CL с отслеживанием состояния — это сетевой брандмауэр, который индивидуально отслеживает сеансы сетевых подключений, проходящих через него. Проверка пакетов с отслеживанием состояния, также называемая динамической фильтрацией пакетов, — это функция безопасности, используемая для запуска политик безопасности с высокой степенью детализации. Программное обеспечение CL делает это по умолчанию и может быть настроено для блокировки трафика на основе соответствия политике. В качестве альтернативы можно просто проверять, а не блокировать трафик, добавляя правила пропуска для всего трафик.

Фильтрация GeoIP может блокировать веб-трафик из ряда стран, что является одним из механизмов предотвращения атак хакеров на ваш бизнес и домашнюю сеть. Сетевые подключения блокируются на основе географического местоположения (информация, собранная с IP-адресов), которую затем можно использовать для фильтрации и предотвращения исходящих и входящих подключений к вашей компании и из нее.

Защита от спуфинга обнаруживает пакеты с ложными адресами, что повышает безопасность.

Портал авторизации — это веб-страница, доступ к которой осуществляется с помощью веб-браузера, которая отображается для новых подключенных пользователей Wi-Fi или проводной сети до того, как им будет предоставлен более широкий доступ к сетевым ресурсам.

Правила на основе времени позволяют активировать правила CL в указанные дни и/или временные диапазоны. Правила, основанные на времени, функционируют так же, как и любые другие правила, за исключением того, что они фактически не присутствуют в наборе правил вне запланированного времени.

Политика ограничения подключений брандмауэра разрешает или запрещает трафик на основе совпадающих данных: адрес источника, адрес назначения и служба; и количество подключений, позволяющее обнаруживать аномальные запросы на подключение.

Преобразование сетевых адресов (NAT) — это метод сопоставления пространства IP-адресов с другим путем изменения информации о сетевом адресе в заголовке IP-пакетов, когда они проходят через устройство маршрутизации трафика.

Маршрутизация на основе политик перенаправляет и направляет пакеты данных на основе заданных политик или фильтров с использованием таких параметров, как IP-адрес источника и получателя, порт источника или получателя, тип трафика, протоколы, список доступа, размер пакета и т. д., чтобы затем направить пакеты на пользователя. определенные маршруты.

Адресное пространство IPv4 быстро исчерпывается. Адреса IPv6 — это будущее, но они должны будут мирно сосуществовать в ближайшие годы. Поэтому сопоставление NAT для входящего и исходящего трафика должно поддерживать параллельные IPv4 и IPv6, что упрощает настройку статических маршрутов на маршрутизаторе.

Статическая маршрутизация происходит, когда маршрутизатор использует запись маршрутизации, настроенную вручную, а не информацию из трафика динамической маршрутизации.

Трансляция сетевых префиксов IPv6 в IPv6 (NPTv6 или NAT66) — это спецификация IPv6 для достижения независимости от адресов на границе сети, аналогичная трансляции сетевых адресов (NAT) в Интернет-протоколе версии 4.

Несколько IP-адресов на сетевой интерфейс позволяют отображать множество имен хостов (без псевдонимов), каждое из которых соответствует одному IP-адресу, также в пределах одного сервера, даже если этот сервер может иметь только один физический сетевой интерфейс.

Протокол «точка-точка» через Ethernet (PPPoE) предназначен для управления передачей данных по сетям Ethernet, позволяя разделить подключение к одному серверу между несколькими клиентами с использованием Ethernet.

Системы обнаружения вторжений (IDS) анализируют сетевой трафик на наличие сигнатур, соответствующих известным кибератакам. Системы предотвращения вторжений (IPS) также анализируют пакеты, но также могут остановить доставку пакета, помогая остановить атаку.

Snort — это анализатор пакетов, который отслеживает сетевой трафик в режиме реального времени, тщательно изучая каждый пакет, чтобы обнаружить опасную полезную нагрузку или подозрительные аномалии.

Уровень 7, прикладной уровень модели OSI (Open System Interconnection), поддерживает процессы приложений и конечных пользователей, такие как HTTP и SMTP. Атаки на этом уровне представляют угрозу безопасности, поскольку вредоносный код может маскироваться под действительные клиентские запросы и обычные данные приложений.

В зависимости от выбора производительности, устойчивости к угрозам безопасности и реальных используемых бизнес-приложений существует множество способов настройки IDS/IPS. Программное обеспечение CL поддерживает использование нескольких источников правил как для Snort, так и для Suricata. Кроме того, каждый из этих пакетов также имеет несколько категорий для правил, включая плавающие правила, правила групп интерфейса и правила интерфейса.

Решение IDS/IPS можно настроить так, чтобы оно просто регистрировало обнаруженные сетевые события или одновременно регистрировало и блокировало их. Это выполняется с помощью сигнатур обнаружения, называемых правилами. Правила могут быть созданы пользователем, или любой из нескольких предварительно упакованных наборов правил может быть включен и загружен. Предварительно упакованные наборы правил обеспечивают дополнительное обнаружение/защиту от новых угроз в сети.

Черный список IP-адресов отфильтровывает незаконные или вредоносные IP-адреса от доступа к вашим сетям.

Программное обеспечение CL оснащено рядом автоматически добавляемых правил. Примеры включают защиту от блокировки, защиту от спуфинга, блокировку частных сетей, блокировку сетей Bogon, использование протокола IPsec и доступ к порту, правило запрета по умолчанию и т. д.

Программное обеспечение CL позволяет независимо настраивать каждый интерфейс LAN или WAN с помощью правил брандмауэра и других функций для каждого интерфейса.

Каждый администратор безопасности IDS/IPS должен, в конечном счете, определить свой допустимый объем предупреждений, поскольку только вы знаете, какой тип трафика является нормальным в вашей сети. Программное обеспечение CL позволяет вам выбирать определенный набор правил и политики предупреждений для каждого интерфейса, а также предлагает подробные рекомендации о том, как устранить шумные ложные срабатывания.

Глубокая проверка пакетов (DPI) позволяет аналитикам безопасности собирать и оценивать полный заголовок пакета и информацию о полезной нагрузке для выявления соответствия протоколу, спама, вирусов, вторжений и другого аномального или злонамеренного трафика. Пакеты Snort, Suricata и NTOPNG поддерживают возможности DPI.

Программное обеспечение CL использует Snort и OpenAppID для обнаружения, мониторинга и управления использованием приложений в вашей сети.

IPsec — это группа протоколов, используемых вместе для установки зашифрованных соединений между устройствами. Это помогает обеспечить безопасность данных, передаваемых по общедоступным сетям. IPsec часто используется для настройки VPN, где он одновременно шифрует IP-пакеты и аутентифицирует источник, из которого были отправлены пакеты.

OpenVPN — это VPN-решение, реализующее безопасные соединения «точка-точка» или «сеть-сеть» в маршрутизируемых или мостовых конфигурациях и средствах удаленного доступа.

WireGuard — это программное решение VPN с открытым исходным кодом, разработанное с целью обеспечения простоты использования, высокой скорости работы и низкой поверхности атаки.

Виртуальные частные сети Site-to-Site позволяют трафику нескольких пользователей проходить через каждый VPN-туннель. VPN с удаленным доступом позволяют трафику только одного пользователя проходить через каждый VPN-туннель. Программное обеспечение CL поддерживает возможности как site-to-site, так и удаленного доступа через IPsec или OpenVPN.

Secure Sockets Layer (SSL) — это основанный на шифровании протокол интернет-безопасности, используемый для обеспечения конфиденциальности, аутентификации и целостности данных при интернет-коммуникациях. OpenVPN — это VPN на основе SSL.

OpenVPN поддерживает клиентов в широком диапазоне операционных систем, включая все BSD, Linux, Android, Mac OS X, iOS, Solaris, Windows 2000 и новее, и даже некоторые телефоны VoIP.

Программное обеспечение pfSense Plus поддерживает VPN с удаленным доступом для различных устройств Android и iOS. Другие клиенты также могут работать.

OpenVPN может соединять туннель между сайтами либо с адресом IPv4, либо с адресом IPv6, и трафик IPv4 и IPv6 может проходить внутри туннеля OpenVPN одновременно. IPv6 поддерживается как в клиентах типа «сеть-сеть», так и в мобильных клиентах, и его можно использовать для доставки IPv6 на сайт, который имеет подключение только к IPv4.

IPsec может подключаться к туннелю через одноранговые адреса фазы 1 IPv4 или IPv6, но с некоторыми ограничениями трафика.

Раздельное туннелирование позволяет пользователю получать доступ к разным доменам безопасности, например, к общедоступной сети и локальной или глобальной сети в одно и то же время, используя одни и те же или разные сетевые подключения.

Программное обеспечение CL поддерживает возможность установки нескольких туннелей VPN через один физический интерфейс, что полезно, например, при безопасном соединении нескольких офисов друг с другом.

Программное обеспечение CL поддерживает отказоустойчивость туннеля OpenVPN и IPsec.

Программное обеспечение CL поддерживает отказоустойчивость туннеля OpenVPN и IPsec.

Туннели OpenVPN и IPsec можно настроить с использованием автоматически сгенерированных или специально разработанных маршрутов.

Программное обеспечение CL позволяет управлять аутентификацией пользователей либо с помощью локальной аутентификации пользователя, либо с помощью RADIUS/LDAP в качестве источника аутентификации для VPN.

Программное обеспечение CL обеспечивает функции веб-прокси (HTTP и HTTPS) через пакеты Squid (для кэширования веб-страниц и связанных задач), SquidGuard (для фильтрации и контроля доступа к веб-контенту) и Lightsquid (для создания отчетов об активности пользователей на основе журналов доступа Squid).

Программное обеспечение pfSense Plus поддерживает как непрозрачные, так и прозрачные кэширующие прокси через Squid.

Программное обеспечение CL использует список MESD и список Shalla для управления доступом к предопределенным спискам сайтов в определенных категориях, таких как социальные сети, сайты для взрослых, музыкальные и спортивные сайты. Также могут быть добавлены дополнительные домены и/или определенные URL-адреса, предназначенные для блокировки, например, facebook.com, google.com, microsoft.com и т. д.

Программное обеспечение СL можно настроить для работы в качестве антивирусного прокси-сервера с помощью пакета HAVP. Антивирусные прокси действуют как традиционные веб-прокси, за исключением того, что они сканируют весь контент, проходящий через прокси, на наличие сигнатур вирусов или вредоносных программ. Если прокси идентифицирует содержимое как вредоносное, загрузка будет заблокирована, а клиентский компьютер будет перенаправлен на страницу с ошибкой.

Программное обеспечение CL использует пакет SquidGuard для защиты клиентов от нежелательных результатов поиска. Его поддерживают Google, Яндекс, Yahoo, MSN, Live Search.

Программное обеспечение CL использует пакет SquidGuard в качестве веб-фильтра для блокировки доступа к нежелательному или нелегальному (в некоторых странах веб-фильтр для школ даже требуется по закону) контенту из Интернета.

Программное обеспечение CL использует LightSquid, анализатор журналов Squid, для анализа журналов доступа к прокси-серверу и создания веб-отчетов с подробным описанием URL-адресов, к которым обращался каждый пользователь в сети.

Программное обеспечение CL имеет несколько вариантов блокировки веб-сайтов, включая DNS, правила брандмауэра, пользователя прокси-сервера и блокировку категорий.

Программное обеспечение CL использует LightSquid для мониторинга использования Интернета в вашей сети. Анализируя журналы доступа к прокси-серверу, можно создавать веб-отчеты с подробными URL-адресами, доступными по дате и времени каждым пользователем в сети, использованием полосы пропускания и отчетами о популярных сайтах, о чем пользователи сети не знают.