Что такое NGFW?
Межсетевые экраны нового поколения, или NGFW — защитное программное обеспечение, которое включает в себя функции традиционных фаерволов и расширенные функции: более глубокую инспекцию трафика и проактивную систему обнаружения угроз.
NGFW помогает компаниям защищать сети, устройства и приложения от вредных атак, в том числе от развитых устойчивых угроз, уязвимостей нулевого дня, вредоносного ПО, программ-вымогателей и незащищенного доступа.
Gartner определяет принципиальное отличие межсетевых экранов нового поколения как способность инспектировать и контролировать трафик за пределами связи «порт — протокол», то есть на уровне приложений внутри сети. Также к требованиям добавились предотвращение и обнаружение вторжений, наличие средств глубокой проверки пакетов, оценка репутации сайтов и распознавание контента, форматов данных и пользователей.
Как работает фаервол нового поколения?
Межсетевые экраны нового поколения защищают корпоративные сети от вторжений и атак с помощью интегрированных платформ сетевой безопасности, которые включают встроенные межсетевые экраны с глубокой проверкой и системы предотвращения вторжений, проверку и контроль приложений, проверку SSL / SSH, фильтрацию веб-сайтов и управление качеством обслуживания и полосой пропускания.
Выбор подходящего межсетевого экрана может быть сложной задачей, но организации могут упростить процесс покупки, ознакомившись с сравнительной таблицей и составив короткий список продуктов. Вам не нужно выбирать продукт с наивысшим рейтингом в отрасли, а скорее выбрать продукт, который лучше всего подходит и соответствует вашим конкретным корпоративным требованиям.
Из каких межсетевых экранов будет выбор? В этой статье мы провели обзор шести наиболее популярных поставщиков NGFW: Check Point Software Technologies Ltd., Cisco, Fortinet Inc., Palo Alto Networks Inc., Traffic Inspector Next Generation и Ideco UTM.
Вопросы, которые мы учитывали при поиске лучшего продукта поставщика NGFW, включают: Какова линейка продуктов компании? Предназначены ли его межсетевые экраны следующего поколения для поставщиков облачных услуг, крупных предприятий или малого и среднего бизнеса? Какие функции NGFW входят в базовый продукт? Для каких функций нужна дополнительная лицензия? Как продается брандмауэр и какова цена? Что отличает один продукт от другого?
Как и следовало ожидать, между NGFW есть много общего. Однако различия стоит упомянуть и сравнить.
| Параметр сравнения | Cisco | CheckPoint | Ideco UTM | Fortinet | Palo Alto | Traffic Inspector Next Generation |
| Компания | Cisco Systems Inc. | Check Point Software Technologies Ltd. | ООО «Айдеко» | Fortinet | Palo Alto Networks | ООО «Смарт-Софт» |
| Штаб-квартира | Сан-Хосе, США | Тель-Авив, Израиль | Екатеринбург, Россия | Саннивейл, США | Саннивейл, США | Коломна, Россия |
| Наименование системы | Межсетевые экраны нового поколения | Программный комплекс сетевой безопасности нового поколения Check Point Software Technologies | Универсальный шлюз безопасности Ideco UTM | Межсетевой экран следующего поколения FortiGate | Palo Alto Networks Next Generation Firewall | Универсальный шлюз безопасности (UTM) и система обнаружения (предотвращения) вторжений Traffic Inspector Next Generation |
| Для кого подойдет | Малый, средний и крупный бизнес, государственный и коммерческий сектор | Малый, средний и крупный бизнес, государственный и коммерческий сектор | Малый, средний и крупный бизнес, государственный сектор | Малый, средний и крупный бизнес, государственный и коммерческий сектор | Малый, средний и крупный бизнес, государственный и коммерческий сектор | Малый, средний и крупный бизнес, государственный сектор |
| Русский язык интерфейса | нет | нет | да | нет | нет | да |
Для кого предназначены межсетевые экраны?
Все межсетевые экраны предназначены для защиты средних и крупных предприятия, а также для малого и среднего бизнеса. Между тем, все межсетевые экраны, рассмотренные в этой статье, поддерживают как виртуальные, так и физические развертывания, а также развертывания в облачных средах, таких как Azure, AWS и Google Cloud Platform.
| Архитектура решения | Cisco | CheckPoint | Ideco UTM | Fortinet | Palo Alto | Traffic Inspector Next Generation |
| Поддерживаемые варианты исполнения | Аппаратное, виртуальное | Аппаратное, виртуальное | Аппаратное, виртуальное | Аппаратное, виртуальное, облачное | Аппаратное, виртуальное | Аппаратное, виртуальное |
| Поддерживемые платформы | VMware, KVM | Cisco ACI, VMware NSX, ESXi, Microsoft Hyper-V, Openstack, KVM | VMware, Microsoft Hyper-V, VirtualBox, KVM, Citrix XenServer | VMware ESXi, VMware NSX-T, Microsoft Hyper-V Server, Microsoft AzureStack, Citrix Xen XenServer, Open source Xen, KVM, Enterprise Linux / CentOS/, Ubuntu 16.04 LTS (generic kernel), Nutanix AHV, Cisco Cloud Services Platform | VMware ESXi, Citrix SDK, KVM, Nutanix, Microsoft Hyper-V, OpenStack, Cisco ACI, AWS, Azure, vCloud Air, Google Cloud, Oracle Cloud, Alibaba Cloud | Hyper-V, VirtualBox, VMware, KVM |
| Поддерживаемые физические и сетевые интерфейсы | Ethernet, FiberChannel | Ethernet, сетевой мост, PPP, VPN, VLAN | ||||
| Модули решения | Firewall, IPSEC, Mobile Access, Application Control, URL Filtering, Identity Awareness, Threat Emulation, Threat Extraction, IPS, Anti-Bot, Anti-Virus, QoS, Monitoring, DLP, Anti-Spam, Compliance, SmartEvent | Антивирус Касперского, антиспам Касперского, контроль приложений, предотвращение вторжений, контент-фильтр | Anti-Malware, IPS&DoS, Application Control, Web Filtering, Firewall, VPN, DLP, Email filtering, SD WAN, Explicit proxy, Device identification, SSL/SSH Inspection, Log&Report, Monitoring , Routing/NAT, L2/Switching, Offline Inspection, ATP, Vulnerability assesment, IOC Detection, Wireless controller, Switch Controller, Cloud&SDN integration, Central management and provisioning | APP-ID, CONTENT-ID, USER-ID, SSL- и SSH-инспекция, URL-фильтрация, IPS, Anti-spyware, Anti-Virus, песочница, QoS, PBF, DLP, DDoS, External Block Lists, Threat Intelligence, оптимизатор политик NGFW | Модуль аутентификации, Captive Portal, VPN, сетевой экран, антивирус, система обнаружения вторжений, сканер безопасности, веб-прокси сервер | |
| Поддержка развёртывания в публичном облаке | Да, Amazon AWS, Microsoft Azure | Да, Amazon AWS, Microsoft Azure, Google Cloud, Oracle Cloud, Alibaba Cloud, IBM Cloud | нет | Да, Amazon AWS (включая GovCloud и AWS China), VMware Cloud на AWS, Microsoft Azure (включая US Gov, Germany и China) и AzureStack syndication, Google GCP (Google Cloud Platform), Oracle OCI, Alibaba Cloud (AliCloud) | Да, Amazon AWS, Microsoft Azure, vCloud Air, Google Cloud, Oracle Cloud, Alibaba Cloud | нет |
| Контроль работоспособности | Да, отчеты, REST API, уведомления по почте, оперативные уведомления в графическом интерфейсе, SNMP, Syslog, правила корреляции и т.п. | Да, WebGui, CLI, Email, REST API, SNMP, bash scripts | Да (SNMP, Zabbix-агент) | Да, Amazon AWS (включая GovCloud и AWS China), VMware Cloud на AWS, Microsoft Azure (включая US Gov, Germany и China) и AzureStack syndication, Google GCP (Google Cloud Platform), Oracle OCI, Alibaba Cloud (AliCloud) | Да, Amazon AWS, Microsoft Azure, vCloud Air, Google Cloud, Oracle Cloud, Alibaba Cloud | Да (Monit, Zabbix-агент) |
| Поддерживаемые варианты масштабирования производительности для аппаратного и виртуального исполнения | Зависит от профиля трафика. От 650 Мб/с до 168 Гб/с. Поддерживаются технологии ECLB, HA, кластеризация, выстраивание программных сервисных цепочек, внешние и инфраструктурные балансировщики | Масштабирование при помощи Maestro Orchestrator | нет | Технологии масштабирования FortiGate Session Life Support Protocol (FGSP), FortiGate Clustering Protocol (FGCP), Session-aware Load Balancing Cluster (SLBC), Virtual Router Redundancy Protocol (VRRP), Enhanced Load Balancing Clustering (ELBC) | Модельный ряд поддерживает скорости до 1 Тб/с с APP-ID. Шасси масштабируются за счет дополнительных сетевых модулей, каждый из которых дает 20 Гбит/с с APP-ID. Виртуальные NGFW масштабируются путем изменения лицензирования - увеличение вычислительных ресурсов до 16 Гбит/с c APP-ID. | Масштабируется за счет использования встроенного HAProxy |
Какие функции доступны?
Общие функции, доступные во всех продуктах межсетевых экранов, включают унифицированное управление угрозами (UTM), неразрушающую встроенную конфигурацию с подключением к сети, трансляцию сетевых адресов, проверку пакетов с отслеживанием состояния, VPN, интегрированный механизм систем защиты от вторжений (IPS) на основе сигнатур и осведомленность о применении. Они также, как правило, включают возможность включения информации извне брандмауэра, включая политику на основе каталогов, черные и белые списки. Кроме того, они обеспечивают возможность обновления для включения будущих информационных каналов и угроз безопасности, а также предлагают расшифровку SSL, позволяющую идентифицировать нежелательные зашифрованные приложения.
Необычные функции межсетевых экранов различаются в зависимости от поставщика, поэтому именно здесь вы можете обратить внимание на продукты, которые походят именно вам:
· Cisco обеспечивает видимость и контроль приложений, а также предотвращение вторжений нового поколения, расширенную защиту от вредоносных программ и фильтрацию URL-адресов.
· NGFW от Check Point включает в себя программный блейд Check Point IPS, систему IPS, которая обеспечивает географическую защиту, а также частое автоматическое обновление определений угроз.
При сравнении межсетевых экранов следующего поколения для организации важно понимать, какие функции требуют дополнительных лицензий, чтобы они могли решить, стоят ли эти надстройки затрат.
Например, если компании требуется предотвращение потери данных, то вы можете рассмотреть межсетевой экран, который предлагает DLP. Или, если вы посчитаете, что компоненты DLP NGFW недостаточно мощны для ваших целей, вы можете решить использовать автономный DLP, а не интегрированный продукт. То же самое применимо к технологии межсетевого экрана веб-приложений и службам анализа угроз. Например, в дополнение к базовой лицензии Cisco для функций обнаружения угроз и вредоносных программ и фильтрации URL-адресов требуются дополнительные, необязательные лицензии.
| Функции | Cisco | CheckPoint | Ideco UTM | Fortinet | Palo Alto | Traffic Inspector Next Generation |
| Статическая трансляция сетевых адресов SNAT (Static Network Address Translation) | Да | Да | Да | Да | Да | Да |
| Динамическая трансляция сетевых адресов DNAT (Dynamic Network Address Translation) | Да | Да | Да | Да | Да | Да |
| Варианты поддержки трансляции сетевых адресов | Static NAT, dynamic NAT, PAT, NAT64, PAT64, policy-based NAT/PAT, Carrier Grade NAT, dual NAT и т.п. | Static NAT, Hide NAT, NAT64 | DNAT, SNAT | NAT64, NAT46, static NAT, dynamic NAT, PAT, Full Cone NAT, STUN, CGNA | Static NAT (IPv4/IPv6), Dynamic NAT (IPv4,IPv6), NAT64, IPv6 NPTv6 (Network Prefix Translation) | Переадресация портов, One-to-One, Исходящий, NPTv6 |
| Поддержка технологии SPI (Stateful Packet Inspection) | Да | Да | Да | Да | Да | Да |
| Политики контроля по зонам | Да | Да | Да | Да | Да | Нет |
| Политики контроля на основе интерфейсов | Да | Да | Да | Да | Да | Да |
| Управление полосой пропускания | Да | Да | Да | Да | Да | Да |
| Поддержка политик на основе identity (user-based политики) | Да | Да | Да | Да | Да | Да |
| Мультивещание, многоадресное вещание | да, IGMP v2 и v3, PIM-SM, PIM Boostrap Router, Stub Multicast Routing | да, IGMP v2 и v3, PIM-SM, PIM-SSM, PIM-DM NGFW | нет | да, PIM-SM/DM/SSM, IGMP v1/2/3, MLD, BSR (Boot Start Router) | да, IP multicast, PIM-SM, PIM-SSM, IGMP v1, v2, v3 (только IPv4) | да, IGMP v1/2/3 |
| Качество обслуживания (QoS) | Да | Да | Нет | Да | Да | Да |
Как продается, лицензируется и оценивается лицензии межсетевого экрана?
Все продукты NGFW лицензируются на физическое устройство. Для расширенных функций требуются дополнительные лицензии. Между тем, все продукты NGFW формируют цену в зависимости от типа используемого оборудования и контракта на обслуживание. Особое значение имеют широкие различия в ценовом диапазоне не только между поставщиками, но и между различными предложениями от отдельных поставщиков.
Несмотря на то, что структура ценообразования кажется несопоставимой, сходство существует в линейках продуктов более низкого уровня. Чем меньше функционал необходим NGFW, тем проще ценообразование.
Лицензии обычно предоставляются по подписке на один, два или три года. Некоторые поставщики также предлагают пятилетнюю подписку. По мере увеличения числа пользователей часто применяются оптовые скидки.
Доступна ли бесплатная пробная версия NGFW?
Fortinet не предлагает бесплатную пробную версию FortiGate NGFW, но предлагает полную рабочую демонстрацию, чтобы пользователи могли опробовать его функции. Cisco предлагает бесплатную двухнедельную пробную версию, в то время как другие поставщики предоставляют бесплатные 30-дневные загружаемые полные виртуальные устройства или версии виртуальных машин для тестирования. Ideco предлагает установить тестовую версию на сервер или виртуальную машину и пользуйтесь до 40 дней бесплатно всем функционалом без ограничений.
Ключевые отличия продуктов межсетевых экранов
Ниже приведены некоторые основные моменты отмеченных различий между ведущими NGFW:
· Check Point предлагает централизованное управление и ролевое администрирование. Брандмауэры объединяют периметр, конечную точку, облачную и мобильную безопасность, а также предлагают управление приложениями, расширенную фильтрацию URL-адресов и предотвращение потери данных.
· FortiGate NGFW от Fortinet добавляет предотвращение вторжений, контроль приложений и защиту от вредоносных программ в традиционную комбинацию межсетевого экрана и VPN.
· Cisco является полноценным устройством безопасности, его основными функциональными инструментами являются IPS, межсетевой экран и VPN-концентратор для удаленных абонентов.
Каждый поставщик NGFW обосновался в уникальных областях, которые отличают их от остальных. Ключевым моментом для клиентов является определение отличительных черт, которые соответствуют и превосходят их потребности при сравнении межсетевых экранов следующего поколения.
Обратите внимание
При выборе поставщика и модели NGFW для предприятия учитывайте следующие критерии: определение участников, составление короткого списка, выполнение проверки концепции, выполнение справочных звонков, рассмотрение затрат, получение поддержки со стороны руководства и проведение переговоров по контракту. Общая стоимость владения также имеет решающее значение. И последнее, но не менее важное: учитывайте набор навыков сотрудников компании, бизнес-модель и ожидания роста предприятия. Все это важные факторы при принятии окончательного решения.
Какой продукт NGFW лучше всего подходит для вашей организации?
План по предотвращению атак на корпоративные сетевые среды всегда будет основан на риске. Уровень защиты должен быть соизмерим со стоимостью актива. Если для защиты требуется межсетевой экран следующего поколения, критически важно ознакомление с продуктами и моделями поставщиков NGFW, которые подходят для организации и вашей бизнес-модели.
| Создание виртуальных сетей VPN | Cisco | CheckPoint | Ideco UTM | Fortinet | Palo Alto | Traffic Inspector Next Generation |
| IPsec VPN (клиентский VPN) | Да | Да | Да | Да | Да | Да |
| Поддержка конфигурации site-to site VPN — Policy-based IPsec tunnel | Да | Да | Да | Да | Да | Нет |
| Поддержка конфигурации site-to site VPN — Route-based IPsec tunnel | Да | Да | Да | Да | Да | Да |
| IPsec VPN client | Да, Windows, Linux, macOS, Android | Да, Windows, Linux, macOS | Да | Да, поддержка встроенных в ОС VPN-клиентов (Windows, macOS, Android), например, Windows 7 и выше (Embedded IKEv2 VPN Client) | Да, бесплатный клиент GlobalProtect для Windows, macOS, Android, iOS | Да |
| Алгоритмы шифрования | AES, DES, 3DES | NSA Suite-A, Suite-B | AES256 | DES, 3DES, AES128, AES192, AES256, NULL, AES128GCM, AES256GCM, CHACHA20POLY1305, ARIA128, ARIA192, ARIA256 и SEED | DES, 3DES, AES-128-CBC, AES-192-CBC, AES-256-CBC, AES-128-CCM, AES-128-GCM, AES-256-GCM и др. | AES-128 /192/256-GCM, Camellia, Blowfish, 3DES, CAST128, DES |
| Алгоритмы хеширования | MD5, SHA-1, SHA-256, SHA-384, SHA-512 | AES-XCBC, MD5, SHA-1, SHA-256, SHA-384 | MD5, SHA-256 | MD5, SHA-1, SHA-256, SHA-384, SHA-512, NULL | MD5, SHA, SHA-256, SHA-384, SHA-512 | MD5, SHA1, SHA256, SHA384, SHA512, AES-XCBC |
| Поддержка протокола Internet Key Exchange | Да, IKE v1, IKE v2 | Да, IKE v1, IKE v3 | Да | Да, IKE v1, IKE v2 | Да, IKE v1, IKE v3 | Да |
| Поддержка протокола L2TP | Нет | Да | Да | Да | Нет | Да |
| Поддержка протокола PPTP | Нет | Да | Да | Да | Нет | Да |
| SSL VPN (бесклиентский VPN) | Да | Да | Да | Да | Да | Нет |
| SSL VPN client | Да, Windows, Linux, macOS, Android, iOS | Да, Windows, Linux, macOS | Нет | Да, Windows, Linux, macOS, Android, iOS | Да, бесплатный клиент GlobalProtect для Windows, macOS, Android, iOS | Нет |
