Обычный межсетевой экран блокирует лишь IP-адреса. Современный ландшафт угроз требует применения межсетевых экранов нового поколения (NGFW) с единым управлением угрозами (UTM). Мы интегрируем решения Fortinet и Palo Alto, обеспечивающие глубокую инспекцию пакетов: весь веб-трафик активно расшифровывается и проверяется на наличие сигнатур угроз нулевого дня — всё это на аппаратных скоростях.
Развёртывание NGFW и SSL-инспекция
Мы разворачиваем межсетевые экраны Fortinet FortiGate или Palo Alto PA-Series, подобранные под объём вашего трафика. Настраивается SSL/TLS-инспекция: HTTPS-трафик расшифровывается и проверяется на наличие вредоносных сигнатур — это критически важно, поскольку более 80% современных вредоносных программ использует зашифрованные каналы для обхода устаревших межсетевых экранов. Мы ведём список исключений SSL-инспекции для банковских и государственных порталов, корректная работа которых нарушается при инспекции.
Профили идентификации приложений (App-ID в Palo Alto, Application Control в FortiGate) позволяют блокировать конкретные приложения — например, BitTorrent или развлекательные социальные сети — на уровне Layer 7, не опираясь на правила по портам, которые тривиально обходятся через туннелирование.
- SSL/TLS-инспекция с управляемыми списками исключений
- Контроль приложений на уровне Layer 7 и фильтрация URL-категорий
- IPS-сигнатуры с обновлением в реальном времени от FortiGuard или Palo Alto Threat Intelligence
- Геоблокировка входящих подключений из высокорисковых регионов
- Интеграция SD-WAN для переключения между несколькими провайдерами (Etisalat и Du)
Сегментация сети и проектирование VLAN
Плоская сеть, в которой принтеры, серверы и рабочие станции пользователей находятся в одном широковещательном домене — идеальная среда для распространения программ-вымогателей. На наших глазах подобные атаки охватывали 200 машин менее чем за 4 минуты. Мы перепроектируем вашу LAN с применением VLAN и межсегментных политик межсетевого экрана, изолируя финансовый, операционный, гостевой Wi-Fi и IoT-сегменты с обязательной east-west-инспекцией.
Для финансовых структур в DIFC и ADGM такая сегментация — не просто хорошая практика, а прямое требование регуляторных фреймворков DFSA и FSRA в области технологического управления.
Аудит и ужесточение политик межсетевого экрана
За годы бессистемных изменений в legacy-межсетевых экранах накапливаются сотни устаревших правил. Мы проводим аудит с помощью FortiAnalyzer или Palo Alto Panorama: выявляем неиспользуемые правила, избыточно разрешительные записи типа ANY-ANY и теневые правила, до которых никогда не доходит обработка. Правила очищаются и документируются в базовом наборе политик с контролем изменений, предоставляя вашей compliance-команде прозрачный аудируемый профиль безопасности.