Какие антивирусы используются в современных межсетевых экранах

    Занятно посмотреть на рынок межсетевых экранов в одной из плоскостей: как у кого выглядят антивирусные движки.

    image

    Антивирус это не просто некоторый набор сигнатур, но и прилагающаяся лаборатория — ведь нужно находить новый вредоносный код, создавать сигнатуры и распространять их по своим заказчикам. Ситуация интересная: у Check Point нет своего антивируса, они включают в поставку OEM движок Лаборатории Касперского (ЛК), с которым у них есть трудности из-за санкций и они встроили движок какой-то другой, но в документации этого нет. В Российском офисе, говорят, что это BitDefender. У Cisco (FTD) включается в поставку ClamAV — бесплатный антивирус. У Fortinet (FortiGate) и Palo Alto Networks (NGFW) — свой движок антивируса и свои антивирусные лаборатории, которые поставляют сигнатуры. У российского вендора Entensys (UserGate) это движки от ЛК, Panda, Avira. У компании Ideco (UTM) и Altell (NEO) это Касперский и ClamAV. У других российских межсетевых экранов компаний Код Безопасности (Континент), Амикон (ФПСУ-IP), Инфотекс (ViPNet), Factor-TS (Дионис) в поставке антивируса нет совсем.

    Производитель Firewall  Кто им делает антивирус
    Altell (NEO) ClamAV, ЛК
    Amicon (ФПСУ-IP) -
    Check Point ЛК, BitDefender
    Cisco (FTD) ClamAV
    Entensys (UserGate) ЛК, Panda, Avira
    Factor-TS (Дионис) -
    Fortinet (FortiGate) собственный
    Ideco (UTM) ClamAV, ЛК
    Infotecs (ViPNet) -
    Palo Alto
    Networks (NGFW)
    собственный 
    Security Code (Континент) -
    Поделиться публикацией

    Комментарии 12

      0
      Интересно, в связи с гонениями на ЛК, останется он у кого-нибудь из западных вендоров?
      Кстати, насколько я помню, в ZyXEL ZyWALL тоже он использовался.
        0
        У других российских межсетевых экранов компаний Код Безопасности (Континент), Амикон (ФПСУ-IP), Инфотекс (ViPNet), Factor-TS (Дионис) в поставке антивируса нет совсем.

        На этом другие закончились? Сходу вспомнил Ideco и a-real у которых есть антивирусы.

        О чем вообще эта страница? Мне кажется, что этот текст нечаянно промахнулся мимо /dev/null. Хотя лучшее место для него — это кусок туалетной бумаги, спущенной в унитаз.

        P.S. Чуть копнул. Хватит пытаться свой Palo Alto Networks рекламировать)))
          0
          1. По Ideco принимается — добавил.
          2. В документации a-real (ИКС) download.a-real.ru/documentation.pdf видно, что продукт хорошо сделан и была попытка сделать правила межсетевого экрана, но нет важного параметра — порядка в правилах, поэтому не могу назвать этот продукт межсетевым экраном: прокси — да, антиспам -да. Если знаете разработчиков, то расскажите им, что приоритет — это не то что нужно.
          3. По остальному — ваш негатив заберите обратно.
          0
          у фактора и инфотекса есть возможность использовать антивирусное ПО. у инфотекса в рамках их устройства hw можно использовать касперский для проксисерверов.
            0
            Перед тем как написать заметку я прочитал документацию каждого вендора. Если вы пришлете ссылку на описание, где описаны их движки антивирусов, то я добавлю в таблицу. Для примера, в документации Factor-TS слово «антивирус» не встречается ни разу: factor-ts.ru/man/nx-124-handbook.pdf
            +1

            Идея для статьи хорошая, но вы не довели ее до конца. В чем ценность материала? Свой движок для ngfw это хорошо или плохо? Какие показатели у движков на том же virustotal? Какой вывод надо сделать из приведенной таблички?

              0
              Евгений, добрый день! Мне это нужно для участия в тендерах: понятно под какого вендора написано конкретное ТЗ. У каждого инженера много подобных сравнительных табличек.
              По существу вопроса: думаю еще добавить сетевые протоколы: у какого вендора какой протокол анализируется. У большинства это только HTTP и SMTP. А вот HTTPS, POP3, IMAP, SMB, FTP — уже не все могут видеть или расшифровать на лету, взять оттуда файлы и проверить сигнатуры и заблокировать. Важен ведь не просто движок, а весь комплекс. Хороший пример: зашифрованные туннели. Все кто не расшифровывает HTTPS — не видят большинства вредоносов из файлообменников и вебпочты. А HTTPS расшифровывает мало компаний, хотя его процент в трафике стремится к 75%… им остается только надеяться на хостовую защиту.
              Вы как сотрудник интегратора наверняка в курсе, что многие производители химичат с настройками для снижения нагрузки на процессор и увеличения скорости работы межсетевого экрана: проверяют не все типы файлов, проверяют только некоторое начало файла, проверяют не всеми сигнатурами (например, команда set default-db extended у Fortinet), проверяют не всеми методиками (например, настройки Inspect и Deep Scan у Check Point), снижают производительность при интеграции с песочницей (50% падение у Cisco FirePower при включении AMP). Это тоже важные исследования, которое приходится делать в пилотах, но не все их могу сделать публичными: конкуренты обижаются и минусуют мои статьи на хабре ;-) Хотя, в общем-то, все что я описываю находится в публичной документации и форумах. Моя задача: систематизировать.
                +1

                Минусуют когда публикуют однобокие "исследования". Продолжая вашу тему, сделали бы тест антивирусов на конкретном примере. Сгенерили вирус метасплойтом и таскайте через разные шлюзы по разным пртоколам. Вот это уже будет действительно ценно. Мне было бы интересно.

                  0
                  Раз интересно, то вот здесь мое выступление на PHD, где в реальном времени генерировал экслойты, отправлял их в почту и показывал как их блокирует NGFW и TRAPS.
                    0
                    Тестирование с разными вендорами — все таки прерогатива интегратора. Вдобавок, как понятно из моей таблицы, тестирование выливается в тестирование не того вендора, которого хотелось. Так в случае с Check Point — в тестирование антивируса Касперского, в случае с Cisco — в тестирование Clamav. ;-)
                0
                +
                  0
                  +

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое