Ну и оставляю право сосуществования маркетинговых исследователей Гартнер паралельно с технарями из NSS Labs. Иногда нужно понимание «силы» вендора и его рыночных перспектив, а иногда нужно иметь возможность технически сравнить возможности разных продуктов.
Чисто мое ИМХО: NGFW это эволюция шлюза безопасности для построения правил на основе групп LDAP (AD интеграция) и возможности фильтрации приложений в трубе 80 порта.
Считаю, что разделение на Enterprise и малый бизнес оправдано, т.к. и цены и возможности масштабирования существенно разлисаются. Просто нужно меньше обращать внимание на кричащий маркетинг PaloAlto, что им удалось переосмыслить фаервол -на поверку много их функций оказываются «для галочки»
Присоединяюсь к вопросу про инспекцию HTTPS — интересно узнать как вы это реализовываете.
Знаю схему Radware, там вообще 3 устройства рекомендованы к применению: защита от «общего» DDoS (DefensePro, установка до пограничного фаервола), затем терминация HTTPS на балансировщике (Alteon) с последующей петлей расшифрованного трафика на очиститель DefensePro, и затем окончательная фильтрация на фаерволе уровня приложений (WAF, AppWall). Существуют, конечно, и упрощенные схемы защиты, но там приходится чем-то жертвовать.
Спасибо за хорошую статью, вроде на пальцах, а доступно и доходчиво про атаки и их защиту расписано. Желаю дальнейших успехов в столь благородном деле!
Подскажите, а были ли обращения к вам финансовых учреждений (где персональные данные, фин.транзакции и другая чувствительная информация), или такие предпочитают защищаться коробочными решениями а-ля Arbor, Radware?
А не будет как в прошлые разы — подписаться бесплатно, а забыть отписаться и снимаются деньги за подписку?
(уже убедился на сайте — After the first month, your subscription will automatically continue and payments will be taken monthly unless you cancel within 27 days of the start date.)
Как справедливо написал автор, часть энергии велосипедиста расходуется на раскачку самого велосипеда с амортизаторами, вместо того, чтобы по максимуму использоваться для движения вперед. Автоматически-интеллектуальный способ решения этой проблемы и описан в статье.
Спасибо за отзывы и корректировки, название статьи решил сменить на более нейтральное, т.к. глубокого сравнения между существующими аналогами у конкурентов не проводилось, да и идея статьи родилась как расширенный комментарий, а не как целенаправленное исследование.
А не приходилось ли с PaloAlto работать? Мощную рекламную кампанию устроили (даже в YouTube баннеры были), да и технологически purpose-built hardware и однопроходная фильтрация заманчиво звучат.
Our gateways only support NAT-T when all of the following is true:
The gateway has to be a «dynamic» gateway without a fixed IP
Certificate-based authentication must be used for the VPN community
The remote end has to initiate the NAT-T request
Планируется ли изменение ситуации к лучшему — затрудняюсь сказать.
Если я правильно понял, под голым IPsec имеется в виду реализация согласно RFC, тот же IKE (rfc 2409), ESP (RFC 4303) и т.д. CheckPoint и та же Cisco в своих реализация VPN на основе IPsec не изменяет заголовки 2-го уровня, максимум, что может быть изменено так это IP заголовок, но и то, только в тунельном режиме (tunnel mode).
Касательно удаленного доступа (remote access) Вы правы, многие крупные вендоры поддерживают данный тип VPN (имеется в виду SSL VPN, как через клиента, так и без). Тут особых уникальностей нет, разве что уже упомянутые выше флешки GO с аппаратным шифрованием и предустановленным защищенным рабочим местом и VPN-клиентом, ну и управление всеми клиентами и политиками, опять-таки, с единой консоли централизованного управления.
Чисто мое ИМХО: NGFW это эволюция шлюза безопасности для построения правил на основе групп LDAP (AD интеграция) и возможности фильтрации приложений в трубе 80 порта.
Знаю схему Radware, там вообще 3 устройства рекомендованы к применению: защита от «общего» DDoS (DefensePro, установка до пограничного фаервола), затем терминация HTTPS на балансировщике (Alteon) с последующей петлей расшифрованного трафика на очиститель DefensePro, и затем окончательная фильтрация на фаерволе уровня приложений (WAF, AppWall). Существуют, конечно, и упрощенные схемы защиты, но там приходится чем-то жертвовать.
Подскажите, а были ли обращения к вам финансовых учреждений (где персональные данные, фин.транзакции и другая чувствительная информация), или такие предпочитают защищаться коробочными решениями а-ля Arbor, Radware?
(уже убедился на сайте — After the first month, your subscription will automatically continue and payments will be taken monthly unless you cancel within 27 days of the start date.)
9 июля: Украинские студенты создали перчатки, переводящие язык жестов в речь
10 июля: Почему у украинских ребят не получится эффективный жестовый переводчик?
Это моя первая статья, проба пера, так сказать. На будущее постараюсь учесть замечания хабрасообщества.
Our gateways only support NAT-T when all of the following is true:
The gateway has to be a «dynamic» gateway without a fixed IP
Certificate-based authentication must be used for the VPN community
The remote end has to initiate the NAT-T request
Планируется ли изменение ситуации к лучшему — затрудняюсь сказать.
Касательно удаленного доступа (remote access) Вы правы, многие крупные вендоры поддерживают данный тип VPN (имеется в виду SSL VPN, как через клиента, так и без). Тут особых уникальностей нет, разве что уже упомянутые выше флешки GO с аппаратным шифрованием и предустановленным защищенным рабочим местом и VPN-клиентом, ну и управление всеми клиентами и политиками, опять-таки, с единой консоли централизованного управления.