Спецпроект Инфосистемы Джет

Результаты независимого тестирования NGFW

Открытая методика тестирования

264 теста на стенде

9 тест-кейсов под нагрузкой

Протестировано 12 решений

1 решение в процессе тестирования

Функциональное тестирование

Устройства

PT NGFW

PT NGFW 1.7.2

Check Point

Check Point R81.2

Ideco

Ideco NGFW v18

Ideco NGFW v16

InfoWatch ARMA

InfoWatch ARMA Стена (NGFW)

UserGate

UserGate NGFW 7.4.1

UserGate 7.1.0 RC

ViPNet

ViPNet Coordinator HW 5.3

Решение китайского производителя

Решение китайского производителя (7000 series, v.8.0)

Код Безопасности

Континент 4.1.9

Континент 4.1.7

С-Терра

С-Терра Экран-М

Сбросить все фильтры

Группа функционала

Сетевые функции

Функции MCЭ

Функции NGFW/UTM

VPN и SD-WAN

Отказоустойчивость и кластеризация

Централизованное управление и отчетность

Интеграция

Эксплуатационные возможности

Сбросить все фильтры

из

Сетевые функции Режимы работы Наименование группы	Методика функционального тестирования v_3.0 UserGate NGFW 7.4.1	Методика функционального тестирования v_2.0 PT NGFW 1.7.2	Методика функционального тестирования v_2.0 С-Терра Экран-М	Методика функционального тестирования v_2.0 Ideco NGFW v18	Методика функционального тестирования v_2.0 Континент 4.1.9	Методика функционального тестирования v_1.0 Check Point R81.2	Методика функционального тестирования v_1.0 Ideco NGFW v16	Методика функционального тестирования v_1.0 InfoWatch ARMA Стена (NGFW)	Методика функционального тестирования v_1.0 UserGate 7.1.0 RC	Методика функционального тестирования v_1.0 ViPNet Coordinator HW 5.3	Методика функционального тестирования v_1.0 Континент 4.1.7	Методика функционального тестирования v_1.0 Решение китайского производителя (7000 series, v.8.0)
Сетевые функции Режимы работы

Наименование группы	Методика функционального тестирования v_3.0 UserGate NGFW 7.4.1	Методика функционального тестирования v_2.0 PT NGFW 1.7.2	Методика функционального тестирования v_2.0 С-Терра Экран-М	Методика функционального тестирования v_2.0 Ideco NGFW v18	Методика функционального тестирования v_2.0 Континент 4.1.9	Методика функционального тестирования v_1.0 Check Point R81.2	Методика функционального тестирования v_1.0 Ideco NGFW v16	Методика функционального тестирования v_1.0 InfoWatch ARMA Стена (NGFW)	Методика функционального тестирования v_1.0 UserGate 7.1.0 RC	Методика функционального тестирования v_1.0 ViPNet Coordinator HW 5.3	Методика функционального тестирования v_1.0 Континент 4.1.7	Методика функционального тестирования v_1.0 Решение китайского производителя (7000 series, v.8.0)

Сетевые функции
Режимы работы
Работа в режиме L3 (Routing Mode)
Fail Close / Fail Open (настройка поведения устройства при высокой нагрузке)		±
Работа в режиме L2 (Transparent Mode)					±
Маршрутизация
Возможность указывать исходящий интерфейс при настройке маршрутизации				±	±		±				±
Приоритизация маршрутов (Administrative Distance)	±
Поддержка Fullview (маршрутизация)											±	Не тестировалось
ECMP (Equal-Cost Multi-Path)	±			±			±
BFD (Bidirectional Forwarding Detection)				±			±
Протоколы маршрутизации	OSPF, BGP, RIP, PIM	Поддержка BGP и OSPF	OSPF, BGP	OSPF, BGP	OSPF, BGP	RIP, OSPF, BGP, IS-IS, PIM	OSPF, BGP	RIP, OSPF, BGP, IS-IS, PIM	OSPF, BGP, RIP, PIM	OSPF, BGP	OSPF, BGP	RIP, OSPF, BGP
Ограничения для поддерживаемых динамических протоколов	Ограничения отсутсвуют	Используется служба FRRouting. Возможности настройки протоколов ограничены функциями, реализованным в интерфейсе	По информации от вендора, программных ограничений нет	Используется служба FRRouting 8.5.3, которая сама по себе имеет достаточно богатый функционал. Но возможности настройки протоколов ограничены базовым функционалом, реализованным в интерфейсе. Например	В ходе тестирования ограничений не выявлено. Используется bird 2.13.1. Можно использовать стороннюю документацию для этой версии службы	В ходе тестирования ограничений не выявлено	Ограниченная настройка через web, отсутствие loopback. Планируются улучшения в версии 18	Не обнаружено в ходе тестирования	Нет редистрибуции из BGP в OSPF	Для OSPF: 1. Можно указать не более 128 сетей, в которых осуществляется обмен информацией по протоколу OSPF. 2. На каждом интерфейсе можно создать не более 255 ключей с уникальным keyid и только один	В ходе тестирования ограничений не выявлено	Max BGP members 128
Поведение МСЭ при асимметричной маршрутизации		Трафик блокируется (в журнале записей нет)	Пользовательский трафик обрабатывается, доступ в интернет есть, однако политики контроля приложений, СОВ и URL-фильтрация отрабатывают некорректно	Трафик блокируется	Трафик блокируется. Тест с дефолтной конфигурацией антиспуфинга	В зависимости от настроек	Трафик блокируется		В зависимости от настроек	Трафик блокируется	Трафик блокируется	Трафик блокируется
Интерфейсы
VXLAN (Virtual Extensible LAN)
LACP (Link Aggregation Control Protocol, стандарт IEEE 802.3ad/802.1ax)
Внешние каналы
Резервирование интернет-канала (ISP Redundancy)	±	±
Сколько ISP поддерживается	Количество подключаемых провайдеров (ISP) ограничено числом доступных физических интерфейсов	По количеству физических интерфейсов	1	По количеству физических интерфейсов	По количеству физических интерфейсов типа "Внешний"	До 10	По количеству физических интерфейсов	По количеству физических интерфейсов	Без ограничений	По количеству физических интерфейсов	По количеству физических интерфейсов	Без ограничений
Статическая балансировка трафика при использовании резервирования провайдера (ISP Redundancy)
Потери пакетов при выходе из строя одного линка при использовании LoadSharing Active/Active	1-2 пакета		Реализовано через Bond(LACP) или ECMP	2–3 пакета	При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала	До 2 пакетов	2-3 пакета	До 3 пакетов	1-2 пакета		При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала	Не тестировалось
Механизмы мониторинга физических линков при использовании ISP Redundancy	Link Up/Down, проверка доступности удалённого хоста	Отображает в веб-интерфейсе и в CLI NGFW	В GUI нет встроенного мониторинга состояния линка. Статус линка доступен через CLI	ICMP, Round-Robin	ICMP Probing	ICMP Probing, HTTP Request (SD-WAN)	ICMP, Round-Robin	ICMP, TTL-тест, пользовательский скрипт	Link up\down	Используется проверка состояния шлюзов (Dead Gateway Detection, DGD)	ICMP Probing	BDF, ICMP, ARP, DNS
Задание приоритета для линка
Динамическая балансировка трафика
Работа ISP redundancy с VPN											±
Базовые функции
Поддержка виртуальных контекстов
VRF (Virtual Routing and Forwarding)					±	±
Настройка Proxy ARP	Без указания конкретного IP-адреса — отвечает на все адреса	Работает только при наличии NAT-правила с пулом адресов подмены, в который входит адрес интерфейса PT NGFW		Proxy ARP включен по умолчанию, изменить нельзя	Работает автоматический (NAT), ручные записи не работают	Ручная настройка	Proxy ARP включен по умолчанию, изменить нельзя	Ручная настройка	Ручная настройка		Ручная настройка	Ручная настройка
Поведение устройства при обновлении правил / применении политики	В зависимости от настроек: разрывает сессии или сохраняет текущие сессии	Перерыва в обслуживании при установки политик нет	Правила применяются, как только назначаются на интерфейс, изменение правил так же срабатывает незамедлительно	Устройство продолжает обрабатывать трафик, сессии не разрываются	В зависимости от настроек: разрывает сессии или сохраняет текущие сессии	Устройство продолжает обрабатывать трафик, сессии не разрываются	Устройство продолжает обрабатывать трафик, сессии не разрываются	Устройство продолжает обрабатывать трафик, сессии не разрываются	В зависимости от настроек: разрывает сессии или сохраняет текущие сессии	Правила/политики применяются без перерывов в обслуживании	В зависимости от настроек: разрывает сессии или сохраняет текущие сессии	Повторное сравнение согласно новой политике.Устройство продолжает обрабатывать трафик, сессии не разрываются
Netflow (сетевой экспорт потоков)
Функционал Anti-Spoofing (защита от подмены адресов)			±
NTP (Network Time Protocol)
Мониторинг состояния блоков питания
Поддержка Graceful Restart для протоколов динамической маршрутизации
Выгрузка/загрузка конфигураций в виде текстовых файлов	±		±
SNMP (Simple Network Management Protocol)
Страна происхождения производителя	Российская Федерация
Включен в реестр ПАК Минцифры
Сертификат ФСТЭК
Сертификат ФСБ
Наличие дополнительного функционала: DLP, WAF, SandBox и др.
QoS
QoS (Quality of Service, «качество обслуживания»)
Применение QoS-политик отдельно для интерфейсов				±			±					±
Применение QoS-политик для зон				±			±
Функции MCЭ
МСЭ (L4)
Использование зон безопасности в политиках ACL
Использование интерфейсов в политиках ACL					±				±		±	±
Возможность включения интерфейсов в зоны
Перетаскивание элементов (Drag&Drop) при работе с объектами и политиками	±	±	±							±
Контроль состояния соединений (Stateful Inspection)			±
Ускорение обработки трафика
NAT-правила для определенных правил МСЭ
Расписание действия правил МСЭ
Поддержка временных правил МСЭ		±
Просмотр неявных правил (Implicit Rules)			±	±	±		±				±
Управление неявными правилами (Implicit Rules)
Счетчик срабатываний (Hit Count) для каждого правила
Поиск правил по объекту		±							±	±
Проверка правил на дубликаты	±	±								±
Объекты для создания правил	Зона, Список адресов, Список GeoIP, Список доменов, Пользователь, Группа пользователей, Сервис, Группа сервисов, Время	IP host IP range Пользовательские группы Сервисы и порты Протоколы Типы приложений Географические области (если применимо) Зоны Группы IPS Пользователи и группы		IP host, IP range, IP-сеть, Сервисы и порты, Протоколы, Приложения, Группы, Страны, Пользователи (локальные и доменные)	IP host, IP range, IP-сеть, Сервисы и порты, Протоколы, Приложения, Группы, Страны, Пользователи (локальные и доменные)	Network, Host, Service, Application, VPN, User, Servers, Time Objects, Limit, Updatable Objects, Network Feed, Dynamic objects, DC Objects, Domain	IP host, IP range, Пользовательские группы, Сервисы и порты, Протоколы, Типы приложений, Домен, Список стран	IP host, group IP, ports, group ports, interfaces, group interfaces, networks, group networks, protocols	Зона, Адрес источника, Список адресов, Список GeoIP, Список доменов, Пользователь, Группа пользователей	IP host, IP range, IP network, DNS-имена, Интерфейсы и Группы интерфейсов, Сервисы и порты, Прикладные протоколы, Пользователи, Приложения и Группы приложений	IP host, IP range, IP-сеть, Сервисы и порты, Протоколы, Приложения, Группы, Страны, Пользователи (локальные и доменные)	Source Zone, Source Address, User/Group, Destination Address, Service, Applications/Groups
Блокировка по GeoIP			±
Наличие поля "Комментарий" на каждом правиле
NAT
Очередность выполнения NAT	DNAT(1) → ACL(2) → SNAT(3)	Static NAT, Many-to-One NAT,		1. SNAT. 2. DNAT	Используется политика NAT. Правила обрабатываются по порядку сверху вниз, правила DNAT имеют приоритет	Manual Static NAT (Port Forwarding, Bi-directional NAT) -> Automatic Static NAT -> Hide NAT	1. SNAT. 2. DNAT	По порядку размещения правил NAT, сверху вниз	По каждому типу правил правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нем условия	По порядку размещения правил NAT, сверху вниз	Используется политика NAT. Правила обрабатываются по порядку сверху вниз, правила DNAT имеют приоритет	По порядку написания в политике NAT
Возможность выбора интерфейса, на котором будет осуществляться NAT	±	±							±
Преобразование исходного адреса (Source NAT)
Преобразование адреса назначения (Destination NAT)
Bidirectional NAT
NAT inside VPN
PBR (Policy Based Routing)
PBR (Policy-Based Routing)	±
ISP Redundancy с провайдером при использовании PBR	±
Совместная работа с GRE
Совместная работа с Route-based VPN
Функции NGFW/UTM
IPS
IPS (Intrusion Prevention System)
Возможность выбора определенной группы сигнатур для защиты			±	±
Создание исключений		±								±
Создание самописных сигнатур		±
Наличие документации, описывающей синтаксис, используемый при написании сигнатуры		±
Защита от DoS
Защита от DoS										±
Защита от SYN-flood
Защита от HTTP-flood
Защита от ICMP-flood
Функционал защиты от DoS в правилах IPS
Application Control
"Поддержка сложных правил. Например: 1. Разрешить трафик на YouTube, но запретить оставлять комментарии 2. Разрешить трафик VK, но запретить пользоваться Multimedia"	±			±	±		±		±			±
Добавление собственных приложений		±			±						±
Конфигурация сервисов на определенных портах
Политика реализации Application Control	Blacklist, Whitelist	Поддерживаются оба варианта (Blacklist, Whitelist)	Поддерживаются "черные" и "белые" списки	Blacklist, Whitelist	Blacklist, Whitelist	Blacklist, Whitelist	Blacklist, Whitelist		Blacklist	Whitelist	Blacklist, Whitelist	Blacklist, Whitelist
Политика для трафика — «Неизвестный или не мог быть опознан устройством»	Разрешить, запретить			Неопознанный трафик в модуле Контент-фильтрация. В модуле Application Control, есть возможность указать действия для неизвестного/неопознанного протокола	Определяется последующим правилом для данного трафика	Accept, Deny (Drop)	Неопознанный трафик в модуле Контент-фильтрация		Разрешить, Запретить	Определяется последующим правилом для данного трафика	Определяется последующим правилом для данного трафика
Страница оповещения для пользователя (блокировка)											±
Страница оповещения для пользователя (предупредить и продолжить)
Блокировка QUIC-протокола
Ограничение трафика пользователя или группы пользователей в нерабочее или обеденное время
Ограничение трафика IP-адресу или группе IP-адресов в нерабочее или обеденное время
Antivirus
Использование сторонних сигнатур Threat Feed						Пользовательские и внешние источники в форматах STIX XML (STIX 1.0), CSV в формате Check Point, CSV в других форматах
Условия работы антивируса	Работа антивируса обеспечивается за счет настройки SSL-инспекции и применения соответствующего профиля безопасности (Security Profile), где активирован антивирусный модуль	Для работы антивируса необходимо предварительно настроить раскрытие трафика	WAF необходим для работы антивируса		Проверка только трафика инспектируемого SSL Inspection, протоколы HTTP и HTTPS	Нет дополнительных условий	ClamAV — без дополнительных условий. Kaspersky — при активации дополнительной лицензии				Проверка только трафика инспектируемого SSL Inspection, протоколы HTTP и HTTPS	Нет дополнительных условий
Проверка скачиваемых файлов
Проверка работы антивируса по FTP												±
Проверка SMB
Типы файлов	Проверка выполняется по хешу файла, дифференциация по типам отсутствует	Использовались exe, .doc, .pdf	Были заблокированы eicar файлы типов .exe, .doc, .pdf	Более 40 типов файлов	Более 40 типов файлов	Более 90 типов файлов	Зависит от выбранного антивируса. Поддерживается более 90 типов файлов		По типам файлов не дифференцируется. Проверяется hash файлов		Более 40 типов файлов	Более 100 типов файлов, можно редактировать
Проверка файлов в архивах без паролей
Проверка файлов в архивах с паролями				±
Выбор действий для определенных типов файлов
Антивирусный движок	Собственный	Собственный	ClamAV	Kaspersky	Проверка по хешам	Check Point Propreitary	Kaspersky, ClamAV		Проприетарный		Проверка по хешам	Собственный
Поддержка добавления пользовательских хешей		±
Проверка почтового трафика SMTP(S), POP3, IMAP				±			±
SSL Inspection
Поддерживаемые режимы SSL-инспекции (SSL Inspection)	URL-filtering, IPS, AppControl	Работает параллельно со всеми модулями безопасности		Контентная фильтрация, Антивирус, ICAP	Антивирус, web-категоризация, Feeds, ICAP Client	FW, IPS, Application Control, URL filtering, AV, Sandbox	Контентная фильтрация, Антивирус, ICAP		Контентная фильтрация, IPS, AppControl		Антивирус, WEB-категоризация, Feeds, ICAP Client	Все модули
Поддерживаемые протоколы	HTTPS, SMTPS, POP3	Заявлена поддержка раскрытия TLS вплоть до 1.3		HTTPS	HTTPS	SSH, SMTPS, HTTPS	HTTPS		HTTPS, SMTPS, POP3		HTTPS	HTTPS
Поддержка нестандартных портов для поддерживаемых протоколов												±
Возможность использования сертификатов стороннего УЦ (удостоверяющего центра)
Инспектирование для отдельных пользователей
Инспектирование для отдельных сайтов					±
Поддержка Wildcard-сертификатов
Client-Side SSL Inspection (Outbound – инспекция исходящего SSL-трафика)
Server-Side SSL Inspection (Inbound – инспекция входящего SSL-трафика)
Веб-фильтрация
Использование собственных или сторонних списков URL	Поддерживается загрузка собственных и сторонних списков URL с возможностью ручного или автоматического обновления	Поддерживается	Нет возможности загрузить список URL, только создание собственных единичных сигнатур	Собственный и Сторонний списки	Да, обновление в ручном или автоматическом режиме	Да, обновление в ручном или автоматическом режимах	Можно загружать собственный список. Неудобный формат ввода в виде одной строчки, но используется автоматический парсинг данной строки	Да, обновление в ручном или автоматическом режиме	Да, обновление в ручном или автоматическом режимах	Загрузка списков URL не поддерживается, можно создавать группы объектов, добавляя каждый URL вручную	Да, обновление в ручном или автоматическом режимах	Да, обновление в ручном режиме
Тип используемой базы URL	Локальная	Локальная	Локальная	Локальная база (обновляемая)	Локальная	Локальная	Локальная база (обновляемая)	Онлайн обновление	Локальная	Локальная, используется в модуле Контроль приложений	Локальная	Локальная
Создание пользовательских URL-категорий
Переопределение категории URL		±		±	±		±				±
Страница блокировки сайта в случае наличия вируса на странице (URL-категория)
Настройка доступа к определенным URL/доменам		±	±
URL Lookup (проверка принадлежности URL к определенной категории)
Страница блокировки/предупреждения
Какие списки URL использует производитель	Собственные URL списки производителя	Собственная база	Консолидированные списки небезопасных ресурсов из открытых источников	SkyDNS	SkyDNS, TI feeds (Kaspersky, КБ, ЦБ, RST)	Check Point Threat Cloud, Extermal Threat Feed	SkyDNS	Open Source	Собственные списки производителя	Собственные	SkyDNS, TI feeds (Kaspersky, КБ, ЦБ)	Собственные списки производителя
Ограничение используемых методов (GET, POST и др.) для отдельных URL-категорий			±
Proxy (explicit/transparent)
Явный прокси-сервер (Explicit Proxy)
Прозрачный прокси (Transparent Proxy)
Авторизация Kerberos
Страница блокировки на Captive Portal
Captive Portal для авторизации на Proxy
Модули, работающие вместе с HTTPS Proxy				Контентная фильтрация, Антивирус, ICAP	Антивирус, TI Feeds, Категоризация сайтов, ICAP-client, Авторизация пользователей	Все модули Threat Prevention	Контентная фильтрация, Антивирус, ICAP	URL Filtering	Контентная фильтрация, IPS, AppControl		Антивирус, TI Feeds, Категоризация сайтов, ICAP-client, Авторизация пользователей
Content Filtering
Контентная фильтрация
Типы файлов для фильтрации	Поддерживаются типы контента: видео, документы, аудио, изображения, приложения, JS (в соответствии со списком IANA)		С помощью правил СОВ, для файлов любого типа, путем создания собственных сигнатур или исправления существующих	Аудиофайлы, Видеофайлы, Документы, Архивы, Torrent-файлы, Flash-видео, исполняемые файлы	Больше 40 категорий, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash-видео, Active-X, Torrent-файлы, Документы). Работ	Более 80 типов файлов	Аудиофайлы, Видеофайлы, Документы, Архивы, Torrent-файлы, Flash-видео, исполняемые файлы		Видео, документы, звуки и музыка, картинки, приложения, JS	Более 95 типов файлов	Больше 40 категорий, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash-видео, Active-X, Torrent-файлы, Документы). Работ	Более 100 типов файлов, можно редактировать
Блокировка файлов в архивах					±
Блокировка архивов внутри архивов					±
Запрет загрузки файлов			±		±					±
Запрет отправки файлов			±	±	±		±
Anti Bot
Типы защищаемого трафика	Защита применяется к пользовательскому трафику и трафику опубликованных серверов	Не прямая защита от ботнета (не анализирует трафик напрямую) - в составе IPS по известным сигнатурам	Реализовано через модуль WAF	Пользовательский трафик, трафик опубликованных серверов	Пользовательский трафик, трафик опубликованных серверов	Пользовательский трафик, трафик опубликованных серверов	Пользовательский трафик, трафик опубликованных серверов		Пользовательский трафик, трафик опубликованных серверов	Пользовательский трафик, трафик опубликованных серверов. Защита от Botnet реализована в модуле IPS	Пользовательский трафик, трафик опубликованных серверов	Пользовательский трафик, трафик опубликованных серверов
Частота обновлений	Частота обновления настраивается;	Планируется раз в 1-5 дней (Q4 2025)	Автоматическое обновление отсутствует. Производится вендором по запросу	Динамично: от нескольких раз в день до нескольких раз в неделю	Динамично: от нескольких раз в день до нескольких раз в неделю	Возможна ручная конфигурация (до 1 раза в час)	Несколько раз в день		Раз в неделю	Один раз в день	Динамично: от нескольких раз в день до нескольких раз в неделю	База вендора обновляется по мере выявления новых угроз. База на МСЭ обновляется по настраиваемому расписанию
Место хранения баз	Локально	Локально	Локально	Загружаются с сервера обновлений, хранятся локально	Загружаются с сервера обновлений, хранятся локально на ЦУС	Локально	Локальная база (обновляемая)		Локально	Локально	Загружаются с сервера обновлений, хранятся локально на ЦУС	Локально
Выявление трафика RAT										±
Выявление обращений к вредоносными URL и доменам										±
Выявление IRC-коммуникаций									±	±
Защита почтового трафика
Защита почты
Наличие функционала MTA
Антиспам
Антивирусная проверка писем				±			±
DMARC/DKIM/SPF				±			±
Поддержка протоколов с шифрованием
Загрузка сторонних списков спам-сайтов
VPN и SD-WAN
Remote Access VPN
Поддерживаемые протоколы	IKEv1/L2TP, IKEv2 с использованием сертификата, IKEv2 + EAP-RADIUS; поддержка DTLS ожидается в NGFW 7.5 (дата выхода 04.2026)		IKEv1, IKEv2, WireGuard	TLS ГОСТ (реализация с 19-й версии) PPTP, IKEv2/IPsec, SSTP, L2TP/IPsec, Wireguard	TLS ГОСТ	IKEv1, IKEv2, IPSec, L2TP	PPTP, PPPoE, IKEv2/IPsec, SSTP, L2TP/IPsec, Wireguard	WireGuard, IPsec, OpenVPN, OpenConnect	L2TP over IPSec, IKEv2 c PSK, IKEv2 c сертификатом	IPlir	TLS ГОСТ	SSL VPN
Интеграция с LDAP
VPN-клиент
Автоматическое назначение IP-адреса клиенту										±
Поддержка 2FA
Получение маршрутов от шлюза
Разделенный VPN-туннель (SPLIT Tunnel)
Направление всего трафика через VPN
Подключение к VIP-адресу кластера шлюзов
Операционная система для клиента	Windows 10 (64-bit); Windows 11 (64-bit); Astra Linux версий 1.7 или 1.8; Ubuntu версий 22.04 или 24.04			Windows, Linux, MacOS	Windows, Linux, Android, iOS, MacOS, Аврора	Windows, Linux, Android, iOS, MacOS	Windows. MAC OS планируется в версии 17. Linux планируется в версии 18		Windows 8/10	Linux, Windows, Android, iOS, MacOS, Аврора	Windows, Linux, Android, iOS, MacOS, Аврора	Windows, Linux, MacOS, Android, iOS
Проверка трафика на шлюзе
Проверка трафика на клиентском устройстве				±						±
Compliance Check (проверка соответствия требованиям безопасности) клиента
Алгоритмы шифрования	3DES; AES128, AES192, AES256			AES256-GCM, AES256	ГОСТ	DES, 3DES, AES-128, AES-256	AES256-GCM, AES256	aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, aes128ccm64, aes192ccm64, aes256ccm64, aes128ccm96, aes192ccm96, aes256ccm96, aes128ccm128, aes192ccm128, aes256ccm128, aes128gcm64, aes192gcm6	AES	ГОСТ 28147-89, ГОСТ 34.12-2018, ГОСТ 34.13-2018	ГОСТ	DES, 3DES, AES/AES128, AES192, AES256, проприетарный_DES
Поддержка изолированного сегмента для клиентов, не прошедших Compliance Check
Способ получения клиента (ПО)				Через устройство NGFW (веб-интерфейс), дистрибутив или личный кабинет пользователя на Ideco NGFW, распространенние через групповые политики	Через дистрибутив или сайт	Сайт поддержки, портал SSL VPN	Через дистрибутив или личный кабинет пользователя на Ideco NGFW		Через дистрибутив	Сайт вендора, поставка на CD	Через дистрибутив или сайт	SSL VPN портал, ТП вендора
Автозапуск при включении ПК									±
Централизованная установка клиента
WEB-portal VPN
Кастомизация портала
Типы приложений для публикации	HTTP, HTTPS, FTP, SSH, RDP					Все Web-Based, FileShare, RDP in HTML, Citrix, IMAP in HTML			HTTP, HTTPS, FTP, SSH, RDP			HTTP, HTTPS, FileShare, DNS, H.323, SMTP, POP3, Telnet, SSH, LotusNote, Terminal Service, VNC, MSSQL Server, Citrix ICA (old version), MSN, Sinfor DNet, NetMeeting base, NetMeeting desktop, FTP (port/
Публикация нескольких порталов (на разных IP-адресах)
Распространение через портал Remote Access Client
Публикация собственных приложений на портале
Авторизация пользователя по сертификату
Поддержка 2FA
Публикация портала на разных URL
2FA
2FA + Remote Access VPN с клиентом	Поддерживаемые методы 2FA: RADIUS, TOTP, SMS			Radius (при интеграции с Multifactor), SMS, TOTP	Реализовано через интеграцию с мультифактор.ру и Avanpost MFA+. Поддерживаются только Push-уведомления	Radius, TOTP, SMS, SMTP	Radius (при интеграции с Multifactor), SMS, TOTP		Radius, TOTP, SMS	Реализовано через интеграцию с мультифактор.ру в рамках отдельного продукта ViPNet Сервер многофакторной аутентификации	Реализовано через интеграцию с мультифактор.ру и Avanpost MFA+	TOTP, Hardware ID
2FA + Remote Access VPN с SSL-порталом	Поддерживаемые методы 2FA: RADIUS, TOTP, SMS					Radius, TOTP, SMS, SMTP			Radius, TOTP, SMS			TOTP, Hardware ID
Site-to-Site VPN
Поддерживаемые протоколы	IKEv1/L2TP, IKEv2 c сертификатом	Поддерживается только IPSec IKEv2		IKEv2, IPsec	Проприетарный протокол	IKEv1, IKEv2, IPSec	IKEv2, IPsec	IKEv1, IKEv2, IPSec	IKEv1, IKEv2	IPlir	Проприетарный протокол	IKEv1, IKEv2, IPSec, проприетарный VPN
DPD / Tunnel Test					±
Инструменты диагностики VPN-соединений	Для диагностики VPN-соединений необходимо скачать полный журнал диагностики по всем модулям	Краткое состояние отображается в настройках IPSec в Mgmt. Более подробно можно посмотреть в логе на NGFW - /opt/pt-ngfw/ngfw-core/logs/ngfw.log \| grep -i ipsec		Системный журнал, конструктор отчетов с возможностью добавить виджет для ipsec, swanctl в терминале и стандартные linux-утилиты	Диагностика сети (ping, tracert, arp), просмотр соединений, командная строка (netstat, tcpdump и др.), запись дампа трафика на носитель, вывод виджета VPN-соединения со статистикой в dashboard	IkeView, SmartConsole	Виджеты панели мониторинга, утилиты командной строки (ping, host, nslookup, tracepath, tcpdump, arping, ss (аналог netstat))	Show VPN connections, show the in-kernel crypto policies, show all active IPsec Security Associations (SA), show the in-kernel crypto state, show status of IPsec process		Группа команд iplir, диагностика сети (ping, tracert, arp), командная строка (netstat, tcpdump и др.)	Диагностика сети (ping, tracert, arp), просмотр соединений, командная строка (netstat, tcpdump и др.)	Логирование
Время жизни Security Association — параметр времени жизни VPN-ключей (режим КБ (килобайты), секунды/минуты)				±			±
Аутентификация		±
Исключение из VPN-трафика на основании сервиса	±
Алгоритмы шифрования	3DES; AES128, AES192, AES256	Не поддерживается ГОСТ Поддерживается DES, 3DES, AES-128/256		AES256-GCM, AES256	ГОСТ	DES, 3DES, AES-128, AES-256	AES256-GCM, AES256	aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, aes128ccm64, aes192ccm64, aes256ccm64, aes128ccm96, aes192ccm96, aes256ccm96, aes128ccm128, aes192ccm128, aes256ccm128, aes128gcm64, aes192gcm6	DES; 3DES; AES128, AES192, AES256	ГОСТ 28147-89, ГОСТ 34.12-2018, ГОСТ 34.13-2018	ГОСТ	DES, 3DES, AES/AES128, AES192, AES256, SM4, проприетарный_DES
NAT-T (NAT Traversal)
PFS (Perfect Forward Secrecy)										±
NAT внутри VPN		±										±
VPN со сторонними вендорами
IKEv1 Aggressive Mode				±
GRE over IPsec										±
IPsec over GRE										±
SD-WAN
SD-WAN (Software-Defined Wide Area Network — программно-определяемая WAN-сеть)
Распределение пользователей (локальных и доменных) по каналам
Распределение трафика приложений/сайтов по каналам
Мониторинг трафика
Типы фильтров в политиках SD-WAN (Software-Defined Wide Area Network — программно-определяемая WAN-сеть)						Все категории AppControl и URLFiltering						Все категории AppControl
IPsec over SD-WAN												±
Интеграция с модулями URL Filtering / Application Control												±
Отказоустойчивость и кластеризация
Кластеризация
Требования к нодам кластера	Требуется идентичная версия ОС и аппаратной платформы	Ноды должны быть одинаковой платформы с одной версией ПО и одинаковым набором интерфейсов. Адресация synk-link интерфейсов может принадлежать к разным L3 сетям	Совместимые версии	Обе ноды должны иметь одну версию системы, идентичную вплоть до номера сборки. Также интерфейсы на обеих нодах должны быть настроены идентично	Требуется одинаковое оборудование (модель, ОС, патчи)	Требуется одинаковое оборудование (модель, ОС)	Обе ноды должны иметь одну версию системы, идентичную вплоть до номера сборки. Также интерфейсы на обеих нодах должны быть настроены идентично	Обе ноды должны иметь одну версию системы	Требуется одинаковая версия ОС	Для ViPNet Coordinator HW: одинаковая платформа и версия ПО. Для ViPNet Coordinator VA: одинаковые параметры эмулируемого аппаратного обеспечения (количество процессоров, ОЗУ и сетевых интерфейсов)	Требуется одинаковое оборудование (модель, ОС, патчи)	Требуется одинаковое оборудование (модель, ОС)
Механизмы резервирования кластера	VRRP	Sync-link по TCP 5650	VRRP	Проприетарный протокол	Проприетарный протокол	VRRP и ClusterXL	Проприетарный протокол	VRRP	VRRP	Проприетарный протокол	Проприетарный протокол	Кастомизированный VRRP
VIP-адрес и адреса физических интерфейсов должны принадлежать одной подсети	VIP-адрес и адреса физических интерфейсов могут принадлежать разным подсетям
Режим получения динамических маршрутов при работе в кластере	Обе ноды обмениваются маршрутами независимо друг от друга	Таблицы маршрутизации синхронизируются, но после переключения кластера	Выполняется через CLI, настройки предоставляются по запросу к вендору	Маршруты получает активная нода. При переключении кластера пассивная нода получает маршруты	Анонсы только на активной ноде. На резервной служба bird не активна	Обе ноды	Маршруты получает активная нода. При переключении кластера пассивная нода получает маршруты		Обе ноды	Активная нода	Активная нода	При использовании OSPF маршруты получает активная нода и синхронизирует их с пассивной нодой
Дополнительная лицензия для кластера
Добавление сетевых интерфейсов после сборки кластера
Поведение при отключении сетевого интерфейса	Переключение мастер-ноды	Для переключения необходимо в конфигурационном файле явно указать какие порты будут мониториться системой. При отключении указанных портов происходит переключение кластера на ноду с работающим портом.	В исходной конфигурации отсутствуют настройки синхронизации VRRP-групп	Переключение мастер-ноды	Переключение мастер-ноды	Зависит от настроек	Переключение мастер-ноды	Переключение мастер-ноды	Переключение мастер-ноды	Переключение мастер-ноды	Переключение мастер-ноды	Переключение мастер-ноды
GARP (Gratuitous ARP)											±
Время переключения между нодами	Менее 1 секунды	Менее 3-х секунд	Время переключения нод кластера соответствует настройкам таймеров VRRP	5–8 секунд	Менее 1 секунды	Менее 1 секунды	5-15 секунд	Не больше 3 секунд	Менее 1 секунды	Менее 1 сек.	Менее 1 секунды	Менее 3 секунд. Время переключения зависит от причины сбоя и значений параметра Heartbeat Interval и может быть от «без задержек» до 3х Heartbeat Interval
Синхронизация сессий
Кластер системы централизованного управления
Кластер системы централизованного логирования
Потери пакетов при выходе из строя одного линка при использовании LoadSharing Active/Active	1-2 пакета		Реализовано через Bond(LACP) или ECMP	2–3 пакета	При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала	До 2 пакетов	2-3 пакета	До 3 пакетов	1-2 пакета		При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала	Не тестировалось
Тип кластера	Кластер отказоучивости (Active-Passive, Active-Active), Кластер конфигурации	Active-Standby	Active/Standby	Active/Standby	Active-Passive	Active-Passive, Active-Active	Active/Standby	Active-Passive	Active-Passive, Active-Active	Active-Passive	Active-Passive	Active-Passive
VMAC (Virtual MAC Address — виртуальный MAC-адрес)		Поддерживается	Используется VMAC VRRP
Количество нод кластера	До 4	2 ноды	2	2	2	VRRP – 2, ClusterXL – 5, Maestro – от 8	2	2 или более	До 4	2	2	2
Защита от Split brain		±
Централизованное управление и отчетность
Централизованное управление
Выделенный сервер управления			±
Импорт правил/политик с локального МСЭ		±										Не тестировалось
Синхронизация настроек в кластере серверов управления
Установка на ВМ
Поведение МСЭ при отключении сервера управления	При недоступности Management Center (MC) можно конвертировать управляемые им правила в локальные для последующего редактирования. Однако после восстановления MC потребуется повторно подключить NGFW к	Продолжит функционировать	МСЭ продолжает работать в автономном режиме	Продолжит работу	Продолжит работу	Продолжит работу	Продолжит работу		Продолжит работу	Продолжит работать	Продолжит работу	Продолжит работу. Если локальное управление не запрещено, то будет возможность редактировать все из консоли самого МСЭ
Экспорт и резервное копирование политик		±	±
Централизованное обновление встроенного программного обеспечения МСЭ
Наличие web-интерфейса для доступа к компонентам, включая средства управления
Передача данных между центром управления и МЭ по защищенному каналу
Выделенный сервер логирования					±
Режим логирования	Локальный, централизованный			Локальное логирование, отправка логов на сторонний сервер через SysLog	Локально, централизованно	Локально, централизованно	Локальное логирование, отправка на сторонний сервер через Syslog		Локально, централизованно	Локально, централизованно	Локально, централизованно	Локально, внешний log-сервер
Автоматическая выгрузка логов на сторонний сервер
Формат хранения логов	Логи хранятся в базе данных			RAW формат в БД ClickHouse	Логи хранятся в БД. Есть возможность выгрузки в виде файлов xls, csv, json через интерфейс мониторинга, csv и txt через локальное меню ЦУС	RAW text log, индексы в базе PostgreSQL	RAW формат в БД ClickHouse		Логи хранятся в БД	RAW text log, SQLite	Логи хранятся в БД. Есть возможность выгрузки в виде файлов xml, csv	Встроенная БД
Аггрегации и корреляции событий в инциденты безопасности
Кластер сервера управления
Регистрация и управление зарегистрированными инцидентами					±						±
Логирование и отчёты
Модули с логированием	Логирование поддерживается для всех модулей: журналы событий, веб-доступа, DNS, трафика, СОВ, инспектирования SSH, защиты почтового трафика		СОВ, WAF, антивирус, «песочница», события безопасности (администрирование), но нет журналов трафика	Web/FTP-фильтрация, КП, межсетевой экран, VPN, СОВ, МПА, приоритизация трафика, прокси-сервер	Компоненты — Web/FTP-фильтрация, КП, межсетевой экран, VPN, СОВ, МПА, приоритезация трафика, прокси-сервер	Все модули	МЭ, IPS/IDS, Web Application Firewall, Контент-Фильтр, Контроль приложений	bandwidth, cluster, conntrack-sync, content-inspection, dhcp, dns, firewall, https, lldp, log, nat, ndp, openvpn, protocol (routing protocols), snmp, traffic (traffic dumps), vpn, vrrp, webproxy	Все модули	Все модули	Все модули	FW, IPS, Botnet, AppControl
Выгрузка логов			±
Отправка логов на сторонний сервер			±
Типы отчетов	Встроенные и пользовательские			Встроенные, пользовательские	Встроенные, пользовательские	Встроенные, пользовательские	Встроенные, пользовательские		Встроенные, пользовательские		Встроенные, пользовательские	Встроенные
Автоматические отчеты (по расписанию)
Типы логирования (вся сессия, начало сессии, выбранное кол-во пакетов и т.д.)	Начало сессии или все пакеты сессии с возможностью ограничения количества пакетов в единицу времени	Для разных типов правил разные варинаты логирования. МСЭ - при срабатывании, конец или начало сессии, конец И начало сессии, периодически, не логировать Аутентификация - писать лог / не писать SSL вск		Вся сессия	В зависимости от компонента. Количество переданных данных в рамках сессии можно увидеть в live активных сессий, выведенных на dashboard	Per Connection, Per session, Detailed log, Extended Log	Вся сессия	Вся сессия	Начало сессии либо все пакеты сессии с возможностью установки ограничений на количество логируемых пакетов в единицу времени	Регистрировать все IP-пакеты или только заблокированные IP-пакеты	В зависимости от компонента	Session start, Session stop
Сетевые виджеты для мониторинга трафика
Системные виджеты для мониторинга состояния устройства
Виджеты безопасности для мониторинга трафика
Журналы событий в режиме реального времени
Интеграция
LDAP
Использование пользователей из LDAP для создания политик
Права учетной записи для интеграции с LDAP	Права на чтение домена	достаточно сервисной УЗ с правами: Чтение журнала событий Пользователи удаленного управления Пользователь домена	Чтение	Права на чтение каталога	Чтение домена	Чтение домена, доступ к WMI	Права на чтение каталога	Права на чтение домена	Администратор домена	Чтение домена	Чтение домена	Чтение домена
Поддержка более одного домена					±			±			±
Просмотр импортированных пользователей	±				±						±
Kerberos
Proxy-аутентификация
Прозрачная аутентификация
SAML (Security Assertion Markup Language)
Защищенный протокол LDAP (Secure LDAP)
Требования к ПО для LDAP-аутентификации		Дополнительное ПО не требуется - работает через существующие сервисы Mgmt и стандартные службы AD	LDAPv3	Дополнительные требования не предъявляются	Дополнительные требования не предъявляются	Для крупных инсталляций (больше 10 тысяч пользователей ) — Identity Collector	Дополнительные требования не предъявляются	Дополнительные требования не предъявляются	Дополнительные требования не предъявляются	Дополнительные требования не предъявляются	Дополнительные требования не предъявляются	Дополнительные требования отсутствуют
Версия ОС LDAP-сервера		Минимальная версия Windows Server – 2019	Любые, поддерживающие LDAP-сервер	Windows Server 2008 и старше, Astra Linux (ALD Pro от версии 1.4 и выше)	Windows Server 2008 и старше	Windows Server 2008 и старше	Windows Server 2008 R2, 2012, 2016, 2019, 2022; Samba DC версии 4.0 и старше	Windows Server 2012, 2016, 2019	Windows Server 2008 и старше	Windows Server 2016, Windows Server 2012 R2	Windows Server 2008 и старше	Windows Server 2008 и старше, Linux с поддержкой OpenLDAP
Radius
Интеграция с Radius										±
Протоколы аутентификации при интеграции с Radius	Выбор протокола аутентификации при интеграции с RADIUS не предусмотрен, по умолчанию используется CHAP			Поддерживаются протоколы PAP и MS-CHAP v2		PAP, MS CHAP2		PAP	Chap			PAP, CHAP, MS CHAP, MS CHAP2, EAP_MD5
Использование нескольких Radius-серверов
Приоритизация Radius-серверов
ICAP
Интеграция по протоколу ICAP с внешними системами
Возможности настройки ICAP-взаимодействия
Возможность поддержки ICAP без установки дополнительных модулей
Необходимость указывать VIP-адрес в качестве ICAP-Server-адреса на стороне клиентов при использовании VIP-адреса для кластера
ICAP Server
ICAP Client
Эксплуатационные возможности
Возможности диагностики
Модули диагностики в GUI	Проверка доступности сетевых ресурсов, статистика об интерфейсах, отслеживание пакетов, мониторинг трафика, LLDP, маршруты, мониторинг состояния кластера, мониторинг заблокированных СОВ IP-адресов, си		Проверка целостности, PCAP, модульное тестирование	Журнал событий, отчетность по модулям, виджеты панели мониторинга	Работа с журналом мониторинга и отчетами	SmartConsole, SmartView, SmartLog, IkeVIEW, DiagnosticVIEW, Health Check Point, CPM Doctor, Log Doctor	Журнал событий, отчетность по модулям, виджеты Панели мониторинга		Журналы, отчеты, захват пакетов	Работа с журналами, ARP-Таблица	Работа с журналом мониторинга и отчетами	Packet Tracing, Route Tracing, Logs
Модули диагностики в CLI	Проверка доступности сетевых ресурсов, статистика об интерфейсах, ARP-записи, отслеживание пакетов, мониторинг трафика, LLDP, маршруты, мониторинг состояния кластера, мониторинг заблокированных СОВ IP	Доступны стандартные службы ОС + логи NGFW	Диагностика через консоль VPP и стандартные Linux-утилиты	ping, host, nslookup, tracepath, tcpdump, arping, ss (аналог netstat) и др.	Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, выгрузка отчетов и журналов и т.д.	CPView, Tcpdump, FWMonitor, Kernel Debug, IKE Debug, дебаг всех процессов	ping, host, nslookup, tracepath, tcpdump, arping, ss (аналог netstat) и др.	Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, работа с журналами и т.д.	Журналы, захват пакетов	Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, работа с журналами и т.д.	Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, выгрузка отчетов и журналов и т.д.	Packet Tracing, TCPDump, Logs, Traceroute, ping
Доступ к логам ОС									±			±
Активация дебага отдельных модулей безопасности	±				±				±		±
Обновление версии ПО
Обновление кластера
Обновление кластера без простоя
Резервное копирование при автоматическом обновлении												±
Возможность отката к предыдущей версии										±
Доступ к дистрибутивам на сайте производителя
Офлайн-обновления				±
Обновление с web-ресурсов производителя					±						±
Обновление через систему централизованного управления												Не тестировалось
Обновление лицензии
Офлайн-установка лицензии (без доступа в интернет)
Наличие API или других инструментов для миграции правил
API (Application Programming Interface)							±
Для каких модулей можно загружать политики через API	Для всех модулей	В API доступно все, что в Веб-консоли PT NGFW Mgmt	Через API доступны модули, присутствующие в веб-интерфейсе	Все модули	Все модули	Все (SmartMove)	Все		Все		Сетевые объекты, правил МЭ и NAT	Все
Массовая загрузка политик
Поддержка миграции с других продуктов
Загрузка политик через web-интерфейс
Загрузка политик через CLI
Требуется ли установка стороннего ПО для модернизации политик/скрипта		±
Загрузка политик через GUI/Толстый клиент				±
Резервное копирование и восстановление
Варианты резервного копирования для Системы Управления	±
Варианты резервного копирования для NGFW	±
Автоматические резервные копии по расписанию
Выгрузка резервных копий на сторонний сервер
Восстановление из резервной копии NGFW
Восстановление из резервной копии Системы Управления

Развернуть таблицу Свернуть таблицу

Нагрузочное тестирование

Задача нагрузочного тестирования — определить предельную производительность NGFW

Тестирование производилось на базе EMIX-трафика (Enterprise Mix), созданного на основе профиля реального трафика в корпоративной сети «Инфосистемы Джет». Условие достижения предела производительности — потери пакетов/сессий более 1%.

Значения, которые мы получили, не могут быть единственно верными, так как на результат влияет множество факторов:

Профиль трафика: в каждой организации он свой;
Настройки NGFW: включенные модули, используемое количество сигнатур IPS и т. п.;
Настройки правил МСЭ: количество правил, широта правил (количество трафика, проверяемое каждым правилом, особенно актуально для SSL Inspection, AppControl и т. п.).

Мы полагаем, что полученные нами значения ближе к реальной производительности, чем полученные на синтетическом трафике. Однако для каждой организации они будут отличаться из-за различных профилей трафика и настроек устройства.

Таблица

График

Нагрузочное тестирование	Методика функционального тестирования v_3.0 UserGate NGFW 7.4.1	Методика функционального тестирования v_2.0 PT NGFW 1.7.2	Методика функционального тестирования v_2.0 С-Терра Экран-М	Методика функционального тестирования v_2.0 Ideco NGFW v18	Методика функционального тестирования v_2.0 Континент 4.1.9	Методика функционального тестирования v_1.0 Check Point R81.20	Методика функционального тестирования v_1.0 Ideco NGFW v16	Методика функционального тестирования v_1.0 InfoWatch ARMA Стена (NGFW)	Методика функционального тестирования v_1.0 UserGate 7.1.0 RC	Методика функционального тестирования v_1.0 ViPNet Coordinator HW5 5.3	Методика функционального тестирования v_1.0 Континент 4.1.7
Нагрузочное тестирование

Нагрузочное тестирование	Методика функционального тестирования v_3.0 UserGate NGFW 7.4.1	Методика функционального тестирования v_2.0 PT NGFW 1.7.2	Методика функционального тестирования v_2.0 С-Терра Экран-М	Методика функционального тестирования v_2.0 Ideco NGFW v18	Методика функционального тестирования v_2.0 Континент 4.1.9	Методика функционального тестирования v_1.0 Check Point R81.20	Методика функционального тестирования v_1.0 Ideco NGFW v16	Методика функционального тестирования v_1.0 InfoWatch ARMA Стена (NGFW)	Методика функционального тестирования v_1.0 UserGate 7.1.0 RC	Методика функционального тестирования v_1.0 ViPNet Coordinator HW5 5.3	Методика функционального тестирования v_1.0 Континент 4.1.7
Нагрузочное тестирование
Платформа	UserGate NGFW F8010	2010	Серверная платформа на базе x86 (не серийная) с 128 CPU и 512 GB оперативной памяти	EX	IPC-3000F40	7000 Plus	EX	0	-	HW5000	IPC-R1000
	EMIX, Gbit/s CC, k CPS, k c/s PPS, Mp/s	EMIX, Gbit/s CC, k CPS, k c/s PPS, Mp/s	EMIX, Gbit/s CC, k CPS, k c/s PPS, Mp/s	EMIX, Gbit/s CC, k CPS, k c/s PPS, Mp/s	EMIX, Gbit/s CC, k CPS, k c/s PPS, Mp/s	EMIX, Gbit/s CC, k CPS, k c/s PPS, Mp/s	EMIX, Gbit/s CC, k CPS, k c/s PPS, Mp/s	EMIX, Gbit/s CC, k CPS, k c/s PPS, Mp/s	EMIX, Gbit/s CC, k CPS, k c/s PPS, Mp/s	EMIX, Gbit/s CC, k CPS, k c/s PPS, Mp/s	EMIX, Gbit/s CC, k CPS, k c/s PPS, Mp/s
Результаты теста вендора	5	10	Не заявлялось	6	6.3	9.50	5	7.8	Нет данных	1	4.90
200 правил МЭ	8.57 10.3 8.28 1.25	23.73 1710 36.5 3.9	23.53 27.9 24.2 2.83	4.2 2.31 2.96 0.64	7.75 5.61 7.50 0.98	8.5 4.98 8.47 1	0.75 0.55 0.85 0.09	6.2 6 5.8 0.73	Нет данных Нет данных Нет данных Нет данных	1.22 1.12 1.2 0.14	2.50 1.64 2.5 0.35
200 правил МЭ и 20 правил NAT	8.46 9.39 8.03 1.25	23.63 1710 36.4 3.9	25.98 25.2 26.3 3.14	3.7 2.3 3.89 0.58	7.34 5.42 7.26 0.93
2000 правил МЭ	2.5 2.66 2.18 0.359	23.63 1710 36.5 3.9	24.71 30.5 25.1 2.99	3.5 1.42 3.3 0.54	7.54 5.60 7.50 0.96
2000 правил МЭ, 200 правил NAT	2.49 2.79 2.37 0.358	23.6 1710 36.4 3.9	24.61 22.1 25.1 2.98	3.5 1.98 3.42 0.54	7.32 5.73 7.27 0.93
5000 правил МЭ	1.27 1.42 1.25 0.19	23.9 1760 34.8 3.9	23.73 20.8 23.9 2.85	3 1.74 2.91 0.45	6.68 4.87 6.52 0.84
5000 правил МЭ, 500 правил NAT	1.29 1.42 1.25 0.19	23.9 1760 34.8 3.9	23.34 26 24 2.82	3 1.81 2.96 0.47	6.62 5.29 6.51 0.82
10000 правил МЭ	0.787 0.914 0.715 0.114	23.7 1710 36.5 3.9	23.34 23.6 23.9 2.78	0 0 0 0	5.54 4.18 5.52 0.70
10000 правил МЭ, 1000 правил NAT	0.78 0.875 0.727 0.114	23.7 1760 32.5 3.9	23.24 14.8 23.6 2.82	0 0 0 0	5.34 3.72 5.27 0.68
Стресс тест с максимальной нагрузкой в течении 8 часов
Комментарий	При тестировании были включены следующие модули: FW, IPS, App control, Antivirus. В целях повышения производительности и пропускной способности была активирована оптимизация fw_established, а также от	При тестировании были включены следующие модули: FW, IPS, App control, Antivirus	При тестировании были включены следующие модули: FW, IPS, App control, Antivirus	При тестировании были включены модули FW, IPS, URL Filtration, APP Control Тестирование на 10 000 правил не проводилось по причине длительной компиляции правил модуля "Файрвол". Данная особенность бу	При тестировании были включены модули FW, IPS, URL Filtration, APP Control	При тестировании были включены модули FW, IPS, URL Filtration, APP Control	При тестировании были включены модули FW, IPS, URL Filtration, APP Control. Основное влияние на производительность оказывал модуль Контроль приложений. При отключении данного модуля были получены след	При тестировании были включены модули FW, IPS, URL Filtration	Нагрузочное тестирование для UserGate будет проведено после выхода релиза версии 7.1 для получения достоверных данных. Функциональные тесты UserGate 7.1.0 проводились на Release Candidate	При тестировании были включены модули FW, IPS, URL Filtration, APP Control	При тестировании были включены модули FW, IPS, URL Filtration, APP Control

UserGate NGFW 7.4.1

Платформа: UserGate NGFW F8010

Методика тестирования: 3.0

Тест вендора

Тест «Инфосистемы Джет»

Тест вендора

8.57

200 правил МЭ

8.46

200 правил МЭ и 20 правил NAT

2.5

2 000 правил МЭ

2.49

2 000 правил МЭ и 200 правил NAT

1.27

5 000 правил МЭ

1.29

5 000 правил МЭ и 500 правил NAT

0.787

10 000 правил МЭ

0.78

10 000 правил МЭ и 1 000 правил NAT

PT NGFW 1.7.2

Платформа: 2010

Методика тестирования: 2.0

Тест вендора

Тест «Инфосистемы Джет»

Тест вендора

23.73

200 правил МЭ

23.63

200 правил МЭ и 20 правил NAT

23.63

2 000 правил МЭ

23.6

2 000 правил МЭ и 200 правил NAT

23.9

5 000 правил МЭ

23.9

5 000 правил МЭ и 500 правил NAT

23.7

10 000 правил МЭ

23.7

10 000 правил МЭ и 1 000 правил NAT

С-Терра Экран-М

Платформа: Серверная платформа на базе x86 (не серийная) с 128 CPU и 512 GB оперативной памяти

Методика тестирования: 2.0

Тест вендора

Тест «Инфосистемы Джет»

Не заявлялось

Тест вендора

23.53

200 правил МЭ

25.98

200 правил МЭ и 20 правил NAT

24.71

2 000 правил МЭ

24.61

2 000 правил МЭ и 200 правил NAT

23.73

5 000 правил МЭ

23.34

5 000 правил МЭ и 500 правил NAT

23.34

10 000 правил МЭ

23.24

10 000 правил МЭ и 1 000 правил NAT

Ideco NGFW v18

Платформа: EX

Методика тестирования: 2.0

Тест вендора

Тест «Инфосистемы Джет»

Тест вендора

4.2

200 правил МЭ

3.7

200 правил МЭ и 20 правил NAT

3.5

2 000 правил МЭ

3.5

2 000 правил МЭ и 200 правил NAT

5 000 правил МЭ

5 000 правил МЭ и 500 правил NAT

10 000 правил МЭ

10 000 правил МЭ и 1 000 правил NAT

Континент 4.1.9

Платформа: IPC-3000F40

Методика тестирования: 2.0

Тест вендора

Тест «Инфосистемы Джет»

6.3

Тест вендора

7.75

200 правил МЭ

7.34

200 правил МЭ и 20 правил NAT

7.54

2 000 правил МЭ

7.32

2 000 правил МЭ и 200 правил NAT

6.68

5 000 правил МЭ

6.62

5 000 правил МЭ и 500 правил NAT

5.54

10 000 правил МЭ

5.34

10 000 правил МЭ и 1 000 правил NAT

Check Point R81.20

Платформа: 7000 Plus

Методика тестирования: 1.0

Тест вендора

Тест «Инфосистемы Джет»

9.50

Тест вендора

8.50

Тест «Инфосистемы Джет»

Ideco NGFW v16

Платформа: EX

Методика тестирования: 1.0

Тест вендора

Тест «Инфосистемы Джет»

Тест вендора

0.75

Тест «Инфосистемы Джет»

InfoWatch ARMA Стена (NGFW)

Платформа: -

Методика тестирования: 1.0

Тест вендора

Тест «Инфосистемы Джет»

7.8

Тест вендора

6.2

Тест «Инфосистемы Джет»

UserGate 7.1.0 RC

Платформа: -

Методика тестирования: 1.0

Тест вендора

Тест «Инфосистемы Джет»

Нет данных

Тест вендора

Нет данных

Тест «Инфосистемы Джет»

ViPNet Coordinator HW5 5.3

Платформа: HW5000

Методика тестирования: 1.0

Тест вендора

Тест «Инфосистемы Джет»

Тест вендора

1.22

Тест «Инфосистемы Джет»

Континент 4.1.7

Платформа: IPC-R1000

Методика тестирования: 1.0

Тест вендора

Тест «Инфосистемы Джет»

4.90

Тест вендора

2.50

Тест «Инфосистемы Джет»

Решение китайского производителя (7000 series, v.8.0)

Платформа: 7000 series

Методика тестирования: 1.0

Тест вендора

Тест «Инфосистемы Джет»

12.50

Тест вендора

12.50

Тест «Инфосистемы Джет»

Методика тестирования

Мы протестировали устройства в режиме, который обычно используется NGFW нашими клиентами:

периметровый межсетевой экран с включенными модулями IPS;
антивирус;
контентная фильтрация;
контроль приложений;
SSL Inspection;
VPN;
Proxy.

В рамках нагрузочного тестирования NGFW мы рассмотрели сценарий, когда устройство используется как периметровый межсетевой экран с включением доступных модулей безопасности. В ходе работ мы использовали типичные настройки для организации с количеством сотрудников от 500 до 1000 человек, наличием 1–2 филиалов и использованием таких корпоративных приложений, как почта, CRM, аудио — и видеоконференцсвязь, корпоративный портал.

Методика функционального тестирования (версия 1.0)

0.3 Мб

Методика нагрузочного тестирования (версия 1.0)

0.7 Мб

Методика функционального тестирования (версия 2.0)

0.3 Мб

Методика нагрузочного тестирования (версия 2.0)

0.7 Мб

Методика функционального тестирования (версия 3.0)

0.5 Мб

Методика нагрузочного тестирования (версия 3.0)

0.2 Мб

Типовая схема тестирования

Kali Linux

Внешняя сеть

Сегмент тестовых серверов

DMZ

AD/DNS/RADIUS

Сегмент тестовых APM

Win 10

Win 8

Win 7

Linux

Сторонний МСЭ для тестирования VPN

Тестовый APM

О проекте

Основная цель проекта — дать наиболее полное представление о доступных в России решениях класса NGFW и их функциональных возможностях.

Для этого в собственной лаборатории «Инфосистемы Джет» мы запустили тестирование в формате vendor-agnostic всех решений класса NGFW/UTM, представленных на российском рынке.

Наша задача — по единой для всех решений методологии проверить, как функционируют различные устройства в условиях, максимально приближенных к реальным. Мы рекомендуем рассматривать представленные результаты как отправную точку при выборе решений для дальнейшего проведения пилотных тестов в условиях вашей организации.

Все результаты тестирования NGFW

0.1 Мб