Comments 21
Не ожидал увидеть настолько некомпетентную статью от вроде достаточно крупной компании:
а) автор статьи совсем не разбирается в сертификации ФСТЭК и тем более не в курсе, кто первым смог сертифицироваться из Российских вендоров, да и вцелом абзац про сертификацию предвзят
б) можно узнать у автора, если он конечно не ИИ, что за продукт iCore NGFW (от «АйДек») о котором не знает ни один поисковик в сети? Если настолько некомпетентно было изкажено название компании и продукта Ideco, то это воистину статья позорящая сам Oxygen Cloud Platform, их отдел маркетинга и ответственного за статью технического специалиста
... хотел написать объемную портянку из ряда пунктов, но решил остановиться и оставить только один еще в) учитывая низкую техническую компетентность статьи, оторванную от реальности, крайне не рекомендую пользоваться услугами Oxygen Cloud Platform - ибо предположу, что уровень их как интегратора примерно такой как уровень написанной ими статьи.
Сразу бросилось в глаза VipNet вместо ViPNet - кто действительно в курсе данной темы, тот знает почему и где заглавные :)
Спасибо вам за развернутый комментарий и отдельное спасибо, что заметили и обратили наше внимание на ошибку с Ideco! Исправили. С другой стороны, вы вот написали "вцелом" и "изкажено", но от этого ваш комментарий не стал менее ценным для читателей и для нас, да и ваши компетенции от этого не пострадали. Так признаем же право друг друга на ошибки? :)
По поводу ФСТЭКа - подскажите, кто первый смог пройти процедуру сертификации по новым требованиям ФСТЭК, предъявляемым к многофункциональным межсетевым экранам уровня сети?
И про наши компетенции - вызов принят!
Мы пару раз в год проводим в нашем дата-центре различные митапы, в том числе посвященные ИБ. Приглашаем вас на первое же мероприятие в 2026, в числе первых гостей. Там вы и с нашими компетенциями познакомитесь — мы кулуарно разбираем кейсы, без "воды", и в дискуссиях с другими участниками пообщаетесь, и по ЦОДу погуляете с экскурсией, оцените наш подход к делу, и даже выступите со своим кейсом, если есть что сказать. Или нас со сцены поругаете, мы конструктивной критике со стороны профессионалов всегда рады.
Пишите в личку, состыкуемся, серьезно.
И так начнем: 1) usergate не умеет делать несколько шлюзов по умолчанию для нескольких VRF хотя они заявляют что это "виртуальные маршрутизаторы с изоляцией на уровне сети" 2) не умеет работать со службой dns, ntp кроме как для маршрутизатора по умолчанию. 3) политики ids применяются только на уровне файрволла, а встроенный reverse proxy пропускает все и вся. 4) журналирование для встроенных служб не работает. Ну как не работает разрешенные пакеты регистрирует,отброшенные нет.единстаення фишка это веб портал. Огромная надежда на нового игрока - ngfw от Касперского который умерет пыл и жадность текущих игроков рынка!
Ох щас вам за отсутствие VPN в PT NGFW прилетит)
А кто может про NGFW ИКС сказать? Используем их программу ИКС в качестве межсетевого экрана давно, теперь они свои решения ПАК предлагают. Для бюджетных организаций вроде бы цена не заоблачная...
Топ-лига: UserGate, PT NGFW, Kaspersky NGFW и, возможно, Solar NGFW.
Топовых решений в инфраструктуру этому господину
У нас на работе стоит это добро! Если вы не умеете его настраивать, то лучше не ставить, это палки в колёса
Я лишь тезисно опишу с чем мы столкнулись при запуске и эксплуатации ПАК D500 и, естественно, не решили
Космические цены на решения из двух ПАК D500 в кластере с необходимыми лицензиями, в то время как ПАКи, мягко говоря, не блещут производительностью. В них стоят магнитные накопители, не особо производительные процессоры. Мы отвалили что-то вроде 4млн за эти два заурядных писишника. Например, не настроенная железка с завода в простое может занимать 60-80% CPU.
Обновление ПАК может длиться часами, а иногда и вовсе не завершиться успешно. Реанимационная бригада должна дежурить прям в серверной, которой самой в пору вызывать реанимационную бригаду в период ожидания. Обновление между версиями иногда требует настройки с нуля, конфигурации не всегда совместимы.
"Кластер" UG это по факту не кластер, это VRRP ("кластер" отказоустойчивости в терминологии вендора) + синхронизатор не всей конфигурации, а только ее части. Часть настроек вроде IP-адресации - не синхронизируются. Отсюда вытекает главная беда - вы не сможете полноценно использовать VRRP-адрес как адрес кластера, т.к. зачастую нода будет "долбить" со своего собственного адреса, а не с адреса VRRP. Плюс собственный трафик устройства, зачастую, ходит каким-то непредсказуемым образом, его не видно в логах и многие вещи вообще не поддаются конфигурации и воздействию.
VPN стал самой большой болью в нашем сетапе. Было поднято ikev1 потому, что внезапно ikev2 на ластовых прошивках и не поддерживал psk. Заработал он не сразу, без бубна не обошлось. Когда заработал начали накидывать префиксы. Оказывается, он поддерживает только одну пару защищаемых префиксов и барабанная дробь (!) - вы не пропишите 0.0.0.0/0, т.к. это тоже не поддерживается. Ответ поддержки: -"А зачем вам?". Есть признанный нерешаемым вендором тикет.
Софт, который именитый вендор не назовет даже альфой - тут идет в прод как "стабильный". Многие лютые, общеизвестные баги не решаются даже с выходом новых прошивок, например с недавним не отображением логов. Зато подъезжает вагон новых. Это сюр, каждую новую прошивку в чате бедолаги-админы вынюхивали друг у друга, отображаются ли теперь логи или ещё нет.
Сумасшедшее время тратится на внедрение и поддержку. У нас запуск с учетом пары вылетов на локацию занял около 4 месяцев. В итоге от греха никакие опции ngfw мы даже не включили, т.к. он не справляется даже с базовыми функциями вроде VPN. В таком режиме его заменил бы микротик тысяч за 50. Ну ок, можно было бы поставить 2 штуки в VRRP за 100к. Там бы и VPN заработал как часы даже под высокой нагрузкой. Был бы предсказуемый packet flow и stateful firewall.
Проблемы с NAT. Часть трафика пролезает сквозь правило, не подпадая по NAT, хотя через правило должен проходить весь трафик. Есть признанный нерешаемым вендором тикет.
Часть собственного трафика железки не подлежит переопределению. Например, порт управления консолью администратора. Там есть прям целый диапазон портов, с которыми вы ничего не сможете сделать. И логично предположить, что на форвардинге такого не будет? Будет! Вы не сможете сделать форвардинг на какой-то внутренний сервак пока не займете UG внешний адрес в directly connected сегменте. Иначе правило форвардинга просто не заработает. То есть ПО UG до ластовой версии не в силах включать proxy-arp для определенных адресов из правил файервола.
Тикеты в поддержку, в которых они признаются, что не могут не чем помочь и проблема не решаема - через некоторое время автоматически помечаются в системе как решенные. Наверное, именно поэтому такой подход к новому софту. Нуаче, если в трекере все решено, то зачем париться над ПО?
И много чего ещё. В итоге уже обосновали замену на fortigate.
Добавлю отсебятины.
Глючный софт, каждый релиз велика вероятность то что работало без проблем, сломается. Чинить это будут до следующего релиза это ± пару месяцев. И не факт что починят. Как ты будешь решать проблему, в целом UG не волнует.
Уже не раз просили в известном телеграм чате UG чтобы они сосредоточились не на новых фичах (привет 7.4), а на чистке багов. Но нет, вендор до сих пор не слышит.
Стабильность работы, это отдельная наверно тема. Коробка может сама по себе утилизировать CPU на 100%, съесть всю память и swap и ребутнуться. ТП в ответ разведет руками с обещаниями починить в следующем релизе. Какой нить mikrotik с его бета версий работает гораздо стабильнее.
Поддержка порой чудит, может по нескольку раз пытаться закрыть не решенный тикет. SLA на простых проблемах еще работает, что сложное это уже мимо.
Сотрудники UG все время обещают что вот вот в следующем релизе все проблемы решим, но по факту получается далеко не так.
До сих пор на 7 версии софта нет реально стабильной версии, любая версия не дает расслабиться
Платформа на которой собираются UG, это старое Г 2015-16 года которое можно купить за пачку сухарей, но они продают за бешенные деньги.
Обновление коробок, тоже игра в рулетку. Обновление 3х одинаковых коробок может занимать разное время. ТП может легко предложить сбросить в ноль и заново настроить железку.
По итогу 10 месячного внедрения и порядка 40 заведенных тикетов, решено возвращать оборудование и смотреть не российского вендора.
Может быть через пару лет если в UG что то поменяется, то это будет интересный продукт. Но к тому времени подтянутся другие игроки российского рынка и будут ли они конкурентные это вопрос.
Чекпоинт сложен лишь на первый взгляд. Уж извините но до него как до луны. Единственный повод с него уходить - требования регуляторов. Чем крупнее инфраструктура - тем больше понимаешь насколько он удобен. Политика единая для нескольких кластеров например(пограничный+ядро), шикарная отказоустойчивость ClusterXL, справляется с логированием практически всего трафика.. Site2site работает настолько стабильно, что порой забываешь про них.
Юзергейт смотрели в 22 году - было очень сыро.
Ideco NGFW - довольно динамично развивается, но глюков хватает.
Eltex ESR FSTEC с натяжкой можно отнести к NGFW, настройку через CLI оценят старперы)
Usergate один из самых больших глюков современного ПО. Последняя версия которая была стабильна это 6. За последние два года я не получил от UG ни одной нормальной сборки!
Десятки тикетов, последние 3 месяца компания не смогла предоставить ничего рабочего (не смотря на общение с ведущими менеджерами). Как нибудь выкрою время и напишу большую статью где я, хочу видеть данное ПО и списки всех тикетов, ответов и прочее, прочее. При попытке вернуть все это ( с-100, с-150, два D-200 что должны были работать в кластер и обеспечивать стабильность)... Тишина , в то же время, что они не могут предоставить мне стабильную версию с момента выхода 7 версии. UserGate это Зря выкинутые деньги. Да, пользуюсь UG более 5 лет, посление два года безуспешно.
Это скорее UG не конкурент Ideco, а не наоборот. :)
Плюсы, минусы и конкуренты NGFW UserGate в 2025 году