Comments 37
Главная идея NGFW — глубокий анализ пакетов (DPI) c помощью встроенного IPS и разграничение доступа на уровне приложений (Application Control).
Как-то всё в одну кучу. DPI может иметь и обычный файрвол (не обязательно NGFW, та же инспекция на ASA, на маршрутизаторах). IPS — тоже не обязательный атрибут NGFW. Также, DPI не всегда равно IPS.
Я для себя всегда считал, что NGFW — это когда к обычному FireWall добавлена фильтрация по категориям сайтов, репутациям сайтов и по приложениям (AVC). Также NGFW — наличие интеграции с корпоративным каталогом пользователей, чтобы можно было создавать правила по именам и группам.
По замечанию. Я старался коротко описать данный вопрос, дабы не растягивать статью. Возможно поэтому получился сумбур. В целом нет однозначного определения NGFW. Каждый вендор трактует его по своему, в зависимости от имеющихся технологий. Например Fortinet определяет приложения исключительно с помощью IPS. У Cisco DPI никак не связан с IPS. У CheckPoint тоже свои технологии. Главная задача — определять приложения, а сделать это можно только разобрав пакет до 7-го уровня. Делать это с помощью DPI, IPS или еще каким-то образом — зависит от технологий вендора.
Насколько я знаю, Fortinet сейчас активно с Check Point конкурирует: уровень цен значительно ниже, качество нормальное, инсталляционная база уже довольно большая сформировалась.
Что касается конкуренции Check Point и Fortinet, то мне кажется, что это совсем разные сегменты рынка, но опять же, это мое субъективное мнение. Не готов в комментариях разводить холивар, если что, пишите в личку)
Next-Generation Firewall Gartner RAS Core Research Note G00171540, John Pescatore, Greg Young, 12 October 2009, R3210 04102010) то на его определение и нужно, наверное, ориентироваться
http://www.gartner.com/it-glossary/next-generation-firewalls-ngfws/
А потом уже в эту лодку попытались все заскочить =)
А интеграция с каталогом в _нормальных_ фаерволах была всю жизнь, а не с 2009 года =)
Не совсем понимаю вашу задачу. Зачем редактировать без самого устройства в файлах? Это можно сделать на менеджмент сервере, а потом просто установить политику, когда устройство будет включено. Нужен только первоначальный коннект (SIC).
1. Один GUI. Консоль возможна только при сильном желании и упорстве. Как минимум искать команды тяжелее чем комиксы «прокликай по этим кнопочкам»
2. Разные вещи настраиваются в разных местах. Нужна маршрутизация — дуй в веб. Нужны правила для трафика — велкам в консоль.
3. Схема применения — это отдельная песня. Сохрани тут, потом тут примени, потом залей все это на устройство.
4. За 3 года 3 раза повисла намертво железка. Причем 48 серия. У меня даже циска 88 серии себе такого не позволяла.
5. Логи мне 2 года не может подчинить офф поддержка. 4 раза «чинили», через неделю опять не работает. Просто забили.
P.S. Циска со своим фаеррауером еще хуже. Но там хотя бы есть отмазка из-за недавнего слияния :)
3. Схема применения — это отдельная песня. Сохрани тут, потом тут примени, потом залей все это на устройство.
Вот-вот. Как оказалось, у нашей еще диск битый был (на складе оборудование и не так швыряют...)
Пробовал воскресить, но так там все наворочено оказалось, что хотел убрать ее уже на склад, но решил поставить cf card и залил на нее pfsense. Так вот теперь уже лет 7 работает и не виснет )))
Маршрутизацию можно настраивать через CLISH — всё подробно описано в документации (доки у CheckPoint, кстати, неплохие, хоть до уровня Cisco и не дотягивают). Рекомендую скачать пэкэдж на саппортцентре для актуальной версии.
В эксплуатации, очень не хватает применения настроек «на лету». Даже в кластерной конфигурации такого нет, и из-за одного юзера (в определенных случаях) может страдать вся филиальная сеть, в момент install policy.
Вообще, все хозяйство у нас интеграторы развернули на Windows, стоит ли уйти на Gaia в будущем?
Но это если интересны аплаенсы от вендора. Сам же софт (и SMS, и GW) можно ставить на практически любые сервера или использовать виртуальные машины.
Но в целом, Gaia — это коммерческий продукт на Red Hat Enterprise Linux, и, если очень хочется попробовать Check Point на «голом железе», можно смотреть HCL для Red Hat.
Попробую пояснить почему…
Чекпоинт стоит как военный истребитель.
Покупают его, соответственно, те, у кого перебои сервисов, которые он защищает, стоят еще дороже.
А значит — важна отказоустойчивость решения, наличие поддержки…
Поддержка реально важна — чекпоинт сложный, высокотехнологичный продукт, без глюков не обходится. С поддержкой их, в общем-то, исправляют =))) Без этого совсем грустно.
Второй фактор…
В даташите на аппаратные решения указана пропускная способность.
Раньше была одна цифра, потом…, теперь указывают 4.
https://www.checkpoint.com/downloads/product-related/comparison-chart/appliance-comparison-chart.pdf
на самом деле производительность зависит как от вида трафика, поданого на фаервол, так и от набора правил и количества задействованных функций( блейлдов).
Для вендорского железа есть какая-то статистика, есть база инсталляций. Покупаешь ты железку 61хх — тебе скажут, какой у нее в соседних внедрениях уровень загрузки, профиль трафика, можно довольно осознанно делать сайзинг. На левом железе всего этого нет.
Для поиграться — да, можно на виртуальной машине. Поучится правила писать, конфигурации потестировать.
Вобщем это совсем не опенсорс, другие правила.
Заголовок статьи:
Check Point. Что это, с чем его едят или коротко о главном
И нигде, ни одного определения, что собственно, такое Check Point. Ни одного предложения, начинающегося со слов: "Check Point - это...".
Начиная разговор о Check Point первое с чего стоить начать, так это с объяснения, что такое UTM, NGFW и чем они отличаются.
Может всё-таки, стоило начать разговор о том, что такое Check Point с того, что такое Check Point?
Check Point - это название и торговая марка израильско-американской фирмы, которая изобрела межсетевые экраны и до сих пор делает лучшие в мире межсетевые экраны. Ну примерно как тимкен и подшипники и континенталь и шины. Если это для вас тоже новая информация - не благодарите.
Впрочем, для середины 2023 года комментарий ваш конечно особенно умилителен )
НЕ пора бы обновление (дополнение развернутое) написать бы ? особенно про лицензирование и оборудование в период санкций.
Да и захватить не только новые железки , но и старые ...
типа L-50 и T-110 (120_140 и т.д.) Особенно еще осветить и связь между обозначениями CPAP-SG **** с аппаратными моделями (с лейбла) которые мягко говоря неизвестно откуда берутся и с чем связаны
Check Point. Что это, с чем его едят или коротко о главном