Современные межсетевые экраны — обязательный атрибут безопасности как для частных, так и для государственных компаний. Они позволяют защитить ИТ-периметр от попыток получить несанкционированный доступ к важной и конфиденциальной информации, передачи на компьютер зловреда или опасного программного обеспечения, а также сетевых атак хакеров. Но как среди множества решений подобрать то, которое будет подходить конкретной компании лучше всего? Чтобы было проще разобраться — подробно рассмотрели и сравнили сразу три межсетевых экрана: Ideco NGFW, Traffic Inspector и UserGate.
Ideco NGFW — решение, включающее в себе несколько модулей для защиты периметра компании: межсетевой экран, VPN-сервер, контроль приложений, контентную фильтрацию и функционал для предотвращения вторжений. Комплекс входит в реестр российского программного обеспечения Минцифры РФ и сертифицирован ФСТЭК по требованиям к межсетевым экранам типа А, Б 4-го класса и системам обнаружения вторжений.
Traffic Inspector Next Generation — универсальный шлюз безопасности (UTM) на базе Opnsense — межсетевого экрана с открытым исходным кодом. Решение подходит как для малого и среднего, так и для крупного бизнеса, а также для внедрения в государственных структурах.
UserGate — есть как аппаратные, так и виртуальные решения, которые легко разворачиваются в инфраструктуре заказчика. Подходят для крупного бизнеса, государственных организаций, телекоммуникационных компаний, учебных и научных организаций, а также компаний среднего и малого сегментов бизнеса.
Общие особенности решений
Функциональность |
Ideco NGFW |
Traffic Inspector |
UserGate |
| Поддержка платформы x86_64 | ✓ | ✓ | Установка возможна на аппаратные решения UserGate |
| Поддержка виртуализации | VMware; Microsoft HyperV; VirtualBox; KVM; Citrix XenServer |
VirtualBox; VMWare; Hyper-V KVM |
VMWare; Hyper V; Xen; KVM; Virtual Box; OpenStack |
| Базовая операционная система | Собственная — на основе Fedora (Linux 6.3) | Opensense (FreeBSD) | Собственная (Linux) |
| Интеграция с ALD Pro | ✓ | ✕ | ✕ |
| Интерфейс управления | Веб-интерфейс, SSH, локальная консоль с меню |
Веб-интерфейс, SSH, локальная консоль с меню |
Веб-интерфейс, SSH, локальная консоль |
| Сертификация ФСТЭК | ИТ.МЭ.А4.ПЗ; ИТ.МЭ.Б4.ПЗ; ИТ.СОВ.С4.ПЗ; УД4 |
ИТ.МЭ.А4.ПЗ; ИТ.МЭ.Б4.ПЗ; ИТ.СОВ.С4.ПЗ |
ИТ.МЭ.А4.ПЗ; |
В первую очередь при подборе межсетевого экрана важно обратить внимание на общие характеристики, такие, как возможность интеграции с другими решениями (например, с системой для централизованного управления и автоматизации ALD Pro или гипервизорами, позволяющими запускать сразу нескольких виртуальных машин на одной физической), удобство интерфейса управления и многое другое.
Еще один пункт, который актуален особенно для государственных организаций — наличие сертификации ФСТЭК. Решения могут иметь разные классы защищенности и доверия: так, самый низший — 6, после — 5 и далее по убыванию. У всех трёх рассматриваемых решений 4 класс: он используется для работы с данными 1 уровня защищенности и подойдет большинству государственных организаций. А межсетевые экраны самых высоких классов защиты — 3, 2 и 1 — обычно внедряются там, где работают с государственной тайной.
Безопасность для компании
Функциональность |
Ideco NGFW |
Traffic Inspector |
UserGate |
| Система предотвращения вторжений (IPS) | ✓ | ✓ | ✓ |
| Межсетевой экран (Zone Based Firewall) | ✓ | Решение не является Zone Based | ✓ |
| Контроль приложений | ✓ | ✓ | ✓ |
| Блокировка сетей ботнетов | ✓ | ✕ | ✓ |
| Блокировка по списку НКЦКИ | ✓ | ✕ | ✓ |
| Web Application Firewall (межсетевой экран для веб-приложений | ✓ | ✓ | ✓ |
| Блокировка по IP Reputation / GeoIP / Криптомайнеров | ✓ | ✓ | ✓ |
| Защита от утечек конфиденциальной информации DLP | Нет, но есть интеграция с сторонними DLP по ICAP |
Нет, но есть интеграция с сторонними DLP по ICAP |
Нет, но есть интеграция с сторонними DLP по ICAP |
| Авторизация пользователей | IP; IP+MAC; Web; SSO (Kerberos); Логи безопасности Active Directory |
IP; IP+MAC; Web; Kerberos; Radius |
IP; Web; Kerberos; Radius; Клиент авторизации |
| Интеграция с SIEM | ✓ | ✓ | ✓ |
| Защита от подбора паролей (bruteforce) | ✓ | ✓ | ✓ |
Отдельного внимания стоит прямой функционал межсетевых экранов, который позволяет обезопасить конфиденциальную информацию и пользователей. Например, сюда можно отнести возможность интеграции с SIEM (Security information and event management, «управление событиями и информацией о безопасности») — программными продуктами, предназначенными для сбора и анализа информации о событиях безопасности, а также защиту от подбора паролей, контроль приложений и другие полезные возможности.
Контентная фильтрация
Функциональность |
Ideco NGFW |
Traffic Inspector |
UserGate |
| Работа с HTTPS-трафиком | С подменой и без подмены сертификатов (по SNI) | ✓ | С подменой и без подмены сертификатов |
| Количество категорий в URL-фильтре | 146 | 146 Net Police по доп. подписке | 80 |
| Количество URL в базе данных | более 500 млн | неизвестно | неизвестно |
| Блокирование файлов по расширениям и MIME-type | ✓ | ✓ | ✓ |
| Блокировка анонимайзеров | ✓ | ✓ | ✓ |
| Перенаправление запросов на определенный URL | ✓ | ✕ | ✕ |
Важный функционал межсетевых экранов — фильтрация интернет-трафика. Она позволяет значительно увеличить безопасность локальной сети и не дает пользователям посещать потенциально опасные ресурсы, которые, к примеру, могут стать причиной утечек информации и данных. Кроме того, можно блокировать скачивание и отображение файлов по расширениям, перенаправлять запросы и так далее.
Сетевая функциональность
Функциональность |
Ideco NGFW |
Traffic Inspector |
UserGate |
| Статическая маршрутизация | ✓ | ✓ | ✓ |
| Динамическая маршрутизация | OSPF; BGP |
OSPF; BGP |
OSPF; BGP; RIP |
| Резервирование каналов | ✓ | ✓ | ✓ |
| IGMP Proxy | ✓ | ✓ | ✓ |
| WCCP | ✓ | ✓ | ✓ |
| Балансировка каналов | ✓ | ✓ | ✓ |
| Агрегирование каналов (LACP) | ✓ | ✓ | ✓ |
| Поддержка VLAN | ✓ | ✓ | ✓ |
| Поддержка IPv6 | В разработке | ✓ | ✓ |
| Проброс портов, публикация ресурсов | DNAT; Обратный прокси; Публикация Outlook Web Access |
✓ | DNAT; Обратный прокси |
| Контроль полосы пропускания | ✓ | ✓ | ✓ |
| Site-to-site VPN (соединение офисов) | IKEv2/IPsec | L2TP; PPTP; OpenVPN |
L2TP/IPsec |
| Client-to-site VPN (подключение клиентов) | IKEv2/IPSec; L2TP/IPSec; PPTP; SSTP |
PPTP; PPPoE; L2TP |
✓ |
| Мультифакторная авторизация удаленных пользователей | SMS Aero; TOTP Token; Мультифактор |
TOTP Token; Мультифактор |
✓ |
| Кластер отказоустойчивости | Да: Active-Passive | Да: Active-Passive | ✓ |
При выборе межсетевого экрана компаниям также важно обращать внимание на сетевую функциональность — например, на поддержку определенных протоколов (например, для эффективной маршрутизации, упрощения администрирования сети, сокращения временных затрат на обработку адресов), наличие отказоустойчивости и резервных каналов.
Дополнительные службы
Функциональность |
Ideco NGFW |
Traffic Inspector |
UserGate |
| DNS сервер | ✓ | ✓ | ✓ |
| DHCP-сервер | ✓ | ✓ | ✓ |
| NTP | ✓ | ✓ | ✓ |
| Почтовый релей | ✓ | ✓ | ✕ |
| Почтовый сервер | ✓ | ✕ | ✕ |
| Квоты трафика | ✓ | ✓ | ✓ |
У межсетевых экранов могут быть предусмотрены дополнительные службы и возможности. Например, DNS-сервер для хранения информации (IP-адреса, домены, адреса электронных почт и так далее), почтовый релей (узел, занимающийся получением и пересылкой электронной почты), клиент-серверный протокол DHCP (Dynamic Host Configuration Protocol) для автоматического прописывания сетевых параметров для новых подключенных устройств, квоты трафика для настройки ограничения количества скачивания информации пользователями и многие другие.
Остались вопросы по межсетевым экранам? Ранее готовили подробную статью про виды, функционал, а также про нюансы, на которые стоит обращать внимание при выборе решения.
Подобрать продукт можно в каталоге 1csoft, а также у сети партнеров фирмы «1C»
А если вы хотите стать партнёром и начать продавать программное обеспечение заказчикам: dist.1c.ru
Вы можете оставить комментарий: