Код Безопасности

Работа в режиме L3 (Routing Mode)

Fail Close / Fail Open (настройка поведения устройства при высокой нагрузке)

Возможность указывать исходящий интерфейс при настройке маршрутизации

Приоритизация маршрутов (Administrative Distance)

Поддержка Fullview (маршрутизация)

ECMP (Equal-Cost Multi-Path)

BFD (Bidirectional Forwarding Detection)

Протоколы маршрутизации

OSPF, BGP

OSPF, BGP

Ограничения для поддерживаемых динамических протоколов

В ходе тестирования ограничений не выявлено. Используется bird 2.13.1. Можно использовать стороннюю документацию для этой версии службы

В ходе тестирования ограничений не выявлено

VXLAN (Virtual Extensible LAN)

LACP (Link Aggregation Control Protocol, стандарт IEEE 802.3ad/802.1ax)

Резервирование интернет-канала (ISP Redundancy)

Сколько ISP поддерживается

По количеству физических интерфейсов типа "Внешний"

По количеству физических интерфейсов

Статическая балансировка трафика при использовании резервирования провайдера (ISP Redundancy)

Потери пакетов при выходе из строя одного линка при использовании LoadSharing Active/Active

При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала

При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала

Механизмы мониторинга физических линков при использовании ISP Redundancy

ICMP Probing

ICMP Probing

Задание приоритета для линка

Поддержка виртуальных контекстов

VRF (Virtual Routing and Forwarding)

Настройка Proxy ARP

Работает автоматический (NAT), ручные записи не работают

Ручная настройка

Поведение устройства при обновлении правил / применении политики

В зависимости от настроек: разрывает сессии или сохраняет текущие сессии

В зависимости от настроек: разрывает сессии или сохраняет текущие сессии

Netflow (сетевой экспорт потоков)

Функционал Anti-Spoofing (защита от подмены адресов)

NTP (Network Time Protocol)

Мониторинг состояния блоков питания

Поддержка Graceful Restart для протоколов динамической маршрутизации

Выгрузка/загрузка  конфигураций в виде текстовых файлов

SNMP (Simple Network Management Protocol)

Страна происхождения производителя

Включен в реестр ПАК Минцифры

Сертификат ФСТЭК

Сертификат ФСБ

Наличие дополнительного функционала: DLP, WAF, SandBox и др.

QoS (Quality of Service, «качество обслуживания»)

Применение QoS-политик отдельно для интерфейсов

Применение QoS-политик для зон

Использование зон безопасности в политиках ACL

Использование интерфейсов в политиках ACL

Возможность включения интерфейсов в зоны

Перетаскивание элементов (Drag&Drop) при работе с объектами и политиками

Контроль состояния соединений (Stateful Inspection)

Ускорение обработки трафика

NAT-правила для определенных правил МСЭ

Расписание действия правил МСЭ

Поддержка временных правил МСЭ

Просмотр неявных правил (Implicit Rules)

Управление неявными правилами (Implicit Rules)

Счетчик срабатываний (Hit Count) для каждого правила

Поиск правил по объекту

Проверка правил на дубликаты

Объекты для создания правил

IP host, IP range, IP-сеть, Сервисы и порты, Протоколы, Приложения, Группы, Страны, Пользователи (локальные и доменные)

IP host, IP range, IP-сеть, Сервисы и порты, Протоколы, Приложения, Группы, Страны, Пользователи (локальные и доменные)

Блокировка по GeoIP

Наличие поля "Комментарий" на каждом правиле

Очередность выполнения NAT

Используется политика NAT. Правила обрабатываются по порядку сверху вниз, правила DNAT имеют приоритет

Используется политика NAT. Правила обрабатываются по порядку сверху вниз, правила DNAT имеют приоритет

Возможность выбора интерфейса, на котором будет осуществляться NAT

Преобразование исходного адреса (Source NAT)

Преобразование адреса назначения (Destination NAT)

PBR (Policy-Based Routing)

ISP Redundancy с провайдером при использовании PBR

IPS (Intrusion Prevention System)

Возможность выбора определенной группы сигнатур для защиты

Создание исключений

Создание самописных сигнатур

Наличие документации, описывающей синтаксис, используемый при написании сигнатуры

Защита от DoS

Защита от SYN-flood

Защита от HTTP-flood

Защита от ICMP-flood

"Поддержка сложных правил. Например: 1. Разрешить трафик на YouTube, но запретить оставлять комментарии 2. Разрешить трафик VK, но запретить пользоваться Multimedia"

Добавление собственных приложений

Конфигурация сервисов на определенных портах

Политика реализации Application Control

Blacklist, Whitelist

Blacklist, Whitelist

Политика для трафика — «Неизвестный или не мог быть опознан устройством»

Определяется последующим правилом для данного трафика

Определяется последующим правилом для данного трафика

Страница оповещения для пользователя (блокировка)

Страница оповещения для пользователя (предупредить и продолжить)

Блокировка QUIC-протокола

Использование сторонних сигнатур Threat Feed

Условия работы антивируса

Проверка только трафика инспектируемого SSL Inspection, протоколы HTTP и HTTPS

Проверка только трафика инспектируемого SSL Inspection, протоколы HTTP и HTTPS

Проверка скачиваемых файлов

Проверка работы антивируса по FTP

Проверка SMB

Типы файлов

Более 40 типов файлов

Более 40 типов файлов

Проверка файлов в архивах без паролей

Проверка файлов в архивах с паролями

Выбор действий для определенных типов файлов

Антивирусный движок

Проверка по хешам

Проверка по хешам

Поддержка добавления пользовательских хешей

Поддерживаемые режимы SSL-инспекции (SSL Inspection)

Антивирус, web-категоризация, Feeds, ICAP Client

Антивирус, WEB-категоризация, Feeds, ICAP Client

Поддерживаемые протоколы

HTTPS

HTTPS

Поддержка нестандартных портов для поддерживаемых протоколов

Возможность использования сертификатов стороннего УЦ (удостоверяющего центра)

Инспектирование для отдельных пользователей

Инспектирование для отдельных сайтов

Поддержка Wildcard-сертификатов

Client-Side SSL Inspection (Outbound – инспекция исходящего SSL-трафика)

Server-Side SSL Inspection (Inbound – инспекция входящего SSL-трафика)

Использование собственных или сторонних списков URL

Да, обновление в ручном или автоматическом режиме

Да, обновление в ручном или автоматическом режимах

Тип используемой базы URL

Локальная

Локальная

Создание пользовательских URL-категорий

Переопределение категории URL

Страница блокировки сайта в случае наличия вируса на странице (URL-категория)

Настройка доступа к определенным URL/доменам

URL Lookup (проверка принадлежности URL к определенной категории)

Страница блокировки/предупреждения

Какие списки URL использует производитель

SkyDNS, TI feeds (Kaspersky, КБ, ЦБ, RST)

SkyDNS, TI feeds (Kaspersky, КБ, ЦБ)

Явный прокси-сервер (Explicit Proxy)

Прозрачный прокси (Transparent Proxy)

Авторизация Kerberos

Страница блокировки на Captive Portal

Captive Portal для авторизации на Proxy

Контентная фильтрация

Типы файлов для фильтрации

Больше 40 категорий, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash-видео, Active-X, Torrent-файлы, Документы). РаботБольше 40 категорий, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash-видео, Active-X, Torrent-файлы, Документы). Работа по фильтрации HTTPS-трафика по данному типу категорий возможна только при его расшифровкеРазвернуть

Больше 40 категорий, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash-видео, Active-X, Torrent-файлы, Документы). РаботБольше 40 категорий, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash-видео, Active-X, Torrent-файлы, Документы). Работа по фильтрации HTTPS-трафика по данному типу категорий возможна только при его расшифровкеРазвернуть

Блокировка файлов в архивах

Блокировка архивов внутри архивов

Запрет загрузки файлов

Запрет отправки файлов

Типы защищаемого трафика

Пользовательский трафик, трафик опубликованных серверов

Пользовательский трафик, трафик опубликованных серверов

Частота обновлений

Динамично: от нескольких раз в день до нескольких раз в неделю

Динамично: от нескольких раз в день до нескольких раз в неделю

Место хранения баз

Загружаются с сервера обновлений, хранятся локально на ЦУС

Загружаются с сервера обновлений, хранятся локально на ЦУС

Выявление трафика RAT

Выявление обращений к вредоносными URL и доменам

Выявление IRC-коммуникаций

Защита почты

Наличие функционала MTA

Поддерживаемые протоколы

TLS ГОСТ

TLS ГОСТ

Интеграция с LDAP

VPN-клиент

Автоматическое назначение IP-адреса клиенту

Поддержка 2FA

Получение маршрутов от шлюза

Разделенный VPN-туннель (SPLIT Tunnel)

Направление всего трафика через VPN

Подключение к VIP-адресу кластера шлюзов

Операционная система для клиента

Windows, Linux, Android, iOS, MacOS, Аврора

Windows, Linux, Android, iOS, MacOS, Аврора

Проверка трафика на шлюзе

Проверка трафика на клиентском устройстве

Compliance Check (проверка соответствия требованиям безопасности) клиента

Алгоритмы шифрования

ГОСТ

ГОСТ

Поддержка изолированного сегмента для клиентов, не прошедших Compliance Check

Кастомизация портала

Типы приложений для публикации

Публикация нескольких порталов (на разных IP-адресах)

Распространение через портал Remote Access Client

Публикация собственных приложений на портале

Авторизация пользователя по сертификату

Поддержка 2FA

2FA + Remote Access VPN с клиентом

Реализовано через интеграцию с мультифактор.ру и Avanpost MFA+. Поддерживаются только Push-уведомления

Реализовано через интеграцию с мультифактор.ру и Avanpost MFA+

2FA + Remote Access VPN с SSL-порталом

Поддерживаемые протоколы

Проприетарный протокол

Проприетарный протокол

DPD / Tunnel Test

Инструменты диагностики VPN-соединений

Диагностика сети (ping, tracert, arp), просмотр соединений, командная строка (netstat, tcpdump и др.), запись дампа трафика на носитель, вывод виджета VPN-соединения со статистикой в dashboard

Диагностика сети (ping, tracert, arp), просмотр соединений, командная строка (netstat, tcpdump и др.)

Время жизни Security Association — параметр времени жизни VPN-ключей (режим КБ (килобайты), секунды/минуты)

Аутентификация

Исключение из VPN-трафика на основании сервиса

Алгоритмы шифрования

ГОСТ

ГОСТ

NAT-T (NAT Traversal)

PFS (Perfect Forward Secrecy)

NAT внутри VPN

VPN со сторонними вендорами

SD-WAN (Software-Defined Wide Area Network — программно-определяемая WAN-сеть)

Распределение пользователей (локальных и доменных) по каналам

Распределение трафика приложений/сайтов по каналам

Мониторинг трафика

Типы фильтров в политиках SD-WAN (Software-Defined Wide Area Network — программно-определяемая WAN-сеть)

Требования к нодам кластера

Требуется одинаковое оборудование (модель, ОС, патчи)

Требуется одинаковое оборудование (модель, ОС, патчи)

Механизмы резервирования кластера

Проприетарный протокол

Проприетарный протокол

VIP-адрес и адреса физических интерфейсов должны принадлежать одной подсети

Режим получения динамических маршрутов при работе в кластере

Анонсы только на активной ноде. На резервной служба bird не активна

Активная нода

Дополнительная лицензия для кластера

Добавление сетевых интерфейсов после сборки кластера

Поведение при отключении сетевого интерфейса

Переключение мастер-ноды

Переключение мастер-ноды

GARP (Gratuitous ARP)

Время переключения между нодами

Менее 1 секунды

Менее 1 секунды

Синхронизация сессий

Кластер системы централизованного управления

Кластер системы централизованного логирования

Потери пакетов при выходе из строя одного линка при использовании LoadSharing Active/Active

При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала

При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала

Тип кластера

Active-Passive

Active-Passive

VMAC (Virtual MAC Address — виртуальный MAC-адрес)

Количество нод кластера

2

2

Защита от Split brain

Выделенный сервер управления

Импорт правил/политик с локального МСЭ

Синхронизация настроек в кластере серверов управления

Установка на ВМ

Поведение МСЭ при отключении сервера управления

Продолжит работу

Продолжит работу

Экспорт и резервное копирование политик

Централизованное обновление встроенного программного обеспечения МСЭ

Наличие web-интерфейса для доступа к компонентам, включая средства управления

Передача данных между центром управления и МЭ по защищенному каналу

Выделенный сервер логирования

Режим логирования

Локально, централизованно

Локально, централизованно

Автоматическая выгрузка логов на сторонний сервер

Формат хранения логов

Логи хранятся в БД. Есть возможность выгрузки в виде файлов xls, csv, json через интерфейс мониторинга, csv и txt через локальное меню ЦУС

Логи хранятся в БД. Есть возможность выгрузки в виде файлов xml, csv

Аггрегации и корреляции событий в инциденты безопасности

Модули с логированием

Компоненты — Web/FTP-фильтрация, КП, межсетевой экран, VPN, СОВ, МПА, приоритезация трафика, прокси-сервер

Все модули

Выгрузка логов

Отправка логов на сторонний сервер

Типы отчетов

Встроенные, пользовательские

Встроенные, пользовательские

Автоматические отчеты (по расписанию)

Типы логирования (вся сессия, начало сессии, выбранное кол-во пакетов и т.д.)

В зависимости от компонента. Количество переданных данных в рамках сессии можно увидеть в live активных сессий, выведенных на dashboard

В зависимости от компонента

Сетевые виджеты для мониторинга трафика

Системные виджеты для мониторинга состояния устройства

Виджеты безопасности для мониторинга трафика

Журналы событий в режиме реального времени

Использование пользователей из LDAP для создания политик

Права учетной записи для интеграции с LDAP

Чтение домена

Чтение домена

Поддержка более одного домена

Просмотр импортированных пользователей

Kerberos

Proxy-аутентификация 

Прозрачная аутентификация

SAML (Security Assertion Markup Language)

Защищенный протокол LDAP (Secure LDAP)

Интеграция с Radius

Протоколы аутентификации при интеграции с Radius

Использование нескольких Radius-серверов

Интеграция по протоколу ICAP с внешними системами

Возможности настройки ICAP-взаимодействия

Модули диагностики в GUI

Работа с журналом мониторинга и отчетами

Работа с журналом мониторинга и отчетами

Модули диагностики в CLI

Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, выгрузка отчетов и журналов и т.д.

Утилиты для диагностики системы и сети, встроенные команды ping, tracert, arp, запись дампа, выгрузка отчетов и журналов и т.д.

Доступ к логам ОС

Активация дебага отдельных модулей безопасности

Обновление кластера

Обновление кластера без простоя

Резервное копирование при автоматическом обновлении

Возможность отката к предыдущей версии

Доступ к дистрибутивам на сайте производителя

Офлайн-обновления

Обновление с web-ресурсов производителя

Обновление через систему централизованного управления

Офлайн-установка лицензии (без доступа в интернет)

API (Application Programming Interface)

Для каких модулей можно загружать политики через API

Все модули

Сетевые объекты, правил МЭ и NAT

Массовая загрузка политик

Поддержка миграции с других продуктов

Варианты резервного копирования для Системы Управления

Варианты резервного копирования для NGFW

Автоматические резервные копии по расписанию

Выгрузка резервных копий на сторонний сервер

Восстановление из резервной копии NGFW

Восстановление из резервной копии Системы Управления