, чтобы предлагать надёжные, быстрые и гораздо более рентабельные возможность подключения со встроенной системой безопасности. Сотрудничая с ведущими поставщиками SD-WAN, мы можем гарантировать, что Magic WAN станет незаменимой заменой прежним решениям для подключения».

Являясь частью пакета Cloudflare One, Magic WAN надёжно подключает любой источник трафика — ЦОД, офисы, устройства, облачные ресурсы — к глобальной сети Cloudflare и позволяет клиентам настраивать общедоступные и частные политики маршрутизации, всё в рамках одного SaaS-решения. А Magic Firewall позволяет предприятиям определять правила безопасности для сети с единой центральной панели управления, чтобы обеспечить защиту сотрудников, офисов и данных, где бы они ни находились. Cloudflare обеспечивает клиентам возможность:

• Подключить каждый офис, ЦОД и облачное хранилище: Magic WAN заменяет разрозненные решения для подключения и обеспечения безопасности в офисах и удалённых местах единой облачной сетью.
• Защитить весь трафик с помощью одного простого пользовательского интерфейса: Magic Firewall позволяет клиентам централизованно управлять политиками безопасности по всей сети и на периферии. Magic Firewall обеспечивает точный контроль над тем, какие данные разрешено вводить и выводить из сети.
• Защитить корпоративные сети без ущерба для производительности: Cloudflare действует как концентратор, которым выступает глобальная сеть компании. Поэтому компания гарантирует, что больше не будет транзитного соединения с централизованными устройствами и связанных с ними узких мест в производительности.
• Использовать любое оборудование или оператора связи: клиенты могут использовать любое оборудование любых партнёров для подключения к Cloudflare и получить преимущества отказоустойчивости, предоставляемые её глобальной сетью.

На этой неделе состоялась два крупных анонса для дистрибутива pfSense. Во-первых, система получила поддержку WireGuard VPN. Во-вторых, Netgate, компания, разрабатывающая pfSense, представила pfSense Plus. Поговорим об этом подробнее.

Расширение поддержки WireGuard означает, что всё больше ОС получают возможность работать с ним. Этот протокол уже есть во многих дистрибутивах Linux, а также в Windows. Разработчики из Netgate внедрили её в pfSense 2.5. При этом поддержка работает как в варианте pfSense Community Edition, так и в новом pfSense Plus.

Новый «Плюс» представляет собой своего рода ребрендинг pfSense Factory Edition (FE). Это напоминает ситуацию с переходом от FreeNAS к TrueNAS Core. Разработка pfSense CE (Community Edition) будет продолжаться, но для pfSense Plus будут выходить все самые новые «фишки». Напомним, что pfSense обеспечивает функциональность межсетевого экрана, маршрутизатора и VPN для дома, предприятий, образовательных и государственных учреждений.

С 2021 года pfSense CE и pfSense Plus начнут расходиться друг с другом как в дизайне программной платформы, так и в наборе функций. Первая версия будет работать, как и ранее. Вторая же станет стандартом де-факто для всех устройств Netgate. pfSense Plus получит постоянно обновляемый набор функций безопасности, улучшения производительности и управляемости, которых нет в pfSense CE. Хотя в начале они будут достаточно близки, со временем ожидается, что функциональность обеих версий всё сильнее будет отличаться.

В компании заявили, что появление Plus-версии необходимо для поддержки продукта в актуальном состоянии. Многие функции старой версии, разработка которой началась ещё в 2004 году, нуждаются в замене или обновлении, что может нарушить работу кода. В числе новых функций обещана поддержка точек доступа 802.11ac и 802.11ax, другая информационная панель и дизайн системы в целом, улучшенная производительность фильтра пакетов.

Первая версия pfSense появится в феврале 2021 года. Сборка получит наименована Release 21.02, так что будет задействована система нумерации «год.месяц». Что касается pfSense CE, то сборка останется на GitHub под лицензией Apache. Netgate продолжит её сопровождение, предоставляя обновления — в первую очердь, патчи против уязвимостей и апдейты для FreeBSD. А вот о внедрении новых функциях пока не сообщается.

Как отмечается, выпуски pfSense Plus будут выходить более регулярно — в январе, мае и сентябре. При этом пока есть только версии для устройств Netgate и облачных платформ AWS и Azure. В будущем ожидается расширение аппаратного парка и поддержка ряда гипервизоров. pfSense Plus 21.02 будет бесплатной для домашнего и лабораторного использования, но для коммерческого использования нужна будет платная лицензия.

При этом отмечено, что Netgate продолжает придерживаться принципов работы open source, так что не стоит бояться, что система может стать закрытой. В частности, компания продолжит спонсировать разработку новых возможностей, которые в итоге попадают во FreeBSD. Именно при её непосредственном участии появилась поддержка WireGuard, ускорение криптографических функций за счёт использования Intel QAT и EIP-97, некоторые драйверы и так далее. Кроме того, в штате компании или по контракту с ней работают разработчики FreeBSD и других открытых проектов.

Всего пару месяцев назад мы подробно познакомились с возможностями шлюза безопасности UTM 8, а теперь компания Ideco выпустила предновогодний релиз UTM 9.0, который получил новые возможности. Их можно разделить на несколько категорий: улучшение безопасности, повышение удобства работы и расширение возможностей.

В плане безопасности нововведения включают новые роли администраторов — с полным доступом и только для чтения. Также появился раздельный доступ к консоли по SSH под логинами администраторов. При установке сервера теперь можно сразу задать пароль администратора. А файрволл теперь оснащён счётчиками срабатывания трафика.

Все системные компоненты были обновлены до актуальных версий, включая и ядро Linux (релиз 5.9.13). В плане удобства работы произведены улучшения веб-интерфейса администратора и пользователей, а работа веб-интерфейса ускорена в ситуациях, когда идёт большая нагрузка на сервер.

Из новых возможностей стоит отметить консольную утилиту speedtest-cli для проверки скорости интернет-канала с сервера. Добавлено автоматическое получение сертификатов Let's Encrypt для почтовых служб (веб-интерфейс, SMTP, IMAP, POP3). Также добавлены функции антиспама от «Касперского».

Компания Zyxel представила на российском рынке межсетевые экраны USG FLEX 100W и USG FLEX 700, ориентированные на предприятия малого и среднего бизнеса. Устройства помогут повысить защищённость корпоративных сетей, нагрузка на которые возросла в связи с переводом сотрудников на удалённую работу в условиях пандемии.

USG FLEX 100W — это межсетевой экран начального уровня со встроенной беспроводной точкой доступа. Устройство сертифицировано на совместимость с Microsoft Azure и AWS, поэтому компании могут построить гибридную сеть, в которой их внутренняя ИТ-инфраструктура комбинируется с инфраструктурой публичного облака. Доступны четыре порта LAN/DMZ, по одному порту WAN и SFP. Пропускная способность межсетевого экрана достигает 800 Мбит/с.

В свою очередь, саршая модель USG FLEX 700 отличается возможностью одновременного обслуживания до 800 подключённых клиентов. Эта модель располагает 12 конфигурируемыми портами RJ-45 и двумя разъёмами SFP. Пропускная способность межсетевого экрана — до 5400 Мбит/с.

Кроме того, компания Zyxel выпустила прошивку для межсетевых экранов ZLD 4.60. Среди основных особенностей апдейта — увеличение производительности инспекции трафика SSL в 3–5 раз по сравнению с предыдущей версий. Реализована поддержка протокола TLS 1.3. В дополнение к уже имеющимся сервисам репутации IP-адресов и URL-адресов в микропрограмме ZLD 4.60 реализован сервис репутации DNS на базе технологий McAfee. Это предотвращает посещение скомпрометированных доменов, содержащих опасный контент, и блокирует доступ к определённым сайтам.

Компания VMware сообщила, что её системы виртуализации будут использоваться в сетевых адаптерах SmartNIC и DPU. Это позволит снизить нагрузку на центральные процессоры серверов.

Адаптеры SmartNIC и DPU оснащены сопроцессорами для обратки данных, так что вполне логично задействовать их для виртуализации. Впервые VMware объявила об этом в сентябре 2020 года. Идея состоит в том, чтобы использовать эти мощности для управления хранилищем и виртуальными сетями, а также для выполнения некоторых функций безопасности. С этой целью VMware портировала свой флагманский гипервизор ESXi на архитектуру Arm, поскольку на ней базируются системы-на-чипе с таких адаптерах.

В компании отметили, что межсетевой экран NSX Services-Defined Firewall теперь будет работать на SmartNIC и предоставлять L4 SPI-файрвол. Кроме того, было заявлено, что те же адаптеры смогут запускать межсетевой экран L7. Всё это позволит ускорить работу серверов и повысить защищённость. Ведь в традиционных сценариях эту нагрузку берёт на себя CPU. Помимо этого, такой подход позволяет создавать шифрованные каналы для работы удалённых сотрудников, не опасаясь перехвата инофрмации.

Отметим, что компания VMware предлагает создавать новые сети, в которой системы сами определяют, какие приложения нужны, и самостоятельно настраиваются соответствующим образом. Проще говоря, речь идёт о распределённых защитных системах. ARM-версия гипервизора ESXi и сетевого экрана NSX Services-Defined Firewall — первые шаги к этому.

На конференции «Цифровая индустрия промышленной России» (ЦИПР-2020) представлен проект отечественного межсетевого экрана нового поколения, который, как ожидается, найдёт широчайшее применение. Решение, техническое проектирование которого уже завершено, создаётся концерном «Автоматика», входящим в государственную корпорацию Ростех.

Речь идёт о разработке полностью российского процессорного модуля со встроенными функциями сетевой безопасности. По словам создателей, речь идёт о продукте класса SSoC (Secured System on Chip) — защищённая система на кристалле. «Мы применили новаторский подход и отошли от принципа "монолитного продукта сетевой безопасности". В нашем решении функции сетевой безопасности размещаются непосредственно в модуле центрального процессорного устройства», — говорится в сообщении.

Сейчас разрабатываются опытные образцы процессорных модулей с функциональностью файрвола. Кроме того, будут созданы отладочные комплекты для прототипирования и настройки различных конфигураций устройств сетевой безопасности. Новый процессорный модуль может стать основой различного сетевого оборудования. Это, в частности, шлюзы для Интернета вещей, полноформатные межсетевые экраны и пр.

«Появление доступного, конкурентоспособного и полностью отечественного продукта станет новым шагом в обеспечении безопасности отечественных телекоммуникационных сетей», — отмечает концерн «Автоматика». К сожалению, никаких технических подробностей о новинке пока нет.

Сетевой экран, брандмауэр или файрвол — неотъемлемая часть любой мало-мальски серьёзной сети, если её владелец заботится об информационной безопасности. Компания SonicWall, как и следует из её названия, производит именно такие устройства и разрабатывает программное обеспечение для них. Вчера она объявила о том, что обновляет серию межсетевых экранов TZ5x0 и TZ6x0.

Серии TZ500 и 600 относятся к устройствам начального уровня, но несмотря на это, даже младшая модель, TZ500, обеспечивает пропускную способность до 700 Мбит/с при включённых функциях защиты. Более мощная серия TZ600 имеет модульную конструкцию, а её производительность увеличена до 800 Мбит/с. Это достаточно серьёзные цифры для небольших офисных сетей, однако требования к сетевой инфраструктуре сейчас активно растут, поэтому новые модели SonicWall TZ570 и TZ670 представляют интерес.

Межсетевой экран в них развивает 4 и 5 Гбит/с, соответственно; при полноценной инспекции сетевых приложений производительность несколько ниже, но не падает ниже 2 Гбит/с. Новые серии получили поддержку SFP+, младшая модель имеет два порта со скоростью 5 Гбит/с, а старшая уже поддерживает и пару портов со скоростью 10 Гбит/с. Обе новинки сохранили модульность TZ600, но опцию Wi-Fi имеет только TZ570 в модификации W, хотя LTE поддерживается во всей серии.

Экраны SonicWall поддерживают удалённое развёртывание подсети компании без участия ИТ-специалистов (SD-Branch) и готова к внедрению сетей класса 5G — производительности и возможностей у TZ570 и TZ670 для этого достаточно. Также SonicWall анонсировала и решение для более крупных сетей — NSsp 15700, оно сможет похвастаться поддержкой 40/100GbE.

Новый интерфейс ОС SonicWallOS

Все новые экраны SonicWall будут поставляться в комплекте с обновлёнными до версии 7.0 фирменными ОС SonicWallOS и SonicWallOSX, обновится до версии 2.0 и ПО Network Security Manager. В новом ПО реализован новый интерфейс, а NSM 2.0 позволит управлять большим количеством устройств в сети. Кроме того, обновит компания и серию виртуальных сетевых экранов, но детальной информации на этот счёт пока нет, известно лишь, что они будут поддерживать TLS 1.3.