Комментарии 6
Спасибо за статью
Вообще часто выходят ошибки с работой UG? Тестировали ли аппаратную часть? Было бы неплохо статью про это, а то на Хабре только поверхностное сравнение отечественных МЭ, а прямо тестов нет
Рад, что статья вам понравилась. Ошибки выявляются довольно часто и обо всех, которые мы нашли, мы сообщаем разработчикам, чтобы их поскорее убрали. Аппаратную часть тоже тестировали, конкретно D200. Там нашлись свои нюансы, может когда-нибудь расскажу. Про будущие тесты, о чем было бы интереснее всего, помимо тестирования железа? Может есть конкретные вещи, которые хотелось бы проверить и конкретные устройства, которые интересуют?
Как раз про нюансы и подводные камни нужно писать, 90% сообщества Хабра знает, как работает МЭ)))
Про устройства, тут уже субъективно, про отечественные разработки, так как моя компания попадает под законы использование исключительно отечественным железом. Но наша компания не одна такая, найдутся ещё читатели. Как раз D200 кластером собираемся купить
Используем данный NGFW, если можно так назвать, 1.5 года. Хуже продукт надо ещё поискать. Ошибки не исправляются годами, одни только обещания. Как IDS\IPS хуже что-то сложно найти. При этом цена заоблачная.
По сути, работает только МЭ с минимальными функциями, остальное не работоспособно. МЭ уровня iptables.
Постоянно задержки установки соединений, хаотичные баги. Поддержка любит "патчить" руками конкретный экземпляр, да так, что после установки обновлений через штатный механизм МЭ перестаёт работать и так по кругу.
Хотите верьте, хотите нет.
Внедряю ЮГ после пилота 7.1
ощущения - первичная настройка - куча неприятных ощущений. при стрте HyperV на экране появляется какая-то жесть, приходится закрыть окно и заново открыть - мелочь но неприятно.
Первичная настройка - очень неприятная, из консоли назначаем порты, пытаемся указать "кто есть кто", не угадываем, но хоть как-то запускаем в работу эту железяку.
Дефолтные пароли - на сайте указаны разные, подбираем правильный методом тыка, если не подойдут с сайта - гуглим, может подойти какой-нибудь с форумов.
Первые ощущения с момента входа в веб интерфейс - неплохо, понятно, гибко. Дальше настраиваем маршрутизацию, не очень трудно, но ощущение, что не совсем понятно и не совсем удобно.
Далее настройка "дружбы" с керберосс - очень все непонятно, муторно, но по инструкции можно сделать. Работает это ПЛОХО, система понимает пользователей АД, система читает группы в АД, но система не работает с группами АД (т.е. группы придется делать локально и добавлять пользователей АД) - это серьезная недоработка ухудшающая гибкость настройки (я мог бы админам сказать в какие группы помещать пользователей, для доступа к ресурсу, а так - только в ЮГ натсройка).
Морфология - на стартовой странице вайап находит порно - понятно что с морфологией все плохо, работает косо. На некоторых сайтах находит букву "s" и сообщает что это порно - так работает морфология ЮГ. отключил, поддержка уверяет что "все так и должно быть".
СОВА надо заметить очень порадовала, срабатывала регулярно (беда - нельзя всем совиным правилам сказать,чтоб блокировали трафик, только поштучно - очень плохо).
Нет уверенности, что все что настроена, так и работает. Маршруты от компов до внешнего мира идут через 2 сети (т.е. ЮГ не дефолтный маршрут, а прокси, пакет на 0.0.0.0 нельзя послать через ЮГ), но ЮГ регулярно "видит" пакеты внутренней сети с порта untrasted - это вызывает вопросы... Как снаружи видны пакеты на самом деле, что с ними в реальности происходит, работают ли правила которые настроены или только на картинке видны?
В общем противоречивые чувства, но в любом случае эта штука интересная, кроме того, что она не умеет или делает плохо, есть много чего, что делает она хорошо. Вторую ноду брать не будем, возможно купим что-то более профессиональное, IDECO например.
UserGate 7.0.1 (build 7.0.1.826R). Первый взгляд на новую версию ПО