Последний апдейт
18 ноября 2024
Подписаться
на обновления

img Подписаться на обновления

Некорректный формат e-mail
Согласен с Политикой в области персональных данных и даю cогласие на обработку персональных данных.
Согласен получать информационные-рекламные письма компании «Инфосистемы Джет»

Вы подписаны

Спасибо за вашу подписку, ждите свежие новости и полезные материалы

Хорошо
img Спецпроект Инфосистемы Джет

Результаты независимого тестирования NGFW

img
img
img
img
img
img
01
/
01
01
Открытая методика тестирования
02
252 теста на стенде
03
Нагрузочное и функциональное тестирование
04
Протестировано 9 решений
05
1 решение в процессе тестирования
Функциональное тестирование
Нагрузочное тестирование
Методика тестирования
О проекте и полные результаты
Интересные материалы
Связаться

Функциональное тестирование

Устройства
Континент 4.1.9
Check Point R81.2
Ideco NGFW v16
InfoWatch ARMA Стена (NGFW)
UserGate 7.1.0 RC
ViPNet Coordinator HW 5.3
Континент 4.1.7
Решение китайского производителя (7000 series, v.8.0)
Сбросить все фильтры
Группа функционала
Сетевые функции
Функции МСЭ
Функции NGFW/UTM
VPN и SD-WAN
Отказоустойчивость и кластеризация
Централизованное управление и отчетность
Интеграция
Эксплуатационные возможности
Нагрузочное тестирование
Сбросить все фильтры
0
из
0

Сетевые функции

Режимы работы

Работа в режиме L3 (Routing Mode)

Работа в режиме L2 (Transparent Mode)

Маршрутизация

Режим получения динамических маршрутов при работе в кластере


Поведение МСЭ при ассиметричной маршрутизации

Возможность указывать исходящий интерфейс при настройке маршрутизации

Приоритизация маршрутов

Поддержка Fullview (маршрутизация)

ECMP


BFD


Протоколы маршрутизации

Ограничения для поддерживаемых динамических протоколов






Интерфейсы

VXLAN

LACP

Внешние каналы

Резервирование канала

Сколько ISP поддерживается

Статическая балансировка трафика

Динамическая балансировка трафика

Механизмы мониторинга физических линков

Работа ISP redundancy с VPN

Задание приоритета для линка

Базовые функции

Поддержка виртуальных контекстов

VRF

Настройка Proxy ARP

Fail Close/Fail Open (настройка поведения устройства при высокой нагрузке)

Поведение устройства при обновлении правил/применении политики

Netflow

QoS

QoS

Применение QoS политик отдельно для интерфейсов


Применение QoS политик для зон (zones)


Функции MCЭ

МСЭ (L4)

Использование зон безопасности в политиках ACL

Использование интерфейсов в политиках ACL


Возможность включения интерфейсов в зоны

Drag&Drop при работе с объектами и политиками


Stateful Inspection

Ускорение обработки трафика

NAT-правила для определенных правил МСЭ

Расписание действия правил МСЭ

Поддержка временных правил МСЭ

Просмотр Implicit-правил

Управление Implicit-правилами

Hit Count для каждого правила

Поиск правил по объекту


Проверка правил на дубликаты


Объекты для создания правил

Блокировка по GeoIP

NAT

Очередность выполнения NAT

Возможность выбора интерфейса, на котором будет осуществляться NAT


Source NAT

Destination NAT

Bidirectional NAT

NAT inside VPN

PBR (Policy Based Routing)

PBR

Отказоустойчивый линк с провайдером при использовании PBR

Совместная работа с GRE

Совместная работа с Route-based VPN

Функции NGFW/UTM

IPS

IPS

Возможность выбора определенной группы сигнатур для защиты

Создание исключений


Создание кастомных сигнатур

Наличие документации, описывающей синтаксис, используемый при написании сигнатуры

Защита от DoS

Защита от DoS

Функционал защиты от DoS в правилах IPS

Application Control

Ограничение трафика пользователя или группы пользователей в нерабочее или обеденное время

Ограничение трафика IP-адресу или группе IP-адресов в нерабочее или обеденное время

Поддержка сложных правил. Например: 1. Разрешить трафик на YouTube, но запретить оставлять комментарии 2. Разрешить трафик VK, но запретить пользоваться Multimedia

Добавление собственных приложений

Конфигурация сервисов на определенных портах

Политика реализации Application Control

Политика для трафика — «Неизвестный или не мог быть опознан устройством»

Страница оповещения для пользователя (блокировка)

Страница оповещения для пользователя (предупредить и продолжить)

Блокировка QUIC-протокола

Antivirus

Проверка почтового трафика SMTP(S), POP3, IMAP


Использование сторонних сигнатур Threat Feed

Страница блокировки сайта в случае наличия вируса на странице (URL-категория)

Условия работы антивируса




Проверка скачиваемых файлов

Проверка FTP, SFTP, SCP

Проверка SMB

Типы файлов




Проверка файлов в архивах без паролей

Проверка файлов в архивах с паролями

Выбор действий для определенных типов файлов

Антивирусный движок

Поддержка добавления пользовательских хешей

SSL Inspection

Поддерживаемые модули для SSL Inspection

Поддерживаемые протоколы

Поддержка нестандартных портов для поддерживаемых протоколов

Возможность использовать сертификаты стороннего УЦ

Инспектирование для отдельных пользователей

Инспектирование для отдельных сайтов

Поддержка Wildcard-сертификатов

Client-Side (Outbound SSL Inspection)

Server-Side (Inbound SSL Inspection)

Веб-фильтрация

Использование собственных или сторонних списков URL






Тип используемой базы URL

Создание кастомных URL-категорий

Переопределение категории URL


Ограничение используемых методов (GET, POST и др.) для отдельных URL-категорий

Настройка доступа к определенным URL/доменам

URL Lookup (проверка принадлежность URL к определенной категории)

Страница блокировки/ предупреждения

Какие списки URL использует производитель

Proxy (explicit/transparent)

Explicit Proxy

Transparent Proxy

Модули, работающие вместе с HTTPS Proxy

Авторизация Kerberos

Страница блокировки на Captive Portal

Captive Portal для авторизации на Proxy

Content Filtering

Контентная фильтрация

Типы файлов для фильтрации

Блокировка файлов в архивах

Блокировка архивов внутри архивов

Запрет загрузки файлов

Запрет отправки файлов





Anti Bot

Типы защищаемого трафика

Частота обновлений

Место хранения баз

Выявление трафика RAT


Выявление обращений к вредоносными URL и доменам


Выявление IRC-коммуникаций


Защита почтового трафика

Защита почты

Поддерживаемые протоколы

Антиспам

Антивирусная проверка писем


MTA

DMARC/DKIM/SPF


Поддержка протоколов с шифрованием

Загрузка сторонних списков спам-сайтов

VPN и SD-WAN

Remote Access VPN

Поддерживаемые протоколы

Интеграция с LDAP

VPN-клиент

Автоматическое назначение IP-адреса клиенту


Поддержка 2FA

Получение маршрутов от шлюза

SPLIT Tunnel

Направление всего трафика через VPN

Подключение к VIP-адресу кластера шлюзов

ОС для клиента



Способ получения клиента (ПО)


Автозапуск при включении ПК

Проверка трафика на шлюзе

Проверка трафика на клиентском устройстве

Compliance Check клиента

Централизованная установка клиента

Алгоритмы шифрования

WEB-portal VPN

Кастомизация портала

Типы приложений для публикации

Публикация нескольких порталов (на разных IP-адресах)

Распространение через портал Remote Access Client

Публикация собственных приложений на портале

Авторизация пользователя по сертификату

Публикация портала на разных URL

Поддержка 2FA

2FA

2FA + Remote Access VPN с клиентом





2FA + Remote Access VPN с SSL-порталом

Site-to-Site VPN

Поддерживаемые протоколы

DPD / Tunnel Test

Инструменты диагностики VPN-соединений






SA lifetime

Аутентификация

Исключение из VPN-трафика на основании сервиса

Алгоритмы шифрования

NAT-T (NAT Traversal)

IKEv1 Aggressive Mode

PFS (Perfect Forward Secrecy)



NAT внутри VPN



GRE over IPsec



IPsec over GRE



VPN со сторонними вендорами

SD-WAN

SD-WAN

Распределение пользователей (локальных и доменных) по каналам

Распределение трафика приложений/сайтов по каналам

Мониторинг трафика

IPsec over SD-WAN

Интеграция с модулями URL Filtering / Application Control

Типы фильтров в политиках SD-WAN

Отказоустойчивость и кластеризация

Кластеризация

Требования к нодам кластера








Механизмы резервирования кластера

VIP-адрес и адреса физических интерфейсов должны принадлежать одной подсети

Дополнительная лицензия для кластера

Добавление сетевых интерфейсов после сборки кластера

Поведение при отключении сетевого интерфейса

GARP

Время переключения между нодами


Потери пакетов при выходе из строя одного линка при использовании LoadSharing Active/Active

Синхронизация сессий

Кластер системы централизованного управления

Кластер системы централизованного логирования

Просмотр состояния кластера

Тип кластера

VMAC

Количество нод кластера

Централизованное управление и отчетность

Централизованное управление

Выделенный сервер управления

Импорт правил/политик с локального МСЭ

Кластер сервера управления

Установка на ВМ

Поведение МСЭ при отключении сервера управления

Экспорт и резервное копирование политик

Выделенный сервер логирования

Режим логирования



Автоматическая выгрузка логов на сторонний сервер

Формат хранения логов

Регистрация и управление зарегистрированными инцидентами

Логирование и отчёты

Модули с логированием




Выгрузка логов

Отправка логов на сторонний сервер

Типы отчеты

Автоматические отчеты (по расписанию)

Типы логирования (вся сессия, начало сессии, выбранное кол-во пакетов и т. д.)





Виджеты для мониторинга трафика

Интеграция

LDAP

Использование пользователей из LDAP для создания политик

Права УЗ для интеграции с LDAP

Поддержка более одного домена

Требования к ПО для LDAP-аутентификации

Просмотр импортированных пользователей

Kerberos

Proxy-аутентификация

Прозрачная аутентификация

Версия ОС LDAP-сервера




Secure LDAP

Radius

Интеграция с Radius

Протоколы аутентификации при интеграции с Radius

Использование нескольких Radius-серверов

Приоритизация Radius-серверов

ICAP

ICAP Server

ICAP Client

Возможность поддержки ICAP без установки дополнительных модулей

Необходимость указывать VIP-адрес в качестве ICAP Server адреса на стороне клиентов при использовании VIP-адреса для кластера

Эксплуатационные возможности

Возможности диагностики

Модули диагностики в GUI

Модули диагностики в CLI




Доступ к логам ОС


Активация дебага отдельных модулей безопасности

Обновление версии ПО

Обновление кластера

Обновление кластера без простоя

Резервное копирование при автоматическом обновлении

Возможность отката к предыдущей версии


Доступ к дистрибутивам на сайте производителя

Офлайн-обновления

Обновление с web-ресурсов производителя

Обновление через систему централизованного управления

Обновление лицензии

Офлайн-установка лицензии (без доступа в интернет)

Наличие API или других инструментов для миграции правил

API



Модули, доступные через API

Загрузка политик через web-интерфейс

Загрузка политик через CLI

Поддержка миграции с других продуктов

Требуется ли установка стороннего ПО для модернизации политик/скрипта

Нагрузочное тестирование

Нагрузочное тестирование

Платформа

Результаты теста вендора (EMIX, Гбит/c)

Результаты теста "Инфосистемы Джет" (EMIX, Гбит/c)

Континент 4.1.9
img
img

Да, с ограничениями

При функционировании УБ в режиме "Детектор атак" СОВ осуществляет выявление вторжений на канальном уровне (L2)

Анонсы только на активной ноде. На резервной служба bird не активна

Трафик блокируется. Тест с дефолтной конфигурацией антиспуфинга

Да, с ограничениями

В функционале Multi-WAN и правилах NAT
На младших платформах могут быть ограничения, связанные с техническими характеристиками платформы
Эквивалентные маршруты не отображаются в таблице маршрутизации, только в анонсах протокола динамической маршрутизации
В качестве клиент-протокола используется BGP

OSPF, BGP

В ходе тестирования ограничений не выявлено. Используется bird 2.13.1. Можно использовать стороннюю документацию для этой версии службы

Скорость переключения и наличие потерь зависят от настройки таймеров мониторинга канала в настройках Multi-WAN

По количеству физических интерфейсов типа "Внешний"

Значения других параметров при тестировании EMIX Throughput: PPS 0,98Mpps, CPS 7,5k, CC 5,6k

ICMP Probing

На младших платформах могут быть ограничения, связанные с техническими характеристиками платформы

Да, с ограничениями

Для одного УБ можно назначить VRF как физическому, так и VLAN-интерфейсу. В кластере VRF можно назначить VLAN-интерфейсам. Для VLAN-интерфейсов внутри VRF назначается один IP-адрес и он является общим адресом для двух нод, ARP на активной ноде. Для физических интерфейсов в кластере VRF назначать нельзя

Работает автоматический (NAT), ручные записи не работают

В зависимости от настроек: разрывает сессии или сохраняет текущие сессии

Да, с ограничениями

Можно использовать в правилах NAT и в правилах Multi-WAN. Можно указывать интерфейсы в объектах
Зоны не поддерживаются
Режим NF2. Режим доступен только на высокопроизводительных платформах. Требуется дополнительная лицензия для активации режима NF2
После истечения срока действия правило отключается

Да, с ограничениями

Через OpenConsole
Планируется в 4.2
Никаких уведомлений или предупреждений при попытке установить дублирующие политики. Можно реализовать путем интеграции со сторонним ПО

IP host, IP range, IP-сеть, Сервисы и порты, Протоколы, Приложения, Группы, Страны, Пользователи (локальные и доменные)

Используется политика NAT. Правила обрабатываются по порядку сверху вниз, правила DNAT имеют приоритет

Реализуется двумя правилами NAT
Функционал Multi-WAN
Функционал Multi-WAN
GRE не поддерживается
В Multi-WAN нет возможности работать с VPN-каналами
Отдельный модуль — МПА (модуль поведенческого анализа) с механизмами машинного обучения

Да, с ограничениями

Не все мультимедиа блокируются в VK. Для YouТube нет атрибута блокировки комментариев. Функциональные возможности зависят от приложений и версии сигнатур

Да, с ограничениями

Через ТП. Можно создавать приложения на базе имеющихся сигнатур

Blacklist, Whitelist

Определяется последующим правилом для данного трафика

Через перенаправление страницы
Используются только HTTP/HTTPS-протоколы
Пользовательские, Security Vision, R-Vision, Kaspersky. Для импорта коммерческих сигнатур используются инструменты, работающие через API

Проверка только трафика инспектируемого SSL Inspection, протоколы HTTP и HTTPS

Более 40 типов файлов

Проверка по хешам

Антивирус, web-категоризация, Feeds, ICAP Client

HTTPS

Да, с ограничениями

Можно работать только со списком исключений. Список ресурсов для инспекции, с пропуском всего остального трафика без инспекции, создать нельзя

Да, обновление в ручном или автоматическом режиме

Локальная

Да, с ограничениями

Только создание ручных списков URL
Планируется к реализации как отдельный сервис
При перенаправлении трафика на свой ресурс

SkyDNS, TI feeds (Kaspersky, КБ, ЦБ, RST)

Поддерживается basic- и kerberos-аутентификация

Антивирус, TI Feeds, Категоризация сайтов, ICAP-client, Авторизация пользователей

Работает через страницу перенаправления

Больше 40 категорий, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash-видео, Active-X, Torrent-файлы, Документы). Работа по фильтрации HTTPS-трафика по данному типу категорий возможна только при его расшифровке

Да, с ограничениями

Не были заблокированы архивы .gz и.deb в качестве теста с некоторых сайтов. Mime-типы для этих файлов присутствуют в конфигурации

Да, с ограничениями

Архивы tar.gz и tar.bz2 успешно скачаны и загружены на некоторых ресурсах. Фильтры на основе mime-объектов не сработали

Да, с ограничениями

Не работает фильтрация с файлами .deb и .bz для некоторых сайтов. Для некоторых приложений можно контролировать атрибут file-transfer

Да, с ограничениями

Не работает фильтрация с файлами .deb и .bz для некоторых сайтов. Для некоторых приложений можно контролировать атрибут file-transfer

Пользовательский трафик, трафик опубликованных серверов

Динамично: от нескольких раз в день до нескольких раз в неделю

Загружаются с сервера обновлений, хранятся локально на ЦУС

TLS ГОСТ

Реализовано через интеграцию с мультифактор.ру, Avanpost MFA+, Рутокен. Поддерживаются только Push-уведомления

Windows, Linux, Android, iOS, MacOS, Аврора

Через дистрибутив или сайт

Можно перенаправить весь трафик на шлюз и далее его проверять
Средствами ZTN клиента контроль целостности модулей ZTN клиента, модулей операционной системы, модулей SCP, контроль целостности стороннего установленного ПО

ГОСТ

Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось

Реализовано через интеграцию с мультифактор.ру и Avanpost MFA+. Поддерживаются только Push-уведомления

Проприетарный протокол

Да, с ограничениями

Проприетарный протокол реализует эквивалент функционала DPD

Диагностика сети (ping, tracert, arp), просмотр соединений, командная строка (netstat, tcpdump и др.), запись дампа трафика на носитель, вывод виджета VPN-соединения со статистикой в dashboard

Параметры скрыты
Проприетарный протокол
На уровне политик МСЭ

ГОСТ

Планируется в 4.2
Реализован аналог: отправка OSPF внутри L2 VPN
Планируется в 4.2

Требуется одинаковое оборудование (модель, ОС, патчи)

Проприетарный протокол

Добавление нового интерфейса на УБ в виртуальном исполнении возможно после переинициализации УБ

Переключение мастер-ноды

Менее 1 секунды

При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала

Через резервирование ЦУС
Через резервирование ЦУС

Active-Passive

2

Используются резервные ноды с ручным переключением мастер-ноды управления

Продолжит работу

Да, с ограничениями

Выделенный log-сервер в роадмап. На текущий момент централизованное логирование реализовано в централизованном мониторинге (на базе ЦУС). Также можно подключить сторонний syslog-сервер или postgesql-сервер для сбора событий

Локально, централизованно

Логи хранятся в БД. Есть возможность выгрузки в виде файлов xls, csv, json через интерфейс мониторинга, csv и txt через локальное меню ЦУС

Да, с ограничениями

Локальный функционал регистрации и управления инцидентами отсутствует. При уровне прямой ТП Расширенный и выше возможен мониторинг на стороне вендора (необходимо дополнительное подключение к инфраструктуре вендора)

Компоненты — Web/FTP-фильтрация, КП, межсетевой экран, VPN, СОВ, МПА, приоритезация трафика, прокси-сервер

Возможность экспорта в форматах xls,csv,json есть. Есть зависимость от ресурсов сервера управления (планируется исправление в версии 4.2). Для улучшения производительности выгрузки можно использовать сторонний SQL-сервер для хранения логов

Встроенные, пользовательские

В зависимости от компонента. Количество переданных данных в рамках сессии можно увидеть в live активных сессий, выведенных на dashboard

Чтение домена

Да, с ограничениями

На ЦУС может быть заведено несколько доменов. Однако один узел безопасности поддерживает только один домен. Поддержка нескольких доменов для одного узла безопасности планируется в 4.2

Дополнительные требования не предъявляются

Да, с ограничениями

Только просмотр групп пользователей

Windows Server 2008 и старше

Планируется в 4.2

Работа с журналом мониторинга и отчетами

Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, выгрузка отчетов и журналов и т.д.

Просмотр журналов через локальное меню, просмотр журналов в командной строке

Да, с ограничениями

Через OpenConsole. Некоторые модули целесообразно диагностировать в стандартном журнале событий, в нем больше информации
1. Получить обновления с Сервера обновлений Код Безопасности или через ТП. 2. Загрузить обновления в репозиторий. 3. Запустить задачу по обновлению устройств. В случае кластера обновление следует начинать с резервной ноды
Резервная копия была создана автоматически
Возврат на предыдущую версию ПО успешен, происходит значительно быстрее обновления
Можно импортировать из ISO

Да, с ограничениями

С web-ресурсов производителя получает обновления система централизованного управления

Все модули

Возможна загрузка через GUI
"CheckPoint, Cisco, Fortinet, Континент 3 и любого МСЭ, с которого можно получить правила в читаемом виде. https://github.com/itseccode/c4_tools"
Нужна установка Python и OpenSSL не ниже 3-й версии. Работа с объектами и политиками поддерживается только в Linux, в Windows возможна только конвертация политик и объектов

IPC-3000F40

6,3

7,7

Check Point R81.2
img
img

Обе ноды

В зависимости от настроек

Static, Dynamic

RIP, OSPF, BGP, IS-IS, PIM

В ходе тестирования ограничений не выявлено

До 10

ICMP Probing, HTTP Request (SD-WAN)

Да, с ограничениями

При использовании виртуальных контекстов VSX

Ручная настройка

Для Application Control/URL Filtering, Content Awareness, IPS, Threat Prevention Engine (Anti-Virus, Anti-Bot, Threat Emulation, Threat Extraction), HTTPS Inspection (HTTPS Validation Fail close/Fail open)

Устройство продолжает обрабатывать трафик, сессии не разрываются

SecureXL

Network, Host, Service, Application, VPN, User, Servers, Time Objects, Limit, Updatable Objects, Network Feed, Dynamic objects, DC Objects, Domain

Manual Static NAT (Port Forwarding, Bi-directional NAT) -> Automatic Static NAT -> Hide NAT

Blacklist, Whitelist

Accept, Deny (Drop)

Пользовательские и внешние источники в форматах STIX XML (STIX 1.0), CSV в формате Check Point, CSV в других форматах

Нет дополнительных условий

Более 90 типов файлов

Check Point Propreitary

FW, IPS, Application Control, URL filtering, AV, Sandbox

SSH, SMTPS, HTTPS

Да, обновление в ручном или автоматическом режимах

Локальная

Check Point Threat Cloud, Extermal Threat Feed

Все модули Threat Prevention

Более 80 типов файлов

Пользовательский трафик, трафик опубликованных серверов

Возможна ручная конфигурация (до 1 раза в час)

Локально

SMTP, POP3, IMAP

IKEv1, IKEv2, IPSec, L2TP

Имеется возможность использовать VIP-адрес или адреса активного оборудования

Windows, Linux, Android, iOS, MacOS

Сайт поддержки, портал SSL VPN

Harmony Endpoint

DES, 3DES, AES-128, AES-256

Все Web-Based, FileShare, RDP in HTML, Citrix, IMAP in HTML

Radius, TOTP, SMS, SMTP

Radius, TOTP, SMS, SMTP

IKEv1, IKEv2, IPSec

IkeView, SmartConsole

В режиме КБ, в режиме секунды/минуты
PSK, сертификат

DES, 3DES, AES-128, AES-256

Latency, Jitter, Packet loss

Все категории AppControl и URLFiltering

Требуется одинаковое оборудование (модель, ОС)

VRRP и ClusterXL

Один VIP для выхода в интернет и серые адреса на интерфейсах

Зависит от настроек

Менее 1 секунды

До 2 пакетов

Active-Passive, Active-Active

VRRP – 2, ClusterXL – 5, Maestro – от 8

Продолжит работу

Локально, централизованно

RAW text log, индексы в базе PostgreSQL

SmartEvent, Horizon XDR

Все модули

Встроенные, пользовательские

Per Connection, Per session, Detailed log, Extended Log

Чтение домена, доступ к WMI

Для крупных инсталляций (больше 10 тысяч пользователей ) — Identity Collector

Windows Server 2008 и старше

PAP, MS CHAP2

SmartConsole, SmartView, SmartLog, IkeVIEW, DiagnosticVIEW, Health Check Point, CPM Doctor, Log Doctor

CPView, Tcpdump, FWMonitor, Kernel Debug, IKE Debug, дебаг всех процессов

Все (SmartMove)

Palo Alto, Fortinet, Cisco ASA, Juniper, https://github.com/CheckPointSW/SmartMove

7000 Plus

9,5

8,5

Значения других параметров при тестировании EMIX Throughput: PPS 1Mpps, CPS 8,47k, CC 4,98k
Ideco NGFW v16
img
img

Маршруты получает активная нода. При переключении кластера пассивная нода получает маршруты

Трафик блокируется

Да, с ограничениями

Возможно только для внешних сетей
Поддерживается приоритизация маршрута с режимом «Адаптивность». Отсутствуют стандартные весовые метрики

Да, с ограничениями

Поддерживается балансировка трафика. ECMP для BGP. Требуются дополнительные настройки со стороны технической поддержки Ideco

Да, с ограничениями

Поддерживается, но конфигурация возможна только через параметры BGP

OSPF, BGP

Ограниченная настройка через web, отсутствие loopback. Планируются улучшения в версии 18

Не поддерживается LACP в кластере
Потеря 2-3 пакетов при переключении WAN-канала

По количеству физических интерфейсов

ICMP, Round-Robin

Планируется в версии 17
Планируется в версии 17

Proxy ARP включен по умолчанию, изменить нельзя

Настройки режимов работы устройства при высокой нагрузке отсутствуют. Используется режим Fail Close

Устройство продолжает обрабатывать трафик, сессии не разрываются

Планируется в версии 19

Да, с ограничениями

Имеется возможность ограничения пропускной способности через балансировку и резервирование

Да, с ограничениями

Имеется возможность применения QoS-правил для групп (локальных, AD)
Реализовано в отдельном решении Ideco NGFW VPP
Планируется в версии 17

Да, с ограничениями

IP host, IP range, Пользовательские группы, Сервисы и порты, Протоколы, Типы приложений, Домен, Список стран

1. SNAT. 2. DNAT

Планируется в версии 17
Есть возможность использовать IPsec туннели в качестве объекта для маршрутизации
Планируется в версии 18
Поддержка через терминал

Да, с ограничениями

Присутствует возможность комплексных правил, но очень ограничен функционал

Blacklist, Whitelist

Неопознанный трафик в модуле Контент-фильтрация

Да, с ограничениями

При включенном модуле Антиспам

ClamAV — без дополнительных условий. Kaspersky — при активации дополнительной лицензии

Зависит от выбранного антивируса. Поддерживается более 90 типов файлов

Kaspersky, ClamAV

Контентная фильтрация, Антивирус, ICAP

HTTPS

Производится инспекция трафика, проходящего по портам 80 и 443. Изменение портов не поддерживается

Можно загружать собственный список. Неудобный формат ввода в виде одной строчки, но используется автоматический парсинг данной строки

Локальная база (обновляемая)

Да, с ограничениями

Путем создания пользовательских категорий
Имеются категории сайтов: Загрузка в файлообменник, Активность в социальных сетях

SkyDNS

Автоматически при использовании в качестве шлюза по умолчанию

Контентная фильтрация, Антивирус, ICAP

Аудиофайлы, Видеофайлы, Документы, Архивы, Torrent-файлы, Flash-видео, исполняемые файлы

Да, с ограничениями

Запрет загрузки файлов в файлообменники, такие как Яндекс Диск, Google Drive, Cloud Mail, OneDrive, Dropbox

Пользовательский трафик, трафик опубликованных серверов

Несколько раз в день

Локальная база (обновляемая)

IMAP(S), POP3(S)

Да, с ограничениями

Только при включенном антиспаме

Да, с ограничениями

Поддерживает только стандарт DKIM

PPTP, PPPoE, IKEv2/IPsec, SSTP, L2TP/IPsec, Wireguard

Windows. MAC OS планируется в версии 17. Linux планируется в версии 18

Через дистрибутив или личный кабинет пользователя на Ideco NGFW

При направлении всего трафика через VPN-шлюз
Планируется в версии 17

AES256-GCM, AES256

Планируется в версии 18
Планируется в версии 18
Планируется в версии 18
Планируется в версии 18

Radius (при интеграции с Multifactor), SMS, TOTP

IKEv2, IPsec

Виджеты панели мониторинга, утилиты командной строки (ping, host, nslookup, tracepath, tcpdump, arping, ss (аналог netstat))

Да, с ограничениями

Поддерживается SA lifetime в режиме секунды/минуты

AES256-GCM, AES256

PFS включен в IKEv2
Планируется в версии 17
Планируется в версии 17

Обе ноды должны иметь одну версию системы, идентичную вплоть до номера сборки. Также интерфейсы на обеих нодах должны быть настроены идентично

Проприетарный протокол

При работе кластера используется один IP на каждом кластерном интерфейсе пары, серые IP не требуются

Переключение мастер-ноды

5-15 секунд

2-3 пакета

Планируется в версии 17

Active/Standby

2

Есть центральная консоль для управления несколькими инстансами. Отдельного сервера управления для МЭ не предусмотрено — он встроен в МЭ

Продолжит работу

Локальное логирование, отправка на сторонний сервер через Syslog

RAW формат в БД ClickHouse

МЭ, IPS/IDS, Web Application Firewall, Контент-Фильтр, Контроль приложений

Встроенные, пользовательские

Вся сессия

Права на чтение каталога

Дополнительные требования не предъявляются

Windows Server 2008 R2, 2012, 2016, 2019, 2022; Samba DC версии 4.0 и старше

Планируется в версии 17

Журнал событий, отчетность по модулям, виджеты Панели мониторинга

ping, host, nslookup, tracepath, tcpdump, arping, ss (аналог netstat) и др.

Есть возможность офлайн-обновления сигнатур

Да, с ограничениями

Документация отстает от реального функционала API

Все

С привлечением сотрудников вендора

EX

5

0,75

Значения других параметров при тестировании EMIX Throughput: PPS 0,09Mpps, CPS 0,85k, CC 0,55kОсновное влияние на производительность оказывал модуль Контроль приложений. При отключении данного модуля были получены следующие результаты: EMIX Throughput 1,7Гбит/с, PPS 0,2Mpps, CPS 2k, CC 1,2k
InfoWatch ARMA Стена (NGFW)
img
img
Маршруты получает активная нода. При переключении кластера пассивная нода получает маршруты
Не тестировалось
Маршруту можно задать только дистанцию

RIP, OSPF, BGP, IS-IS, PIM

Не обнаружено в ходе тестирования

По количеству физических интерфейсов

Подтверждено с помощью команд show wan-load-balance и show wan-load-balance connection

ICMP, TTL-тест, пользовательский скрипт

Ручная настройка

Устройство продолжает обрабатывать трафик, сессии не разрываются

Трафик блокируется между зонами
Поддерживаются два профиля повышения производительности: 1. Throughput — повышение пропускной способности сети. 2. Latency — снижение задержек сети

IP host, group IP, ports, group ports, interfaces, group interfaces, networks, group networks, protocols

По порядку размещения правил NAT, сверху вниз

https://docs.suricata.io/en/suricata-6.0.0/rules/intro.html

Да, обновление в ручном или автоматическом режиме

Онлайн обновление

Open Source

URL Filtering

WireGuard, IPsec, OpenVPN, OpenConnect

aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, aes128ccm64, aes192ccm64, aes256ccm64, aes128ccm96, aes192ccm96, aes256ccm96, aes128ccm128, aes192ccm128, aes256ccm128, aes128gcm64, aes192gcm64, aes256gcm64, aes128gcm96, aes192gcm96, aes256gcm96, aes128gcm128, aes192gcm128, aes256gcm128, aes128gmac, aes192gmac, aes256gmac, 3des, blowfish128, blowfish192, blowfish256, camellia128, camellia192, camellia256, camellia128ctr, camellia192ctr, camellia256ctr, camellia128ccm64, camellia192ccm64, camellia256ccm64, camellia128ccm96, camellia192ccm96, camellia256ccm96, camellia128ccm128, camellia192ccm128, camellia256ccm128, serpent128, serpent192, serpent256, twofish128, twofish192, twofish256, cast128, chacha20poly1305, des, bf128, bf256, aes128gcm, aes192gcm, aes256gcm, TLS

IKEv1, IKEv2, IPSec

Show VPN connections, show the in-kernel crypto policies, show all active IPsec Security Associations (SA), show the in-kernel crypto state, show status of IPsec process

Поддерживается SA lifetime в режиме секунды/минуты

aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, aes128ccm64, aes192ccm64, aes256ccm64, aes128ccm96, aes192ccm96, aes256ccm96, aes128ccm128, aes192ccm128, aes256ccm128, aes128gcm64, aes192gcm64, aes256gcm64, aes128gcm96, aes192gcm96, aes256gcm96, aes128gcm128, aes192gcm128, aes256gcm128, aes128gmac, aes192gmac, aes256gmac, 3des, blowfish128, blowfish192, blowfish256, camellia128, camellia192, camellia256, camellia128ctr, camellia192ctr, camellia256ctr, camellia128ccm64, camellia192ccm64, camellia256ccm64, camellia128ccm96, camellia192ccm96, camellia256ccm96, camellia128ccm128, camellia192ccm128, camellia256ccm128, serpent128, serpent192, serpent256, twofish128, twofish192, twofish256, cast128, chacha20poly1305

Обе ноды должны иметь одну версию системы

VRRP

Переключение мастер-ноды

Не больше 3 секунд

До 3 пакетов

show vrrp

Active-Passive

2 или более

bandwidth, cluster, conntrack-sync, content-inspection, dhcp, dns, firewall, https, lldp, log, nat, ndp, openvpn, protocol (routing protocols), snmp, traffic (traffic dumps), vpn, vrrp, webproxy

Логи возможно скачать через tftp, ssh

Вся сессия

Права на чтение домена

Да, с ограничениями

Возможно использовать разные сервера LDAP для разных сервисов

Дополнительные требования не предъявляются

Windows Server 2012, 2016, 2019

PAP

Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, работа с журналами и т.д.

Есть в версии 4.3

-

7,8

6,2

Значения других параметров при тестировании EMIX Throughput: PPS 0,73Mpps, CPS 5,8k, CC 6k
UserGate 7.1.0 RC
img
img

Обе ноды

В зависимости от настроек

OSPF, BGP, RIP, PIM

Нет редистрибуции из BGP в OSPF

Без ограничений

Link up\down

Ручная настройка

В зависимости от настроек: разрывает сессии или сохраняет текущие сессии

Да, с ограничениями

Используя зоны

Да, с ограничениями

С помощью синтаксиса с логическими операторами

Зона, Адрес источника, Список адресов, Список GeoIP, Список доменов, Пользователь, Группа пользователей

По каждому типу правил правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нем условия

Да, с ограничениями

Используя зоны

Да, с ограничениями

Blacklist

Разрешить, Запретить

По типам файлов не дифференцируется. Проверяется hash файлов

Проприетарный

Контентная фильтрация, IPS, AppControl

HTTPS, SMTPS, POP3

Да, обновление в ручном или автоматическом режимах

Локальная

С использованием Wildcard-сертификатов

Собственные списки производителя

Контентная фильтрация, IPS, AppControl

Видео, документы, звуки и музыка, картинки, приложения, JS

Пользовательский трафик, трафик опубликованных серверов

Раз в неделю

Локально

Да, с ограничениями

Определяет L7 приложения
Проверка транзитного почтового трафика на предмет наличия в нем вирусов и спам-сообщений

POP3 и SMTP

L2TP over IPSec, IKEv2 c PSK, IKEv2 c сертификатом

Windows 8/10

Через дистрибутив

Да, с ограничениями

Только автозапуск клиента, без установки VPN-сессии

AES

HTTP, HTTPS, FTP, SSH, RDP

Radius, TOTP, SMS

Radius, TOTP, SMS

IKEv1, IKEv2

Диагностика возможна через ТП вендора
В режиме КБ, в режиме секунды/минуты
PSK, сертификат

DES; 3DES; AES128, AES192, AES256

Автоматически, ручного режима нет

Требуется одинаковая версия ОС

VRRP

Переключение мастер-ноды

Менее 1 секунды

1-2 пакета

Active-Passive, Active-Active

До 4

Продолжит работу

Локально, централизованно

Логи хранятся в БД

Система агрегирует данные от различных устройств, осуществляет мониторинг событий и создает отчеты

Все модули

Встроенные, пользовательские

Начало сессии либо все пакеты сессии с возможностью установки ограничений на количество логируемых пакетов в единицу времени

Администратор домена

Дополнительные требования не предъявляются

Windows Server 2008 и старше

Chap

Журналы, отчеты, захват пакетов

Журналы, захват пакетов

Да, с ограничениями

Системный журнал, для этого необходимо включить режим расширенного логирования

Да, с ограничениями

1. Обновить резервную ноду. 2. Переключить мастер-ноду. 3. Обновить резервную ноду

Все

Cisco ASA на NGFW UserGate версии 6/7, Check Point на MC UserGate версии 7, Check Point на NGFW UserGate версии 6/7, Cisco FPR на NGFW UserGate версии 6/7, Перенос настроек DHCP с одного узла на другой, https://github.com/usergate/Migrations
Для работы программ требуется ОС Ubuntu 22.10 или выше

-

нет данных

нет данных

Нагрузочное тестирование для UserGate будет проведено после выхода релиза версии 7.1 для получения достоверных данных. Функциональные тесты UserGate 7.1.0 проводились на Release Candidate
ViPNet Coordinator HW 5.3
img
img
ViPNet Coordinator HW поддерживает технологию L2OverIP, которая позволяет организовать защиту удаленных сегментов сети, использующих одно адресное пространство, на канальном уровне модели OSI. В результате сетевые узлы из разных сегментов смогут взаимодействовать друг с другом так, как будто они находятся в одном сегменте с прямой видимостью по MAC-адресам.

Активная нода

Трафик блокируется

Поддерживается до 600 000 записей
 Планируется в версии 5.4.0

OSPF, BGP

Для OSPF: 1. Можно указать не более 128 сетей, в которых осуществляется обмен информацией по протоколу OSPF. 2. На каждом интерфейсе можно создать не более 255 ключей с уникальным keyid и только один пароль.

По количеству физических интерфейсов

Данный функционал поддерживается модулем MultiWAN

Используется проверка состояния шлюзов (Dead Gateway Detection, DGD)

Задержка в выборе альтернативного канала связи может составлять от 7 до 70 секунд
Данный функционал поддерживается модулем MultiWAN
Настройки режимов работы устройства при высокой нагрузке отсутствуют. Используется режим Fail Close

Правила/политики применяются без перерывов в обслуживании

Используется DiffServ
Используются Группы интерфейсов

Да, с ограничениями

Можно изменять порядок пользовательских правил МСЭ
Используются аппаратные инструкции процессоров и собственные запатентованные разработки

Да, с ограничениями

Реализовано в модуле Policy Manager (лицензируется отдельно)

Да, с ограничениями

Реализовано в модуле Policy Manager (лицензируется отдельно)

IP host, IP range, IP network, DNS-имена, Интерфейсы и Группы интерфейсов, Сервисы и порты, Прикладные протоколы, Пользователи, Приложения и Группы приложений

Планируется в версии 5.4.0

По порядку размещения правил NAT, сверху вниз

Интерфейс выбирается автоматически в зависимости от адреса на который будет осуществлена замена
Можно выбрать сигнатуры используемые для проверки всего проходящего трафика

Да, с ограничениями

Путем исключения IP из переменных $HOME_NET, $EXTERNAL_NET можно их полностью исключить из проверки модулем IPS
Не применимо

Да, с ограничениями

При создании фильтра контроля доступа к веб ресурсам фильтр отображается, регистрирует запросы, но не отрабатывает по блокировке запроса к веб.

Whitelist

Определяется последующим правилом для данного трафика

SSL Inspection реализована в другом продукте, тестирование не проводилось. Планируется в версии 5.4.0
SSL Inspection реализована в другом продукте, тестирование не проводилось. Планируется в версии 5.4.0
SSL Inspection реализована в другом продукте, тестирование не проводилось. Планируется в версии 5.4.0
SSL Inspection реализована в другом продукте, тестирование не проводилось. Планируется в версии 5.4.0
SSL Inspection реализована в другом продукте, тестирование не проводилось. Планируется в версии 5.4.0
SSL Inspection реализована в другом продукте, тестирование не проводилось. Планируется в версии 5.4.0
SSL Inspection реализована в другом продукте, тестирование не проводилось. Планируется в версии 5.4.0
SSL Inspection реализована в другом продукте, тестирование не проводилось. Планируется в версии 5.4.0
SSL Inspection реализована в другом продукте, тестирование не проводилось. Планируется в версии 5.4.0

Загрузка списков URL не поддерживается, можно создавать группы объектов, добавляя каждый URL вручную

Локальная, используется в модуле Контроль приложений

Планируется в версии 5.4.0
Планируется в версии 5.4.0
Планируется в версии 5.4.0

Собственные

Планируется в версии 5.4.0

Более 95 типов файлов

Да, с ограничениями

Пользовательский трафик, трафик опубликованных серверов. Защита от Botnet реализована в модуле IPS

Один раз в день

Локально

Да, с ограничениями

Сигнатуры IPS, выявляющие трафик RAT, работают только в режиме Предупреждение

Да, с ограничениями

Сигнатуры IPS, выявляющие обращения к вредоносным URL, работают только в режиме Предупреждение

Да, с ограничениями

Сигнатуры IPS, выявляющие IRC-коммуникации, работают только в режиме Предупреждение
Возможна проверка на внешнем сервере по протоколу ICAP

IPlir

Да, с ограничениями

На ПК пользователя не создается отдельного сетевого соединения с присвоением ему IP-адреса. Информация о присвоенном виртуальном IP-адресе хранится на МСЭ
Маршруты не вносятся в таблицу маршрутизации ПК. Распределение информации о маршрутах передачи трафика реализовано за счет собственных технологий примененных в пользовательском ПО и МСЭ

Linux, Windows, Android, iOS, MacOS, Аврора

Сайт вендора, поставка на CD

Да, с ограничениями

Реализовано с помощью дополнительного ПО ViPNet EndPoint Protection
С использованием ПО ViPNet Client + ПО ViPNet EPP

ГОСТ 28147-89, ГОСТ 34.12-2018, ГОСТ 34.13-2018

Функционал Web-portal VPN реализован в рамках отдельного продукта - ViPNet TLS Gateway, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - ViPNet TLS Gateway, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - ViPNet TLS Gateway, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - ViPNet TLS Gateway, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - ViPNet TLS Gateway, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - ViPNet TLS Gateway, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - ViPNet TLS Gateway, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - ViPNet TLS Gateway, тестирование данного продукта не проводилось

Реализовано через интеграцию с мультифактор.ру в рамках отдельного продукта ViPNet Сервер многофакторной аутентификации

Не применим

IPlir

Группа команд iplir, диагностика сети (ping, tracert, arp), командная строка (netstat, tcpdump и др.)

Не применимо. Используется собственная технология VPN
Проприетарный протокол

ГОСТ 28147-89, ГОСТ 34.12-2018, ГОСТ 34.13-2018

Не применимо

Да, с ограничениями

Аналог PFS реализован в протоколе IPlir. Особенностью протокола IPlir является то, что для каждого IP-пакета на основе ключей обмена вырабатываются уникальные ключи шифрования пакета, сквозной имитозащиты пакета и транзитной имитозащиты пакета

Да, с ограничениями

Реализовано в виде функционала L2OverIP

Да, с ограничениями

Реализовано в протоколе IPlir

Для ViPNet Coordinator HW: одинаковая платформа и версия ПО. Для ViPNet Coordinator VA: одинаковые параметры эмулируемого аппаратного обеспечения (количество процессоров, ОЗУ и сетевых интерфейсов)

Проприетарный протокол

При работе кластера используется один IP на каждом кластерном интерфейсе пары, серые IP не требуются

Переключение мастер-ноды

Менее 1 сек.

При настройке параметра testdevice и включенном параметре usevirtualmac
При этом не синхронизируются: открытые сессии разрешения доменных имен; защищенные соединения по TCP-туннелям; локальные соединения (открытые и защищенные соединения, в которых сетевой узел ViPNet Coordinator HW является источником или назначением); соединения, использующие прикладные протоколы. Синхронизация сессий прикладных протоколов настраивается отдельно, поддерживаются следующие прикладные протоколы: DNS, FTP, H.323, SCCP, SIP

Active-Passive

2

ViPNet Prime

Продолжит работать

С помощью ViPNet Prime реализована выгрузка текущей конфигурации ViPNet Coordinator HW5

Локально, централизованно

RAW text log, SQLite

Все модули

Система "группирует" идентичные события в одну запись журнала пакетов.

Регистрировать все IP-пакеты или только заблокированные IP-пакеты

Чтение домена

Дополнительные требования не предъявляются

Реализовано в ViPNet Prime. ViPNet Prime - обязательный элемент системы

Windows Server 2016, Windows Server 2012 R2

Да, с ограничениями

Реализована интеграция с MultiFactor Radius Adapter в дополнительном ПО ViPNet Сервер многофакторной аутентификации
PAP

Работа с журналами, ARP-Таблица

Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, работа с журналами и т.д.

При неуспешном обновлении производится откат на версию до обновления

Да, с ограничениями

При локальном подключении к ПАК можно провести обновление на предыдущую версию с дальнейшим восстановлением конфигурации из резервной копии
Не применимо, должен вестись поэкземплярный учет распространяемых сертифицированных СКЗИ
В ViPNet Prime реализован внутренний API. Публичный API в дорожной карте
Через ViPNet Prime Policy Management возможен импорт правил из Check Point версии R77.30 и ниже

HW5000

1

1,22

Значения других параметров при тестировании EMIX Throughput: PPS 0,14Mpps, CPS 1,2k, CC 1,12k
Континент 4.1.7
img
img

Активная нода

Трафик блокируется

Да, с ограничениями

В функционале Multi-WAN и правилах NAT

Да, с ограничениями

Поддерживается на старших платформах
Планируется в 4.1.9

OSPF, BGP

В ходе тестирования ограничений не выявлено

По количеству физических интерфейсов

ICMP Probing

Да, с ограничениями

Поддерживается на старших платформах
Планируется в 4.1.9

Ручная настройка

Для IPS и ICAP

В зависимости от настроек: разрывает сессии или сохраняет текущие сессии

Да, с ограничениями

Можно использовать в правилах NAT и в правилах Multi-WAN
Режим NF2. Требуется использовать определенные платформы. Требуется дополнительная лицензия для активации режима NF2
Планируется в 4.1.9

Да, с ограничениями

Через OpenConsole
Планируется в 4.2

IP host, IP range, IP-сеть, Сервисы и порты, Протоколы, Приложения, Группы, Страны, Пользователи (локальные и доменные)

Используется политика NAT. Правила обрабатываются по порядку сверху вниз, правила DNAT имеют приоритет

Отдельный модуль — МПА (модуль поведенческого анализа) с механизмами машинного обучения

Да, с ограничениями

Через ТП

Blacklist, Whitelist

Определяется последующим правилом для данного трафика

Да, с ограничениями

Только для антивируса
Пользовательские, Security Vision, R-Vision

Проверка только трафика инспектируемого SSL Inspection, протоколы HTTP и HTTPS

Более 40 типов файлов

Проверка по хешам

Антивирус, WEB-категоризация, Feeds, ICAP Client

HTTPS

Да, обновление в ручном или автоматическом режимах

Локальная

Да, с ограничениями

Через ТП
Планируется к реализации как отдельный сервис
При перенаправлении трафика на свой ресурс

SkyDNS, TI feeds (Kaspersky, КБ, ЦБ)

Планируется в 4.1.9

Антивирус, TI Feeds, Категоризация сайтов, ICAP-client, Авторизация пользователей

Больше 40 категорий, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash-видео, Active-X, Torrent-файлы, Документы). Работа по фильтрации HTTPS-трафика по данному типу категорий возможна только при его расшифровке

Пользовательский трафик, трафик опубликованных серверов

Динамично: от нескольких раз в день до нескольких раз в неделю

Загружаются с сервера обновлений, хранятся локально на ЦУС

TLS ГОСТ

Windows, Linux, Android, iOS, MacOS, Аврора

Через дистрибутив или сайт

Можно перенаправить весь трафик на шлюз и далее его проверять
С использованием Континент ZTN-клиент

ГОСТ

Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось
Функционал Web-portal VPN реализован в рамках отдельного продукта - Континент TLS, тестирование данного продукта не проводилось

Реализовано через интеграцию с мультифактор.ру и Avanpost MFA+

Проприетарный протокол

Проприетарный протокол

Диагностика сети (ping, tracert, arp), просмотр соединений, командная строка (netstat, tcpdump и др.)

Проприетарный протокол
На уровне политик МСЭ

ГОСТ

Реализован аналог: отправка OSPF внутри L2 VPN
Планируется в 4.2

Требуется одинаковое оборудование (модель, ОС, патчи)

Проприетарный протокол

Переключение мастер-ноды

Да, с ограничениями

Менее 1 секунды

При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала

Через резервирование ЦУС
Через резервирование ЦУС

Active-Passive

2

Используются резервные ноды с ручным переключением мастер-ноды управления

Продолжит работу

Локально, централизованно

Логи хранятся в БД. Есть возможность выгрузки в виде файлов xml, csv

Да, с ограничениями

При уровне прямой ТП Расширенный и выше возможен мониторинг на стороне вендора (необходимо дополнительное подключение к инфраструктуре вендора)

Все модули

Встроенные, пользовательские

В зависимости от компонента

Чтение домена

Да, с ограничениями

На ЦУС может быть заведено несколько доменов. Однако один узел безопасности поддерживает только один домен. Поддержка нескольких доменов для одного узла безопасности в планах в версии 4.2

Дополнительные требования не предъявляются

Да, с ограничениями

Только просмотр групп пользователей

Windows Server 2008 и старше

Планируется в 4.2

Работа с журналом мониторинга и отчетами

Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, выгрузка отчетов и журналов и т.д.

Да, с ограничениями

Через OpenConsole
1. Получить обновления с Сервера обновлений Код Безопасности или через ТП. 2. Загрузить обновления в репозиторий. 3. Запустить задачу по обновлению устройств. В случае кластера обновление следует начинать с резервной ноды

Да, с ограничениями

С web-ресурсов производителя получает обновления система централизованного управления

Сетевые объекты, правил МЭ и NAT

Возможна загрузка через GUI
CheckPoint, Cisco, Fortinet, Континент 3, https://github.com/itseccode/c4_tools

IPC-R1000

4,9

2,5

Значения других параметров при тестировании EMIX Throughput: PPS 0,35Mpps, CPS 2,5k, CC 1,64k
Решение китайского производителя (7000 series, v.8.0)
img
img

При использовании OSPF маршруты получает активная нода и синхронизирует их с пассивной нодой

Трафик блокируется

Не тестировалось

RIP, OSPF, BGP

Max BGP members 128

Без ограничений

BDF, ICMP, ARP, DNS

Ручная настройка

Для AppControl

Повторное сравнение согласно новой политике.Устройство продолжает обрабатывать трафик, сессии не разрываются

Да, с ограничениями

Работает только с WAN-интерфейсами. Требует создания Bandwidth-каналов, с указанием криетриев трафика

Да, с ограничениями

Через зоны
Оптимизация CPU для L4 firewall
Local ACL, Default Deny Any (AppControl)
Default Deny Any (AppControl), в Local ACL можно добавлять свои правила, изменять встроенные правила нельзя
Регистрозависимый поиск

Source Zone, Source Address, User/Group, Destination Address, Service, Applications/Groups

По порядку написания в политике NAT

Используются встроенные группы. Сигнатуры группируются по типам уязвимостей

Да, с ограничениями

Если нужные сигнатуры есть в базе вендора

Blacklist, Whitelist

Все обрабатывается согласно написанным правилам

Нет дополнительных условий

Да, с ограничениями

Только FTP

Более 100 типов файлов, можно редактировать

Собственный

Все модули

HTTPS

Да, с ограничениями

Через техническую поддержку вендора
Для входящих соединений

Да, обновление в ручном режиме

Локальная

Собственные списки производителя

Реакции для NetworkSecurity

Более 100 типов файлов, можно редактировать

До 16 уровней вложенности

Пользовательский трафик, трафик опубликованных серверов

База вендора обновляется по мере выявления новых угроз. База на МСЭ обновляется по настраиваемому расписанию

Локально

SMTP, POP3, IMAP

SSL VPN

Windows, Linux, MacOS, Android, iOS

SSL VPN портал, ТП вендора

DES, 3DES, AES/AES128, AES192, AES256, проприетарный_DES

HTTP, HTTPS, FileShare, DNS, H.323, SMTP, POP3, Telnet, SSH, LotusNote, Terminal Service, VNC, MSSQL Server, Citrix ICA (old version), MSN, Sinfor DNet, NetMeeting base, NetMeeting desktop, FTP (port/pasv mode), Citrix ICA (latest version), ORACLE, MYSQL, Other (ICMP, UDP, TCP, any protocol)

TOTP, Hardware ID

TOTP, Hardware ID

IKEv1, IKEv2, IPSec, проприетарный VPN

Логирование

В режиме секунды/минуты
PSK, сертификат, SM2 Certificate V1.1

DES, 3DES, AES/AES128, AES192, AES256, SM4, проприетарный_DES

Да, с ограничениями

Для проприетарного протокола
IKEv1, IKEv2, IPSec
Только между продуктами данного вендора
Latency, Jitter, Packet loss

Да, с ограничениями

Только для проприетарного VPN

Да, с ограничениями

Поддерживается интеграция с Application Control

Все категории AppControl

Требуется одинаковое оборудование (модель, ОС)

Кастомизированный VRRP

При работе кластера используется один IP на каждом кластерном интерфейсе пары, серые IP не требуются

Переключение мастер-ноды

Менее 3 секунд. Время переключения зависит от причины сбоя и значений параметра Heartbeat Interval и может быть от «без задержек» до 3х Heartbeat Interval

Не тестировалось

Active-Passive

2

Не тестировалось

Продолжит работу. Если локальное управление не запрещено, то будет возможность редактировать все из консоли самого МСЭ

Локально, внешний log-сервер

Встроенная БД

FW, IPS, Botnet, AppControl

Встроенные

Session start, Session stop

Чтение домена

Дополнительные требования отсутствуют

Windows Server 2008 и старше, Linux с поддержкой OpenLDAP

PAP, CHAP, MS CHAP, MS CHAP2, EAP_MD5

Packet Tracing, Route Tracing, Logs

Packet Tracing, TCPDump, Logs, Traceroute, ping

Да, с ограничениями

Все логи есть внутри GUI
1. Обновить активную ноду. 2. Обновить пассивную ноду. Возможен даунтайм в процессе переключения между нодами

Да, с ограничениями

В процессе обновления есть обязательный шаг по созданию резервной копии

Не тестировалось

Все

7000 series

12,5

12,5

Значения других параметров при тестировании EMIX Throughput: PPS 1,7Mpps, CPS 12,1k, CC 26,5k
Развернуть таблицу

Нагрузочное тестирование

Задача нагрузочного тестирования — определить предельную производительность NGFW

Тестирование производилось на базе EMIX-трафика (Enterprise Mix), созданного на основе профиля реального трафика в корпоративной сети «Инфосистемы Джет». Условие достижения предела производительности — потери пакетов/сессий более 1%.

Значения, которые мы получили, не могут быть единственно верными, так как на результат влияет множество факторов:

  1. Профиль трафика: в каждой организации он свой;
  2. Настройки NGFW: включенные модули, используемое количество сигнатур IPS и т. п.;
  3. Настройки правил МСЭ: количество правил, широта правил (количество трафика, проверяемое каждым правилом, особенно актуально для SSL Inspection, AppControl и т. п.).

Мы полагаем, что полученные нами значения ближе к реальной производительности, чем полученные на синтетическом трафике. Однако для каждой организации они будут отличаться из-за различных профилей трафика и настроек устройства.

Таблица
График
EMIX, Гбит/c Результаты теста вендора Результаты «Инфосистемы Джет»
Платформа
Комментарий
Континент 4.1.9
img
img
6.3 7.7
IPC-3000F40
Значения других параметров при тестировании EMIX Throughput: PPS 0,98Mpps, CPS 7,5k, CC 5,6k
Check Point R81.20
img
img
9.50 8.50
7000 Plus
Значения других параметров при тестировании EMIX Throughput: PPS 1Mpps, CPS 8,47k, CC 4,98k
Ideco NGFW v16
img
img
5 0.75
EX
Значения других параметров при тестировании EMIX Throughput: PPS 0,09Mpps, CPS 0,85k, CC 0,55k Основное влияние на производительность оказывал модуль Контроль приложений. При отключении данного модуля были получены следующие результаты: EMIX Throughput 1,7Гбит/с, PPS 0,2Mpps, CPS 2k, CC 1,2k
InfoWatch ARMA Стена (NGFW)
img
img
7.8 6.2
-
Значения других параметров при тестировании EMIX Throughput: PPS 0,73Mpps, CPS 5,8k, CC 6k
UserGate 7.1.0 RC
img
img
Нет данных Нет данных
-
Нагрузочное тестирование для UserGate будет проведено после выхода релиза версии 7.1 для получения достоверных данных. Функциональные тесты UserGate 7.1.0 проводились на Release Candidate
ViPNet Coordinator HW5 5.3
img
img
1 1.22
HW5000
Значения других параметров при тестировании EMIX Throughput: PPS 0,14Mpps, CPS 1,2k, CC 1,12k
Континент 4.1.7
img
img
4.90 2.50
IPC-R1000
Значения других параметров при тестировании EMIX Throughput: UDP PPS 0,35Mpps, HTTP CPS 2,5k, HTTP CC 1,64k
Решение китайского производителя (7000 series, v.8.0)
img
img
12.50 12.50
7000 series
Значения других параметров при тестировании EMIX Throughput: PPS 1,7Mpps, CPS 12,1k, CC 26,5k
Развернуть таблицу
Континент 4.1.9EMIX, гбит/с
Платформа: IPC-3000F40
6.3
Тест вендора
7.7
Тест Инфосистемы Джет
Check Point R81.20EMIX, гбит/с
Платформа: 7000 Plus
9.50
Тест вендора
8.50
Тест Инфосистемы Джет
Ideco NGFW v16EMIX, гбит/с
Платформа: EX
5
Тест вендора
0.75
Тест Инфосистемы Джет
InfoWatch ARMA Стена (NGFW)EMIX, гбит/с
Платформа: -
7.8
Тест вендора
6.2
Тест Инфосистемы Джет
UserGate 7.1.0 RCEMIX, гбит/с
Платформа: -
Нет данных
Тест вендора
Нет данных
Тест Инфосистемы Джет
ViPNet Coordinator HW5 5.3EMIX, гбит/с
Платформа: HW5000
1
Тест вендора
1.22
Тест Инфосистемы Джет
Континент 4.1.7EMIX, гбит/с
Платформа: IPC-R1000
4.90
Тест вендора
2.50
Тест Инфосистемы Джет
Решение китайского производителя (7000 series, v.8.0)EMIX, гбит/с
Платформа: 7000 series
12.50
Тест вендора
12.50
Тест Инфосистемы Джет

Методика тестирования

Мы протестировали устройства в режиме, который обычно используется NGFW нашими клиентами:

  • периметровый межсетевой экран с включенными модулями IPS;
  • антивирус;
  • контентная фильтрация;
  • контроль приложений;
  • SSL Inspection;
  • VPN;
  • Proxy.

В рамках нагрузочного тестирования NGFW мы рассмотрели сценарий, когда устройство используется как периметровый межсетевой экран с включением доступных модулей безопасности. В ходе работ мы использовали типичные настройки для организации с количеством сотрудников от 500 до 1000 человек, наличием 1–2 филиалов и использованием таких корпоративных приложений, как почта, CRM, аудио — и видеоконференцсвязь, корпоративный портал.

Методика функционального тестирования
0.3 Мб
Методика нагрузочного тестирования
0.7 Мб
Типовая схема тестирования
Kali Linux
Внешняя сеть
Сегмент тестовых серверов
DMZ
AD/DNS/RADIUS
Сегмент тестовых APM
Win 10
Win 8
Win 7
Linux
Сторонний МСЭ для тестирования VPN
Тестовый APM

О проекте

Основная цель проекта — дать наиболее полное представление о доступных в России решениях класса NGFW и их функциональных возможностях.

Для этого в собственной лаборатории «Инфосистемы Джет» мы запустили тестирование в формате vendor-agnostic всех решений класса NGFW/UTM, представленных на российском рынке.

Наша задача — по единой для всех решений методологии проверить, как функционируют различные устройства в условиях, максимально приближенных к реальным. Мы рекомендуем рассматривать представленные результаты как отправную точку при выборе решений для дальнейшего проведения пилотных тестов в условиях вашей организации.

Мы провели тестирование уже семи* решений: Континент 4.1.7, Check Point R81.20, UserGate 7.1.0 RC, решение китайского производителя (7000 series, v.8.0), Ideco NGFW v16, ViPNet Coordinator HW5 5.3 и ранняя версия PT NGFW от Positive Technologies.

Мы продолжаем испытания решений различных вендоров, поэтому результаты будут регулярно обновляться. Следующие в очереди — решение от InfoWatch, новые версии Континент и Ideco.

Все результаты тестирования NGFW
0.8 Мб

Интересные материалы

Посмотреть все
«Инфосистемы Джет» завершила тесты ранней версии PT NGFW от Positive Technologies
«Инфосистемы Джет» завершила тесты ранней версии PT NGFW от Positive Technologies
Посмотреть все

Напишите нам,
если есть вопросы
или предложения

Задайте нам любые интересующие вас вопросы.
Будет здорово познакомиться с вами и вашей компанией.
Ваше имя
Компания
Телефон
Неверно введено
E-mail
Неверно введено
Ваше сообщение
Отправить

Нажимая на кнопку «Отправить», вы соглашаетесь с Политикой в области персональных данных и даете cогласие на обработку персональных данных.

Ваше сообщение успешно отправлено

Мы свяжемся с вами в ближайшее время

Хорошо