fiexagon Nov 25 2022 at 10:44

Православные NGFW. Сравнение отечественных МСЭ нового поколения

23 min

42K

ГК ICL corporate blogInformation Security*IT Infrastructure*Interfaces*IT-emigration

Comments 14

DinoZavr2 Nov 25 2022 at 11:14

Ну, с подключением на хабр :)

Konvergent Nov 25 2022 at 11:25

Закрывает практически любые потребности – от IPSec с Cisco до гостевого портала.

Интересный диапазон. Это как? Что в него входит?

По функционалу Usergate, наверное, ближе других отечественных вендоров приблизился к решениям мирового уровня.

Это к каким? Хотелось бы примеров.

Так, например, CLI проработан очень плохо

Хорошо бы конкретный проблемный кейс.

ЦУС у этой серии пока довольно сырой, функционала мало, багов много – появился он только в этом году. Поэтому рассчитывать на него я бы пока не стал.

Примеры? Чего нужного нет? Критичные баги?

либо представляют из себя Open Source решения, интегрированные в общую систему (та же IPS, например – обыкновенная Suricata).

Чем это плохо?

Хабр и размашистые таблицы - супер! Предлагаю добавить ссылку на скачивание или облако с таблицами.

Работа по сведению таблиц огромна. Считаю, что таблицы плохо справляются с донечением этого объёма инфы читателю. Возможно у меня дисплей маленький =)

Ещё в обзоре нет продуктов Интернет Контроль Сервер и Traffic Inspector. Как минимум познакомьтесь с ними.

fiexagon Nov 25 2022 at 12:28

Документ имеется ещё вот в таком виде: https://disk.yandex.ru/i/4hwZtNbjN5ctiA По остальным вопросам - постараюсь дать развёрнутый ответ чуть позже. Или, вообще, отдельные статьи распишу. ИСКом и TI ознакомлюсь, спасибо

socketpair Nov 30 2022 at 15:58

по Ideco UTM не везде правильная информация в таблице. IPv6 по факту НЕ поддерживается, а policy based-routing ЕСТЬ. Поажлуйста, свяжитесь со мной для актуализации: telegram @socketpair

silinio Nov 25 2022 at 11:26

Из потенциальных проблем также отмечу невозможность использования заявленного ClamAV после его ухода с рынка. Но это компенсируется потоковым антивирусом от Касперского.

ClamAV работает и обновляется без каких-либо проблем на Ideco UTM.

Базы свежие.

Konvergent Nov 25 2022 at 11:33

Вероятно они своё зеркало обновлений подняли. А сами обновления у "товарищей" в какой-нибудь Латинской Америке одалживают.

Но это детали реализации.

socketpair Nov 30 2022 at 15:58

Всё так.

Mnemonic0 Nov 25 2022 at 12:21

Таблички конечно хорошо, но вы сами себя обманываете. Критерии сравнения выбраны совсем не те, что требуются. Задайтесь для начала вопросом: попадают ли данные решения под определение NGFW, а не просто FW с какими-то сервисами.

https://en.wikipedia.org/wiki/Next-generation_firewall

Есть чёткие критерии, которые должны быть выполнены, чтобы решение считалось NGFW:

application firewall
deep packet inspection (DPI)
an intrusion prevention system (IPS)
TLS/SSL encrypted traffic inspection
website filtering
QoS/bandwidth management
antivirus inspection
and third-party identity management integration (i.e. LDAP, RADIUS, Active Directory)
The goal of next-generation firewalls is to include more layers of the OSI model, improving filtering of network traffic that is dependent on the packet contents.

Умеешь блокировать/защищать на 7-м уровне OSI - велком в NGFW. Не умеешь - поделка на коленках.

И уже эти пункты надо отображать в каком-то виде.

Работа проделана огромная, но бесполезная, поскольку сравнивались критерии, которые "на скорость не влияют".

las68 Jul 4 2024 at 13:07

Есть ещё один небольшой нюанс. Для NGFW как правило используются кастомные ASIC, чего на стандартных x86 не достичь, если требуется производительность

M14xa Nov 25 2022 at 13:44

Забыли Internet Control Server, тоже наш, скрепный. https://xserver.a-real.ru/
Непонятно почему )

olegtsss Nov 25 2022 at 17:51

А почему бы не накатить Suricata на сервер с настроенным Firewall?

werter_l Nov 30 2022 at 13:26

Traffic Inspector Next Generation (TING) - форк opnsense\pfsense неплох

UserGate Dec 2 2022 at 08:46

Друзья, большое спасибо за упоминание решений UserGate в вашем обзоре! Судя по всему, вы сделали его на более раннюю версию NGFW и на примере вашей таблицы мы покажем, какие отличия сегодня актуальны:

· Глубокая инспекция пакетов (Deep Packet Inspection)

Дело в том, что технология DPI в нашем решении является одной из основных, без которых не было бы возможным, например, осуществлять фильтрацию трафика на уровне L7. Суть нашей фильтрации по приложениям как раз в глубокой инспекции пакета, то есть, анализе пейлоада и поиска там характерных паттернов того или иного приложения, а не просто маппинг портов и IP адресов. Поэтому, конечно же DPI в UserGate NGFW есть. Будем признательны, если отметите это в сравнительной таблице :)

· Возможность сбора дампа трафика при срабатывании сигнатуры.

Упомянутую возможность мы добавили в версии 6.1.9

· Мультифакторная аутентификация

Штатными средствами UserGate NGFW можно использовать TOTP как второй фактор, а также есть возможность подключать наших технологических партнеров из открытой экосистемы UserGate, таких как Multifactor или Аладдин.

Еще раз спасибо, друзья! Рады знакомству и всегда открыты для контактов :) Если решите сделать обзор на другие компоненты нашей экосистемы безопасности, сообщите, будем рады помочь с информацией :) На связи! Ваш UserGate.

fromtheforest Dec 3 2024 at 10:57

Спасибо.