Российские межсетевые экраны следующего поколения. Сравниваем NGFW для малого и среднего бизнеса
02 сентября 2024
Мы — компания Ай-Ти-Про. Внедряем сервисы и автоматизируем рабочие процессы на базе отечественного программного обеспечения.
На российском рынке представлено огромное количество межсетевых экранов нового поколения — Next Generation Firewall. Есть предложения для сегмента малого и среднего бизнеса или версии для крупных организаций. Они различаются функциональностью и стоимостью.
Главная сложность при подборе инструмента защиты это то, что единого продукта с универсальным возможностями не существует. В этой статье мы рассмотрим особенности NGFW для малого и среднего бизнеса от трех вендоров — Ideco, UserGate и Infotecs. Определим их преимущества и возможные сценарии применения в корпоративной среде.
Межсетевые экраны нового поколения — Next Generation Firewall — нужны для комплексной защиты корпоративных сетей и находящихся в них данных.
Они используются для решения следующих задач:
Защита периметра сети. NGFW предотвращает несанкционированный доступ и сетевые атаки, скрывая данные о внутренней сети от злоумышленников.
Сегментация сети. С помощью NGFW можно разделить рабочую сеть на более мелкие фрагменты и установить разные правила и политики для каждого сегмента.
Аутентификация внутренних и внешних пользователей. NGFW проверяет данные пользователей и подтверждает их личность, обеспечивая более детальную настройку политики безопасности и управление доступом сотрудников.
NGFW Ideco российское решение от независимых разработчиков. Включает в себя модули для защиты сети: контентная фильтрация, предотвращение вторжений — IPS, контроль приложений — DPI, публикация ресурсов — WAF, антивирусная проверка трафика.
NGFW UserGate разрабатывается с 2009 года и не содержит свободно распространяемого ПО. Файрвол входит в экосистему UserGate SUMMA, это позволяет эффективнее применять устройства этого вендора при построении эшелонированной защиты в компании.
NGFW ViPNet xFirewall 5 — это межсетевой экран следующего поколения, сочетающий функции классического межсетевого экрана с расширенными функциями анализа и фильтрации трафика.
Системы защиты NGFW
В первую очередь стоит обратить внимание на основные функции межсетевых экранов — обеспечение сетевой безопасности и защиту от различных угроз, таких как вирусы, хакерские атаки и несанкционированный доступ к конфиденциальной информации.
Например, эта функция включает интеграцию с SIEM — Security Information and Event Management. SIEM — класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности. Эта система отслеживает события безопасности в режиме реального времени, обрабатывает данные и оповещает операторов об обнаруженных инцидентах.
Важной функцией мы считаем WAF — Web Application Firewall. Это система защиты собственных веб-приложений от различных угроз и атак. Она мониторит и фильтрует сетевой трафик, обеспечивая безопасность веб-приложений на прикладном уровне модели OSI.
Модули антивирусной проверки трафика предотвращают распространения вредоносных кодов через сеть на конечные устройства.
В таблице мы собрали информацию о содержании основных систем защиты в NGFW-решениях Ideco, UserGate и ViPNet от ИнфоТеКС.
| Функциональность | NGFW Ideco | NGFW UserGate | NGFW ViPNet xFirewall |
|---|---|---|---|
| Уровень межсетевого экран по модели OSI | 7 уровень, прикладной | 7 уровень, прикладной | 7 уровень, прикладной |
| Системы обнаружения и предотвращения вторжений — IDS, IPS |  | | |
| Контроль доступа к приложениям — Application Control | | | |
| Расширенная защита от угроз — Advanced Threat Protection | | | |
| Сбор и анализ информации о событиях безопасности — SIEM |  | | Передача сообщений в ViPNet TIAS для анализа |
| Система защиты веб-приложений — Web Application Firewall | В сертифицированной версии не поддерживается | | |
| Обратный прокси-сервер | | | |
| Антивирусная проверка трафика | Модуль Антивирус В сертифицированной версии не поддерживается | Модуль Stream Antivirus | Внешний антивирус по протоколу ICAP |
| Почтовые антивирус- и антиспам модули | Модули Антивирус, Антиспам В сертифицированной версии не поддерживается | Модуль MailSecurity | |
| Обнаружение угроз на конечных устройствах — Endpoint Detection and Response | | | Продукт ViPNet Endpoint Security |
| Гостевой портал | Предоставляет доступ через веб на выбранный промежуток времени | Гостевой интернет-доступ через Wi-Fi. Различные методы аутентификации — по одноразовому паролю, через SMS | |
| Функция контроля личных устройств — Bring Your Own Device | | | |
| Поддержка алгоритмов ГОСТ | | | Поддержка ГОСТ 28147-89 только в ViPNet Coordinator |
Сетевая функциональность NGFW
При выборе межсетевого экрана важно обращать внимание на сетевую функциональность. Например, на поддержку определенных протоколов для эффективной маршрутизации, упрощения администрирования сети, сокращения временных затрат на обработку адресов.
Для обеспечения отказоустойчивости системы используются различные методы. Например, активно-пассивное резервирование, когда один компонент работает, а другой находится в режиме ожидания.
При наличии нескольких подключений к интернет-провайдерам балансировку и резервирование можно осуществлять резервированием одного из подключений, статической или динамической балансировкой трафика между несколькими подключениями.
| Функциональность | NGFW Ideco | NGFW UserGate | NGFW ViPNet xFirewall |
|---|---|---|---|
| Технология IPSec VPN client-to-site | | | Протокол IPLir Сертификат ФСБ |
| Технология IPSec VPN site-to-site | | | Протокол IPLir Сертификат ФСБ |
| Технология SSL VPN Portal | | | |
| Контроль полосы пропускания | | | Чтение DSCP-меток и обработка в соответствии с приоритетом |
| Поддержка VPN | Поддерживаются протоколы PPTP, PPPoE, IKEv2/IPSec, SSTP, L2TP/IPSec. Доступно VPN подключение на основе собственного клиента — WireGuard. Поддерживает два типа VPN-сетей: Remote Access VPN и Site-to-Site VPN. В сертифицированной версии не поддерживается | Поддерживаются протоколы L2TP, IPSec. Поддерживает два типа VPN-сетей: Remote Access VPN и Site-to-Site VPN. В сертифицированной версии не поддерживается | Только для канала управления. Для остального трафика отсутствует функциональность СКЗИ. VPN реализуется с помощью дополнительного оборудования ViPNet Coordinator |
| Централизованная система управления шлюзами безопасности | | Модуль Management Center | |
| Единая система сбора логов и событий со всех шлюзов | | Модуль Log Analyzer | |
| Отказоустойчивая кластеризация | Active-Passive | Active-Passive | Active-Passive |
| Балансировка нагрузки | Балансировка трафика в Мбит/с между внешними интерфейсами | Балансировка для внутренних серверов, публикуемых в интернет, внутренних серверов без публикации и балансировка трафика, пересылаемого на внешние серверы | Создание нескольких статических маршрутов в сеть через разные шлюзы и настройки балансировки IP-трафика между этими маршрутами |
Дополнительные функции NGFW
Межсетевые экраны могут иметь дополнительные сервисы и функции.
Встроенный в NGFW почтовый сервер используется для предоставления доступа, хранения и обработки электронной почты.
DNS-сервер нужен для хранения информации о доменах и предоставления ее по запросам пользователей, а также для кэширования DNS-записей других серверов.
Квоты трафика в NGFW используются для ограничения потребления интернет-ресурсов пользователями или группами пользователей. Они помогают контролировать расходы на интернет, предотвращать несанкционированный доступ к ресурсам и обеспечивать равномерное распределение нагрузки на сеть.
| Функциональность | NGFW Ideco | NGFW UserGate | NGFW ViPNet xFirewall |
|---|---|---|---|
| Почтовый сервер | | | |
| DNS-сервер | | | |
| DHCP-сервер | | | |
| Квоты трафика | | | |
| Интеграция со службами каталогов Active Directory, LDAP | | | |
Общие свойства NGFW
При подборе межсетевого экрана следующего поколения важно обратить внимание на общие характеристики продуктов.
Варианты поставки решения позволяют использовать разные сценарии встраивания функций безопасности NGFW в IT-архитектуру.
Например, Security as a Service (SeCaaS) или Безопасность как услуга от UserGate позволяет организовать комплексную защиту информационных систем по подписочной модели без закупки аппаратных устройств безопасности.
Один из ключевых критериев, особенно важных для государственных учреждений, — наличие сертификата ФСТЭК. Решения могут иметь различные уровни защиты и доверия. Самый низкий уровень — шестой, затем пятый и так далее по убыванию.
Все наши предложения соответствуют четвертому уровню. Он подходит для большинства государственных организаций. А межсетевые экраны с самыми высокими уровнями защиты — третьим, вторым и первым — обычно используются в случаях, когда речь идет о работе с государственной тайной.
Цены на российские NGFW могут сильно различаться. Базовые модели стоят от десятков до сотен тысяч рублей, а стоимость высокопроизводительных решений для больших компаний может достигать нескольких миллионов рублей. Первоначальная стоимость решения складывается из стоимости платформы и стоимости лицензий. Для поддержания актуальных баз сигнатур и приложений потребуется ежегодная подписка на обновления.
| Функциональность | NGFW Ideco | NGFW UserGate | NGFW ViPNet xFirewall |
|---|---|---|---|
| Вариант поставки | • ПАК • ПО | • ПАК • ПО • SECaaS | • ПАК • ПО |
| Управление | Управление с помощью Ideco CENTER В сертифицированной версии не поддерживается | UserGate Management Center — единая точка управления для мониторинга устройств, настройки, создания политик | Централизованное управление с помощью ViPNet Administrator или ViPNet Prime. Требует подключения к ViPNet Coordinator для организации защищенного канала управления |
| Роли доступа к управлению | Встроенные роли —Администратор, ReadOnly, Создание отчетов, Просмотр отчетов | Создание учетных записей администраторов с различными правами на просмотр и изменение разделов конфигурации | Встроенные роли — Пользователь и Администратор. Несколько вариантов учетных записей Администратора — администратор всей сети ViPNet, администратор группы узлов, локальный администратор узла |
| Сертификат ФСТЭК | Только для ФСТЭК-версий Соответствует: — Профилю защиты систем обнаружения вторжений уровня сети четвертого класса защиты — Профилю защиты межсетевых экранов типа Б четвертого класса защиты — Профилю защиты межсетевых экранов типа А четвертого класса защиты — Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий по 4 уровню доверия | Соответствует: — Профилю защиты систем обнаружения вторжений уровня сети четвертого класса защиты — Профилю защиты межсетевых экранов типа Б четвертого класса защиты — Профилю защиты межсетевых экранов типа А четвертого класса защиты — Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий по 4 уровню доверия | Соответствует: — Профилю защиты систем обнаружения вторжений уровня сети четвертого класса защиты — Профилю защиты межсетевых экранов типа Б четвертого класса защиты — Профилю защиты межсетевых экранов типа А четвертого класса защиты — Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий по 4 уровню доверия |
| Лицензирование | Конкурентная лицензия на пользователей, годовые подписки на базы сигнатур и модули. Ежегодная подписка на обновления и техподдержку | Конкурентная лицензия на пользователей, годовые подписки на базы сигнатур и модули. Ежегодная подписка на обновления и техподдержку | Для ПАК пользователи не лицензируются. Устройства подбираются согласно необходимой производительности и числу зарегистрированных VPN-клиентов. Ежегодная подписка на обновления и техподдержку |
Сценарии использования NGFW Ideco, UserGate, Infotecs
| Функциональность | NGFW Ideco | NGFW UserGate | NGFW ViPNet xFirewall |
|---|---|---|---|
| Защита внешнего периметра корпоративной сети | | | |
| Сегментация внутренней сети | | | |
| Защита от сетевых вторжений | | | |
| Защищенный удаленный доступ | | | |
| Создание защищенной корпоративной сети с алгоритмами ГОСТ | | | |
| Гостевой интернет-доступ через Wi-Fi | | | |
| Защита информационных систем персональных данных — ИСПДн | | | |
| Защита государственных информационных систем — ГИС | | | |
Преимущества NGFW Ideco, UserGate и ViPNet Infotecs
NGFW Ideco
Есть решения для малых компаний до 100 пользователей
Выгодная стоимость для устройств среднего уровня
Простые настройки, быстрое развертывание из коробки
NGFW UserGate
Входит в экосистему продуктов безопасности UserGate SUMMA
Выгодная стоимость для устройств базового уровня для 100-150 пользователей
Вариативность форматов: ПАК, виртуальный межсетевой экран, SECaaS
NGFW ViPNet xFirewall 5
Лицензирование по производительности
Нет ограничений по количеству пользователей
Входит в экосистему решений Инфотекс по информационной безопасности
Рекомендации по выбору российского NGFW
Сравните характеристики и цены различных NGFW — так вы сможете найти оптимальное соотношение цены и качества. Рекомендуем учитывать не только стоимость самого продукта, но и затраты на ежегодную эксплуатацию и поддержку.
Проведите тестирование с несколькими NGFW. Это поможет оценить их производительность и функциональность в реальных условиях, а также посмотреть на качество техподдержки.
Убедитесь, что выбранный NGFW легко интегрируется с уже существующими системами ИБ в компании. Это поможет комплексно защитить инфраструктуру.
У большинства вендоров закрытые прайсы. Подбор конфигурации и стоимость предоставляются только по запросу. Мы поможем с анализом требований и подбором оптимального решения из модельных рядов разных вендоров.
Получите консультацию по выбору NGFW
Проанализируем требования и предложим оптимальное решение из линеек NGFW разных вендоров
Сделаем подробный расчет стоимости первоначальной покупки и ежегодного обслуживания
Предоставим демоверсии для тестирования NGFW на вашем сервере или гипервизоре