Комментарии 12
Интересно, в связи с гонениями на ЛК, останется он у кого-нибудь из западных вендоров?
Кстати, насколько я помню, в ZyXEL ZyWALL тоже он использовался.
Кстати, насколько я помню, в ZyXEL ZyWALL тоже он использовался.
У других российских межсетевых экранов компаний Код Безопасности (Континент), Амикон (ФПСУ-IP), Инфотекс (ViPNet), Factor-TS (Дионис) в поставке антивируса нет совсем.
На этом другие закончились? Сходу вспомнил Ideco и a-real у которых есть антивирусы.
О чем вообще эта страница? Мне кажется, что этот текст нечаянно промахнулся мимо /dev/null. Хотя лучшее место для него — это кусок туалетной бумаги, спущенной в унитаз.
P.S. Чуть копнул. Хватит пытаться свой Palo Alto Networks рекламировать)))
1. По Ideco принимается — добавил.
2. В документации a-real (ИКС) download.a-real.ru/documentation.pdf видно, что продукт хорошо сделан и была попытка сделать правила межсетевого экрана, но нет важного параметра — порядка в правилах, поэтому не могу назвать этот продукт межсетевым экраном: прокси — да, антиспам -да. Если знаете разработчиков, то расскажите им, что приоритет — это не то что нужно.
3. По остальному — ваш негатив заберите обратно.
2. В документации a-real (ИКС) download.a-real.ru/documentation.pdf видно, что продукт хорошо сделан и была попытка сделать правила межсетевого экрана, но нет важного параметра — порядка в правилах, поэтому не могу назвать этот продукт межсетевым экраном: прокси — да, антиспам -да. Если знаете разработчиков, то расскажите им, что приоритет — это не то что нужно.
3. По остальному — ваш негатив заберите обратно.
у фактора и инфотекса есть возможность использовать антивирусное ПО. у инфотекса в рамках их устройства hw можно использовать касперский для проксисерверов.
Перед тем как написать заметку я прочитал документацию каждого вендора. Если вы пришлете ссылку на описание, где описаны их движки антивирусов, то я добавлю в таблицу. Для примера, в документации Factor-TS слово «антивирус» не встречается ни разу: factor-ts.ru/man/nx-124-handbook.pdf
Идея для статьи хорошая, но вы не довели ее до конца. В чем ценность материала? Свой движок для ngfw это хорошо или плохо? Какие показатели у движков на том же virustotal? Какой вывод надо сделать из приведенной таблички?
Евгений, добрый день! Мне это нужно для участия в тендерах: понятно под какого вендора написано конкретное ТЗ. У каждого инженера много подобных сравнительных табличек.
По существу вопроса: думаю еще добавить сетевые протоколы: у какого вендора какой протокол анализируется. У большинства это только HTTP и SMTP. А вот HTTPS, POP3, IMAP, SMB, FTP — уже не все могут видеть или расшифровать на лету, взять оттуда файлы и проверить сигнатуры и заблокировать. Важен ведь не просто движок, а весь комплекс. Хороший пример: зашифрованные туннели. Все кто не расшифровывает HTTPS — не видят большинства вредоносов из файлообменников и вебпочты. А HTTPS расшифровывает мало компаний, хотя его процент в трафике стремится к 75%… им остается только надеяться на хостовую защиту.
Вы как сотрудник интегратора наверняка в курсе, что многие производители химичат с настройками для снижения нагрузки на процессор и увеличения скорости работы межсетевого экрана: проверяют не все типы файлов, проверяют только некоторое начало файла, проверяют не всеми сигнатурами (например, команда set default-db extended у Fortinet), проверяют не всеми методиками (например, настройки Inspect и Deep Scan у Check Point), снижают производительность при интеграции с песочницей (50% падение у Cisco FirePower при включении AMP). Это тоже важные исследования, которое приходится делать в пилотах, но не все их могу сделать публичными: конкуренты обижаются и минусуют мои статьи на хабре ;-) Хотя, в общем-то, все что я описываю находится в публичной документации и форумах. Моя задача: систематизировать.
По существу вопроса: думаю еще добавить сетевые протоколы: у какого вендора какой протокол анализируется. У большинства это только HTTP и SMTP. А вот HTTPS, POP3, IMAP, SMB, FTP — уже не все могут видеть или расшифровать на лету, взять оттуда файлы и проверить сигнатуры и заблокировать. Важен ведь не просто движок, а весь комплекс. Хороший пример: зашифрованные туннели. Все кто не расшифровывает HTTPS — не видят большинства вредоносов из файлообменников и вебпочты. А HTTPS расшифровывает мало компаний, хотя его процент в трафике стремится к 75%… им остается только надеяться на хостовую защиту.
Вы как сотрудник интегратора наверняка в курсе, что многие производители химичат с настройками для снижения нагрузки на процессор и увеличения скорости работы межсетевого экрана: проверяют не все типы файлов, проверяют только некоторое начало файла, проверяют не всеми сигнатурами (например, команда set default-db extended у Fortinet), проверяют не всеми методиками (например, настройки Inspect и Deep Scan у Check Point), снижают производительность при интеграции с песочницей (50% падение у Cisco FirePower при включении AMP). Это тоже важные исследования, которое приходится делать в пилотах, но не все их могу сделать публичными: конкуренты обижаются и минусуют мои статьи на хабре ;-) Хотя, в общем-то, все что я описываю находится в публичной документации и форумах. Моя задача: систематизировать.
Минусуют когда публикуют однобокие "исследования". Продолжая вашу тему, сделали бы тест антивирусов на конкретном примере. Сгенерили вирус метасплойтом и таскайте через разные шлюзы по разным пртоколам. Вот это уже будет действительно ценно. Мне было бы интересно.
Раз интересно, то вот здесь мое выступление на PHD, где в реальном времени генерировал экслойты, отправлял их в почту и показывал как их блокирует NGFW и TRAPS.
Тестирование с разными вендорами — все таки прерогатива интегратора. Вдобавок, как понятно из моей таблицы, тестирование выливается в тестирование не того вендора, которого хотелось. Так в случае с Check Point — в тестирование антивируса Касперского, в случае с Cisco — в тестирование Clamav. ;-)
+
+
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Какие антивирусы используются в современных межсетевых экранах