Компания Cloudflare представила сервисы Magic WAN и Magic Firewall, а также объявила о партнёрских отношениях с крупными провайдерами решений для сетей и ЦОД, включая VMware, Aruba, Digital Realty, CoreSite и EdgeConneX, в рамках Cloudflare One, её облачного решения, предлагаемого по модели «сеть как услуга» (network-as-a-service).

Magic WAN с Magic Firewall предоставляет клиентам универсальное решение для подключения и защиты данных, устройств, офисов, облачных сетей и т. д. Magic WAN — это решение, предлагаемое по модели SaaS, которое соединяет любой источник трафика с глобальной сетью Cloudflare для безопасного и быстрого подключения, а Magic Firewall интегрируется с ним для обеспечения соблюдения норм безопасности для всего трафика. С помощью Magic WAN и Magic Firewall предприятия также могут ускорить работу своей сети и обеспечить более высокую безопасность, причём намного дешевле, чем при использовании MPLS.

«Компании тратят значительные ресурсы на предоставление и поддержку устаревших технологий подключения, таких как MPLS, — отметил Мэтью Принс (Matthew Prince), соучредитель и генеральный директор Cloudflare. — В Magic WAN мы используем глобальную сеть Cloudflare, чтобы предлагать надёжные, быстрые и гораздо более рентабельные возможность подключения со встроенной системой безопасности. Сотрудничая с ведущими поставщиками SD-WAN, мы можем гарантировать, что Magic WAN станет незаменимой заменой прежним решениям для подключения».

Являясь частью пакета Cloudflare One, Magic WAN надёжно подключает любой источник трафика — ЦОД, офисы, устройства, облачные ресурсы — к глобальной сети Cloudflare и позволяет клиентам настраивать общедоступные и частные политики маршрутизации, всё в рамках одного SaaS-решения. А Magic Firewall позволяет предприятиям определять правила безопасности для сети с единой центральной панели управления, чтобы обеспечить защиту сотрудников, офисов и данных, где бы они ни находились. Cloudflare обеспечивает клиентам возможность:

• Подключить каждый офис, ЦОД и облачное хранилище: Magic WAN заменяет разрозненные решения для подключения и обеспечения безопасности в офисах и удалённых местах единой облачной сетью.
• Защитить весь трафик с помощью одного простого пользовательского интерфейса: Magic Firewall позволяет клиентам централизованно управлять политиками безопасности по всей сети и на периферии. Magic Firewall обеспечивает точный контроль над тем, какие данные разрешено вводить и выводить из сети.
• Защитить корпоративные сети без ущерба для производительности: Cloudflare действует как концентратор, которым выступает глобальная сеть компании. Поэтому компания гарантирует, что больше не будет транзитного соединения с централизованными устройствами и связанных с ними узких мест в производительности.
• Использовать любое оборудование или оператора связи: клиенты могут использовать любое оборудование любых партнёров для подключения к Cloudflare и получить преимущества отказоустойчивости, предоставляемые её глобальной сетью.

На этой неделе состоялась два крупных анонса для дистрибутива pfSense. Во-первых, система получила поддержку WireGuard VPN. Во-вторых, Netgate, компания, разрабатывающая pfSense, представила pfSense Plus. Поговорим об этом подробнее.

Расширение поддержки WireGuard означает, что всё больше ОС получают возможность работать с ним. Этот протокол уже есть во многих дистрибутивах Linux, а также в Windows. Разработчики из Netgate внедрили её в pfSense 2.5. При этом поддержка работает как в варианте pfSense Community Edition, так и в новом pfSense Plus.

Новый «Плюс» представляет собой своего рода ребрендинг pfSense Factory Edition (FE). Это напоминает ситуацию с переходом от FreeNAS к TrueNAS Core. Разработка pfSense CE (Community Edition) будет продолжаться, но для pfSense Plus будут выходить все самые новые «фишки». Напомним, что pfSense обеспечивает функциональность межсетевого экрана, маршрутизатора и VPN для дома, предприятий, образовательных и государственных учреждений.

С 2021 года pfSense CE и pfSense Plus начнут расходиться друг с другом как в дизайне программной платформы, так и в наборе функций. Первая версия будет работать, как и ранее. Вторая же станет стандартом де-факто для всех устройств Netgate. pfSense Plus получит постоянно обновляемый набор функций безопасности, улучшения производительности и управляемости, которых нет в pfSense CE. Хотя в начале они будут достаточно близки, со временем ожидается, что функциональность обеих версий всё сильнее будет отличаться.

В компании заявили, что появление Plus-версии необходимо для поддержки продукта в актуальном состоянии. Многие функции старой версии, разработка которой началась ещё в 2004 году, нуждаются в замене или обновлении, что может нарушить работу кода. В числе новых функций обещана поддержка точек доступа 802.11ac и 802.11ax, другая информационная панель и дизайн системы в целом, улучшенная производительность фильтра пакетов.

Первая версия pfSense появится в феврале 2021 года. Сборка получит наименована Release 21.02, так что будет задействована система нумерации «год.месяц». Что касается pfSense CE, то сборка останется на GitHub под лицензией Apache. Netgate продолжит её сопровождение, предоставляя обновления — в первую очердь, патчи против уязвимостей и апдейты для FreeBSD. А вот о внедрении новых функциях пока не сообщается.

Как отмечается, выпуски pfSense Plus будут выходить более регулярно — в январе, мае и сентябре. При этом пока есть только версии для устройств Netgate и облачных платформ AWS и Azure. В будущем ожидается расширение аппаратного парка и поддержка ряда гипервизоров. pfSense Plus 21.02 будет бесплатной для домашнего и лабораторного использования, но для коммерческого использования нужна будет платная лицензия.

При этом отмечено, что Netgate продолжает придерживаться принципов работы open source, так что не стоит бояться, что система может стать закрытой. В частности, компания продолжит спонсировать разработку новых возможностей, которые в итоге попадают во FreeBSD. Именно при её непосредственном участии появилась поддержка WireGuard, ускорение криптографических функций за счёт использования Intel QAT и EIP-97, некоторые драйверы и так далее. Кроме того, в штате компании или по контракту с ней работают разработчики FreeBSD и других открытых проектов.

Всего пару месяцев назад мы подробно познакомились с возможностями шлюза безопасности UTM 8, а теперь компания Ideco выпустила предновогодний релиз UTM 9.0, который получил новые возможности. Их можно разделить на несколько категорий: улучшение безопасности, повышение удобства работы и расширение возможностей.

В плане безопасности нововведения включают новые роли администраторов — с полным доступом и только для чтения. Также появился раздельный доступ к консоли по SSH под логинами администраторов. При установке сервера теперь можно сразу задать пароль администратора. А файрволл теперь оснащён счётчиками срабатывания трафика.

Все системные компоненты были обновлены до актуальных версий, включая и ядро Linux (релиз 5.9.13). В плане удобства работы произведены улучшения веб-интерфейса администратора и пользователей, а работа веб-интерфейса ускорена в ситуациях, когда идёт большая нагрузка на сервер.

Из новых возможностей стоит отметить консольную утилиту speedtest-cli для проверки скорости интернет-канала с сервера. Добавлено автоматическое получение сертификатов Let's Encrypt для почтовых служб (веб-интерфейс, SMTP, IMAP, POP3). Также добавлены функции антиспама от «Касперского».

Компания Zyxel представила на российском рынке межсетевые экраны USG FLEX 100W и USG FLEX 700, ориентированные на предприятия малого и среднего бизнеса. Устройства помогут повысить защищённость корпоративных сетей, нагрузка на которые возросла в связи с переводом сотрудников на удалённую работу в условиях пандемии.

USG FLEX 100W — это межсетевой экран начального уровня со встроенной беспроводной точкой доступа. Устройство сертифицировано на совместимость с Microsoft Azure и AWS, поэтому компании могут построить гибридную сеть, в которой их внутренняя ИТ-инфраструктура комбинируется с инфраструктурой публичного облака. Доступны четыре порта LAN/DMZ, по одному порту WAN и SFP. Пропускная способность межсетевого экрана достигает 800 Мбит/с.

В свою очередь, саршая модель USG FLEX 700 отличается возможностью одновременного обслуживания до 800 подключённых клиентов. Эта модель располагает 12 конфигурируемыми портами RJ-45 и двумя разъёмами SFP. Пропускная способность межсетевого экрана — до 5400 Мбит/с.

Кроме того, компания Zyxel выпустила прошивку для межсетевых экранов ZLD 4.60. Среди основных особенностей апдейта — увеличение производительности инспекции трафика SSL в 3–5 раз по сравнению с предыдущей версий. Реализована поддержка протокола TLS 1.3. В дополнение к уже имеющимся сервисам репутации IP-адресов и URL-адресов в микропрограмме ZLD 4.60 реализован сервис репутации DNS на базе технологий McAfee. Это предотвращает посещение скомпрометированных доменов, содержащих опасный контент, и блокирует доступ к определённым сайтам.

Компания VMware сообщила, что её системы виртуализации будут использоваться в сетевых адаптерах SmartNIC и DPU. Это позволит снизить нагрузку на центральные процессоры серверов.

Адаптеры SmartNIC и DPU оснащены сопроцессорами для обратки данных, так что вполне логично задействовать их для виртуализации. Впервые VMware объявила об этом в сентябре 2020 года. Идея состоит в том, чтобы использовать эти мощности для управления хранилищем и виртуальными сетями, а также для выполнения некоторых функций безопасности. С этой целью VMware портировала свой флагманский гипервизор ESXi на архитектуру Arm, поскольку на ней базируются системы-на-чипе с таких адаптерах.

В компании отметили, что межсетевой экран NSX Services-Defined Firewall теперь будет работать на SmartNIC и предоставлять L4 SPI-файрвол. Кроме того, было заявлено, что те же адаптеры смогут запускать межсетевой экран L7. Всё это позволит ускорить работу серверов и повысить защищённость. Ведь в традиционных сценариях эту нагрузку берёт на себя CPU. Помимо этого, такой подход позволяет создавать шифрованные каналы для работы удалённых сотрудников, не опасаясь перехвата инофрмации.

Отметим, что компания VMware предлагает создавать новые сети, в которой системы сами определяют, какие приложения нужны, и самостоятельно настраиваются соответствующим образом. Проще говоря, речь идёт о распределённых защитных системах. ARM-версия гипервизора ESXi и сетевого экрана NSX Services-Defined Firewall — первые шаги к этому.

На конференции «Цифровая индустрия промышленной России» (ЦИПР-2020) представлен проект отечественного межсетевого экрана нового поколения, который, как ожидается, найдёт широчайшее применение. Решение, техническое проектирование которого уже завершено, создаётся концерном «Автоматика», входящим в государственную корпорацию Ростех.

Речь идёт о разработке полностью российского процессорного модуля со встроенными функциями сетевой безопасности. По словам создателей, речь идёт о продукте класса SSoC (Secured System on Chip) — защищённая система на кристалле. «Мы применили новаторский подход и отошли от принципа "монолитного продукта сетевой безопасности". В нашем решении функции сетевой безопасности размещаются непосредственно в модуле центрального процессорного устройства», — говорится в сообщении.

Сейчас разрабатываются опытные образцы процессорных модулей с функциональностью файрвола. Кроме того, будут созданы отладочные комплекты для прототипирования и настройки различных конфигураций устройств сетевой безопасности. Новый процессорный модуль может стать основой различного сетевого оборудования. Это, в частности, шлюзы для Интернета вещей, полноформатные межсетевые экраны и пр.

«Появление доступного, конкурентоспособного и полностью отечественного продукта станет новым шагом в обеспечении безопасности отечественных телекоммуникационных сетей», — отмечает концерн «Автоматика». К сожалению, никаких технических подробностей о новинке пока нет.

Сетевой экран, брандмауэр или файрвол — неотъемлемая часть любой мало-мальски серьёзной сети, если её владелец заботится об информационной безопасности. Компания SonicWall, как и следует из её названия, производит именно такие устройства и разрабатывает программное обеспечение для них. Вчера она объявила о том, что обновляет серию межсетевых экранов TZ5x0 и TZ6x0.

Серии TZ500 и 600 относятся к устройствам начального уровня, но несмотря на это, даже младшая модель, TZ500, обеспечивает пропускную способность до 700 Мбит/с при включённых функциях защиты. Более мощная серия TZ600 имеет модульную конструкцию, а её производительность увеличена до 800 Мбит/с. Это достаточно серьёзные цифры для небольших офисных сетей, однако требования к сетевой инфраструктуре сейчас активно растут, поэтому новые модели SonicWall TZ570 и TZ670 представляют интерес.

Межсетевой экран в них развивает 4 и 5 Гбит/с, соответственно; при полноценной инспекции сетевых приложений производительность несколько ниже, но не падает ниже 2 Гбит/с. Новые серии получили поддержку SFP+, младшая модель имеет два порта со скоростью 5 Гбит/с, а старшая уже поддерживает и пару портов со скоростью 10 Гбит/с. Обе новинки сохранили модульность TZ600, но опцию Wi-Fi имеет только TZ570 в модификации W, хотя LTE поддерживается во всей серии.

Экраны SonicWall поддерживают удалённое развёртывание подсети компании без участия ИТ-специалистов (SD-Branch) и готова к внедрению сетей класса 5G — производительности и возможностей у TZ570 и TZ670 для этого достаточно. Также SonicWall анонсировала и решение для более крупных сетей — NSsp 15700, оно сможет похвастаться поддержкой 40/100GbE.

Новый интерфейс ОС SonicWallOS

Все новые экраны SonicWall будут поставляться в комплекте с обновлёнными до версии 7.0 фирменными ОС SonicWallOS и SonicWallOSX, обновится до версии 2.0 и ПО Network Security Manager. В новом ПО реализован новый интерфейс, а NSM 2.0 позволит управлять большим количеством устройств в сети. Кроме того, обновит компания и серию виртуальных сетевых экранов, но детальной информации на этот счёт пока нет, известно лишь, что они будут поддерживать TLS 1.3.

Последнее время малому и среднему бизнесу приходится не сладко: пандемия, падение спроса, как следствие, сокращение ИТ бюджетов. В это непростое время Zyxel выпустила новые межсетевые экраны с гибкой моделью лицензирования, которые помогут не только экономить, но и защитить локальную сеть от угроз.

В новую линейку межсетевых экранов вошли три модели: USG FLEX 100/200/500.

По заявлениями производителя, в сравнении с предыдущим поколением производительность увеличилась на 125% и до 500% выросла производительность унифицированной защиты от угроз (Unified Threat Management, UTM). За счет чего же получилось в разы увеличить производительность межсетевых экранов? Кроме обновления аппаратной составляющей, в новых моделях UTM используется облако Zyxel Security Cloud, в котором собирается информация об угрозах из различных источников.

Межсетевые экраны USG FLEX в режиме Cloud Query Express используют облачную базу сигнатур, что позволяет значительно снизить нагрузку на клиентское оборудование и быстрее выявить угрозу. Технические характеристики межсетевых экранов представлены ниже:

Zyxel предлагает гибкие опции подписки, которые позволяют использовать только те лицензии, которые необходимы конкретному предприятию, не переплачивая за весь пакет целиком.

В расширенную подписку входят лицензии на Unified Threat Management, которые добавляют следующие функции:

• Web Filtering: Блокирование доступа к опасным и подозрительным web-сайтам;
• IPS (IDP): Проверка пакетов на наличие вредоносного кода;
• Application Patrol: Автоматическая классификация приложений и регулирование использования ими сетевых ресурсов;
• Anti-Malware: Сканирование файлов на наличие вредоносного кода и других угроз в шлюзе или облаке;
• Email Security: Обнаружение и блокировка спама/фишинга в электронной почте;
• SecuReporter: Интеллектуальная аналитика и отчеты.

Не забыли в Zyxel и про гостиницы, кафе и рестораны с общедоступным Wi-Fi – специально для них есть отдельная лицензия на функции:

• Managed AP Service: Автоматическое обнаружение точек доступа и распределение их ресурсов;
• Hotspot Management: Различные функции управления доступом к сети;
• Concurrent device: Увеличение максимального допустимого числа авторизированных пользователей.

Перечень функций в предлагаемых лицензиях достаточно обширный и может закрыть практически все потребности малого и среднего бизнеса по сетевой безопасности.

Межсетевой экран — важный элемент безопасности в любой сети. Но важна и его производительность, поскольку скорости и объемы трафика сегодня растут ударными темпами.

Компания Fortinet представила новую модель межсетевого экрана, FortiGate 4200F, которая, если верить анонсу, на порядок быстрее существующих решений.

Часто такие устройства строятся на базе процессоров общего назначения, но не для всех сетевых задач архитектура x86 или ARM является оптимальной. Самые быстрые сетевые решения используют специализированные процессоры, и именно к этой категории относится FortiGate 4200F. В арсенале компании есть два решения: процессор контента CP9 и сетевой процессор NP7; последний и стал сердцем нового сетевого экрана.

Этот процессор имеет специализированную архитектуру и ряд блоков-ускорителей, что даёт возможность бесперебойной работы брандмауэра на скоростях до 195 Гбит/с. Даже со всеми включенными средствами защиты, включая инспекцию SSL, производительность не опускается ниже 10 ‒ 15 Гбит/с. Чип способен поддерживать до 12 миллионов одновременных сессий и до 500 тысяч подключений в секунду.

Как известно, из-за принимаемых по всему миру карантинных мер, возросло количество удалённых рабочих мест. Такой резкий рост, требующий одновременно высокой пропускной способности и сетевой безопасности, показал, что классические межсетевые экраны не всегда справляются со своей задачей и плохо масштабируются. FortiGate 4200F, как заявляет производитель, является исключением: в зависимости от задачи, это устройство может от пяти до пятнадцати раз превосходить своих соперников по ценовой категории.

Данная модель не единственная в семействе. На данный момент представлено два устройства — FG-4200F и FG-4201F. Они отличаются типом и скоростью сетевых портов. В первом случае это сочетание 8 портов 100GbE QSFP28 и 18 портов 25GbE SFP28, во втором реализовано аналогичное количество портов 40GbE QSFP+ и 10GbE SFP+. Fortinet предлагает и более доступные решения, например, FortiGate 1800F.

UPD: представители других вендоров обратили внимание на то, что приведённую таблицу можно расценить как трюк маркетологов. Показатель 800 Гбит/с относится к работе в режиме простого межсетевого экрана, говорят конкуренты, но на практике гораздо полезнее NGFW-режим с L7-разбором трафика. И показатель NGFW у новинок Fortinet отличается уже не на порядок от показателей конкурирующих продуктов. Кроме того, для оценки производительности разными вендорами могут использоваться отличающиеся профили нагрузки. 

Стартап Firewalla анонсировал новую модель маршрутизатора Gold на базе процессора Intel и операционной системы Ubuntu Linux.

Новинка существенно крупнее предыдущих моделей Blue и Red, но всё равно достаточно компактна. К сожалению, модель используемого в ней процессора пока не оглашена — известно лишь, что это 64-битный четырёхъядерный Intel с низким показатлем TDP. 

Оперативной памяти в системе 4 Гбайт. Такой объём отнюдь не лишний, поскольку кроме маршрутизации устройство поддерживает различные возможности по обеспечению сетевой безопасности: блокировка рекламы и опасного контента, защита от кибератак, сегментирование сети, сервер и клиент VPN, DPI на скорости до 3 Гбит/с и так далее. 

Для ОС и данных предусмотрен встроенный модуль eMMC ёмкостью 32 Гбайт. Имеется четыре порта 1GbE, причём один из них используется как WAN-порт. Опционально может быть установлен модуль Wi-Fi 6. Настройку и мониторинг Firewalla Gold можно осуществлять с любого устройства, работающего под управлением iOS или Android.

Краудфандинговая кампания уже собрала более 200 тысяч евро, поддержавшие выпуск новой модели смогут получить устройство за $359, для остальных цена составит $499. Массовые поставки Firewalla Gold начнутся в июле 2020 года.