После ухода большей части вендоров мирового уровня многие столкнулись с проблемой выбора отечественных решений. Так как за последние пару лет мне довелось поработать с несколькими российскими NGFW/UTM, я решил сделать сводную таблицу для их удобного сравнения в рамках различных проектов. Потом коллеги предложили добавить туда оставшиеся решения. И вот уже у нас на руках весьма подробный материал, которым я и поделюсь здесь.
Вначале приведу небольшое резюме по каждому рассматриваемому решению, основанное на личном опыте внедрения/поддержки/эксплуатации. А в конце – ту самую сравнительную таблицу по всем характеристикам.
Что мне удалось протестировать. Разбор решений
Я бы разделил все рассматриваемые решения на три категории в зависимости от имеющегося функционала.
Стильно, модно, молодёжно
Целые оркестры защиты информации, NGFW в их классическом понимании, которое иногда не очень совместимо с российскими реалиями.
• Usergate
Самый многофункциональный МСЭ из рассматриваемых здесь. Закрывает практически любые потребности – от IPSec с Cisco до гостевого портала. По функционалу Usergate, наверное, ближе других отечественных вендоров приблизился к решениям мирового уровня. Единственная фича, которой многим не хватает в наших реалиях – ГОСТовый VPN.
Из главных минусов – за такой обширный функционал приходится платить стабильностью работы. Причём, платить очень много. Если кратко, то, пожалуй, самое полнофункциональное решение, и самое нестабильное из рассматриваемых. При внедрении этого МСЭ приходится сразу закладывать в бюджет предприятия и большие затраты по его обслуживанию, и риски его простоя.
Это тот случай, когда разработчики сильно заморочились удобством использования и низким порогом вхождения в продукт, иногда даже в ущерб стандартному функционалу. Так, например, CLI проработан плохо, но зато это компенсируется очень дружелюбным веб-интерфейсом и хорошим мануалом. Можно настроить модуль техподдержки прямо в интерфейсе МСЭ, отвечают сотрудники, действительно, быстро
По функционалу не дотягивает до Usergate, но работает заметно стабильнее. Как и в Usergate отсутствует ГОСТовое шифрование. Кроме того, лично меня смущает очень небольшой выбор «железа» – если требуется сертифицированная версия, то на выбор остаётся всего две модели, и это при том, что сертификат на виртуальное исполнение до сих пор не получен. С сертифицированными версиями тут, в принципе, всё не очень хорошо. Разработчики, судя по всему, не делают на них большие ставки, поэтому, функционал в них заметно срезан по сравнению с несертифицированными.
Из потенциальных проблем также отмечу невозможность использования заявленного ClamAV после его ухода с рынка. Но это компенсируется потоковым антивирусом от Касперского.
Особый путь
Производители этих МСЭ как будто иногда специально стараются показать, что они «не как все» – отказываются от общепринятых практик, переизобретают велосипеды и т.д. и т.п. Получается странно, непривычно. Но в некоторых случаях достаточно функционально.
Берём интерфейс от Excel, замешиваем его с функционалом UTM и приправляем своими собственными алгоритмами шифрования. Продукт одного из главных производителей СЗИ на отечественном рынке. Достаточно стабильный, но требующий привыкания к интерфейсу управления. Производительность заявлена очень высокая, но реальная производительность отличается от заявленной, пожалуй, сильнее, чем у всех остальных рассматриваемых решений.
Из приятных бонусов «импортозамещения» – официальный инструмент для миграции политик из некоторых версий Check Point.
Опять же, Infotecs – один из мастодонтов отечественного cybersec-рынка. Тем страннее видеть от них продукт, настолько не вписывающийся в общепризнанные стандарты.
xFirewall, пожалуй, даже ещё более специфичен, чем Континент. Но, как и Континент, несмотря на всю свою странность и обилие спорных решений, работает xFirewall достаточно стабильно.
Начнём с начала. Кто знаком с продукцией Infotecs, тот знает, как они любят множить сущности (можно вспомнить ту же необходимость устанавливать 4 отдельных компонента (Сервер и клиент ЦУСа, УКЦ и ViPNet Client) для администрирования. Так вот, в случае с xFirewall у них это возведено в абсолют. Для администрирования межсетевого экрана вам нужно купить… межсетевой экран. Только другой, не этот. Так сложилось, что сердцем сети ViPNet являются ViPNet Coordinator. И без приобретения хотя бы одной, самой младшей модели, вы просто не сможете создать ключевую информацию для своего xFirewall. А Coordinator, сам по себе, является межсетевым экраном. Без IPS, зато, с криптографией, которой лишён xFirewall. И получается, что, вроде как, это NGFW – а на руках всё равно оказывается дополнительная железка. Насколько мне известно, от этого планируется уйти в следующих версиях продуктов. Но пока их выпустят, пока сертифицируют… В общем, когда их ждать, не очень понятно.
Функционал у самого xFirewall небогатый. Особенно на фоне решений выше. Сюда же идет очень низкая производительность IPS. Из плюсов – простота интеграции в существующие сети ViPNet (видимо, разработчики пока что, в первую очередь, делают ставку на текущих клиентов, на создание своеобразной экосистемы Infotecs) и стабильность работы.
Быстро, дёшево, сердито
Cредства, пришедшие в наш мир из мира гостайны. Малофункциональные, топорные, но достаточно производительные и дешёвые.
Тут, наверное, лучше всего подойдёт фраза «Работает – не трогай». Этот МСЭ показывает вполне неплохие результаты во время эксплуатации, а вот во время обновления, часто, начинаются пляски с бубном. Особенно, если разработчики решают внедрить новую фичу. А уж сколько вам придётся пережить увлекательных ночей в период его внедрения в систему предприятия…
При этом, как уже говорил ранее, во время работы железка показывает себя очень хорошо. И если не ставить на неё каждый месяц новую прошивку, то представляется вполне неплохим решением. Реальная пропускная способность, так, у Diamond-ов, вообще, ближе всех остальных вендоров к заявленной в даташитах. Плюс ко всему, на сайте производителя имеется подробная таблица зависимости модель/размер пакета/скорость. А вместе с аппаратными шифраторами можно получить по-настоящему впечатляющую производительность.
ЦУС у этой серии пока довольно сырой, функционала мало, багов много – появился он только в этом году. Поэтому рассчитывать на него я бы пока не стал.
Если резюмировать, это добротный классический Firewall с очень сырым NG-функционалом, большая часть которого либо только-только появилась и несёт в себе кучу багов, либо представляют из себя Open Source решения, интегрированные в общую систему (та же IPS, например – обыкновенная Suricata).
По личному опыту здесь – наверное, наименее популярное решение из всех. Поэтому и сказать о нём не могу многого. Продукт не очень широко представлен на рынке. Ощущение, что производитель решил сконцентрироваться на уже имеющихся крупных заказчиках (в первую очередь, госорганах и окологосударственных компаниях), а не привлекать новых.
Хотя, свою нишу вполне может занять. Скорость у оборудования заявлена самая большая. На практике она, пожалуй, примерно соответствует Diamond-ам. Из того, в чём Дионис однозначно на первом месте – это сертификация. Из всех рассмотренных решений он пока единственный имеет ФСБшный сертификат, да и ФСТЭК его сертифицировал по более высокому уровню доверия, классам МСЭ и СОВ.
Сводная таблица характеристик
Ну и, собственно, сама таблица сравнения характеристик:
Основной функционал:
|
Usergate |
Континент |
xFW 5 |
Ideco |
Diamond VPN/FW |
Dionis DPS |
User-based политики |
С помощью политик сети администратор может настроить необходимый доступ в интернет для своих пользователей |
Возможность настройки правил МСЭ по различным объектам. В том числе, пользователям |
Может реализовывать политики безопасности для отдельных пользователей при настроенном подключении к серверу Active Directory или к LDAP-серверу |
Возможна реализация политик безопасности по различным объектам: (ip-адреса, пользователи, группы, объекты квот) |
Возможность настройки фильтрации трафика по любым полям и заголовкам |
Возможность настройки фильтрации трафика по любым полям и заголовкам |
Возможность создания правил с учетом даты/времени |
Имеется возможность указать интервалы времени, когда правило активно |
Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу |
Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу |
Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу |
Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу |
Возможность настройки правил МСЭ по различным объектам. В том числе, временному интервалу |
VPN |
В сертифицированной версии функционал Отсутствует. В несертифицированной поддерживаются протоколы L2TP, IPSec с Cisco. Поддерживает два типа VPN-сетей: Remote Access VPN (модель клиент-сервер, в которой роль клиента выполняет сервер Usergate в удалённом офисе) и Site-to-Site VPN (модель сервер-сервер) |
Собственный стек протоколов. Симметричное шифрование в соответствии с ГОСТ 28147-89 Поддерживает Site-to-Site VPN (модель сервер-сервер). Клиент-серверные решения имеются в виде отдельных продуктов: Континент TLS и Континент АП |
Только для канала управления. Для остального трафика Отсутствует функционал СКЗИ. VPN реализуется с помощью ViPNet Coordinator |
Поддерживаются протоколы PPTP, PPPoE, IKEv2/IPSec, SSTP, L2TP/IPSec. Так же доступно VPN подключение на основе собственного клиента (WireGuard) Поддерживает два типа VPN-сетей: Remote Access VPN (модель клиент-сервер, в которой роль клиента выполняет сервер Usergate в удалённом офисе) и Site-to-Site VPN (модель сервер-сервер) В сертифицированной версии есть поддержка только Site-to-Site. |
Клиент-серверная L4 VPN с поддержкой многих ГОСТовых протоколов. |
L2TP, PPTP, PPPOE |
Поддержка алгоритмов ГОСТ |
Отсутствует |
Поддержка ГОСТ 28147-89 |
Поддержка ГОСТ 28147-89 только в ViPNet Coordinator |
Не поддерживает |
Шифрование: ГОСТ 28147-89, ГОСТ Р 34.12-2015; Прочее: ГОСТ Р 34.13-2015, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 |
Шифрование: ГОСТ 28147-89, ГОСТ Р 34.12-2015; Прочее: ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2013 |
SSL VPN client / Безклиентский VPN |
Для удалённого доступа сотрудников к ресурсам компании, можно настроить веб-портал, который позволяет предоставить доступ к внутренним веб-ресурсам, терминальным и ssh-серверам компании для удаленных или мобильных пользователей, используя при этом только протокол HTTPS. Не требует установки специального клиента VPN, достаточно обычного браузера. Настройка веб-портала сводится к тому, что необходимо создать записи публикации URL внутренних веб-ресурсов. |
Отдельный продукт. Континент TLS |
Отсутствует |
Только в несертифицированной версии |
Отсутствует |
Отсутствует |
Антивирусная проверка трафика |
Потоковый антивирус Usergate. Выявлением сигнатур занимаются эксперты Центра мониторинга и реагирования UserGate (MRC-UG). |
Отсутствует |
Антивирусная защита с помощью Антивируса Касперского для Proxy Server |
Антивирус ClamAV и Антивирус Касперского на выбор только в несертифицированной версии |
Отсутствует |
Имеется, при помощи службы WCF |
Проверка почтового трафика |
Поддерживается работа с протоколами POP3 и SMTP. Позволяет проверять почтовый трафик антиспамом Usergate, проверять SMTP-трафик с помощью технологии DNSBL. |
Поддерживается работа с протоколами IMAP, POP3 и SMTP |
Антивирусная защита с помощью Антивируса Касперского для Proxy Server |
Поддерживается работа с протоколами IMAP, POP3 и SMTP |
Отсутствует |
Отсутствует |
Задание параметров защиты каждой зоны сети от DDoS-атак и сетевого флуда |
Для протоколов TCP (SYN-flood), UDP, ICMP |
Имеется |
Имеется |
Защита через функцию "предотвращение вторжений", делится по подсетям |
Имеется |
Имеется |
Настройка исключений |
Возможность настройки исключений для защиты от DDoS, исключений антивирусной проверки, проверки почтового трафика |
Возможность точечной настройки правил и исключений |
Возможность точечной настройки правил и исключений |
Исключения добавляются на правило предотвращения вторжений в целом |
Имеется |
Имеется |
Поддержка High Availability |
Возможность создания кластера конфигурации, объединения до 4 узлов кластера конфигурации в кластер отказоустойчивости, работающий в режиме Active-Passive или Active-Active. |
Возможность создания кластера отказоустойчивости, работающего в режиме Active-Passive. |
Возможность создания кластера отказоустойчивости из 2 узлов, работающих в режиме Active-Passive. Отсутствует синхронизация активных соединений. |
Возможность создания кластера из 2 узлов Active-Passive. Отсутствует синхронизация активных соединений |
Возможность создания кластера отказоустойчивости, работающего в режиме Active-Active и Active-Passive |
Возможность создания кластера отказоустойчивости, работающего в режиме Active-Active (VRRP) и Active-Passive |
Поддержка ipv6 |
Отсутствует |
Отсутствует |
Отсутствует |
Имеется |
Отсутствует |
Имеется |
Управление трафиком и контроль доступа в интернет
Usergate |
Континент |
xFW5 |
Ideco |
Diamond VPN/FW |
Dionis DPS |
|
поддержка OSPF |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
поддержка BGP |
Имеется |
Имеется |
Отсутствует |
Имеется |
Имеется |
Имеется |
поддержка RIP |
Имеется |
Отсутствует |
Имеется |
Отсутствует |
Имеется |
Имеется |
поддержка Static Routes |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
поддержка Multicast routes |
Имеется |
Имеется |
Имеется |
Отсутствует |
Отсутствует |
Имеется |
поддержка Policy-based routing |
Имеется |
Имеется |
Имеется |
Отсутствует |
Имеется |
Имеется |
поддержка Route redistribution (между BGP и Static. Между OSPFv2 и Static) |
Имеется |
Отсутствует |
Отсутствует |
Отсутствует |
Имеется |
Имеется |
Безопасная публикация ресурсов и сервисов |
При помощи DNAT и reverse-прокси |
Отдельный продукт. Континент TLS |
Отдельный продукт. ViPNet Coordinator |
DNAT/reverse Proxy |
Отсутствует |
Отсутствует |
Интеграции с Active Directory. |
Имеется |
Имеется |
Имеется |
Имеется |
Отсутствует |
Имеется |
Интеграция с прочими источниками |
LDAP, FreeIPA, TACACS+, Radius, SAML IDP |
LDAP |
LDAP |
LDAP |
Отсутствует |
LDAP |
Гостевой портал |
Гостевой интернет-доступ через Wi-Fi. Различные методы аутентификации – по одноразовому паролю, через SMS. |
Отсутствует |
Отсуствует |
Доступен. Предоставляет доступ через веб на определенный настраиваемый промежуток времени |
Отсутствует |
Отсутствует |
Контроль мобильных устройств |
Имеется возможность управлять BYOD (Bring Your Own Device) устройствами, например, установив ограничения на типы разрешенных устройств, на количество устройств, с которых пользователь может получить доступ к сети одновременно, или указав конкретные устройства, с которых будет разрешен доступ в интернет |
Имеется приложение для мобильных устройств, работающих на базе ОС Аврора, Android и IOS. С помощью приложения можно предоставить сотрудникам защищенный удалённый доступ к ресурсам компании, используя VPN–туннель по ГОСТ 28147–89. |
Через ViPNet Coordinator. Имеется приложение ViPNet Client для мобильных устройств, работающих на базе ОС Android и IOS. С помощью приложения можно предоставить сотрудникам защищенный удалённый доступ к ресурсам компании, используя VPN–туннель по ГОСТ 28147–89. |
Отсутствует |
Отсутствует |
Имеется |
Проксирование приложений |
Для пользователей, работающих с ОС Windows, можно настроить прокси-агент Usergate, позволяющий использовать возможности прокси приложениям, не умеющим работать с прокси-серверами. |
Отдельный продукт. Континент WAF |
Прокси-сервер работает в прозрачном режиме, не требует настройки программного обеспечения на рабочих местах пользователей, подключающихся к Интернету через прокси |
Прокси-сервер работает в прозрачном режиме, не требует настройки программного обеспечения на рабочих местах пользователей, подключающихся к Интернету через прокси |
Отсутствует |
Имеется возможность настройки выборочного проксирования |
Управление пропускной способностью |
Правила управления пропускной способностью позволяют ограничить канал для определенных пользователей, хостов, сервисов, приложений. |
Имеется возможность создавать правила приоретизации и маркировки (добавления ToS байта с информацией о приоритете в заголовки IP-пакетов) трафика, указывать полосы пропускания для каждого приоритета и трафика в целом |
Имеется возможность создавать правила приоретизации и маркировки (добавления ToS байта с информацией о приоритете в заголовки IP-пакетов) трафика, указывать полосы пропускания для каждого приоритета и трафика в целом |
Имеется возможность балансировки трафика в Мбит/с между внешними интерфейсами |
Имеется возможность создавать правила приоретизации и маркировки исходящего трафика, указывать полосы пропускания |
Имеется возможность создавать правила приоретизации и маркировки исходящего трафика, указывать полосы пропускания |
Контент-фильтрация и контроль приложений
Usergate |
Континент |
xFW5 |
Ideco |
Diamond VPN/FW |
Dionis DPS |
|
Интернет-фильтрация |
Блокировка посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой |
Блокировка посещения потенциально опасных ресурсов и сайтов из списка. Механизм работает как прокси, и устанавливает соединение с веб-ресурсом от своего имени. |
Блокировка посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой |
Блокировка определенных приложений, а так же блокировка с помощью контент-фильтра |
Отсутствует |
Отсутствует |
Блокировка рекламы |
Блокировка баннерной рекламы на сайтах. Возможность настройки исключений. |
Отсутствует |
Отсутствует |
С использованием NextDNS |
Отсутствует |
Отсутствует |
Принудительная активация безопасного поиска |
Возможность принудительной активации функции безопасного поиска для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube. Возможность блокировки поисковых систем, в которых не реализована функция безопасного поиска. |
Отсутствует |
Отсутствует |
Блокировка сайтов с потенциально неприемлемым контентом. Имеется возможность заблокировать доступ к ресурсам из нескольких десятков категорий |
Отсутствует |
Отсутствует |
Блокировка приложений социальных сетей |
Для самых популярных соцсетей. Имеется возможность ограничивать отдельные действия в соцсетях |
Для Facebook, LinkedIn, Instagram, Twitter |
Для самых популярных соцсетей |
Имеется возможность заблокировать доступ к ресурсам из нескольких десятков категорий, в том числе, к социальным сетям. |
Отсутствует |
Отсутствует |
Инжектирование кода на веб-страницы |
Позволяет вставить необходимый̆ код во все веб-страницы, просматриваемые пользователями. Эта возможность может быть использована для получения различных метрик, сокрытия некоторых элементов веб-страниц, а также показа рекламы или другой информации. |
Отсутствует |
Отсутствует |
Отсутствует |
Отсутствует |
Отсутствует |
Инспектирование SSL-трафика |
Можно настроить инспектирование HTTPS только для определенных категорий, например, «Вредоносное ПО», «Анонимайзеры», «Ботнеты» и при этом не расшифровывать другие категории, например, «Финансы», «Правительство» и т.п. Для определения категории сайта используется информация, передаваемая в HTTPS-запросе - SNI (Server Name Indication), а если SNI отсутствует, то поле Subject Name в сертификате сервера. Содержимое поля Subject Alternative Name игнорируется. По умолчанию включен профиль для работы с TLS версий 1.0-1.2. Имеются профили для работы с TLS 1.3 и TLS ГОСТ (TLS GOST2012256 with 28147 CNT IMIT и TLS GOSTR341001 with 28147 CNT IMIT) |
Если для коммуникации с веб-ресурсом используется протокол HTTPS, то данный механизм выполняет HTTPS-инспекцию с подменой сертификатов. Для сохранения доступа к веб-ресурсам, которые используют механизмы защиты от HTTPS-инспекции, предусмотрена возможность определять набор исключений для HTTPS-инспекции. |
Используется технология forward proxy decryption с подменой сертификатов |
Имеется |
Отсутствует |
Имеется |
DNS-фильтрация |
Фильтрация DNS-запросов пользователей, изменение DNS-запросов пользователей при помощи DNS-прокси |
Фильтрация DNS-запросов пользователей |
Фильтрация DNS-запросов пользователей |
Существует возможность перехвата DNS-запросов выходящих в сеть Интернет |
Фильтрация DNS-запросов пользователей |
Фильтрация DNS-запросов пользователей |
Система обнаружения и предотвращения вторжений (IPS)
Usergate |
Континент |
xFW 5 |
Ideco |
Diamond VPN/FW |
Dionis DPS |
|
Основа IPS |
Собственная IDS |
Собственная IDS |
Собственная IDS |
Suricata |
Suricata |
Собственная IDS с мультипроцессингом |
Обнаружение по сигнатурам (Signature Based Detection) |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
Обнаружение по статистическим аномалиям (Anomaly Based Detection) |
Имеется |
Имеется |
Имеется |
Отсутствует |
Отсутствует |
Имеется |
Обнаружение по анализу состояний протоколов (Statefull Protocol Analysis) |
Отсутствует |
Отсутствует |
Отсутствует |
Отсутствует |
Отсутствует |
Имеется |
Глубокая инспекция пакетов (Deep Packet Inspection) |
Отсутствует, решение может использоваться совместно с любыми сторонними DPI-решениями |
Имеется |
Имеется |
Отсутствует |
Отсутствует |
Отсутствует |
Обновление сигнатур |
Автоматическое обновление сигнатур с сервера управления/сайта производителя/вручную. |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
Обнаружение по превышению значения метрики заданного порогового значения. |
Отсутствует |
Имеется |
Отсутствует |
Отсутствует |
Отсутствует |
Отсутствует |
Создание собственных сигнатур и паттернов обнаружения. |
Гибкая настройка правил обнаружения, есть возможность загрузить свои базы сигнатур и настроить их обновление |
Имеется |
Имеется |
Отсутствует |
Имеется |
Имеется |
Переключение режимов работы IPS/IDS |
Имеется |
Имеется возможность работы по схеме Monitor (Только IDS, при сборе SPAN-трафика) или Inline (В разрыв соединения. Возможность переключения IDS и IPS. В случае выхода из строя, переходит в bypass-режим) |
Имеется |
Отсутствует |
Имеется |
Имеется |
Включение отдельных сигнатур в режим обнаружения или предотвращения |
Имеется |
Имеется |
Имеется |
Имеется |
Отсутствует |
Отсутствует |
Возможность сбора дампа трафика при срабатывании сигнатуры. |
Отсутствует |
Имеется |
Отсутствует |
Отсутствует |
Имеется |
Отсутствует |
Настройка политик безопасности при помощи сценариев (SOAR) |
Сценарий является дополнительным условием в правилах межсетевого экрана и в правилах пропускной способности, позволяя администратору настроить реакцию USERGATE на определенные события |
Отсутствует |
Отсутствует |
Отсутствует |
Отсутствует |
Отсутствует |
Возможность применения различных профилей IPS к разным группам пользователей или типам трафика |
Имеется |
Отсутствует |
Отсутствует |
Отсутствует |
Отсутствует |
Имеется |
Количество приложений в базе фильтрации |
Около 1000 |
Около 2700 |
Около 200 |
296 в несертифицированной версии, 255 в сертифицированной |
0 |
0 |
Возможность добавления нового приложения в базу |
Имеется |
Имеется |
Имеется |
Отсутствует |
Отсутствует |
Отсутствует |
Управление:
Usergate |
Континент |
xFW |
Ideco |
Diamond VPN/FW |
Dionis DPS |
|
Централизованное управление |
UserGate Management Center предоставляет собой единую точку управления, из которой администратор может выполнять мониторинг управляемых устройств, применять необходимы настройки, создавать политики, применяемые к группам устройств для обеспечения безопасности корпоративной сети |
Возможность активации на одном из узлов службы "ЦУС" для осуществления управления комплексом и оперативного мониторинга всех егокомпонентов, сбора и хранения журналов. На одном или нескольких рабочих местах администраторов устанавливается Менеджер конфигураций, который через ЦУС позволяет контролировать все узлы безопасности комплекса |
Централизованное управление осуществляется с помощью ViPNet Administrator или ViPNet Prime, ребует подключения к ViPNet Coordinator для организации защищённого канала управления |
Управление с помощью Ideco CENTER (только в несертифицированной версии) |
Возможность развернуть ЦУС для централизованного управления политиками безопасности. |
Возможность развернуть ЦУС для централизованного управления политиками безопасности. |
Передача событий на центральный сервер |
Возможность передачи данных на LogAnalyser. Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. |
Имеется возможность просмотра событий через веб-интерфейс Менеджера конфигурации. Поддерживается отправка журналов на серверы Syslog, во внешнюю базу данных. |
Имеется возможность просмотра событий через веб-интерфейс. Поддерживается отправка журналов на серверы Syslog, во внешнюю базу данных. |
Нет возможности просмотра событий через веб-интерфейс. Доступна отправка журналов на серверы Syslog, во внешнюю базу данных с межсетевого экрана |
Имеется возможность просмотра журналов с узлов безопасности в ЦУС |
Имеется возможность просмотра журналов с узлов безопасности в ЦУС |
Наличие различных ролей доступа к управлению |
Возможность создания учетных записей администраторов с различными правами на просмотр и изменение разделов конфигурации. |
4 встроенные роли, возможность создания пользовательских, назначения нескольких ролей одному администратору |
2 встроенные роли - пользователь и Администратор. Наличие нескольких вариантов УЗ Администратора - администратор всей сети ViPNet, администратор группы узлов, локальный администратор узла. Полномочия различных Администраторов на узле идентичны. |
Две встроенные роли: Администратор и ReadOnly |
Только одна роль администртора |
Одна учётная запись оператора с правами на просмотр. Множество учётных записей администраторов с различными правами на редактирование |
Мультифакторная аутентификация |
Отсутствует. Позволяет выбрать способ аутентификации администратора: по логину/паролю, либо по X.509 сертификату, созданному сторонней утилитой, подписанному сертификатом УЦ веб-консоли. |
Отсутствует |
Отсутствует |
Двухфакторная аутентификация через сервис SMS Aero (только в несертифицированной версии) |
Отсутствует |
Отсутствует |
Подробный журнал срабатывания правил межсетевого экрана |
Имеется журнал срабатывания правил межсетевого экрана, NAT, DNAT, Port forwarding, Policy-based routing. Для регистрации данных событий необходимо включить журналирование в необходимых правилах. |
Имеется. Данные хранятся в журнале сетевой безопасности. Есть возможность настроить детализацию журналирования |
Имеется. Данные хранятся в журнале регистрации IP-пакетов. Есть возможность настроить детализацию журналирования |
Отсутствует |
Имеется. Данные хранятся в журнале межсетевого экрана. Отсутствует возможность настроить детализацию журналирования |
Имеется возможность протоколирования правил фильтрации |
Логирование действий пользователя |
Журнал событий отображает события, связанные с изменением настроек сервера UserGate. Здесь же отображаются все события входа в веб-консоль, авторизации пользователей через Captive-портал или VPN, старта, выключения, перезагрузки сервера и т.п. |
Имеется. Данные хранятся в журнале сетевой безопасности. Есть возможность настроить детализацию журналирования |
Имеется. Данные хранятся в системном журнале. Есть возможность настроить детализацию журналирования |
Журнал авторизации пользователей |
Имеется. Данные хранятся в журнале системных событий. Отсутствует возможность настроить детализацию журналирования |
Имеется. Данные хранятся в журнале действий администратора |
Прочие журналы и отчёты |
Поисковые запросы пользователей в популярных поисковых системах События, регистрируемые правилами контроля систем АСУ ТП. События, регистрируемые системой обнаружения и предотвращения событий. События, связанные с изменением настроек сервера UserGate, обновлений различных списков и т.п. |
Сообщения событий системы, со всех УБ домена, контролируемого текущим ЦУС. События VPN, удалённого доступа, контроля приложений. События, регистрируемые системой обнаружения и предотвращения вторжений. Есть возможность настройки уровня детальности журналирования, отображения виджетов со статистикой мониторинга различных параметров, формирования отчётов по событиям в соответствии с выбранными критериями, |
Возможность в веб-интерфейсе следить за состоянием узла ViPNet xFirewall в режиме реального времени, просматривая графики загрузки процессора и оперативной памяти, время непрерывной работы, а также текущее состояние сервисов и драйверов. Возможность просмотра журнала транспортных конвертов (MFTP). |
Есть возможность до 90 дней просмотра количества авторизированных полльзователей, загрузки процессора, занятой оперативной памяти, средней нагрузки, количества соединений. Возможно просматривать топы: пользователей по объему трафика/количеству запросов, группы по объему трафика/количеству запросов, категорий по объему трафика/количеству запросов, сайтов по объему трафика/количеству запросов, протоколов по объему трафика/количеству запросов, а так же топы заблокированных сайтов, категорий и протоколов. Доступен просмотр количетсва атак, классифицированный по уровням угроз, включая топы: пользователей по заблокированным запросам, атакованных адресов, атакующих адресов, заблокированных типов атак, атакующих стран |
Журнал СОВ, журнал VPN |
Журнал IP-пакетов, общесистемный журнал, сообщения сервисов, сообщения ядра, сообщения от сервисов динамической маршрутизации, сообщения, требующие внимания, сообщения безопасности |
Возможность передачи логов в SIEM |
Поддерживает мониторинг с помощью протоколов SNMP v2c и SNMP v3. Поддерживается как управление с помощью запросов (SNMP queries), так и с помощью отсылки оповещений (SNMP traps). |
Поддерживает мониторинг и управлени (OID из стандартных MIB и CONTINENT-SNMP-MIB) с помощью протоколов SNMP v2 и SNMP v3. |
Интеграция с ViPNet TIAS. Поддерживает мониторинг и управление (частично) с помощью протоколов SNMP v2 и SNMP v1. |
SNMP |
Поддерживает мониторинг с помощью протоколов SNMP |
Поддерживает мониторинг с помощью протоколов SNMP |
Оповещения |
SMTP, доставка сообщений с помощью e-mail. |
SMTP, доставка сообщений с помощью e-mail. SMPP, доставка сообщений с помощью SMS практически через любого оператора сотовой связи или через большое количество SMS-центров рассылки |
С помощью ПК ViPNet StateWatcher |
Оповещения через Telegram-bot |
Отсутствует |
SMTP, доставка сообщений с помощью e-mail. |
Управление резервными копиями |
Экспорт настроек |
Создание, управление, восстановление. Поддерживает автоматическое резервирование политик доступа |
Экспорт справочников, лицензии и настроек |
Создание, автоматическое ежедневное копирование с настройкой времени копирования и временем хранения (месяц/неделя), выгрузка на FTP-сервер, выгрузка в общую папку CIFS |
Отсутствует |
Имеется |
Поддержка WCCP |
Имеется |
Отсутствует |
Отсутствует |
Отсутствует |
Отсутствует |
Отсутствует |
Поддержка VLAN |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
Объединение физических интерфейсов в один логический агрегированный интерфейс (бонд) |
Имеется |
Имеется |
Имеется |
Отсутствует |
Имеется |
Имеется |
Объединения интерфейсов в мост (bridge) |
Имеется |
Имеется |
Отсутствует |
Отсутствует |
Имеется |
Имеется |
Функция балансировщика нагрузки |
Балансировка может быть предоставлена для внутренних серверов, публикуемых в интернет, внутренних серверов без публикации, а также для балансировки трафика, пересылаемого на внешние серверы или ферму ICAP-серверов. |
Возможность работы Multi-WAN в режиме "Балансировка" |
Возможность создания нескольких статических маршрутов в сеть через разные шлюзы и настройки балансировки IP-трафика между этими маршрутами |
Имеется возможность балансировки трафика в Мбит/с между внешними интерфейсами |
Возможность попакетной балансировки трафика на основе заголовков 2-4 уровней |
Имеется |
Дистанционное обновление компонентов ПО |
Имеется |
Имеется |
Имеется |
Через веб-интерфейс и/или обновления по расписанию |
Имеется |
Передача файлов обновления с помощью команды "ssh get" с дальнейшим обновлением из файла в локальной файловой системе. |
Технические характеристики:
Usergate |
Континент |
xFW |
Ideco |
Diamond VPN/FW |
Dionis DPS |
|
Базовая ОС |
Собственная (Linux) |
Собственная (CentOS) |
Собственная (Debian) |
Собственная (на основе Fedora) |
freebsd |
Linux 4.14.xx |
Скорость Firewall |
До 60 Гбит/с (UserGate F8000) |
До 80 Гбит/с (Континент 4 IPC-3000NF2) |
До 19 Гбит/с (xFirewall xF5000) |
До 76,3 Гбит/с (ideco EX) |
До 48 Гбит/с (Diamond VPN/FW 7151) |
До 90 Гбит/с (Dionis DPS 7000 Series) |
Скорость со всеми включёнными функциями |
до 8 Гбит/с (UserGate F8000) |
До 7 Гбит/с (Континент 4 IPC-3000NF2, Континент 4 IPC-3000F) |
До 669 Мбит/с (xFirewall xF5000) |
До 3,7 Гбит/с (ideco EX) |
До 8 Гбит/с (Diamond VPN/FW 7151) |
До 8 Гбит/с (Dionis DPS 7000 Series) |
Максимальное кол-во сессий |
48000000 (UserGate F8000) |
10 000 000 |
9900000 (xFirewall xF5000) |
5 000 000 |
10 000 000 |
60 000 000 (Dionis DPS 7000 Series) |
Максимальное количество портов Ethernet 10/100/1000 |
до 49 (UserGate F8000 - 9 встроено, 40 дополнительно с использованием плат расширений) |
До 9 (IPC-3000NF2) |
До 6 (xFirewall xF1000 C) |
До 6 (Ideco SX+) |
До 32 (серия 71хх) |
До 48 (Dionis DPS 7000 Series) |
Максимальное количество портов SFP+ |
до 24 (UserGate F8000 - 4 встроено, 20 дополнительно с использованием плат расширений) |
До 8 SFP+ и 4 SFP (Континент 4 IPC-1000NF2) |
До 4 (xFirewall xF5000) |
До 4 10G SFP+ |
До 8 GbE SFP, до 2 10G SFP (серия 71хх) |
До 48 GbE SFP, до 24 10G SFP+, до 12 40GbE QSFP+ (Dionis DPS 7000 Series) |
Поддержка нескольких провайдеров |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
Аппаратное ускорение |
В разработке (Usergate DCFW) |
Возможность установки на некоторые платформы криптоускорителя, который обеспечивает повышенную производительность при шифровании трафика в VPN. |
Отстутсвует |
Отстутсвует |
Отсутствует. Имеется отдельное решение для шифрования каналов связи - Dcrypt XG |
Отсутствует |
Варианты исполнения, поддерживаемые платформы виртуализации:
Usergate |
Континент |
xFW 5 |
Ideco |
Diamond VPN/FW |
Dionis DPS |
|
Аппаратное исполнение |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
Имеется |
Наличие аппаратной модели, предназначенной для функционирования в сложных климатических условиях |
Usergate X1 |
Отсутствует |
Отсутствует |
Отсутствует |
Линейка 81хх |
Отсутствует |
ПО для установки на сервер общего назначения |
Отсутствует |
Имеется |
Имеется |
Имеется |
Отсутствует |
Отсутствует |
Поддержка Vmware |
Имеется |
Имеется |
Имеется |
Имеется |
Отсутствует |
Отсутствует |
Поддержка Hyper-V |
Имеется |
Не гарантируется |
Имеется |
Имеется |
Отсутствует |
Отсутствует |
Поддержка VirtualBox |
Имеется |
Не гарантируется |
Имеется |
Имеется |
Отсутствует |
Отсутствует |
Поддержка KVM |
Имеется |
Не гарантируется |
Не гарантируется |
Имеется |
Отсутствует |
Отсутствует |
Поддержка XenServer |
Имеется |
Не гарантируется |
Не гарантируется |
Имеется |
Отсутствует |
Отсутствует |
Поддержка OpenStack |
Имеется |
Не гарантируется |
Не гарантируется |
Не гарантируется |
Отсутствует |
Отсутствует |
Поддержка Citrix |
Не гарантируется |
Не гарантируется |
Не гарантируется |
Имеется |
Отсутствует |
Отсутствует |
Поддержка Oracle VM Server |
Не гарантируется |
Не гарантируется |
Не гарантируется |
Не гарантируется |
Отсутствует |
Отсутствует |
Сертификация:
Usergate |
Континент |
xFW 5 |
Ideco |
Diamond VPN/FW |
Dionis DPS |
|
Наличие сертификата ФСТЭК России |
Сертификат ФСТЭК России № 3905 от 26.03.2018 Межсетевой экран типа А, Б и Д 4 класса защиты, Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4) |
Сертификат ФСТЭК России № 4496 от 14.12.2021 Межсетевой экран тип А, 4 класс (МЭ А4) Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4) |
Сертификат ФСТЭК России № 4496 от 14.12.2021 Межсетевой экран тип А, 4 класс (МЭ А4) Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4) |
Сертификат ФСТЭК России № 4503 от 28.12.2021 Межсетевой экран тип А и Б, 4 класс Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4) |
Сертификат ФСТЭК России № 4066 от 24.01.2019 Межсетевой экран тип А, Б и В, 4 класс (МЭ А4, МЭ Б4, МЭ В4) Система обнаружения вторжений уровня сети, 4 класс (СОВ 4) 4 уровень доверия средств обеспечения безопасности (УД 4) |
Сертификат ФСТЭК России № 3530 от 20.02.2016 Межсетевой экран тип А класс 2 (МЭ А2) Система обнаружения вторжений уровня сети, 2 класс (СОВ 2) 2 уровень доверия средств обеспечения безопасности (УД 2) |
Наличие сертификата ФСБ России |
Отсутствует |
Для версии 4 планируется получение в ближайшее время. Предыдущая версия сертификат имеет. |
Отсутствует. Для выполнениря функций СКЗИ имеется отдельный сертифицированный продукт - ViPNet Coordinator |
Отсутствует |
Отсутствует |
Сертификат №СФ/124-3958 от 30.12.2020 |
Наличие реестрового номера решения в Едином реестре российских программ для электронных вычислительных машин и баз данных Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации |
||||||
Реестр российской радиоэлектронной продукции |
Включён только аппаратный комплекс Usergate C150 (06.04.2022). Планируется разработка ПАК на основе платформы. |
Континент 4 IPC-R10, Континент 4 IPC-R50, Континент 4 IPC-R300, Континент 4 IPC-R550, находятся в реестре телекоммуникационного оборудования российского происхождения (ТОРП) |
Не включён в реестр |
Отсутвует |
Отсутвует |
Отсутвует |
Варианты использования
Usergate |
Континент |
xFW 5 |
Ideco |
Diamond VPN/FW |
Dionis DPS |
|
Защита внешнего периметра корпоративной сети |
+ |
+ |
+ |
+ |
+ |
+ |
Сегментация внутренней сети |
+ |
+ |
+ |
+ |
+ |
+ |
Создание защищенной корпоративной сети передачи данных с использованием алгоритмов ГОСТ |
- |
+ |
- |
- |
+ |
+ |
Создание VPN ГОСТ «поверх» существующей VPN-сети |
- |
+ |
- |
- |
+ |
+ |
Защищенный удаленный доступ |
+ |
+ |
- |
+ |
+ |
+ |
Защита информационных систем персональных данных (ИСПДн) |
+ |
+ |
+ |
+ |
+ |
+ |
Защита государственных информационных систем (ГИС) |
+ |
+ |
+ |
+ |
+ |
+ |
Защита от сетевых вторжений |
+ |
+ |
+ |
+ |
+ |
+ |
Защищённая публикация ресурсов |
+ |
- |
- |
+ |
- |
- |
Гостевой интернет-доступ через Wi-Fi. |
+ |
- |
- |
- |
- |
- |
Резюмируя всё, написанное выше – идеального NGFW/UTM, закрывающего все потребности, работающего стабильно и выдающего большую производительность, на отечественном рынке пока нет. Большинство решений изначально разрабатывались под конкретную целевую аудиторию и теперь выход на более широкий рынок даётся производителям с трудом.
Однако работа в этих направлениях ведётся активная, и будет интересно посмотреть, во что эти продукты разовьются через несколько лет.
P.S. Данное видение является частным мнением @fiexagon и не отражает позицию компании.
Комментарии (8)
Konvergent
25.11.2022 11:25+2Закрывает практически любые потребности – от IPSec с Cisco до гостевого портала.
Интересный диапазон. Это как? Что в него входит?
По функционалу Usergate, наверное, ближе других отечественных вендоров приблизился к решениям мирового уровня.
Это к каким? Хотелось бы примеров.
Так, например, CLI проработан очень плохо
Хорошо бы конкретный проблемный кейс.
ЦУС у этой серии пока довольно сырой, функционала мало, багов много – появился он только в этом году. Поэтому рассчитывать на него я бы пока не стал.
Примеры? Чего нужного нет? Критичные баги?
либо представляют из себя Open Source решения, интегрированные в общую систему (та же IPS, например – обыкновенная Suricata).
Чем это плохо?
Хабр и размашистые таблицы - супер! Предлагаю добавить ссылку на скачивание или облако с таблицами.
Работа по сведению таблиц огромна. Считаю, что таблицы плохо справляются с донечением этого объёма инфы читателю. Возможно у меня дисплей маленький =)
Ещё в обзоре нет продуктов Интернет Контроль Сервер и Traffic Inspector. Как минимум познакомьтесь с ними.
fiexagon Автор
25.11.2022 12:28-1Документ имеется ещё вот в таком виде: https://disk.yandex.ru/i/4hwZtNbjN5ctiA По остальным вопросам - постараюсь дать развёрнутый ответ чуть позже. Или, вообще, отдельные статьи распишу. ИСКом и TI ознакомлюсь, спасибо
silinio
25.11.2022 11:26+2Из потенциальных проблем также отмечу невозможность использования заявленного ClamAV после его ухода с рынка. Но это компенсируется потоковым антивирусом от Касперского.
ClamAV работает и обновляется без каких-либо проблем на Ideco UTM.
Базы свежие.
Konvergent
25.11.2022 11:33+1Вероятно они своё зеркало обновлений подняли. А сами обновления у "товарищей" в какой-нибудь Латинской Америке одалживают.
Но это детали реализации.
Mnemonic0
25.11.2022 12:21+6Таблички конечно хорошо, но вы сами себя обманываете. Критерии сравнения выбраны совсем не те, что требуются. Задайтесь для начала вопросом: попадают ли данные решения под определение NGFW, а не просто FW с какими-то сервисами.
https://en.wikipedia.org/wiki/Next-generation_firewall
Есть чёткие критерии, которые должны быть выполнены, чтобы решение считалось NGFW:
application firewall
deep packet inspection (DPI)
an intrusion prevention system (IPS)
TLS/SSL encrypted traffic inspection
website filtering
QoS/bandwidth management
antivirus inspection
and third-party identity management integration (i.e. LDAP, RADIUS, Active Directory)
The goal of next-generation firewalls is to include more layers of the OSI model, improving filtering of network traffic that is dependent on the packet contents.
Умеешь блокировать/защищать на 7-м уровне OSI - велком в NGFW. Не умеешь - поделка на коленках.
И уже эти пункты надо отображать в каком-то виде.
Работа проделана огромная, но бесполезная, поскольку сравнивались критерии, которые "на скорость не влияют".
M14xa
25.11.2022 13:44+4Забыли Internet Control Server, тоже наш, скрепный. https://xserver.a-real.ru/
Непонятно почему )
DinoZavr2
Ну, с подключением на хабр :)