После ухода большей части вендоров мирового уровня многие столкнулись с проблемой выбора отечественных решений. Так как за последние пару лет мне довелось поработать с несколькими российскими NGFW/UTM, я решил сделать сводную таблицу для их удобного сравнения в рамках различных проектов. Потом коллеги предложили добавить туда оставшиеся решения. И вот уже у нас на руках весьма подробный материал, которым я и поделюсь здесь.
Вначале приведу небольшое резюме по каждому рассматриваемому решению, основанное на личном опыте внедрения/поддержки/эксплуатации. А в конце – ту самую сравнительную таблицу по всем характеристикам.
Что мне удалось протестировать. Разбор решений
Я бы разделил все рассматриваемые решения на три категории в зависимости от имеющегося функционала.
Стильно, модно, молодёжно
Целые оркестры защиты информации, NGFW в их классическом понимании, которое иногда не очень совместимо с российскими реалиями.
• Usergate
Самый многофункциональный МСЭ из рассматриваемых здесь. Закрывает практически любые потребности – от IPSec с Cisco до гостевого портала. По функционалу Usergate, наверное, ближе других отечественных вендоров приблизился к решениям мирового уровня. Единственная фича, которой многим не хватает в наших реалиях – ГОСТовый VPN.
Из главных минусов – за такой обширный функционал приходится платить стабильностью работы. Причём, платить очень много. Если кратко, то, пожалуй, самое полнофункциональное решение, и самое нестабильное из рассматриваемых. При внедрении этого МСЭ приходится сразу закладывать в бюджет предприятия и большие затраты по его обслуживанию, и риски его простоя.
Это тот случай, когда разработчики сильно заморочились удобством использования и низким порогом вхождения в продукт, иногда даже в ущерб стандартному функционалу. Так, например, CLI проработан плохо, но зато это компенсируется очень дружелюбным веб-интерфейсом и хорошим мануалом. Можно настроить модуль техподдержки прямо в интерфейсе МСЭ, отвечают сотрудники, действительно, быстро
По функционалу не дотягивает до Usergate, но работает заметно стабильнее. Как и в Usergate отсутствует ГОСТовое шифрование. Кроме того, лично меня смущает очень небольшой выбор «железа» – если требуется сертифицированная версия, то на выбор остаётся всего две модели, и это при том, что сертификат на виртуальное исполнение до сих пор не получен. С сертифицированными версиями тут, в принципе, всё не очень хорошо. Разработчики, судя по всему, не делают на них большие ставки, поэтому, функционал в них заметно срезан по сравнению с несертифицированными.
Из потенциальных проблем также отмечу невозможность использования заявленного ClamAV после его ухода с рынка. Но это компенсируется потоковым антивирусом от Касперского.
Особый путь
Производители этих МСЭ как будто иногда специально стараются показать, что они «не как все» – отказываются от общепринятых практик, переизобретают велосипеды и т.д. и т.п. Получается странно, непривычно. Но в некоторых случаях достаточно функционально.
Берём интерфейс от Excel, замешиваем его с функционалом UTM и приправляем своими собственными алгоритмами шифрования. Продукт одного из главных производителей СЗИ на отечественном рынке. Достаточно стабильный, но требующий привыкания к интерфейсу управления. Производительность заявлена очень высокая, но реальная производительность отличается от заявленной, пожалуй, сильнее, чем у всех остальных рассматриваемых решений.
Из приятных бонусов «импортозамещения» – официальный инструмент для миграции политик из некоторых версий Check Point.
Опять же, Infotecs – один из мастодонтов отечественного cybersec-рынка. Тем страннее видеть от них продукт, настолько не вписывающийся в общепризнанные стандарты.
xFirewall, пожалуй, даже ещё более специфичен, чем Континент. Но, как и Континент, несмотря на всю свою странность и обилие спорных решений, работает xFirewall достаточно стабильно.
Начнём с начала. Кто знаком с продукцией Infotecs, тот знает, как они любят множить сущности (можно вспомнить ту же необходимость устанавливать 4 отдельных компонента (Сервер и клиент ЦУСа, УКЦ и ViPNet Client) для администрирования. Так вот, в случае с xFirewall у них это возведено в абсолют. Для администрирования межсетевого экрана вам нужно купить… межсетевой экран. Только другой, не этот. Так сложилось, что сердцем сети ViPNet являются ViPNet Coordinator. И без приобретения хотя бы одной, самой младшей модели, вы просто не сможете создать ключевую информацию для своего xFirewall. А Coordinator, сам по себе, является межсетевым экраном. Без IPS, зато, с криптографией, которой лишён xFirewall. И получается, что, вроде как, это NGFW – а на руках всё равно оказывается дополнительная железка. Насколько мне известно, от этого планируется уйти в следующих версиях продуктов. Но пока их выпустят, пока сертифицируют… В общем, когда их ждать, не очень понятно.
Функционал у самого xFirewall небогатый. Особенно на фоне решений выше. Сюда же идет очень низкая производительность IPS. Из плюсов – простота интеграции в существующие сети ViPNet (видимо, разработчики пока что, в первую очередь, делают ставку на текущих клиентов, на создание своеобразной экосистемы Infotecs) и стабильность работы.
Быстро, дёшево, сердито
Cредства, пришедшие в наш мир из мира гостайны. Малофункциональные, топорные, но достаточно производительные и дешёвые.
Тут, наверное, лучше всего подойдёт фраза «Работает – не трогай». Этот МСЭ показывает вполне неплохие результаты во время эксплуатации, а вот во время обновления, часто, начинаются пляски с бубном. Особенно, если разработчики решают внедрить новую фичу. А уж сколько вам придётся пережить увлекательных ночей в период его внедрения в систему предприятия…
При этом, как уже говорил ранее, во время работы железка показывает себя очень хорошо. И если не ставить на неё каждый месяц новую прошивку, то представляется вполне неплохим решением. Реальная пропускная способность, так, у Diamond-ов, вообще, ближе всех остальных вендоров к заявленной в даташитах. Плюс ко всему, на сайте производителя имеется подробная таблица зависимости модель/размер пакета/скорость. А вместе с аппаратными шифраторами можно получить по-настоящему впечатляющую производительность.
ЦУС у этой серии пока довольно сырой, функционала мало, багов много – появился он только в этом году. Поэтому рассчитывать на него я бы пока не стал.
Если резюмировать, это добротный классический Firewall с очень сырым NG-функционалом, большая часть которого либо только-только появилась и несёт в себе кучу багов, либо представляют из себя Open Source решения, интегрированные в общую систему (та же IPS, например – обыкновенная Suricata).
По личному опыту здесь – наверное, наименее популярное решение из всех. Поэтому и сказать о нём не могу многого. Продукт не очень широко представлен на рынке. Ощущение, что производитель решил сконцентрироваться на уже имеющихся крупных заказчиках (в первую очередь, госорганах и окологосударственных компаниях), а не привлекать новых.
Хотя, свою нишу вполне может занять. Скорость у оборудования заявлена самая большая. На практике она, пожалуй, примерно соответствует Diamond-ам. Из того, в чём Дионис однозначно на первом месте – это сертификация. Из всех рассмотренных решений он пока единственный имеет ФСБшный сертификат, да и ФСТЭК его сертифицировал по более высокому уровню доверия, классам МСЭ и СОВ.
Сводная таблица характеристик
Ну и, собственно, сама таблица сравнения характеристик:
Основной функционал:
| Usergate | Континент | xFW 5 | Ideco | Diamond VPN/FW | Dionis DPS |
User-based политики | С помощью политик сети администратор может настроить необходимый доступ в интернет для своих пользователей | Возможность настройки правил МСЭ по различным объектам. В том числе, пользователям | Может реализовывать политики безопасности для отдельных пользователей при настроенном подключении к серверу Active Directory или к LDAP-серверу | Возможна реализация политик безопасности по различным объектам: (ip-адреса, пользователи, группы, объекты квот) | Возможность настройки фильтрации трафика по любым полям и заголовкам | Возможность настройки фильтрации трафика по любым полям и заголовкам |
Возможность создания правил с учетом даты/времени | Имеется возможность указать интервалы времени, когда правило активно | Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу | Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу | Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу | Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу | Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу |
VPN | В сертифицированной версии функционал Отсутствует. В несертифицированной поддерживаются протоколы L2TP, IPSec с Cisco. Поддерживает два типа VPN-сетей: Remote Access VPN (модель клиент-сервер, в которой роль клиента выполняет сервер Usergate в удалённом офисе) и Site-to-Site VPN (модель сервер-сервер) | Собственный стек протоколов. Симметричное шифрование в соответствии с ГОСТ 28147-89 Поддерживает Site-to-Site VPN (модель сервер-сервер). Клиент-серверные решения имеются в виде отдельных продуктов: Континент TLS и Континент АП | Только для канала управления. Для остального трафика Отсутствует функционал СКЗИ. VPN реализуется с помощью ViPNet Coordinator | Поддерживаются протоколы PPTP, PPPoE, IKEv2/IPSec, SSTP, L2TP/IPSec. Так же доступно VPN подключение на основе собственного клиента (WireGuard) Поддерживает два типа VPN-сетей: Remote Access VPN (модель клиент-сервер, в которой роль клиента выполняет сервер Ideco в удалённом офисе) и Site-to-Site VPN (модель сервер-сервер) В сертифицированной версии не поддерживается VPN-агент. | Клиент-серверная L4 VPN с поддержкой многих ГОСТовых протоколов. | L2TP, PPTP, PPPOE |
Поддержка алгоритмов ГОСТ | Отсутствует | Поддержка ГОСТ 28147-89 | Поддержка ГОСТ 28147-89 только в ViPNet Coordinator | Не поддерживает | Шифрование: ГОСТ 28147-89, ГОСТ Р 34.12-2015; Прочее: ГОСТ Р 34.13-2015, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 | Шифрование: ГОСТ 28147-89, ГОСТ Р 34.12-2015; Прочее: ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2013 |
SSL VPN client / Безклиентский VPN | Для удалённого доступа сотрудников к ресурсам компании, можно настроить веб-портал, который позволяет предоставить доступ к внутренним веб-ресурсам, терминальным и ssh-серверам компании для удаленных или мобильных пользователей, используя при этом только протокол HTTPS. Не требует установки специального клиента VPN, достаточно обычного браузера. Настройка веб-портала сводится к тому, что необходимо создать записи публикации URL внутренних веб-ресурсов. | Отдельный продукт. Континент TLS | Отсутствует | Только в несертифицированной версии | Отсутствует | Отсутствует |
Антивирусная проверка трафика | Потоковый антивирус Usergate. Выявлением сигнатур занимаются эксперты Центра мониторинга и реагирования UserGate (MRC-UG). | Отсутствует | Антивирусная защита с помощью Антивируса Касперского для Proxy Server | Антивирус ClamAV и Антивирус Касперского на выбор только в несертифицированной версии | Отсутствует | Имеется, при помощи службы WCF |
Проверка почтового трафика | Поддерживается работа с протоколами POP3 и SMTP. Позволяет проверять почтовый трафик антиспамом Usergate, проверять SMTP-трафик с помощью технологии DNSBL. | Поддерживается работа с протоколами IMAP, POP3 и SMTP | Антивирусная защита с помощью Антивируса Касперского для Proxy Server | Поддерживается работа с протоколами IMAP, POP3 и SMTP | Отсутствует | Отсутствует |
Задание параметров защиты каждой зоны сети от DDoS-атак и сетевого флуда | Для протоколов TCP (SYN-flood), UDP, ICMP | Имеется | Имеется | Защита через функцию "предотвращение вторжений", делится по подсетям | Имеется | Имеется |
Настройка исключений | Возможность настройки исключений для защиты от DDoS, исключений антивирусной проверки, проверки почтового трафика | Возможность точечной настройки правил и исключений | Возможность точечной настройки правил и исключений | Исключения добавляются на правило предотвращения вторжений в целом | Имеется | Имеется |
Поддержка High Availability | Возможность создания кластера конфигурации, объединения до 4 узлов кластера конфигурации в кластер отказоустойчивости, работающий в режиме Active-Passive или Active-Active. | Возможность создания кластера отказоустойчивости, работающего в режиме Active-Passive. | Возможность создания кластера отказоустойчивости из 2 узлов, работающих в режиме Active-Passive. Отсутствует синхронизация активных соединений. | Возможность создания кластера из 2 узлов Active-Passive. Отсутствует синхронизация активных соединений | Возможность создания кластера отказоустойчивости, работающего в режиме Active-Active и Active-Passive | Возможность создания кластера отказоустойчивости, работающего в режиме Active-Active (VRRP) и Active-Passive |
Поддержка ipv6 | Отсутствует | Отсутствует | Отсутствует | Отсутствует | Отсутствует | Имеется |
Управление трафиком и контроль доступа в интернет
Usergate | Континент | xFW5 | Ideco | Diamond VPN/FW | Dionis DPS | |
поддержка OSPF | Имеется | Имеется | Имеется | Имеется | Имеется | Имеется |
поддержка BGP | Имеется | Имеется | Отсутствует | Имеется | Имеется | Имеется |
поддержка RIP | Имеется | Отсутствует | Имеется | Отсутствует | Имеется | Имеется |
поддержка Static Routes | Имеется | Имеется | Имеется | Имеется | Имеется | Имеется |
поддержка Multicast routes | Имеется | Имеется | Имеется | Отсутствует | Отсутствует | Имеется |
поддержка Policy-based routing | Имеется | Имеется | Имеется | Отсутствует | Имеется | Имеется |
поддержка Route redistribution (между BGP и Static. Между OSPFv2 и Static) | Имеется | Отсутствует | Отсутствует | Отсутствует | Имеется | Имеется |
Безопасная публикация ресурсов и сервисов | При помощи DNAT и reverse-прокси | Отдельный продукт. Континент TLS | Отдельный продукт. ViPNet Coordinator | reverse proxy с (WAF) | Отсутствует | Отсутствует |
Интеграции с Active Directory. | Имеется | Имеется | Имеется | Имеется | Отсутствует | Имеется |
Интеграция с прочими источниками | LDAP, FreeIPA, TACACS+, Radius, SAML IDP | LDAP | LDAP | LDAP | Отсутствует | LDAP |
Гостевой портал | Гостевой интернет-доступ через Wi-Fi. Различные методы аутентификации – по одноразовому паролю, через SMS. | Отсутствует | Отсуствует | Доступен. Предоставляет доступ через веб на определенный настраиваемый промежуток времени | Отсутствует | Отсутствует |
Контроль мобильных устройств | Имеется возможность управлять BYOD (Bring Your Own Device) устройствами, например, установив ограничения на типы разрешенных устройств, на количество устройств, с которых пользователь может получить доступ к сети одновременно, или указав конкретные устройства, с которых будет разрешен доступ в интернет | Имеется приложение для мобильных устройств, работающих на базе ОС Аврора, Android и IOS. С помощью приложения можно предоставить сотрудникам защищенный удалённый доступ к ресурсам компании, используя VPN–туннель по ГОСТ 28147–89. | Через ViPNet Coordinator. Имеется приложение ViPNet Client для мобильных устройств, работающих на базе ОС Android и IOS. С помощью приложения можно предоставить сотрудникам защищенный удалённый доступ к ресурсам компании, используя VPN–туннель по ГОСТ 28147–89. | Отсутствует | Отсутствует | Имеется |
Проксирование приложений | Для пользователей, работающих с ОС Windows, можно настроить прокси-агент Usergate, позволяющий использовать возможности прокси приложениям, не умеющим работать с прокси-серверами. | Отдельный продукт. Континент WAF | Прокси-сервер работает в прозрачном режиме, не требует настройки программного обеспечения на рабочих местах пользователей, подключающихся к Интернету через прокси | Прокси-сервер работает в прозрачном режиме, не требует настройки программного обеспечения на рабочих местах пользователей, подключающихся к Интернету через прокси | Отсутствует | Имеется возможность настройки выборочного проксирования |
Управление пропускной способностью | Правила управления пропускной способностью позволяют ограничить канал для определенных пользователей, хостов, сервисов, приложений. | Имеется возможность создавать правила приоретизации и маркировки (добавления ToS байта с информацией о приоритете в заголовки IP-пакетов) трафика, указывать полосы пропускания для каждого приоритета и трафика в целом | Имеется возможность создавать правила приоретизации и маркировки (добавления ToS байта с информацией о приоритете в заголовки IP-пакетов) трафика, указывать полосы пропускания для каждого приоритета и трафика в целом | Имеется возможность балансировки трафика в Мбит/с между внешними интерфейсами | Имеется возможность создавать правила приоретизации и маркировки исходящего трафика, указывать полосы пропускания | Имеется возможность создавать правила приоретизации и маркировки исходящего трафика, указывать полосы пропускания |
Контент-фильтрация и контроль приложений
Usergate | Континент | xFW5 | Ideco | Diamond VPN/FW | Dionis DPS | |
Интернет-фильтрация | Блокировка посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой | Блокировка посещения потенциально опасных ресурсов и сайтов из списка. Механизм работает как прокси, и устанавливает соединение с веб-ресурсом от своего имени. | Блокировка посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой | Блокировка определенных приложений, а так же блокировка с помощью контент-фильтра | Отсутствует | Отсутствует |
Блокировка рекламы | Блокировка баннерной рекламы на сайтах. Возможность настройки исключений. | Отсутствует | Отсутствует | С использованием NextDNS | Отсутствует | Отсутствует |
Принудительная активация безопасного поиска | Возможность принудительной активации функции безопасного поиска для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube. Возможность блокировки поисковых систем, в которых не реализована функция безопасного поиска. | Отсутствует | Отсутствует | С помощью контент-фильтра (добавление ссылок безопасного поиска при фильтрации HTTPS), а также с помощью DNS | Отсутствует | Отсутствует |
Блокировка приложений социальных сетей | Для самых популярных соцсетей. Имеется возможность ограничивать отдельные действия в соцсетях | Для Facebook, LinkedIn, Instagram, Twitter | Для самых популярных соцсетей | Имеется возможность заблокировать доступ к ресурсам из нескольких десятков категорий, в том числе, к социальным сетям. | Отсутствует | Отсутствует |
Инжектирование кода на веб-страницы | Позволяет вставить необходимый̆ код во все веб-страницы, просматриваемые пользователями. Эта возможность может быть использована для получения различных метрик, сокрытия некоторых элементов веб-страниц, а также показа рекламы или другой информации. | Отсутствует | Отсутствует | Отсутствует | Отсутствует | Отсутствует |
Инспектирование SSL-трафика | Можно настроить инспектирование HTTPS только для определенных категорий, например, «Вредоносное ПО», «Анонимайзеры», «Ботнеты» и при этом не расшифровывать другие категории, например, «Финансы», «Правительство» и т.п. Для определения категории сайта используется информация, передаваемая в HTTPS-запросе - SNI (Server Name Indication), а если SNI отсутствует, то поле Subject Name в сертификате сервера. Содержимое поля Subject Alternative Name игнорируется. По умолчанию включен профиль для работы с TLS версий 1.0-1.2. Имеются профили для работы с TLS 1.3 и TLS ГОСТ (TLS GOST2012256 with 28147 CNT IMIT и TLS GOSTR341001 with 28147 CNT IMIT) | Если для коммуникации с веб-ресурсом используется протокол HTTPS, то данный механизм выполняет HTTPS-инспекцию с подменой сертификатов. Для сохранения доступа к веб-ресурсам, которые используют механизмы защиты от HTTPS-инспекции, предусмотрена возможность определять набор исключений для HTTPS-инспекции. | Используется технология forward proxy decryption с подменой сертификатов | Имеется | Отсутствует | Имеется |
DNS-фильтрация | Фильтрация DNS-запросов пользователей, изменение DNS-запросов пользователей при помощи DNS-прокси | Фильтрация DNS-запросов пользователей | Фильтрация DNS-запросов пользователей | Существует возможность перехвата DNS-запросов выходящих в сеть Интернет | Фильтрация DNS-запросов пользователей | Фильтрация DNS-запросов пользователей |
Система обнаружения и предотвращения вторжений (IPS)
Usergate | Континент | xFW 5 | Ideco | Diamond VPN/FW | Dionis DPS | |
Основа IPS | Собственная IDS | Собственная IDS | Собственная IDS | Suricata | Suricata | Собственная IDS с мультипроцессингом |
Обнаружение по сигнатурам (Signature Based Detection) | Имеется | Имеется | Имеется | Имеется | Имеется | Имеется |
Обнаружение по статистическим аномалиям (Anomaly Based Detection) | Имеется | Имеется | Имеется | Отсутствует | Отсутствует | Имеется |
Обнаружение по анализу состояний протоколов (Statefull Protocol Analysis) | Отсутствует | Отсутствует | Отсутствует | Отсутствует | Отсутствует | Имеется |
Глубокая инспекция пакетов (Deep Packet Inspection) | Имеется. Также, решение может использоваться совместно с любыми сторонними DPI-решениями | Имеется | Имеется | Отсутствует | Отсутствует | Отсутствует |
Обновление сигнатур | Автоматическое обновление сигнатур с сервера управления/сайта производителя/вручную. | Имеется | Имеется | Имеется | Имеется | Имеется |
Обнаружение по превышению значения метрики заданного порогового значения. | Отсутствует | Имеется | Отсутствует | Отсутствует | Отсутствует | Отсутствует |
Создание собственных сигнатур и паттернов обнаружения. | Гибкая настройка правил обнаружения, есть возможность загрузить свои базы сигнатур и настроить их обновление | Имеется | Имеется | Отсутствует | Имеется | Имеется |
Переключение режимов работы IPS/IDS | Имеется | Имеется возможность работы по схеме Monitor (Только IDS, при сборе SPAN-трафика) или Inline (В разрыв соединения. Возможность переключения IDS и IPS. В случае выхода из строя, переходит в bypass-режим) | Имеется | Отсутствует | Имеется | Имеется |
Включение отдельных сигнатур в режим обнаружения или предотвращения | Имеется | Имеется | Имеется | Имеется | Отсутствует | Отсутствует |
Возможность сбора дампа трафика при срабатывании сигнатуры. | Имеется | Имеется | Отсутствует | Отсутствует | Имеется | Отсутствует |
Настройка политик безопасности при помощи сценариев (SOAR) | Сценарий является дополнительным условием в правилах межсетевого экрана и в правилах пропускной способности, позволяя администратору настроить реакцию USERGATE на определенные события | Отсутствует | Отсутствует | Отсутствует | Отсутствует | Отсутствует |
Возможность применения различных профилей IPS к разным группам пользователей или типам трафика | Имеется | Отсутствует | Отсутствует | Отсутствует | Отсутствует | Имеется |
Количество приложений в базе фильтрации | Около 1000 | Около 2700 | Около 200 | 296 в несертифицированной версии, 255 в сертифицированной | 0 | 0 |
Возможность добавления нового приложения в базу | Имеется | Имеется | Имеется | Отсутствует | Отсутствует | Отсутствует |
Управление:
Usergate | Континент | xFW | Ideco | Diamond VPN/FW | Dionis DPS | |
Централизованное управление | UserGate Management Center предоставляет собой единую точку управления, из которой администратор может выполнять мониторинг управляемых устройств, применять необходимы настройки, создавать политики, применяемые к группам устройств для обеспечения безопасности корпоративной сети | Возможность активации на одном из узлов службы "ЦУС" для осуществления управления комплексом и оперативного мониторинга всех егокомпонентов, сбора и хранения журналов. На одном или нескольких рабочих местах администраторов устанавливается Менеджер конфигураций, который через ЦУС позволяет контролировать все узлы безопасности комплекса | Централизованное управление осуществляется с помощью ViPNet Administrator или ViPNet Prime, ребует подключения к ViPNet Coordinator для организации защищённого канала управления | Управление с помощью Ideco CENTER (только в несертифицированной версии) | Возможность развернуть ЦУС для централизованного управления политиками безопасности. | Возможность развернуть ЦУС для централизованного управления политиками безопасности. |
Передача событий на центральный сервер | Возможность передачи данных на LogAnalyser. Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. | Имеется возможность просмотра событий через веб-интерфейс Менеджера конфигурации. Поддерживается отправка журналов на серверы Syslog, во внешнюю базу данных. | Имеется возможность просмотра событий через веб-интерфейс. Поддерживается отправка журналов на серверы Syslog, во внешнюю базу данных. | Нет возможности просмотра событий через веб-интерфейс. Доступна отправка журналов на серверы Syslog, во внешнюю базу данных с межсетевого экрана | Имеется возможность просмотра журналов с узлов безопасности в ЦУС | Имеется возможность просмотра журналов с узлов безопасности в ЦУС |
Наличие различных ролей доступа к управлению | Возможность создания учетных записей администраторов с различными правами на просмотр и изменение разделов конфигурации. | 4 встроенные роли, возможность создания пользовательских, назначения нескольких ролей одному администратору | 2 встроенные роли - пользователь и Администратор. Наличие нескольких вариантов УЗ Администратора - администратор всей сети ViPNet, администратор группы узлов, локальный администратор узла. Полномочия различных Администраторов на узле идентичны. | Две встроенные роли: Администратор и ReadOnly | Только одна роль администртора | Одна учётная запись оператора с правами на просмотр. Множество учётных записей администраторов с различными правами на редактирование |
Мультифакторная аутентификация | Штатными средствами UserGate NGFW можно использовать TOTP как второй фактор, а также есть возможность подключать технологических партнеров из открытой экосистемы UserGate, таких как Multifactor или Аладдин. | Отсутствует | Отсутствует | Двухфакторная аутентификация через сервис SMS Aero (только в несертифицированной версии) | Отсутствует | Отсутствует |
Подробный журнал срабатывания правил межсетевого экрана | Имеется журнал срабатывания правил межсетевого экрана, NAT, DNAT, Port forwarding, Policy-based routing. Для регистрации данных событий необходимо включить журналирование в необходимых правилах. | Имеется. Данные хранятся в журнале сетевой безопасности. Есть возможность настроить детализацию журналирования | Имеется. Данные хранятся в журнале регистрации IP-пакетов. Есть возможность настроить детализацию журналирования | Имеется | Имеется. Данные хранятся в журнале межсетевого экрана. Отсутствует возможность настроить детализацию журналирования | Имеется возможность протоколирования правил фильтрации |
Логирование действий пользователя | Журнал событий отображает события, связанные с изменением настроек сервера UserGate. Здесь же отображаются все события входа в веб-консоль, авторизации пользователей через Captive-портал или VPN, старта, выключения, перезагрузки сервера и т.п. | Имеется. Данные хранятся в журнале сетевой безопасности. Есть возможность настроить детализацию журналирования | Имеется. Данные хранятся в системном журнале. Есть возможность настроить детализацию журналирования | Журнал авторизации пользователей | Имеется. Данные хранятся в журнале системных событий. Отсутствует возможность настроить детализацию журналирования | Имеется. Данные хранятся в журнале действий администратора |
Прочие журналы и отчёты | Поисковые запросы пользователей в популярных поисковых системах События, регистрируемые правилами контроля систем АСУ ТП. События, регистрируемые системой обнаружения и предотвращения событий. События, связанные с изменением настроек сервера UserGate, обновлений различных списков и т.п. | Сообщения событий системы, со всех УБ домена, контролируемого текущим ЦУС. События VPN, удалённого доступа, контроля приложений. События, регистрируемые системой обнаружения и предотвращения вторжений. Есть возможность настройки уровня детальности журналирования, отображения виджетов со статистикой мониторинга различных параметров, формирования отчётов по событиям в соответствии с выбранными критериями, | Возможность в веб-интерфейсе следить за состоянием узла ViPNet xFirewall в режиме реального времени, просматривая графики загрузки процессора и оперативной памяти, время непрерывной работы, а также текущее состояние сервисов и драйверов. Возможность просмотра журнала транспортных конвертов (MFTP). | Есть возможность до 90 дней просмотра количества авторизированных полльзователей, загрузки процессора, занятой оперативной памяти, средней нагрузки, количества соединений. Возможно просматривать топы: пользователей по объему трафика/количеству запросов, группы по объему трафика/количеству запросов, категорий по объему трафика/количеству запросов, сайтов по объему трафика/количеству запросов, протоколов по объему трафика/количеству запросов, а так же топы заблокированных сайтов, категорий и протоколов. Доступен просмотр количетсва атак, классифицированный по уровням угроз, включая топы: пользователей по заблокированным запросам, атакованных адресов, атакующих адресов, заблокированных типов атак, атакующих стран | Журнал СОВ, журнал VPN | Журнал IP-пакетов, общесистемный журнал, сообщения сервисов, сообщения ядра, сообщения от сервисов динамической маршрутизации, сообщения, требующие внимания, сообщения безопасности |
Возможность передачи логов в SIEM | Поддерживает мониторинг с помощью протоколов SNMP v2c и SNMP v3. Поддерживается как управление с помощью запросов (SNMP queries), так и с помощью отсылки оповещений (SNMP traps). | Поддерживает мониторинг и управлени (OID из стандартных MIB и CONTINENT-SNMP-MIB) с помощью протоколов SNMP v2 и SNMP v3. | Интеграция с ViPNet TIAS. Поддерживает мониторинг и управление (частично) с помощью протоколов SNMP v2 и SNMP v1. | SNMP | Поддерживает мониторинг с помощью протоколов SNMP | Поддерживает мониторинг с помощью протоколов SNMP |
Оповещения | SMTP, доставка сообщений с помощью e-mail. | SMTP, доставка сообщений с помощью e-mail. SMPP, доставка сообщений с помощью SMS практически через любого оператора сотовой связи или через большое количество SMS-центров рассылки | С помощью ПК ViPNet StateWatcher | Оповещения через Telegram-bot | Отсутствует | SMTP, доставка сообщений с помощью e-mail. |
Управление резервными копиями | Экспорт настроек | Создание, управление, восстановление. Поддерживает автоматическое резервирование политик доступа | Экспорт справочников, лицензии и настроек | Создание, автоматическое ежедневное копирование с настройкой времени копирования и временем хранения (месяц/неделя), выгрузка на FTP-сервер, выгрузка в общую папку CIFS | Отсутствует | Имеется |
Поддержка WCCP | Имеется | Отсутствует | Отсутствует | Отсутствует | Отсутствует | Отсутствует |
Поддержка VLAN | Имеется | Имеется | Имеется | Имеется | Имеется | Имеется |
Объединение физических интерфейсов в один логический агрегированный интерфейс (бонд) | Имеется | Имеется | Имеется | Отсутствует | Имеется | Имеется |
Объединения интерфейсов в мост (bridge) | Имеется | Имеется | Отсутствует | Имеется | Имеется | Имеется |
Функция балансировщика нагрузки | Балансировка может быть предоставлена для внутренних серверов, публикуемых в интернет, внутренних серверов без публикации, а также для балансировки трафика, пересылаемого на внешние серверы или ферму ICAP-серверов. | Возможность работы Multi-WAN в режиме "Балансировка" | Возможность создания нескольких статических маршрутов в сеть через разные шлюзы и настройки балансировки IP-трафика между этими маршрутами | Имеется возможность балансировки трафика в Мбит/с между внешними интерфейсами | Возможность попакетной балансировки трафика на основе заголовков 2-4 уровней | Имеется |
Дистанционное обновление компонентов ПО | Имеется | Имеется | Имеется | Через веб-интерфейс и/или обновления по расписанию | Имеется | Передача файлов обновления с помощью команды "ssh get" с дальнейшим обновлением из файла в локальной файловой системе. |
Технические характеристики:
Usergate | Континент | xFW | Ideco | Diamond VPN/FW | Dionis DPS | |
Базовая ОС | Собственная (Linux) | Собственная (CentOS) | Собственная (Debian) | Собственная (на основе Fedora) | freebsd | Linux 4.14.xx |
Скорость Firewall | До 60 Гбит/с (UserGate F8000) | До 80 Гбит/с (Континент 4 IPC-3000NF2) | До 19 Гбит/с (xFirewall xF5000) | До 76,3 Гбит/с (ideco EX) | До 48 Гбит/с (Diamond VPN/FW 7151) | До 90 Гбит/с (Dionis DPS 7000 Series) |
Скорость со всеми включёнными функциями | до 8 Гбит/с (UserGate F8000) | До 7 Гбит/с (Континент 4 IPC-3000NF2, Континент 4 IPC-3000F) | До 669 Мбит/с (xFirewall xF5000) | До 3,7 Гбит/с (ideco EX) | До 8 Гбит/с (Diamond VPN/FW 7151) | До 8 Гбит/с (Dionis DPS 7000 Series) |
Максимальное кол-во сессий | 48000000 (UserGate F8000) | 10 000 000 | 9900000 (xFirewall xF5000) | 5 000 000 | 10 000 000 | 60 000 000 (Dionis DPS 7000 Series) |
Максимальное количество портов Ethernet 10/100/1000 | до 49 (UserGate F8000 - 9 встроено, 40 дополнительно с использованием плат расширений) | До 9 (IPC-3000NF2) | До 6 (xFirewall xF1000 C) | До 6 (Ideco SX+) | До 32 (серия 71хх) | До 48 (Dionis DPS 7000 Series) |
Максимальное количество портов SFP+ | до 24 (UserGate F8000 - 4 встроено, 20 дополнительно с использованием плат расширений) | До 8 SFP+ и 4 SFP (Континент 4 IPC-1000NF2) | До 4 (xFirewall xF5000) | До 4 10G SFP+ | До 8 GbE SFP, до 2 10G SFP (серия 71хх) | До 48 GbE SFP, до 24 10G SFP+, до 12 40GbE QSFP+ (Dionis DPS 7000 Series) |
Поддержка нескольких провайдеров | Имеется | Имеется | Имеется | Имеется | Имеется | Имеется |
Аппаратное ускорение | В разработке (Usergate DCFW) | Возможность установки на некоторые платформы криптоускорителя, который обеспечивает повышенную производительность при шифровании трафика в VPN. | Отстутсвует | Отстутсвует | Отсутствует. Имеется отдельное решение для шифрования каналов связи - Dcrypt XG | Отсутствует |
Варианты исполнения, поддерживаемые платформы виртуализации:
Usergate | Континент | xFW 5 | Ideco | Diamond VPN/FW | Dionis DPS | |
Аппаратное исполнение | Имеется | Имеется | Имеется | Имеется | Имеется | Имеется |
Наличие аппаратной модели, предназначенной для функционирования в сложных климатических условиях | Usergate X1 | Отсутствует | Отсутствует | Отсутствует | Линейка 81хх | Отсутствует |
ПО для установки на сервер общего назначения | Отсутствует | Имеется | Имеется | Имеется | Отсутствует | Отсутствует |
Поддержка Vmware | Имеется | Имеется | Имеется | Имеется | Отсутствует | Отсутствует |
Поддержка Hyper-V | Имеется | Не гарантируется | Имеется | Имеется | Отсутствует | Отсутствует |
Поддержка VirtualBox | Имеется | Не гарантируется | Имеется | Имеется | Отсутствует | Отсутствует |
Поддержка KVM | Имеется | Не гарантируется | Не гарантируется | Имеется | Отсутствует | Отсутствует |
Поддержка XenServer | Имеется | Не гарантируется | Не гарантируется | Имеется | Отсутствует | Отсутствует |
Поддержка OpenStack | Имеется | Не гарантируется | Не гарантируется | Не гарантируется | Отсутствует | Отсутствует |
Поддержка Citrix | Не гарантируется | Не гарантируется | Не гарантируется | Имеется | Отсутствует | Отсутствует |
Поддержка Oracle VM Server | Не гарантируется | Не гарантируется | Не гарантируется | Не гарантируется | Отсутствует | Отсутствует |
Сертификация:
Usergate | Континент | xFW 5 | Ideco | Diamond VPN/FW | Dionis DPS | |
Наличие сертификата ФСТЭК России | Сертификат ФСТЭК России № 3905 от 26.03.2018 Межсетевой экран типа А, Б и Д 4 класса защиты, Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4) | Сертификат ФСТЭК России № 4496 от 14.12.2021 Межсетевой экран тип А, 4 класс (МЭ А4) Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4) | Сертификат ФСТЭК России № 4496 от 14.12.2021 Межсетевой экран тип А, 4 класс (МЭ А4) Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4) | Сертификат ФСТЭК России № 4503 от 28.12.2021 Межсетевой экран тип А и Б, 4 класс Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4) | Сертификат ФСТЭК России № 4066 от 24.01.2019 Межсетевой экран тип А, Б и В, 4 класс (МЭ А4, МЭ Б4, МЭ В4) Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4) | Сертификат ФСТЭК России № 3530 от 20.02.2016 Межсетевой экран тип А класс 2 (МЭ А2) Система обнаружения вторжений уровня сети, 2 класс (СОВ 2) 2 уровень доверия средств обеспечения безопасности (УД 2) |
Наличие сертификата ФСБ России | Отсутствует | Для версии 4 планируется получение в ближайшее время. Предыдущая версия сертификат имеет. | Отсутствует. Для выполнениря функций СКЗИ имеется отдельный сертифицированный продукт - ViPNet Coordinator | Отсутствует | Отсутствует | Сертификат №СФ/124-3958 от 30.12.2020 |
Наличие реестрового номера решения в Едином реестре российских программ для электронных вычислительных машин и баз данных Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации | ||||||
Реестр российской радиоэлектронной продукции | Включён только аппаратный комплекс Usergate C150 (06.04.2022). Планируется разработка ПАК на основе платформы. | Континент 4 IPC-R10, Континент 4 IPC-R50, Континент 4 IPC-R300, Континент 4 IPC-R550, находятся в реестре телекоммуникационного оборудования российского происхождения (ТОРП) | Не включён в реестр | Отсутвует | Отсутвует | Отсутвует |
Варианты использования
Usergate | Континент | xFW 5 | Ideco | Diamond VPN/FW | Dionis DPS | |
Защита внешнего периметра корпоративной сети | + | + | + | + | + | + |
Сегментация внутренней сети | + | + | + | + | + | + |
Создание защищенной корпоративной сети передачи данных с использованием алгоритмов ГОСТ | - | + | - | - | + | + |
Создание VPN ГОСТ «поверх» существующей VPN-сети | - | + | - | - | + | + |
Защищенный удаленный доступ | + | + | - | + | + | + |
Защита информационных систем персональных данных (ИСПДн) | + | + | + | + | + | + |
Защита государственных информационных систем (ГИС) | + | + | + | + | + | + |
Защита от сетевых вторжений | + | + | + | + | + | + |
Защищённая публикация ресурсов | + | - | - | + | - | - |
Гостевой интернет-доступ через Wi-Fi. | + | - | - | - | - | - |
Резюмируя всё, написанное выше – идеального NGFW/UTM, закрывающего все потребности, работающего стабильно и выдающего большую производительность, на отечественном рынке пока нет. Большинство решений изначально разрабатывались под конкретную целевую аудиторию и теперь выход на более широкий рынок даётся производителям с трудом.
Однако работа в этих направлениях ведётся активная, и будет интересно посмотреть, во что эти продукты разовьются через несколько лет.
P.S. Данное видение является частным мнением @fiexagon и не отражает позицию компании.
