Check Point R81.20

Работа в режиме L3 (Routing Mode)

Работа в режиме L2 (Transparent Mode)

Режим получения динамических маршрутов при работе в кластере

Поведение МСЭ при асимметричной маршрутизации

Возможность указывать исходящий интерфейс при настройке маршрутизации

Приоритизация маршрутов

Поддержка FullView (маршрутизация)

ECMP

BFD

Протоколы маршрутизации

Ограничения для поддерживаемых динамических протоколов

VXLAN

LACP

Резервирование канала

Сколько ISP поддерживается

Статическая балансировка трафика

Динамическая балансировка трафика

Механизмы мониторинга физических линков

Работа ISP redundancy с VPN

Задание приоритета для линка

Поддержка виртуальных контекстов

VRF

Настройка Proxy ARP

Fail Close/Fail Open (настройка поведения устройства при высокой нагрузке)

Поведение устройства при обновлении правил/применении политики

Netflow

Защита от SYN-flood

Защита от TCP-flood

Защита от ICMP-flood

Функционал Anti-spoofing

NTP

Мониторинг состояния блоков питания

Поддержка Graceful Restart

Выгрузка/загрузка конфигураций в виде тестовых файлов

SNMP

QoS

Применение QoS политик отдельно для интерфейсов

Применение QoS политик для зон (zones)

Использование зон безопасности в политиках ACL

Использование интерфейсов в политиках ACL

Возможность включения интерфейсов в зоны

Drag&Drop при работе с объектами и политиками

Stateful Inspection

Ускорение обработки трафика

NAT-правила для определенных правил МСЭ

Расписание действия правил МСЭ

Поддержка временных правил МСЭ

Просмотр Implicit-правил

Управление Implicit-правилами

Hit Count для каждого правила

Поиск правил по объекту

Проверка правил на дубликаты

Объекты для создания правил

Блокировка по GeoIP

Наличие поля "Комментарий" на каждом правиле

Очередность выполнения NAT

Возможность выбора интерфейса, на котором будет осуществляться NAT

Source NAT

Destination NAT

Bidirectional NAT

NAT inside VPN

PBR

Отказоустойчивый линк с провайдером при использовании PBR

Совместная работа с GRE

Совместная работа с Route-based VPN

IPS

Возможность выбора определенной группы сигнатур для защиты

Создание исключений

Создание кастомных сигнатур

Наличие документации, описывающей синтаксис, используемый при написании сигнатуры

Защита от DoS

Функционал защиты от DoS в правилах IPS

Ограничение трафика пользователя или группы пользователей в нерабочее или обеденное время

Ограничение трафика IP-адресу или группе IP-адресов в нерабочее или обеденное время

Поддержка сложных правил. Например: 1. Разрешить трафик на YouTube, но запретить оставлять комментарии 2. Разрешить трафик VK, но запретить пользоваться Multimedia

Добавление собственных приложений

Конфигурация сервисов на определенных портах

Политика реализации Application Control

Политика для трафика — «Неизвестный или не мог быть опознан устройством»

Страница оповещения для пользователя (блокировка)

Страница оповещения для пользователя (предупредить и продолжить)

Блокировка QUIC-протокола

Проверка почтового трафика SMTP(S), POP3, IMAP

Использование сторонних сигнатур Threat Feed

Страница блокировки сайта в случае наличия вируса на странице (URL-категория)

Условия работы антивируса

Проверка скачиваемых файлов

Проверка FTP, SFTP, SCP

Проверка SMB

Типы файлов

Проверка файлов в архивах без паролей

Проверка файлов в архивах с паролями

Выбор действий для определенных типов файлов

Антивирусный движок

Поддержка добавления пользовательских хешей

Поддерживаемые модули для SSL Inspection

Поддерживаемые протоколы

Поддержка нестандартных портов для поддерживаемых протоколов

Возможность использовать сертификаты стороннего УЦ

Инспектирование для отдельных пользователей

Инспектирование для отдельных сайтов

Поддержка Wildcard-сертификатов

Client-Side (Outbound SSL Inspection)

Server-Side (Inbound SSL Inspection)

Использование собственных или сторонних списков URL

Тип используемой базы URL

Создание кастомных URL-категорий

Переопределение категории URL

Ограничение используемых методов (GET, POST и др.) для отдельных URL-категорий

Настройка доступа к определенным URL/доменам

URL Lookup (проверка принадлежности URL к определенной категории)

Страница блокировки/ предупреждения

Какие списки URL использует производитель

Explicit Proxy

Transparent Proxy

Модули, работающие вместе с HTTPS Proxy

Авторизация Kerberos

Страница блокировки на Captive Portal

Captive Portal для авторизации на Proxy

Контентная фильтрация

Типы файлов для фильтрации

Блокировка файлов в архивах

Блокировка архивов внутри архивов

Запрет загрузки файлов

Запрет отправки файлов

Типы защищаемого трафика

Частота обновлений

Место хранения баз

Выявление трафика RAT

Выявление обращений к вредоносными URL и доменам

Выявление IRC-коммуникаций

Защита почты

Поддерживаемые протоколы

Антиспам

Антивирусная проверка писем

MTA

DMARC/DKIM/SPF

Поддержка протоколов с шифрованием

Загрузка сторонних списков спам-сайтов

Поддерживаемые протоколы

Интеграция с LDAP

VPN-клиент

Автоматическое назначение IP-адреса клиенту

Поддержка 2FA

Получение маршрутов от шлюза

SPLIT Tunnel

Направление всего трафика через VPN

Подключение к VIP-адресу кластера шлюзов

ОС для клиента

Способ получения клиента (ПО)

Автозапуск при включении ПК

Проверка трафика на шлюзе

Проверка трафика на клиентском устройстве

Compliance Check клиента

Централизованная установка клиента

Алгоритмы шифрования

Кастомизация портала

Типы приложений для публикации

Публикация нескольких порталов (на разных IP-адресах)

Распространение через портал Remote Access Client

Публикация собственных приложений на портале

Авторизация пользователя по сертификату

Публикация портала на разных URL

Поддержка 2FA

2FA + Remote Access VPN с клиентом

2FA + Remote Access VPN с SSL-порталом

Поддерживаемые протоколы

DPD / Tunnel Test

Инструменты диагностики VPN-соединений

SA lifetime

Аутентификация

Исключение из VPN-трафика на основании сервиса

Алгоритмы шифрования

NAT-T (NAT Traversal)

IKEv1 Aggressive Mode

PFS (Perfect Forward Secrecy)

NAT внутри VPN

GRE over IPsec

IPsec over GRE

VPN со сторонними вендорами

SD-WAN

Распределение пользователей (локальных и доменных) по каналам

Распределение трафика приложений/сайтов по каналам

Мониторинг трафика

IPsec over SD-WAN

Интеграция с модулями URL Filtering / Application Control

Типы фильтров в политиках SD-WAN

Требования к нодам кластера

Механизмы резервирования кластера

VIP-адрес и адреса физических интерфейсов должны принадлежать одной подсети

Дополнительная лицензия для кластера

Добавление сетевых интерфейсов после сборки кластера

Поведение при отключении сетевого интерфейса

GARP

Время переключения между нодами

Потери пакетов при выходе из строя одного линка при использовании LoadSharing Active/Active

Синхронизация сессий

Кластер системы централизованного управления

Кластер системы централизованного логирования

Просмотр состояния кластера

Тип кластера

VMAC

Количество нод кластера

Защита от Split brain

Выделенный сервер управления

Импорт правил/политик с локального МСЭ

Кластер сервера управления

Установка на ВМ

Поведение МСЭ при отключении сервера управления

Экспорт и резервное копирование политик

Централизованное обновление встроенного программного обеспечения МЭ

Наличие web-интерфейса для доступа к компонентам, включая средства управления

Передача данных между центром управления и МЭ по защищенному каналу

Выделенный сервер логирования

Режим логирования

Автоматическая выгрузка логов на сторонний сервер

Формат хранения логов

Регистрация и управление зарегистрированными инцидентами

Модули с логированием

Выгрузка логов

Отправка логов на сторонний сервер

Типы отчетов

Автоматические отчеты (по расписанию)

Типы логирования (вся сессия, начало сессии, выбранное кол-во пакетов и т.д.)

Виджеты для мониторинга трафика

Мониторинг работы системы МЭ в режиме реального времени при помощи журналов событий

Использование пользователей из LDAP для создания политик

Права УЗ для интеграции с LDAP

Поддержка более одного домена

Требования к ПО для LDAP-аутентификации

Просмотр импортированных пользователей

Kerberos

Proxy-аутентификация

Прозрачная аутентификация

Версия ОС LDAP-сервера

Secure LDAP

Интеграция с Radius

Протоколы аутентификации при интеграции с Radius

Использование нескольких Radius-серверов

Приоритизация Radius-серверов

ICAP Server

ICAP Client

Возможность поддержки ICAP без установки дополнительных модулей

Необходимость указывать VIP-адрес в качестве ICAP Server адреса на стороне клиентов при использовании VIP-адреса для кластера

Модули диагностики в GUI

Модули диагностики в CLI

Доступ к логам ОС

Активация дебага отдельных модулей безопасности

Обновление кластера

Обновление кластера без простоя

Резервное копирование при автоматическом обновлении

Возможность отката к предыдущей версии

Доступ к дистрибутивам на сайте производителя

Офлайн-обновления

Обновление с web-ресурсов производителя

Обновление через систему централизованного управления

Офлайн-установка лицензии (без доступа в интернет)

API

Модули, доступные через API

Загрузка политик через web-интерфейс

Загрузка политик через CLI

Поддержка миграции с других продуктов

Загрузка политик через GUI/Толстый клиент

Платформа

Результаты теста вендора (EMIX, Гбит/c)

Результаты теста "Инфосистемы Джет" (EMIX, Гбит/c)

Комментарий