Спецпроект Инфосистемы Джет
Результаты независимого
тестирования NGFW
Функциональное тестирование
Сетевые функции
Режимы работы
Работа в режиме L3 (Routing Mode)
Работа в режиме L2 (Transparent Mode)
Маршрутизация
Режим получения динамических маршрутов при работе в кластере
Поведение МСЭ при ассиметричной маршрутизации
Возможность указывать исходящий интерфейс при настройке маршрутизации
Приоритизация маршрутов
Поддержка Fullview (маршрутизация)
ECMP
BFD
Протоколы маршрутизации
Ограничения для поддерживаемых динамических протоколов
Интерфейсы
VXLAN
LACP
Внешние каналы
Резервирование канала
Сколько ISP поддерживается
Статическая балансировка трафика
Динамическая балансировка трафика
Механизмы мониторинга физических линков
Работа ISP redundancy с VPN
Задание приоритета для линка
Базовые функции
Поддержка виртуальных контекстов
VRF
Настройка Proxy ARP
Fail Close/Fail Open (настройка поведения устройства при высокой нагрузке)
Поведение устройства при обновлении правил/применении политики
Netflow
Защита от SYN-flood
Защита от TCP-flood
Защита от ICMP-flood
Функционал Anti-spoofing
NTP
Мониторинг состояния блоков питания
Поддержка Graceful Restart
Выгрузка/загрузка конфигураций в виде тестовых файлов
SNMP
QoS
QoS
Применение QoS политик отдельно для интерфейсов
Применение QoS политик для зон (zones)
Функции MCЭ
МСЭ (L4)
Использование зон безопасности в политиках ACL
Использование интерфейсов в политиках ACL
Возможность включения интерфейсов в зоны
Drag&Drop при работе с объектами и политиками
Stateful Inspection
Ускорение обработки трафика
NAT-правила для определенных правил МСЭ
Расписание действия правил МСЭ
Поддержка временных правил МСЭ
Просмотр Implicit-правил
Управление Implicit-правилами
Hit Count для каждого правила
Поиск правил по объекту
Проверка правил на дубликаты
Объекты для создания правил
Блокировка по GeoIP
Наличие поля "Комментарий" на каждом правиле
NAT
Очередность выполнения NAT
Возможность выбора интерфейса, на котором будет осуществляться NAT
Source NAT
Destination NAT
Bidirectional NAT
NAT inside VPN
PBR (Policy Based Routing)
PBR
Отказоустойчивый линк с провайдером при использовании PBR
Совместная работа с GRE
Совместная работа с Route-based VPN
Функции NGFW/UTM
IPS
IPS
Возможность выбора определенной группы сигнатур для защиты
Создание исключений
Создание кастомных сигнатур
Наличие документации, описывающей синтаксис, используемый при написании сигнатуры
Защита от DoS
Защита от DoS
Функционал защиты от DoS в правилах IPS
Application Control
Ограничение трафика пользователя или группы пользователей в нерабочее или обеденное время
Ограничение трафика IP-адресу или группе IP-адресов в нерабочее или обеденное время
Поддержка сложных правил. Например: 1. Разрешить трафик на YouTube, но запретить оставлять комментарии 2. Разрешить трафик VK, но запретить пользоваться Multimedia
Добавление собственных приложений
Конфигурация сервисов на определенных портах
Политика реализации Application Control
Политика для трафика — «Неизвестный или не мог быть опознан устройством»
Страница оповещения для пользователя (блокировка)
Страница оповещения для пользователя (предупредить и продолжить)
Блокировка QUIC-протокола
Antivirus
Проверка почтового трафика SMTP(S), POP3, IMAP
Использование сторонних сигнатур Threat Feed
Страница блокировки сайта в случае наличия вируса на странице (URL-категория)
Условия работы антивируса
Проверка скачиваемых файлов
Проверка FTP, SFTP, SCP
Проверка SMB
Типы файлов
Проверка файлов в архивах без паролей
Проверка файлов в архивах с паролями
Выбор действий для определенных типов файлов
Антивирусный движок
Поддержка добавления пользовательских хешей
SSL Inspection
Поддерживаемые модули для SSL Inspection
Поддерживаемые протоколы
Поддержка нестандартных портов для поддерживаемых протоколов
Возможность использовать сертификаты стороннего УЦ
Инспектирование для отдельных пользователей
Инспектирование для отдельных сайтов
Поддержка Wildcard-сертификатов
Client-Side (Outbound SSL Inspection)
Server-Side (Inbound SSL Inspection)
Веб-фильтрация
Использование собственных или сторонних списков URL
Тип используемой базы URL
Создание кастомных URL-категорий
Переопределение категории URL
Ограничение используемых методов (GET, POST и др.) для отдельных URL-категорий
Настройка доступа к определенным URL/доменам
URL Lookup (проверка принадлежность URL к определенной категории)
Страница блокировки/ предупреждения
Какие списки URL использует производитель
Proxy (explicit/transparent)
Explicit Proxy
Transparent Proxy
Модули, работающие вместе с HTTPS Proxy
Авторизация Kerberos
Страница блокировки на Captive Portal
Captive Portal для авторизации на Proxy
Content Filtering
Контентная фильтрация
Типы файлов для фильтрации
Блокировка файлов в архивах
Блокировка архивов внутри архивов
Запрет загрузки файлов
Запрет отправки файлов
Anti Bot
Типы защищаемого трафика
Частота обновлений
Место хранения баз
Выявление трафика RAT
Выявление обращений к вредоносными URL и доменам
Выявление IRC-коммуникаций
Защита почтового трафика
Защита почты
Поддерживаемые протоколы
Антиспам
Антивирусная проверка писем
MTA
DMARC/DKIM/SPF
Поддержка протоколов с шифрованием
Загрузка сторонних списков спам-сайтов
VPN и SD-WAN
Remote Access VPN
Поддерживаемые протоколы
Интеграция с LDAP
VPN-клиент
Автоматическое назначение IP-адреса клиенту
Поддержка 2FA
Получение маршрутов от шлюза
SPLIT Tunnel
Направление всего трафика через VPN
Подключение к VIP-адресу кластера шлюзов
ОС для клиента
Способ получения клиента (ПО)
Автозапуск при включении ПК
Проверка трафика на шлюзе
Проверка трафика на клиентском устройстве
Compliance Check клиента
Централизованная установка клиента
Алгоритмы шифрования
WEB-portal VPN
Кастомизация портала
Типы приложений для публикации
Публикация нескольких порталов (на разных IP-адресах)
Распространение через портал Remote Access Client
Публикация собственных приложений на портале
Авторизация пользователя по сертификату
Публикация портала на разных URL
Поддержка 2FA
2FA
2FA + Remote Access VPN с клиентом
2FA + Remote Access VPN с SSL-порталом
Site-to-Site VPN
Поддерживаемые протоколы
DPD / Tunnel Test
Инструменты диагностики VPN-соединений
SA lifetime
Аутентификация
Исключение из VPN-трафика на основании сервиса
Алгоритмы шифрования
NAT-T (NAT Traversal)
IKEv1 Aggressive Mode
PFS (Perfect Forward Secrecy)
NAT внутри VPN
GRE over IPsec
IPsec over GRE
VPN со сторонними вендорами
SD-WAN
SD-WAN
Распределение пользователей (локальных и доменных) по каналам
Распределение трафика приложений/сайтов по каналам
Мониторинг трафика
IPsec over SD-WAN
Интеграция с модулями URL Filtering / Application Control
Типы фильтров в политиках SD-WAN
Отказоустойчивость и кластеризация
Кластеризация
Требования к нодам кластера
Механизмы резервирования кластера
VIP-адрес и адреса физических интерфейсов должны принадлежать одной подсети
Дополнительная лицензия для кластера
Добавление сетевых интерфейсов после сборки кластера
Поведение при отключении сетевого интерфейса
GARP
Время переключения между нодами
Потери пакетов при выходе из строя одного линка при использовании LoadSharing Active/Active
Синхронизация сессий
Кластер системы централизованного управления
Кластер системы централизованного логирования
Просмотр состояния кластера
Тип кластера
VMAC
Количество нод кластера
Защита от Split brain
Централизованное управление и отчетность
Централизованное управление
Выделенный сервер управления
Импорт правил/политик с локального МСЭ
Кластер сервера управления
Установка на ВМ
Поведение МСЭ при отключении сервера управления
Экспорт и резервное копирование политик
Централизованное обновление встроенного программного обеспечения МЭ
Наличие web-интерфейса для доступа к компонентам, включая средства управления
Передача данных между центром управления и МЭ по защищенному каналу
Выделенный сервер логирования
Режим логирования
Автоматическая выгрузка логов на сторонний сервер
Формат хранения логов
Регистрация и управление зарегистрированными инцидентами
Логирование и отчёты
Модули с логированием
Выгрузка логов
Отправка логов на сторонний сервер
Типы отчеты
Автоматические отчеты (по расписанию)
Типы логирования (вся сессия, начало сессии, выбранное кол-во пакетов и т. д.)
Виджеты для мониторинга трафика
Мониторинг работы системы МЭ в режиме реального времени при помощи журналов событий
Интеграция
LDAP
Использование пользователей из LDAP для создания политик
Права УЗ для интеграции с LDAP
Поддержка более одного домена
Требования к ПО для LDAP-аутентификации
Просмотр импортированных пользователей
Kerberos
Proxy-аутентификация
Прозрачная аутентификация
Версия ОС LDAP-сервера
Secure LDAP
Radius
Интеграция с Radius
Протоколы аутентификации при интеграции с Radius
Использование нескольких Radius-серверов
Приоритизация Radius-серверов
ICAP
ICAP Server
ICAP Client
Возможность поддержки ICAP без установки дополнительных модулей
Необходимость указывать VIP-адрес в качестве ICAP Server адреса на стороне клиентов при использовании VIP-адреса для кластера
Эксплуатационные возможности
Возможности диагностики
Модули диагностики в GUI
Модули диагностики в CLI
Доступ к логам ОС
Активация дебага отдельных модулей безопасности
Обновление версии ПО
Обновление кластера
Обновление кластера без простоя
Резервное копирование при автоматическом обновлении
Возможность отката к предыдущей версии
Доступ к дистрибутивам на сайте производителя
Офлайн-обновления
Обновление с web-ресурсов производителя
Обновление через систему централизованного управления
Обновление лицензии
Офлайн-установка лицензии (без доступа в интернет)
Наличие API или других инструментов для миграции правил
API
Модули, доступные через API
Загрузка политик через web-интерфейс
Загрузка политик через CLI
Поддержка миграции с других продуктов
Загрузка политик через GUI/Толстый клиент
Анонсы только на активной ноде. На резервной служба bird не активна
Трафик блокируется. Тест с дефолтной конфигурацией антиспуфинга
Да, с ограничениями
OSPF, BGP
В ходе тестирования ограничений не выявлено. Используется bird 2.13.1. Можно использовать стороннюю документацию для этой версии службы
По количеству физических интерфейсов типа "Внешний"
ICMP Probing
Да, с ограничениями
Работает автоматический (NAT), ручные записи не работают
В зависимости от настроек: разрывает сессии или сохраняет текущие сессии
Да, с ограничениями
Да, с ограничениями
IP host, IP range, IP-сеть, Сервисы и порты, Протоколы, Приложения, Группы, Страны, Пользователи (локальные и доменные)
Используется политика NAT. Правила обрабатываются по порядку сверху вниз, правила DNAT имеют приоритет
Да, с ограничениями
Да, с ограничениями
Blacklist, Whitelist
Определяется последующим правилом для данного трафика
Проверка только трафика инспектируемого SSL Inspection, протоколы HTTP и HTTPS
Более 40 типов файлов
Проверка по хешам
Антивирус, web-категоризация, Feeds, ICAP Client
HTTPS
Да, с ограничениями
Да, обновление в ручном или автоматическом режиме
Локальная
Да, с ограничениями
SkyDNS, TI feeds (Kaspersky, КБ, ЦБ, RST)
Антивирус, TI Feeds, Категоризация сайтов, ICAP-client, Авторизация пользователей
Больше 40 категорий, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash-видео, Active-X, Torrent-файлы, Документы). Работа по фильтрации HTTPS-трафика по данному типу категорий возможна только при его расшифровке
Да, с ограничениями
Да, с ограничениями
Да, с ограничениями
Да, с ограничениями
Пользовательский трафик, трафик опубликованных серверов
Динамично: от нескольких раз в день до нескольких раз в неделю
Загружаются с сервера обновлений, хранятся локально на ЦУС
TLS ГОСТ
Windows, Linux, Android, iOS, MacOS, Аврора
Через дистрибутив или сайт
ГОСТ
Реализовано через интеграцию с мультифактор.ру и Avanpost MFA+. Поддерживаются только Push-уведомления
Проприетарный протокол
Да, с ограничениями
Диагностика сети (ping, tracert, arp), просмотр соединений, командная строка (netstat, tcpdump и др.), запись дампа трафика на носитель, вывод виджета VPN-соединения со статистикой в dashboard
ГОСТ
Требуется одинаковое оборудование (модель, ОС, патчи)
Проприетарный протокол
Переключение мастер-ноды
Менее 1 секунды
При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала
Active-Passive
2
Продолжит работу
Да, с ограничениями
Локально, централизованно
Логи хранятся в БД. Есть возможность выгрузки в виде файлов xls, csv, json через интерфейс мониторинга, csv и txt через локальное меню ЦУС
Да, с ограничениями
Компоненты — Web/FTP-фильтрация, КП, межсетевой экран, VPN, СОВ, МПА, приоритезация трафика, прокси-сервер
Встроенные, пользовательские
В зависимости от компонента. Количество переданных данных в рамках сессии можно увидеть в live активных сессий, выведенных на dashboard
Чтение домена
Да, с ограничениями
Дополнительные требования не предъявляются
Да, с ограничениями
Windows Server 2008 и старше
Работа с журналом мониторинга и отчетами
Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, выгрузка отчетов и журналов и т.д.
Да, с ограничениями
Да, с ограничениями
Все модули
Обе ноды
В зависимости от настроек
RIP, OSPF, BGP, IS-IS, PIM
В ходе тестирования ограничений не выявлено
До 10
ICMP Probing, HTTP Request (SD-WAN)
Да, с ограничениями
Ручная настройка
Устройство продолжает обрабатывать трафик, сессии не разрываются
Network, Host, Service, Application, VPN, User, Servers, Time Objects, Limit, Updatable Objects, Network Feed, Dynamic objects, DC Objects, Domain
Manual Static NAT (Port Forwarding, Bi-directional NAT) -> Automatic Static NAT -> Hide NAT
Blacklist, Whitelist
Accept, Deny (Drop)
Пользовательские и внешние источники в форматах STIX XML (STIX 1.0), CSV в формате Check Point, CSV в других форматах
Нет дополнительных условий
Более 90 типов файлов
Check Point Propreitary
FW, IPS, Application Control, URL filtering, AV, Sandbox
SSH, SMTPS, HTTPS
Да, обновление в ручном или автоматическом режимах
Локальная
Check Point Threat Cloud, Extermal Threat Feed
Все модули Threat Prevention
Более 80 типов файлов
Пользовательский трафик, трафик опубликованных серверов
Возможна ручная конфигурация (до 1 раза в час)
Локально
SMTP, POP3, IMAP
IKEv1, IKEv2, IPSec, L2TP
Windows, Linux, Android, iOS, MacOS
Сайт поддержки, портал SSL VPN
DES, 3DES, AES-128, AES-256
Все Web-Based, FileShare, RDP in HTML, Citrix, IMAP in HTML
Radius, TOTP, SMS, SMTP
Radius, TOTP, SMS, SMTP
IKEv1, IKEv2, IPSec
IkeView, SmartConsole
DES, 3DES, AES-128, AES-256
Все категории AppControl и URLFiltering
Требуется одинаковое оборудование (модель, ОС)
VRRP и ClusterXL
Зависит от настроек
Менее 1 секунды
До 2 пакетов
Active-Passive, Active-Active
VRRP – 2, ClusterXL – 5, Maestro – от 8
Продолжит работу
Локально, централизованно
RAW text log, индексы в базе PostgreSQL
Все модули
Встроенные, пользовательские
Per Connection, Per session, Detailed log, Extended Log
Чтение домена, доступ к WMI
Для крупных инсталляций (больше 10 тысяч пользователей ) — Identity Collector
Windows Server 2008 и старше
PAP, MS CHAP2
SmartConsole, SmartView, SmartLog, IkeVIEW, DiagnosticVIEW, Health Check Point, CPM Doctor, Log Doctor
CPView, Tcpdump, FWMonitor, Kernel Debug, IKE Debug, дебаг всех процессов
Все (SmartMove)
Маршруты получает активная нода. При переключении кластера пассивная нода получает маршруты
Трафик блокируется
Да, с ограничениями
Да, с ограничениями
Да, с ограничениями
OSPF, BGP
Ограниченная настройка через web, отсутствие loopback. Планируются улучшения в версии 18
По количеству физических интерфейсов
ICMP, Round-Robin
Proxy ARP включен по умолчанию, изменить нельзя
Устройство продолжает обрабатывать трафик, сессии не разрываются
Да, с ограничениями
Да, с ограничениями
Да, с ограничениями
IP host, IP range, Пользовательские группы, Сервисы и порты, Протоколы, Типы приложений, Домен, Список стран
1. SNAT. 2. DNAT
Да, с ограничениями
Blacklist, Whitelist
Неопознанный трафик в модуле Контент-фильтрация
Да, с ограничениями
ClamAV — без дополнительных условий. Kaspersky — при активации дополнительной лицензии
Зависит от выбранного антивируса. Поддерживается более 90 типов файлов
Kaspersky, ClamAV
Контентная фильтрация, Антивирус, ICAP
HTTPS
Можно загружать собственный список. Неудобный формат ввода в виде одной строчки, но используется автоматический парсинг данной строки
Локальная база (обновляемая)
Да, с ограничениями
SkyDNS
Контентная фильтрация, Антивирус, ICAP
Аудиофайлы, Видеофайлы, Документы, Архивы, Torrent-файлы, Flash-видео, исполняемые файлы
Да, с ограничениями
Пользовательский трафик, трафик опубликованных серверов
Несколько раз в день
Локальная база (обновляемая)
IMAP(S), POP3(S)
Да, с ограничениями
Да, с ограничениями
PPTP, PPPoE, IKEv2/IPsec, SSTP, L2TP/IPsec, Wireguard
Windows. MAC OS планируется в версии 17. Linux планируется в версии 18
Через дистрибутив или личный кабинет пользователя на Ideco NGFW
AES256-GCM, AES256
Radius (при интеграции с Multifactor), SMS, TOTP
IKEv2, IPsec
Виджеты панели мониторинга, утилиты командной строки (ping, host, nslookup, tracepath, tcpdump, arping, ss (аналог netstat))
Да, с ограничениями
AES256-GCM, AES256
Обе ноды должны иметь одну версию системы, идентичную вплоть до номера сборки. Также интерфейсы на обеих нодах должны быть настроены идентично
Проприетарный протокол
Переключение мастер-ноды
5-15 секунд
2-3 пакета
Active/Standby
2
Продолжит работу
Локальное логирование, отправка на сторонний сервер через Syslog
RAW формат в БД ClickHouse
МЭ, IPS/IDS, Web Application Firewall, Контент-Фильтр, Контроль приложений
Встроенные, пользовательские
Вся сессия
Права на чтение каталога
Дополнительные требования не предъявляются
Windows Server 2008 R2, 2012, 2016, 2019, 2022; Samba DC версии 4.0 и старше
Журнал событий, отчетность по модулям, виджеты Панели мониторинга
ping, host, nslookup, tracepath, tcpdump, arping, ss (аналог netstat) и др.
Да, с ограничениями
Все
RIP, OSPF, BGP, IS-IS, PIM
Не обнаружено в ходе тестирования
По количеству физических интерфейсов
ICMP, TTL-тест, пользовательский скрипт
Ручная настройка
Устройство продолжает обрабатывать трафик, сессии не разрываются
IP host, group IP, ports, group ports, interfaces, group interfaces, networks, group networks, protocols
По порядку размещения правил NAT, сверху вниз
Да, обновление в ручном или автоматическом режиме
Онлайн обновление
Open Source
URL Filtering
WireGuard, IPsec, OpenVPN, OpenConnect
aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, aes128ccm64, aes192ccm64, aes256ccm64, aes128ccm96, aes192ccm96, aes256ccm96, aes128ccm128, aes192ccm128, aes256ccm128, aes128gcm64, aes192gcm64, aes256gcm64, aes128gcm96, aes192gcm96, aes256gcm96, aes128gcm128, aes192gcm128, aes256gcm128, aes128gmac, aes192gmac, aes256gmac, 3des, blowfish128, blowfish192, blowfish256, camellia128, camellia192, camellia256, camellia128ctr, camellia192ctr, camellia256ctr, camellia128ccm64, camellia192ccm64, camellia256ccm64, camellia128ccm96, camellia192ccm96, camellia256ccm96, camellia128ccm128, camellia192ccm128, camellia256ccm128, serpent128, serpent192, serpent256, twofish128, twofish192, twofish256, cast128, chacha20poly1305, des, bf128, bf256, aes128gcm, aes192gcm, aes256gcm, TLS
IKEv1, IKEv2, IPSec
Show VPN connections, show the in-kernel crypto policies, show all active IPsec Security Associations (SA), show the in-kernel crypto state, show status of IPsec process
aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, aes128ccm64, aes192ccm64, aes256ccm64, aes128ccm96, aes192ccm96, aes256ccm96, aes128ccm128, aes192ccm128, aes256ccm128, aes128gcm64, aes192gcm64, aes256gcm64, aes128gcm96, aes192gcm96, aes256gcm96, aes128gcm128, aes192gcm128, aes256gcm128, aes128gmac, aes192gmac, aes256gmac, 3des, blowfish128, blowfish192, blowfish256, camellia128, camellia192, camellia256, camellia128ctr, camellia192ctr, camellia256ctr, camellia128ccm64, camellia192ccm64, camellia256ccm64, camellia128ccm96, camellia192ccm96, camellia256ccm96, camellia128ccm128, camellia192ccm128, camellia256ccm128, serpent128, serpent192, serpent256, twofish128, twofish192, twofish256, cast128, chacha20poly1305
Обе ноды должны иметь одну версию системы
VRRP
Переключение мастер-ноды
Не больше 3 секунд
До 3 пакетов
Active-Passive
2 или более
bandwidth, cluster, conntrack-sync, content-inspection, dhcp, dns, firewall, https, lldp, log, nat, ndp, openvpn, protocol (routing protocols), snmp, traffic (traffic dumps), vpn, vrrp, webproxy
Вся сессия
Права на чтение домена
Да, с ограничениями
Дополнительные требования не предъявляются
Windows Server 2012, 2016, 2019
PAP
Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, работа с журналами и т.д.
Обе ноды
В зависимости от настроек
OSPF, BGP, RIP, PIM
Нет редистрибуции из BGP в OSPF
Без ограничений
Link up\down
Ручная настройка
В зависимости от настроек: разрывает сессии или сохраняет текущие сессии
Да, с ограничениями
Да, с ограничениями
Зона, Адрес источника, Список адресов, Список GeoIP, Список доменов, Пользователь, Группа пользователей
По каждому типу правил правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нем условия
Да, с ограничениями
Да, с ограничениями
Blacklist
Разрешить, Запретить
По типам файлов не дифференцируется. Проверяется hash файлов
Проприетарный
Контентная фильтрация, IPS, AppControl
HTTPS, SMTPS, POP3
Да, обновление в ручном или автоматическом режимах
Локальная
Собственные списки производителя
Контентная фильтрация, IPS, AppControl
Видео, документы, звуки и музыка, картинки, приложения, JS
Пользовательский трафик, трафик опубликованных серверов
Раз в неделю
Локально
Да, с ограничениями
POP3 и SMTP
L2TP over IPSec, IKEv2 c PSK, IKEv2 c сертификатом
Windows 8/10
Через дистрибутив
Да, с ограничениями
AES
HTTP, HTTPS, FTP, SSH, RDP
Radius, TOTP, SMS
Radius, TOTP, SMS
IKEv1, IKEv2
DES; 3DES; AES128, AES192, AES256
Требуется одинаковая версия ОС
VRRP
Переключение мастер-ноды
Менее 1 секунды
1-2 пакета
Active-Passive, Active-Active
До 4
Продолжит работу
Локально, централизованно
Логи хранятся в БД
Все модули
Встроенные, пользовательские
Начало сессии либо все пакеты сессии с возможностью установки ограничений на количество логируемых пакетов в единицу времени
Администратор домена
Дополнительные требования не предъявляются
Windows Server 2008 и старше
Chap
Журналы, отчеты, захват пакетов
Журналы, захват пакетов
Да, с ограничениями
Да, с ограничениями
Все
Активная нода
Трафик блокируется
OSPF, BGP
Для OSPF: 1. Можно указать не более 128 сетей, в которых осуществляется обмен информацией по протоколу OSPF. 2. На каждом интерфейсе можно создать не более 255 ключей с уникальным keyid и только один пароль.
По количеству физических интерфейсов
Используется проверка состояния шлюзов (Dead Gateway Detection, DGD)
Правила/политики применяются без перерывов в обслуживании
Да, с ограничениями
Да, с ограничениями
Да, с ограничениями
IP host, IP range, IP network, DNS-имена, Интерфейсы и Группы интерфейсов, Сервисы и порты, Прикладные протоколы, Пользователи, Приложения и Группы приложений
По порядку размещения правил NAT, сверху вниз
Да, с ограничениями
Да, с ограничениями
Whitelist
Определяется последующим правилом для данного трафика
Загрузка списков URL не поддерживается, можно создавать группы объектов, добавляя каждый URL вручную
Локальная, используется в модуле Контроль приложений
Собственные
Более 95 типов файлов
Да, с ограничениями
Пользовательский трафик, трафик опубликованных серверов. Защита от Botnet реализована в модуле IPS
Один раз в день
Локально
Да, с ограничениями
Да, с ограничениями
Да, с ограничениями
IPlir
Да, с ограничениями
Linux, Windows, Android, iOS, MacOS, Аврора
Сайт вендора, поставка на CD
Да, с ограничениями
ГОСТ 28147-89, ГОСТ 34.12-2018, ГОСТ 34.13-2018
Реализовано через интеграцию с мультифактор.ру в рамках отдельного продукта ViPNet Сервер многофакторной аутентификации
IPlir
Группа команд iplir, диагностика сети (ping, tracert, arp), командная строка (netstat, tcpdump и др.)
ГОСТ 28147-89, ГОСТ 34.12-2018, ГОСТ 34.13-2018
Да, с ограничениями
Да, с ограничениями
Да, с ограничениями
Для ViPNet Coordinator HW: одинаковая платформа и версия ПО. Для ViPNet Coordinator VA: одинаковые параметры эмулируемого аппаратного обеспечения (количество процессоров, ОЗУ и сетевых интерфейсов)
Проприетарный протокол
Переключение мастер-ноды
Менее 1 сек.
Active-Passive
2
Продолжит работать
Локально, централизованно
RAW text log, SQLite
Все модули
Регистрировать все IP-пакеты или только заблокированные IP-пакеты
Чтение домена
Дополнительные требования не предъявляются
Windows Server 2016, Windows Server 2012 R2
Да, с ограничениями
Работа с журналами, ARP-Таблица
Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, работа с журналами и т.д.
Да, с ограничениями
Активная нода
Трафик блокируется
Да, с ограничениями
Да, с ограничениями
OSPF, BGP
В ходе тестирования ограничений не выявлено
По количеству физических интерфейсов
ICMP Probing
Да, с ограничениями
Ручная настройка
В зависимости от настроек: разрывает сессии или сохраняет текущие сессии
Да, с ограничениями
Да, с ограничениями
IP host, IP range, IP-сеть, Сервисы и порты, Протоколы, Приложения, Группы, Страны, Пользователи (локальные и доменные)
Используется политика NAT. Правила обрабатываются по порядку сверху вниз, правила DNAT имеют приоритет
Да, с ограничениями
Blacklist, Whitelist
Определяется последующим правилом для данного трафика
Да, с ограничениями
Проверка только трафика инспектируемого SSL Inspection, протоколы HTTP и HTTPS
Более 40 типов файлов
Проверка по хешам
Антивирус, WEB-категоризация, Feeds, ICAP Client
HTTPS
Да, обновление в ручном или автоматическом режимах
Локальная
Да, с ограничениями
SkyDNS, TI feeds (Kaspersky, КБ, ЦБ)
Антивирус, TI Feeds, Категоризация сайтов, ICAP-client, Авторизация пользователей
Больше 40 категорий, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash-видео, Active-X, Torrent-файлы, Документы). Работа по фильтрации HTTPS-трафика по данному типу категорий возможна только при его расшифровке
Пользовательский трафик, трафик опубликованных серверов
Динамично: от нескольких раз в день до нескольких раз в неделю
Загружаются с сервера обновлений, хранятся локально на ЦУС
TLS ГОСТ
Windows, Linux, Android, iOS, MacOS, Аврора
Через дистрибутив или сайт
ГОСТ
Реализовано через интеграцию с мультифактор.ру и Avanpost MFA+
Проприетарный протокол
Диагностика сети (ping, tracert, arp), просмотр соединений, командная строка (netstat, tcpdump и др.)
ГОСТ
Требуется одинаковое оборудование (модель, ОС, патчи)
Проприетарный протокол
Переключение мастер-ноды
Да, с ограничениями
Менее 1 секунды
При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала
Active-Passive
2
Продолжит работу
Локально, централизованно
Логи хранятся в БД. Есть возможность выгрузки в виде файлов xml, csv
Да, с ограничениями
Все модули
Встроенные, пользовательские
В зависимости от компонента
Чтение домена
Да, с ограничениями
Дополнительные требования не предъявляются
Да, с ограничениями
Windows Server 2008 и старше
Работа с журналом мониторинга и отчетами
Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, выгрузка отчетов и журналов и т.д.
Да, с ограничениями
Да, с ограничениями
Сетевые объекты, правил МЭ и NAT
При использовании OSPF маршруты получает активная нода и синхронизирует их с пассивной нодой
Трафик блокируется
Не тестировалось
RIP, OSPF, BGP
Max BGP members 128
Без ограничений
BDF, ICMP, ARP, DNS
Ручная настройка
Повторное сравнение согласно новой политике.Устройство продолжает обрабатывать трафик, сессии не разрываются
Да, с ограничениями
Да, с ограничениями
Source Zone, Source Address, User/Group, Destination Address, Service, Applications/Groups
По порядку написания в политике NAT
Да, с ограничениями
Blacklist, Whitelist
Нет дополнительных условий
Да, с ограничениями
Более 100 типов файлов, можно редактировать
Собственный
Все модули
HTTPS
Да, с ограничениями
Да, обновление в ручном режиме
Локальная
Собственные списки производителя
Более 100 типов файлов, можно редактировать
Пользовательский трафик, трафик опубликованных серверов
База вендора обновляется по мере выявления новых угроз. База на МСЭ обновляется по настраиваемому расписанию
Локально
SMTP, POP3, IMAP
SSL VPN
Windows, Linux, MacOS, Android, iOS
SSL VPN портал, ТП вендора
DES, 3DES, AES/AES128, AES192, AES256, проприетарный_DES
HTTP, HTTPS, FileShare, DNS, H.323, SMTP, POP3, Telnet, SSH, LotusNote, Terminal Service, VNC, MSSQL Server, Citrix ICA (old version), MSN, Sinfor DNet, NetMeeting base, NetMeeting desktop, FTP (port/pasv mode), Citrix ICA (latest version), ORACLE, MYSQL, Other (ICMP, UDP, TCP, any protocol)
TOTP, Hardware ID
TOTP, Hardware ID
IKEv1, IKEv2, IPSec, проприетарный VPN
Логирование
DES, 3DES, AES/AES128, AES192, AES256, SM4, проприетарный_DES
Да, с ограничениями
Да, с ограничениями
Да, с ограничениями
Все категории AppControl
Требуется одинаковое оборудование (модель, ОС)
Кастомизированный VRRP
Переключение мастер-ноды
Менее 3 секунд. Время переключения зависит от причины сбоя и значений параметра Heartbeat Interval и может быть от «без задержек» до 3х Heartbeat Interval
Не тестировалось
Active-Passive
2
Не тестировалось
Продолжит работу. Если локальное управление не запрещено, то будет возможность редактировать все из консоли самого МСЭ
Локально, внешний log-сервер
Встроенная БД
FW, IPS, Botnet, AppControl
Встроенные
Session start, Session stop
Чтение домена
Дополнительные требования отсутствуют
Windows Server 2008 и старше, Linux с поддержкой OpenLDAP
PAP, CHAP, MS CHAP, MS CHAP2, EAP_MD5
Packet Tracing, Route Tracing, Logs
Packet Tracing, TCPDump, Logs, Traceroute, ping
Да, с ограничениями
Да, с ограничениями
Не тестировалось
Все
Нагрузочное тестирование
Задача нагрузочного тестирования — определить предельную производительность NGFW
Тестирование производилось на базе EMIX-трафика (Enterprise Mix), созданного на основе профиля реального трафика в корпоративной сети «Инфосистемы Джет». Условие достижения предела производительности — потери пакетов/сессий более 1%.
Значения, которые мы получили, не могут быть единственно верными, так как на результат влияет множество факторов:
- Профиль трафика: в каждой организации он свой;
- Настройки NGFW: включенные модули, используемое количество сигнатур IPS и т. п.;
- Настройки правил МСЭ: количество правил, широта правил (количество трафика, проверяемое каждым правилом, особенно актуально для SSL Inspection, AppControl и т. п.).
Мы полагаем, что полученные нами значения ближе к реальной производительности, чем полученные на синтетическом трафике. Однако для каждой организации они будут отличаться из-за различных профилей трафика и настроек устройства.
Гбит/с CC, k CPS, k c/s PPS, Mp/s
Гбит/с CC, k CPS, k c/s PPS, Mp/s
Гбит/с CC, k CPS, k c/s PPS, Mp/s
Гбит/с CC, k CPS, k c/s PPS, Mp/s
Гбит/с CC, k CPS, k c/s PPS, Mp/s
Гбит/с CC, k CPS, k c/s PPS, Mp/s
Гбит/с CC, k CPS, k c/s PPS, Mp/s
Гбит/с CC, k CPS, k c/s PPS, Mp/s
Методика тестирования
Мы протестировали устройства в режиме, который обычно используется NGFW нашими клиентами:
- периметровый межсетевой экран с включенными модулями IPS;
- антивирус;
- контентная фильтрация;
- контроль приложений;
- SSL Inspection;
- VPN;
- Proxy.
В рамках нагрузочного тестирования NGFW мы рассмотрели сценарий, когда устройство используется как периметровый межсетевой экран с включением доступных модулей безопасности. В ходе работ мы использовали типичные настройки для организации с количеством сотрудников от 500 до 1000 человек, наличием 1–2 филиалов и использованием таких корпоративных приложений, как почта, CRM, аудио — и видеоконференцсвязь, корпоративный портал.
О проекте
Основная цель проекта — дать наиболее полное представление о доступных в России решениях класса NGFW и их функциональных возможностях.
Для этого в собственной лаборатории «Инфосистемы Джет» мы запустили тестирование в формате vendor-agnostic всех решений класса NGFW/UTM, представленных на российском рынке.
Наша задача — по единой для всех решений методологии проверить, как функционируют различные устройства в условиях, максимально приближенных к реальным. Мы рекомендуем рассматривать представленные результаты как отправную точку при выборе решений для дальнейшего проведения пилотных тестов в условиях вашей организации.
Мы продолжаем испытания решений различных вендоров, поэтому результаты будут регулярно обновляться. Следующие в очереди — решение от InfoWatch, новые версии Континент и Ideco.
Интересные материалы
Напишите нам,
если есть вопросы
или предложения
Будет здорово познакомиться с вами и вашей компанией.
Да, с ограничениями