Как стать автором
Обновить
71.34
Рейтинг
ICL Services
Цифровые технологии для бизнеса

Православные NGFW. Сравнение отечественных МСЭ нового поколения

Блог компании ICL Services Информационная безопасность *IT-инфраструктура *Интерфейсы *IT-эмиграция

После ухода большей части вендоров мирового уровня многие столкнулись с проблемой выбора отечественных решений. Так как за последние пару лет мне довелось поработать с несколькими российскими NGFW/UTM, я решил сделать сводную таблицу для их удобного сравнения в рамках различных проектов. Потом коллеги предложили добавить туда оставшиеся решения. И вот уже у нас на руках весьма подробный материал, которым я и поделюсь здесь.

Вначале приведу небольшое резюме по каждому рассматриваемому решению, основанное на личном опыте внедрения/поддержки/эксплуатации. А в конце – ту самую сравнительную таблицу по всем характеристикам.

Что мне удалось протестировать. Разбор решений

Я бы разделил все рассматриваемые решения на три категории в зависимости от имеющегося функционала.

Стильно, модно, молодёжно

Целые оркестры защиты информации, NGFW в их классическом понимании, которое иногда не очень совместимо с российскими реалиями.

Usergate

Самый многофункциональный МСЭ из рассматриваемых здесь. Закрывает практически любые потребности – от IPSec с Cisco до гостевого портала. По функционалу Usergate, наверное, ближе других отечественных вендоров приблизился к решениям мирового уровня. Единственная фича, которой многим не хватает в наших реалиях – ГОСТовый VPN.

Из главных минусов – за такой обширный функционал приходится платить стабильностью работы. Причём, платить очень много. Если кратко, то, пожалуй, самое полнофункциональное решение, и самое нестабильное из рассматриваемых. При внедрении этого МСЭ приходится сразу закладывать в бюджет предприятия и большие затраты по его обслуживанию, и риски его простоя.

Ideco UTM

Это тот случай, когда разработчики сильно заморочились удобством использования и низким порогом вхождения в продукт, иногда даже в ущерб стандартному функционалу. Так, например, CLI проработан плохо, но зато это компенсируется очень дружелюбным веб-интерфейсом и хорошим мануалом. Можно настроить модуль техподдержки прямо в интерфейсе МСЭ, отвечают сотрудники, действительно, быстро

 По функционалу не дотягивает до Usergate, но работает заметно стабильнее. Как и в Usergate отсутствует ГОСТовое шифрование. Кроме того, лично меня смущает очень небольшой выбор «железа» – если требуется сертифицированная версия, то на выбор остаётся всего две модели, и это при том, что сертификат на виртуальное исполнение до сих пор не получен. С сертифицированными версиями тут, в принципе, всё не очень хорошо. Разработчики, судя по всему, не делают на них большие ставки, поэтому, функционал в них заметно срезан по сравнению с несертифицированными.

Из потенциальных проблем также отмечу невозможность использования заявленного ClamAV после его ухода с рынка. Но это компенсируется потоковым антивирусом от Касперского.

Особый путь

Производители этих МСЭ как будто иногда специально стараются показать, что они «не как все» – отказываются от общепринятых практик, переизобретают велосипеды и т.д. и т.п. Получается странно, непривычно. Но в некоторых случаях достаточно функционально.

Континент 4

Берём интерфейс от Excel, замешиваем его с функционалом UTM и приправляем своими собственными алгоритмами шифрования. Продукт одного из главных производителей СЗИ на отечественном рынке. Достаточно стабильный, но требующий привыкания к интерфейсу управления. Производительность заявлена очень высокая, но реальная производительность отличается от заявленной, пожалуй, сильнее, чем у всех остальных рассматриваемых решений.

Из приятных бонусов «импортозамещения» – официальный инструмент для миграции политик из некоторых версий Check Point.

xFirewall 5

Опять же, Infotecs – один из мастодонтов отечественного cybersec-рынка. Тем страннее видеть от них продукт, настолько не вписывающийся в общепризнанные стандарты.

xFirewall, пожалуй, даже ещё более специфичен, чем Континент. Но, как и Континент, несмотря на всю свою странность и обилие спорных решений, работает xFirewall достаточно стабильно.

Начнём с начала. Кто знаком с продукцией Infotecs, тот знает, как они любят множить сущности (можно вспомнить ту же необходимость устанавливать 4 отдельных компонента (Сервер и клиент ЦУСа, УКЦ и ViPNet Client) для администрирования. Так вот, в случае с xFirewall у них это возведено в абсолют. Для администрирования межсетевого экрана вам нужно купить… межсетевой экран. Только другой, не этот. Так сложилось, что сердцем сети ViPNet являются ViPNet Coordinator. И без приобретения хотя бы одной, самой младшей модели, вы просто не сможете создать ключевую информацию для своего xFirewall. А Coordinator, сам по себе, является межсетевым экраном. Без IPS, зато, с криптографией, которой лишён xFirewall. И получается, что, вроде как, это NGFW – а на руках всё равно оказывается дополнительная железка. Насколько мне известно, от этого планируется уйти в следующих версиях продуктов. Но пока их выпустят, пока сертифицируют… В общем, когда их ждать, не очень понятно.

Функционал у самого xFirewall небогатый. Особенно на фоне решений выше. Сюда же идет очень низкая производительность IPS. Из плюсов – простота интеграции в существующие сети ViPNet (видимо, разработчики пока что, в первую очередь, делают ставку на текущих клиентов, на создание своеобразной экосистемы Infotecs) и стабильность работы.

Быстро, дёшево, сердито

Cредства, пришедшие в наш мир из мира гостайны. Малофункциональные, топорные, но достаточно производительные и дешёвые.

Diamond VPN/FW

Тут, наверное, лучше всего подойдёт фраза «Работает – не трогай». Этот МСЭ показывает вполне неплохие результаты во время эксплуатации, а вот во время обновления, часто, начинаются пляски с бубном. Особенно, если разработчики решают внедрить новую фичу. А уж сколько вам придётся пережить увлекательных ночей в период его внедрения в систему предприятия…

При этом, как уже говорил ранее, во время работы железка показывает себя очень хорошо. И если не ставить на неё каждый месяц новую прошивку, то представляется вполне неплохим решением. Реальная пропускная способность, так, у Diamond-ов, вообще, ближе всех остальных вендоров к заявленной в даташитах. Плюс ко всему, на сайте производителя имеется подробная таблица зависимости модель/размер пакета/скорость. А вместе с аппаратными шифраторами можно получить по-настоящему впечатляющую производительность.

ЦУС у этой серии пока довольно сырой, функционала мало, багов много – появился он только в этом году. Поэтому рассчитывать на него я бы пока не стал.

Если резюмировать, это добротный классический Firewall с очень сырым NG-функционалом, большая часть которого либо только-только появилась и несёт в себе кучу багов, либо представляют из себя Open Source решения, интегрированные в общую систему (та же IPS, например – обыкновенная Suricata).

Dionis DPS

По личному опыту здесь – наверное, наименее популярное решение из всех. Поэтому и сказать о нём не могу многого. Продукт не очень широко представлен на рынке. Ощущение, что производитель решил сконцентрироваться на уже имеющихся крупных заказчиках (в первую очередь, госорганах и окологосударственных компаниях), а не привлекать новых.

Хотя, свою нишу вполне может занять. Скорость у оборудования заявлена самая большая. На практике она, пожалуй, примерно соответствует Diamond-ам. Из того, в чём Дионис однозначно на первом месте – это сертификация. Из всех рассмотренных решений он пока единственный имеет ФСБшный сертификат, да и ФСТЭК его сертифицировал по более высокому уровню доверия, классам МСЭ и СОВ.

Сводная таблица характеристик

Ну и, собственно, сама таблица сравнения характеристик:

Основной функционал:

 

Usergate

Континент

xFW 5

Ideco

Diamond VPN/FW

Dionis DPS

User-based политики

С помощью политик сети администратор может настроить необходимый доступ в интернет для своих пользователей

Возможность настройки правил МСЭ по различным объектам. В том числе, пользователям 

Может реализовывать политики безопасности для отдельных пользователей при настроенном подключении к серверу Active Directory или к LDAP-серверу

Возможна реализация политик безопасности по различным объектам: (ip-адреса, пользователи, группы, объекты квот)

Возможность настройки фильтрации трафика по любым полям и заголовкам

Возможность настройки фильтрации трафика по любым полям и заголовкам

Возможность создания правил с учетом даты/времени

Имеется возможность указать интервалы времени, когда правило активно

Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу

Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу

Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу

Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу

Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу

VPN

В сертифицированной версии функционал Отсутствует. В несертифицированной поддерживаются протоколы L2TP, IPSec с Cisco. Поддерживает два типа VPN-сетей: Remote Access VPN (модель клиент-сервер, в которой роль клиента выполняет сервер Usergate в удалённом офисе) и Site-to-Site VPN (модель сервер-сервер)

Собственный стек протоколов. Симметричное шифрование в соответствии с ГОСТ 28147-89 Поддерживает Site-to-Site VPN (модель сервер-сервер). Клиент-серверные решения имеются в виде отдельных продуктов: Континент TLS и Континент АП

Только для канала управления. Для остального трафика Отсутствует функционал СКЗИ. VPN реализуется с помощью ViPNet Coordinator

Поддерживаются протоколы PPTP, PPPoE, IKEv2/IPSec, SSTP, L2TP/IPSec. Так же доступно VPN подключение на основе собственного клиента (WireGuard) Поддерживает два типа VPN-сетей: Remote Access VPN (модель клиент-сервер, в которой роль клиента выполняет сервер Ideco в удалённом офисе) и Site-to-Site VPN (модель сервер-сервер) В сертифицированной версии не поддерживается VPN-агент.

Клиент-серверная L4 VPN с поддержкой многих ГОСТовых протоколов.

L2TP, PPTP, PPPOE

Поддержка алгоритмов ГОСТ

Отсутствует

Поддержка ГОСТ 28147-89

Поддержка ГОСТ 28147-89 только в ViPNet Coordinator

Не поддерживает

Шифрование: ГОСТ 28147-89, ГОСТ Р 34.12-2015; Прочее: ГОСТ Р 34.13-2015, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012

Шифрование: ГОСТ 28147-89, ГОСТ Р 34.12-2015; Прочее: ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2013

SSL VPN client / Безклиентский VPN

Для удалённого доступа сотрудников к ресурсам компании, можно настроить веб-портал, который позволяет предоставить доступ к внутренним веб-ресурсам, терминальным и ssh-серверам компании для удаленных или мобильных пользователей, используя при этом только протокол HTTPS. Не требует установки специального клиента VPN, достаточно обычного браузера. Настройка веб-портала сводится к тому, что необходимо создать записи публикации URL внутренних веб-ресурсов.

Отдельный продукт. Континент TLS

Отсутствует

Только в несертифицированной версии

Отсутствует

Отсутствует

Антивирусная проверка трафика

Потоковый антивирус Usergate. Выявлением сигнатур занимаются эксперты Центра мониторинга и реагирования UserGate (MRC-UG).

Отсутствует

Антивирусная защита с помощью Антивируса Касперского для Proxy Server

Антивирус ClamAV и Антивирус Касперского на выбор только в несертифицированной версии

Отсутствует

Имеется, при помощи службы WCF

Проверка почтового трафика

Поддерживается работа с протоколами POP3 и SMTP. Позволяет проверять почтовый трафик антиспамом Usergate, проверять SMTP-трафик с помощью технологии DNSBL.

Поддерживается работа с протоколами IMAP, POP3 и SMTP

Антивирусная защита с помощью Антивируса Касперского для Proxy Server

Поддерживается работа с протоколами IMAP, POP3 и SMTP

Отсутствует

Отсутствует

Задание параметров защиты каждой зоны сети от DDoS-атак и сетевого флуда

Для протоколов TCP (SYN-flood), UDP, ICMP

Имеется

Имеется

Защита через функцию "предотвращение вторжений", делится по подсетям

Имеется

Имеется

Настройка исключений

Возможность настройки исключений для защиты от DDoS, исключений антивирусной проверки, проверки почтового трафика

Возможность точечной настройки правил и исключений

Возможность точечной настройки правил и исключений

Исключения добавляются на правило предотвращения вторжений в целом

Имеется

Имеется

Поддержка High Availability

Возможность создания кластера конфигурации, объединения до 4 узлов кластера конфигурации в кластер отказоустойчивости, работающий в режиме Active-Passive или Active-Active.

Возможность создания кластера отказоустойчивости, работающего в режиме Active-Passive.

Возможность создания кластера отказоустойчивости из 2 узлов, работающих в режиме Active-Passive. Отсутствует синхронизация активных соединений.

Возможность создания кластера из 2 узлов Active-Passive. Отсутствует синхронизация активных соединений

Возможность создания кластера отказоустойчивости, работающего в режиме Active-Active и Active-Passive

Возможность создания кластера отказоустойчивости, работающего в режиме Active-Active (VRRP) и Active-Passive

Поддержка ipv6

Отсутствует

Отсутствует

Отсутствует

Отсутствует

Отсутствует

Имеется

Управление трафиком и контроль доступа в интернет

Usergate

Континент

xFW5

Ideco

Diamond VPN/FW

Dionis DPS

поддержка OSPF

Имеется

Имеется

Имеется

Имеется

Имеется

Имеется

поддержка BGP

Имеется

Имеется

Отсутствует

Имеется

Имеется

Имеется

поддержка RIP

Имеется

Отсутствует

Имеется

Отсутствует

Имеется

Имеется

поддержка Static Routes

Имеется

Имеется

Имеется

Имеется

Имеется

Имеется

поддержка Multicast routes

Имеется

Имеется

Имеется

Отсутствует

Отсутствует

Имеется

поддержка Policy-based routing

Имеется

Имеется

Имеется

Отсутствует

Имеется

Имеется

поддержка Route redistribution (между BGP и Static. Между OSPFv2 и Static)

Имеется

Отсутствует

Отсутствует

Отсутствует

Имеется

Имеется

Безопасная публикация ресурсов и сервисов

При помощи DNAT и reverse-прокси

Отдельный продукт. Континент TLS

Отдельный продукт.  ViPNet Coordinator

reverse proxy с (WAF)

Отсутствует

Отсутствует

Интеграции с Active Directory.

Имеется

Имеется

Имеется

Имеется

Отсутствует

Имеется

Интеграция с прочими источниками

LDAP, FreeIPA, TACACS+, Radius, SAML IDP

LDAP

LDAP

LDAP

Отсутствует

LDAP

Гостевой портал

Гостевой интернет-доступ через Wi-Fi. Различные методы аутентификации – по одноразовому паролю, через SMS. 

Отсутствует

Отсуствует

Доступен. Предоставляет доступ через веб на определенный настраиваемый промежуток времени

Отсутствует

Отсутствует

Контроль мобильных устройств

Имеется возможность управлять BYOD (Bring Your Own Device) устройствами, например, установив ограничения на типы разрешенных устройств, на количество устройств, с которых пользователь может получить доступ к сети одновременно, или указав конкретные устройства, с которых будет разрешен доступ в интернет

Имеется приложение для мобильных устройств, работающих на базе ОС Аврора, Android и IOS. С помощью приложения можно предоставить сотрудникам защищенный удалённый доступ к ресурсам компании, используя  VPN–туннель по ГОСТ 28147–89.

Через ViPNet Coordinator. Имеется приложение ViPNet Client для мобильных устройств, работающих на базе ОС Android и IOS. С помощью приложения можно предоставить сотрудникам защищенный удалённый доступ к ресурсам компании, используя  VPN–туннель по ГОСТ 28147–89.

Отсутствует

Отсутствует

Имеется

Проксирование приложений

Для пользователей, работающих с ОС Windows, можно настроить прокси-агент Usergate, позволяющий использовать возможности прокси приложениям, не умеющим работать с прокси-серверами.

Отдельный продукт. Континент WAF

Прокси-сервер работает в прозрачном режиме, не требует  настройки программного обеспечения на рабочих местах пользователей, подключающихся к Интернету через прокси

Прокси-сервер работает в прозрачном режиме, не требует  настройки программного обеспечения на рабочих местах пользователей, подключающихся к Интернету через прокси

Отсутствует

Имеется возможность настройки выборочного проксирования

Управление пропускной способностью

Правила управления пропускной способностью позволяют ограничить канал для определенных пользователей, хостов, сервисов, приложений.

Имеется возможность создавать правила приоретизации и маркировки (добавления ToS байта с информацией о приоритете в заголовки IP-пакетов) трафика, указывать полосы пропускания для каждого приоритета и трафика в целом

Имеется возможность создавать правила приоретизации и маркировки (добавления ToS байта с информацией о приоритете в заголовки IP-пакетов) трафика, указывать полосы пропускания для каждого приоритета и трафика в целом

Имеется возможность балансировки трафика в Мбит/с между внешними интерфейсами

Имеется возможность создавать правила приоретизации и маркировки исходящего трафика, указывать полосы пропускания

Имеется возможность создавать правила приоретизации и маркировки исходящего трафика, указывать полосы пропускания

Контент-фильтрация и контроль приложений

Usergate

Континент

xFW5

Ideco

Diamond VPN/FW

Dionis DPS

Интернет-фильтрация

Блокировка посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой

Блокировка посещения потенциально опасных ресурсов и сайтов из списка. Механизм работает как прокси, и устанавливает соединение с веб-ресурсом от своего имени.

Блокировка посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой

Блокировка определенных приложений, а так же блокировка с помощью контент-фильтра

Отсутствует

Отсутствует

Блокировка рекламы

Блокировка баннерной рекламы на сайтах. Возможность настройки исключений.

Отсутствует

Отсутствует

С использованием NextDNS

Отсутствует

Отсутствует

Принудительная активация безопасного поиска

Возможность принудительной активации функции безопасного поиска для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube. Возможность блокировки поисковых систем, в которых не реализована функция безопасного поиска.

Отсутствует

Отсутствует

С помощью контент-фильтра (добавление ссылок безопасного поиска при фильтрации HTTPS), а также с помощью DNS

Отсутствует

Отсутствует

Блокировка приложений социальных сетей

Для самых популярных соцсетей. Имеется возможность ограничивать отдельные действия в соцсетях

Для Facebook, LinkedIn, Instagram, Twitter

Для самых популярных соцсетей

Имеется возможность заблокировать доступ к ресурсам из нескольких десятков категорий, в том числе, к социальным сетям.

Отсутствует

Отсутствует

Инжектирование кода на веб-страницы

Позволяет вставить необходимый̆ код во все веб-страницы, просматриваемые пользователями. Эта возможность может быть использована для получения различных метрик, сокрытия некоторых элементов веб-страниц, а также показа рекламы или другой информации.

Отсутствует

Отсутствует

Отсутствует

Отсутствует

Отсутствует

Инспектирование SSL-трафика

Можно настроить инспектирование HTTPS только для определенных категорий, например, «Вредоносное ПО», «Анонимайзеры», «Ботнеты» и при этом не расшифровывать другие категории, например, «Финансы», «Правительство» и т.п. Для определения категории сайта используется информация, передаваемая в HTTPS-запросе - SNI (Server Name Indication), а если SNI отсутствует, то поле Subject Name в сертификате сервера. Содержимое поля Subject Alternative Name игнорируется. По умолчанию включен профиль для работы с TLS версий 1.0-1.2. Имеются профили для работы с TLS 1.3 и TLS ГОСТ (TLS GOST2012256 with 28147 CNT IMIT и TLS GOSTR341001 with 28147 CNT IMIT)

Если для коммуникации с веб-ресурсом используется протокол HTTPS, то данный механизм выполняет HTTPS-инспекцию с подменой сертификатов. Для сохранения доступа к веб-ресурсам, которые используют механизмы защиты от HTTPS-инспекции, предусмотрена возможность определять набор исключений для HTTPS-инспекции.

Используется технология forward proxy decryption с подменой сертификатов

Имеется

Отсутствует

Имеется

DNS-фильтрация

Фильтрация DNS-запросов пользователей, изменение DNS-запросов пользователей при помощи DNS-прокси

Фильтрация DNS-запросов пользователей

Фильтрация DNS-запросов пользователей

Существует возможность перехвата DNS-запросов выходящих в сеть Интернет

Фильтрация DNS-запросов пользователей

Фильтрация DNS-запросов пользователей

Система обнаружения и предотвращения вторжений (IPS)

Usergate

Континент

xFW 5

Ideco

Diamond VPN/FW

Dionis DPS

Основа IPS

Собственная IDS

Собственная IDS

Собственная IDS

Suricata

Suricata

Собственная IDS с мультипроцессингом

Обнаружение по сигнатурам (Signature Based Detection)

Имеется

Имеется

Имеется

Имеется

Имеется

Имеется

Обнаружение по статистическим аномалиям (Anomaly Based Detection)

Имеется

Имеется

Имеется

Отсутствует

Отсутствует

Имеется

Обнаружение по анализу состояний протоколов (Statefull Protocol Analysis)

Отсутствует

Отсутствует

Отсутствует

Отсутствует

Отсутствует

Имеется

Глубокая инспекция пакетов (Deep Packet Inspection)

Имеется. Также, решение может использоваться совместно с любыми сторонними DPI-решениями

Имеется

Имеется

Отсутствует

Отсутствует

Отсутствует

Обновление сигнатур

Автоматическое обновление сигнатур с сервера управления/сайта производителя/вручную.

Имеется

Имеется

Имеется

Имеется

Имеется

Обнаружение по превышению значения метрики заданного порогового значения. 

Отсутствует

Имеется

Отсутствует

Отсутствует

Отсутствует

Отсутствует

Создание собственных сигнатур и паттернов обнаружения.

Гибкая настройка правил обнаружения, есть возможность загрузить свои базы сигнатур и настроить их обновление

Имеется

Имеется

Отсутствует

Имеется

Имеется

Переключение режимов работы IPS/IDS

Имеется

Имеется возможность работы по схеме Monitor (Только IDS, при сборе SPAN-трафика) или Inline (В разрыв соединения. Возможность переключения IDS и IPS. В случае выхода из строя, переходит в bypass-режим)

Имеется

Отсутствует

Имеется

Имеется

Включение отдельных сигнатур в режим обнаружения или предотвращения

Имеется

Имеется

Имеется

Имеется

Отсутствует

Отсутствует

Возможность сбора дампа трафика при срабатывании сигнатуры.

Имеется

Имеется

Отсутствует

Отсутствует

Имеется

Отсутствует

Настройка политик безопасности при помощи сценариев (SOAR)

Сценарий является дополнительным условием в правилах межсетевого экрана и в правилах пропускной способности, позволяя администратору настроить реакцию USERGATE на определенные события

Отсутствует

Отсутствует

Отсутствует

Отсутствует

Отсутствует

Возможность применения различных профилей IPS к разным группам пользователей или типам трафика

Имеется

Отсутствует

Отсутствует

Отсутствует

Отсутствует

Имеется

Количество приложений в базе фильтрации

Около 1000

Около 2700

Около 200

296 в несертифицированной версии, 255 в сертифицированной

0

0

Возможность добавления нового приложения в базу

Имеется

Имеется

Имеется

Отсутствует

Отсутствует

Отсутствует

Управление:

Usergate

Континент

xFW

Ideco

Diamond VPN/FW

Dionis DPS

Централизованное управление

UserGate Management Center предоставляет собой единую точку управления, из которой администратор может выполнять мониторинг управляемых устройств, применять необходимы настройки, создавать политики, применяемые к группам устройств для обеспечения безопасности корпоративной сети

Возможность активации на одном из узлов службы "ЦУС" для осуществления управления комплексом и оперативного мониторинга всех егокомпонентов, сбора и хранения журналов. На одном или нескольких рабочих местах администраторов устанавливается Менеджер конфигураций, который через ЦУС позволяет контролировать все узлы безопасности комплекса

Централизованное управление осуществляется с помощью ViPNet Administrator или ViPNet Prime, ребует подключения к ViPNet Coordinator для организации защищённого канала управления

Управление с помощью Ideco CENTER (только в несертифицированной версии)

Возможность развернуть ЦУС для централизованного управления политиками безопасности.

Возможность развернуть ЦУС для централизованного управления политиками безопасности.

Передача событий на центральный сервер

Возможность передачи данных на LogAnalyser. Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog.

Имеется возможность просмотра событий через веб-интерфейс Менеджера конфигурации. Поддерживается отправка журналов на серверы Syslog, во внешнюю базу данных.

Имеется возможность просмотра событий через веб-интерфейс. Поддерживается отправка журналов на серверы Syslog, во внешнюю базу данных.

Нет возможности просмотра событий через веб-интерфейс. Доступна отправка журналов на серверы Syslog, во внешнюю базу данных с межсетевого экрана

Имеется возможность просмотра журналов с узлов безопасности в ЦУС

Имеется возможность просмотра журналов с узлов безопасности в ЦУС

Наличие различных ролей доступа к управлению

Возможность создания учетных записей администраторов с различными правами на просмотр и изменение разделов конфигурации.

4 встроенные роли, возможность создания пользовательских, назначения нескольких ролей одному администратору

2 встроенные роли - пользователь и Администратор. Наличие нескольких вариантов УЗ Администратора - администратор всей сети ViPNet, администратор группы узлов, локальный администратор узла. Полномочия различных Администраторов на узле идентичны.

Две встроенные роли: Администратор и ReadOnly

Только одна роль администртора

Одна учётная запись оператора с правами на просмотр. Множество учётных записей администраторов с различными правами на редактирование

Мультифакторная аутентификация

Штатными средствами UserGate NGFW можно использовать TOTP как второй фактор, а также есть возможность подключать технологических партнеров из открытой экосистемы UserGate, таких как Multifactor или Аладдин.

Отсутствует

Отсутствует

Двухфакторная аутентификация через сервис SMS Aero (только в несертифицированной версии)

Отсутствует

Отсутствует

Подробный журнал срабатывания правил межсетевого экрана

Имеется журнал срабатывания правил межсетевого экрана, NAT, DNAT, Port forwarding, Policy-based routing. Для регистрации данных событий необходимо включить журналирование в необходимых правилах.

Имеется. Данные хранятся в журнале сетевой безопасности. Есть возможность настроить детализацию журналирования

Имеется. Данные хранятся в журнале регистрации IP-пакетов. Есть возможность настроить детализацию журналирования

Имеется

Имеется. Данные хранятся в журнале межсетевого экрана. Отсутствует возможность настроить детализацию журналирования

Имеется возможность протоколирования правил фильтрации

Логирование действий пользователя

Журнал событий отображает события, связанные с изменением настроек сервера UserGate. Здесь же отображаются все события входа в веб-консоль, авторизации пользователей через Captive-портал или VPN, старта, выключения, перезагрузки сервера и т.п.

Имеется. Данные хранятся в журнале сетевой безопасности. Есть возможность настроить детализацию журналирования

Имеется. Данные хранятся в системном журнале. Есть возможность настроить детализацию журналирования

Журнал авторизации пользователей

Имеется. Данные хранятся в журнале системных событий. Отсутствует возможность настроить детализацию журналирования

Имеется. Данные хранятся в журнале действий администратора

Прочие журналы и отчёты

Поисковые запросы пользователей в популярных поисковых системах События, регистрируемые правилами контроля систем АСУ ТП. События, регистрируемые системой обнаружения и предотвращения событий. События, связанные с изменением настроек сервера UserGate, обновлений различных списков и т.п.

Сообщения событий системы, со всех УБ домена, контролируемого текущим ЦУС. События VPN, удалённого доступа, контроля приложений. События, регистрируемые системой обнаружения и предотвращения вторжений. Есть возможность настройки уровня детальности журналирования, отображения виджетов со статистикой мониторинга различных параметров, формирования отчётов по событиям в соответствии с выбранными критериями, 

Возможность в веб-интерфейсе следить за состоянием узла ViPNet xFirewall в режиме реального времени, просматривая графики загрузки процессора и оперативной памяти, время непрерывной работы, а также текущее состояние сервисов и драйверов. Возможность просмотра журнала транспортных конвертов (MFTP).

Есть возможность до 90 дней просмотра количества авторизированных полльзователей, загрузки процессора, занятой оперативной памяти, средней нагрузки, количества соединений. Возможно просматривать топы: пользователей по объему трафика/количеству запросов, группы по объему трафика/количеству запросов, категорий по объему трафика/количеству запросов, сайтов по объему трафика/количеству запросов, протоколов по объему трафика/количеству запросов, а так же топы заблокированных сайтов, категорий и протоколов. Доступен просмотр количетсва атак, классифицированный по уровням угроз, включая топы: пользователей по заблокированным запросам, атакованных адресов, атакующих адресов, заблокированных типов атак, атакующих стран

Журнал СОВ, журнал VPN

Журнал IP-пакетов, общесистемный журнал, сообщения сервисов, сообщения ядра, сообщения от сервисов динамической маршрутизации, сообщения, требующие внимания, сообщения безопасности

Возможность передачи логов в SIEM

Поддерживает мониторинг с помощью протоколов SNMP v2c и SNMP v3. Поддерживается как управление с помощью запросов (SNMP queries), так и с помощью отсылки оповещений (SNMP traps).

Поддерживает мониторинг и управлени (OID из стандартных MIB и CONTINENT-SNMP-MIB) с помощью протоколов SNMP v2 и SNMP v3.

Интеграция с ViPNet TIAS. Поддерживает мониторинг и управление (частично) с помощью протоколов SNMP v2 и SNMP v1.

SNMP

Поддерживает мониторинг с помощью протоколов SNMP

Поддерживает мониторинг с помощью протоколов SNMP

Оповещения

SMTP, доставка сообщений с помощью e-mail.

SMTP, доставка сообщений с помощью e-mail. SMPP, доставка сообщений с помощью SMS практически через любого оператора сотовой связи или через большое количество SMS-центров рассылки

С помощью ПК ViPNet StateWatcher

Оповещения через Telegram-bot

Отсутствует

SMTP, доставка сообщений с помощью e-mail.

Управление резервными копиями

Экспорт настроек

Создание, управление, восстановление. Поддерживает автоматическое резервирование политик доступа

Экспорт справочников, лицензии и настроек

Создание, автоматическое ежедневное копирование с настройкой времени копирования и временем хранения (месяц/неделя), выгрузка на FTP-сервер, выгрузка в общую папку CIFS

Отсутствует

Имеется

Поддержка WCCP

Имеется

Отсутствует

Отсутствует

Отсутствует

Отсутствует

Отсутствует

Поддержка VLAN

Имеется

Имеется

Имеется

Имеется

Имеется

Имеется

Объединение физических интерфейсов в один логический агрегированный интерфейс (бонд)

Имеется

Имеется

Имеется

Отсутствует

Имеется

Имеется

Объединения интерфейсов в мост (bridge)

Имеется

Имеется

Отсутствует

Имеется

Имеется

Имеется

Функция балансировщика нагрузки

Балансировка может быть предоставлена для внутренних серверов, публикуемых в интернет, внутренних серверов без публикации, а также для балансировки трафика, пересылаемого на внешние серверы или ферму ICAP-серверов.

Возможность работы Multi-WAN в режиме "Балансировка"

Возможность создания нескольких статических маршрутов в сеть через разные шлюзы и настройки балансировки IP-трафика между этими маршрутами

Имеется возможность балансировки трафика в Мбит/с между внешними интерфейсами

Возможность попакетной балансировки трафика на основе заголовков 2-4 уровней

Имеется

Дистанционное обновление компонентов ПО

Имеется

Имеется

Имеется

Через веб-интерфейс и/или обновления по расписанию

Имеется

Передача файлов обновления с помощью команды "ssh get" с дальнейшим обновлением из файла в локальной файловой системе.

Технические характеристики:

Usergate

Континент

xFW

Ideco

Diamond VPN/FW

Dionis DPS

Базовая ОС

Собственная (Linux)

Собственная (CentOS)

Собственная (Debian)

Собственная (на основе Fedora)

freebsd

Linux 4.14.xx

Скорость Firewall

До 60 Гбит/с (UserGate F8000)

До 80 Гбит/с (Континент 4 IPC-3000NF2)

До 19 Гбит/с (xFirewall xF5000)

До 76,3 Гбит/с (ideco EX)

До 48 Гбит/с (Diamond VPN/FW 7151)

До 90 Гбит/с (Dionis DPS 7000 Series)

Скорость со всеми включёнными функциями

до 8 Гбит/с (UserGate F8000)

До 7 Гбит/с (Континент 4 IPC-3000NF2, Континент 4 IPC-3000F)

До 669 Мбит/с (xFirewall xF5000)

До 3,7 Гбит/с (ideco EX)

До 8 Гбит/с (Diamond VPN/FW 7151)

До 8 Гбит/с (Dionis DPS 7000 Series)

Максимальное кол-во сессий

48000000 (UserGate F8000)

10 000 000

9900000 (xFirewall xF5000)

5 000 000

10 000 000

60 000 000 (Dionis DPS 7000 Series)

Максимальное количество портов Ethernet 10/100/1000

до 49 (UserGate F8000 - 9 встроено, 40 дополнительно с использованием плат расширений)

До 9 (IPC-3000NF2)

До 6 (xFirewall xF1000 C)

До 6 (Ideco SX+)

До 32 (серия 71хх)

До 48 (Dionis DPS 7000 Series)

Максимальное количество портов SFP+

до 24 (UserGate F8000 - 4 встроено, 20 дополнительно с использованием плат расширений)

До 8 SFP+ и 4 SFP (Континент 4 IPC-1000NF2)

До 4 (xFirewall xF5000)

До 4 10G SFP+

До 8 GbE SFP, до 2 10G SFP (серия 71хх)

До 48 GbE SFP, до 24 10G SFP+, до 12 40GbE QSFP+ (Dionis DPS 7000 Series)

Поддержка нескольких провайдеров

Имеется

Имеется

Имеется

Имеется

Имеется

Имеется

Аппаратное ускорение

В разработке (Usergate DCFW)

Возможность установки на некоторые платформы криптоускорителя, который обеспечивает повышенную производительность при шифровании трафика в VPN.

Отстутсвует

Отстутсвует

Отсутствует. Имеется отдельное решение для шифрования каналов связи - Dcrypt XG

Отсутствует

Варианты исполнения, поддерживаемые платформы виртуализации:

Usergate

Континент

xFW 5

Ideco

Diamond VPN/FW

Dionis DPS

Аппаратное исполнение

Имеется

Имеется

Имеется

Имеется

Имеется

Имеется

Наличие аппаратной модели, предназначенной для функционирования в сложных климатических условиях

Usergate X1

Отсутствует

Отсутствует

Отсутствует

Линейка 81хх

Отсутствует

ПО для установки на сервер общего назначения

Отсутствует

Имеется

Имеется

Имеется

Отсутствует

Отсутствует

Поддержка Vmware

Имеется

Имеется

Имеется

Имеется

Отсутствует

Отсутствует

Поддержка Hyper-V

Имеется

Не гарантируется

Имеется

Имеется

Отсутствует

Отсутствует

Поддержка VirtualBox

Имеется

Не гарантируется

Имеется

Имеется

Отсутствует

Отсутствует

Поддержка KVM

Имеется

Не гарантируется

Не гарантируется

Имеется

Отсутствует

Отсутствует

Поддержка XenServer

Имеется

Не гарантируется

Не гарантируется

Имеется

Отсутствует

Отсутствует

Поддержка OpenStack

Имеется

Не гарантируется

Не гарантируется

Не гарантируется

Отсутствует

Отсутствует

Поддержка Citrix

Не гарантируется

Не гарантируется

Не гарантируется

Имеется

Отсутствует

Отсутствует

Поддержка Oracle VM Server

Не гарантируется

Не гарантируется

Не гарантируется

Не гарантируется

Отсутствует

Отсутствует

Сертификация:

Usergate

Континент

xFW 5

Ideco

Diamond VPN/FW

Dionis DPS

Наличие сертификата ФСТЭК России

Сертификат ФСТЭК России № 3905 от 26.03.2018 Межсетевой экран типа А, Б и Д 4 класса защиты, Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4)

Сертификат ФСТЭК России № 4496 от 14.12.2021 Межсетевой экран тип А, 4 класс (МЭ А4) Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4)

Сертификат ФСТЭК России № 4496 от 14.12.2021 Межсетевой экран тип А, 4 класс (МЭ А4) Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4)

Сертификат ФСТЭК России № 4503 от 28.12.2021 Межсетевой экран тип А и Б, 4 класс Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4)

Сертификат ФСТЭК России № 4066 от 24.01.2019 Межсетевой экран тип А, Б и В, 4 класс (МЭ А4, МЭ Б4, МЭ В4) Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4)

Сертификат ФСТЭК России № 3530 от 20.02.2016 Межсетевой экран тип А класс 2 (МЭ А2) Система обнаружения вторжений уровня сети, 2 класс (СОВ 2) 2 уровень доверия средств обеспечения безопасности (УД 2)

Наличие сертификата ФСБ России

Отсутствует

Для версии 4 планируется получение в ближайшее время. Предыдущая версия сертификат имеет.

Отсутствует. Для выполнениря функций СКЗИ имеется отдельный сертифицированный продукт - ViPNet Coordinator

Отсутствует

Отсутствует

Сертификат №СФ/124-3958 от 30.12.2020

Наличие реестрового номера решения в Едином реестре российских программ для электронных вычислительных машин и баз данных Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации

Запись в реестре №1194 от 06.09.2016

Запись в реестре №13885 от 14.06.2022

Запись в реестре №13885 от 14.06.2022

Запись в реестре №13885 от 14.06.2022

Запись в реестре №1425 от 05.09.2016

Запись в реестре №9891 от 25.03.2021

Реестр российской радиоэлектронной продукции 

Включён только аппаратный комплекс Usergate C150 (06.04.2022). Планируется разработка ПАК на основе платформы. 

Континент 4 IPC-R10, Континент 4 IPC-R50, Континент 4 IPC-R300, Континент 4 IPC-R550, находятся в реестре телекоммуникационного оборудования российского происхождения (ТОРП)

Не включён в реестр

Отсутвует

Отсутвует

Отсутвует

Варианты использования

Usergate

Континент

xFW 5

Ideco

Diamond VPN/FW

Dionis DPS

Защита внешнего периметра корпоративной сети

+

+

+

+

+

+

Сегментация внутренней сети

+

+

+

+

+

+

Создание защищенной корпоративной сети передачи данных с использованием алгоритмов ГОСТ

-

+

-

-

+

+

Создание VPN ГОСТ «поверх» существующей VPN-сети

-

+

-

-

+

+

Защищенный удаленный доступ

+

+

-

+

+

+

Защита информационных систем персональных данных (ИСПДн)

+

+

+

+

+

+

Защита государственных информационных систем (ГИС)

+

+

+

+

+

+

Защита от сетевых вторжений

+

+

+

+

+

+

Защищённая публикация ресурсов

+

-

-

+

-

-

Гостевой интернет-доступ через Wi-Fi. 

+

-

-

-

-

-

Резюмируя всё, написанное выше – идеального NGFW/UTM, закрывающего все потребности, работающего стабильно и выдающего большую производительность, на отечественном рынке пока нет. Большинство решений изначально разрабатывались под конкретную целевую аудиторию и теперь выход на более широкий рынок даётся производителям с трудом.

Однако работа в этих направлениях ведётся активная, и будет интересно посмотреть, во что эти продукты разовьются через несколько лет.

P.S. Данное видение является частным мнением @fiexagon и не отражает позицию компании.

Теги:
Хабы:
Всего голосов 14: ↑9 и ↓5 +4
Просмотры 11K
Комментарии 12
Комментарии Комментарии 12

Публикации

Информация

Сайт
www.icl-services.com
Дата регистрации
Дата основания
Численность
1 001–5 000 человек
Местоположение
Россия