Сравнение универсальных шлюзов безопасности USG (NGFW)

Сравнение универсальных шлюзов безопасности USG (NGFW)

Первое публичное сравнение популярных на российском рынке отечественных и зарубежных многофункциональных шлюзов безопасности USG (Unified Security Gateway), имеющих в основе межсетевой экран следующего поколения NGFW (Next-Generation Firewall), по 191 критерию. В первой части сравнения участвуют программно-аппаратные комплексы: Cisco Firepower, Check Point Security Gateway, Fortinet FortiGate, Huawei USG, Palo Alto Networks, «Континент», UserGate. Исследование призвано помочь корпоративным заказчикам выбрать наиболее подходящий для себя продукт.

 

 

  1. Введение
  2. Методология сравнения
    1. 2.1. Общие сведения
    2. 2.2. Архитектура решения
    3. 2.3. Функции межсетевого экранирования
    4. 2.4. Создание виртуальных сетей VPN
    5. 2.5. Поддержка сетевых сервисов
    6. 2.6. Функции прокси-сервера
    7. 2.7. Основные функции NGFW 
    8. 2.8. Дополнительные функции NGFW
    9. 2.9. Аутентификация
    10. 2.10. Высокая доступность и кластеризация
    11. 2.11. Централизованное управление
    12. 2.12. Мониторинг работы и система отчетности
    13. 2.13. Возможности интеграции
    14. 2.14. Техническая поддержка
    15. 2.15. Лицензирование
  3. Методика выбора оптимального USG/NGFW
  4. Выводы

 

Введение

Сетевая безопасность является обязательной составляющей общего объема мер противодействия современным угрозам. Под воздействием быстрого роста количества и сложности кибератак уровень ожиданий от сетевых средств защиты повышается, и, соответственно, их функциональность с каждым годом становится все шире.

Сегодня на рынке основным и наиболее востребованным организациями элементом сетевой безопасности являются многофункциональные межсетевые экраны нового поколения (NGFW) или многофункциональные шлюзы безопасности UTM (Unified Threat Management), которые обеспечивают комплексную защиту от сетевых угроз. В последние годы обозначение UTM постепенно заменяется на более понятный и соответствующий реальным задачам термин  многофункциональные шлюзы безопасности USG (Unified Security Gateway). Поэтому далее по тексту мы будем придерживаться его.

NGFW и UTM/USG имеют схожую функциональность. UTM-устройства исторически ориентировались на потребности среднего и крупного бизнеса, которым было важно иметь «все функции сетевой безопасности в одной коробке». При этом корпоративный межсетевой экран является в них лишь одним из важных модулей.

С появлением межсетевых экранов нового поколения NGFW (Next Generation Firewall), в которых правила межсетевого экрана стало возможным создавать на уровне приложения (L7 в сетевой модели OSI), все изменилось. Появилась вторая ветвь развития функциональности — в сторону работы на прикладном уровне. При этом одновременно развивались и смежные с межсетевым экраном функции, входящие в состав UTM. Подобные устройства также могут работать в режиме прокси, поддерживать различные сетевые сервисы и объединять в себе множество других технологий, связанных с обеспечением информационной безопасности, например: обнаружение и предотвращение вторжений (IDS/IPS), VPN, антивирус, DLP, веб-фильтрацию, контроль почтового трафика и многое другое, полностью оправдывая название универсальных средств сетевой защиты.

В настоящее время любой современный UTM/USG имеет в своем составе NGFW. В свою очередь, продукты, изначально позиционируемые как NGFW, «обросли» всеми смежными функциями, соответствующими UTM/USG. Поэтому логичнее всего говорить об имеющихся на рынке USG с функциями NGFW на борту.

Современные продукты класса USG покрывают функциональность большого количества отдельных классов решений для сетевой безопасности, представляя собой необходимый набор инструментов с гибкими настройками в рамках одного физического устройства или аппаратной платформы. Универсальные шлюзы безопасности с единой консолью управления позволяют организациям повысить уровень контроля со стороны ИТ- и ИБ-департамента, исключают рутинные операции, связанные с эксплуатацией большого количества отдельных узкоспециализированных систем, и позволяют организациям двигаться в сторону перехода от отдельных решений к комплексной и интегрированной защите от сложных угроз.

Возникновение массового спроса и предложений со стороны признанных зарубежных и молодых российских вендоров порождает у заказчиков проблему выбора, для решения которой нужны время и экспертиза. К сожалению, до настоящего времени в публичном пространстве практически не было полномасштабных сравнительных материалов, которые бы помогали потенциальным заказчикам выбрать оптимальный USG или NGFW без принятия стороннего оценочного мнения. Мы решили это исправить.

Несмотря на сложность и, казалось бы, неподъемность задачи, мы провели первое открытое независимое сравнение функциональности популярных на российском рынке USG и NGFW. Для этого мы пригласили к участию всех желающих, создали открытую группу заинтересованных специалистов, коллегиально на протяжении 6 месяцев прорабатывали критерии сравнения и список производителей-участников, уточняли и выверяли ответы, чтобы получившееся в итоге сравнение было прозрачным. Фактически любой желающий мог высказать свое мнение по улучшению критериев сравнения или о точности приведенной в таблице информации.

Перед ознакомлением с результатами нашего сравнения имеет смысл понять, для чего вам нужны сетевые средства защиты, какие задачи, по вашему мнению, они должны решать. Вооружившись ответами на эти вопросы, можно перейти к изучению результатов сравнения. Технически рекомендуется выделить необходимые параметры и проставить для них «весовые значения» по собственному мнению, основываясь на описании критериев в таблице. Далее следует просуммировать значения и вывести собственного лидера среди сравниваемых продуктов, отвечающего задачам именно вашей компании. Подробнее об этом рассказано в главе «Методика выбора оптимального USG или NGFW».

 

Методология сравнения

Этап выбора критериев, по которым сравнивались решения класса NGFW/USG, у нас выглядел следующим образом: мы собрали все имеющиеся на рынке публичные и закрытые наработки вендоров, а также часто используемые заказчиками критерии выбора, изучив огромное количество запросов предложений (RFP) и запросов информации (RFI), находящихся в открытом доступе.

Получив материалы от вендоров и консолидировав их с данными от других источников, мы увидели, что критериев получается весьма много (около 400). После этого было решено создать рабочую группу по валидации собранных критериев, в первую очередь для того, чтобы услышать общественное мнение: что сегодня в первую очередь важно для компаний в вопросе сетевой безопасности и чаще всего востребовано в функциональном наполнении решений класса NGFW/USG. Основными задачами работы группы мы видели обсуждение и определение первого и второго потока вендоров для сравнения, а также согласование финального оценочного списка.

К нашему удивлению, многие коллеги очень активно подключились к проекту. Желающих поучаствовать в группе оказалось немало, кто-то помогал с критериями, кто-то критиковал, кто-то яро отстаивал свою точку зрения. Были участники, которые делились материалами по теме, а иные просто наблюдали за происходящим и делали свои выводы, которые наверняка будут полезны им в дальнейшей работе. Это была очень живая дискуссия, и мы можем смело констатировать факт того, что данная тематика, связанная с выбором и эксплуатацией решений класса NGFW/USG, очень интересна и востребованна на нашем рынке.

Что касается критериев, то мы их отсортировали по блокам. В блок более общих критериев вошли: сведения о производителе и линейке сравниваемых продуктов, наличие сертификатов, процедура ввоза в Россию, соответствие требованиям регуляторов, архитектура решения, управление решениями, возможность интеграции, доступные виды технической поддержки, а также лицензирование. В блок основных функциональных возможностей мы включили межсетевое экранирование, создание виртуальных сетей VPN, маршрутизацию, проксирование, а также функции безопасности: контроль приложений, IDS/IPS, антивирусную и антибот-защиту, DLP, безопасность почты, антиспам, защиту от DDoS-атак, веб-фильтрацию и пр. В результате получились следующие группы критериев сравнения.

  1. Общие сведения
  2. Архитектура решений
  3. Поддержка сетевых сервисов
  4. Основные функции безопасности NGFW
    • Функции межсетевого экрана
    • Система обнаружения/предотвращения вторжений (IDS/IPS)
    • Контроль приложений (Application Control)
    • Защита от DDoS-атак
    • Антивирусная защита (Anti-Virus)
    • Антибот-защита (Anti-Bot)
    • Защита почтового трафика (безопасность почты, антиспам)
    • Веб-фильтрация
    • Обнаружение утечек информации (DLP)
    • Threat Intelligence
    • Песочница (Sandbox)
  5. Создание виртуальных частных сетей VPN
  6. Функции прокси-сервера
  7. Дополнительные функции NGFW
  8. Аутентификация
  9. Высокая доступность и кластеризация
  10. Возможности централизованного управления
  11. Мониторинг работы и система отчетности
  12. Возможности интеграции
  13. Техническая поддержка
  14. Лицензирование

Важное примечание: в данный сравнительный обзор не был включен критерий производительности — по причине того, что отсутствовала возможность провести собственное независимое тестирование такого большого количества устройств в равных условиях. Транслирование цифр из вендорских даташитов команда Anti-Malware.ru посчитала непоказательным, так как устройства зачастую тестировались производителями в разных условиях и с разным функциональным наполнением. Несмотря на это, команда аналитического центра Anti-Malware.ru обращает ваше внимание на высокую значимость учёта данного параметра при планировании проекта. Компании, которые находятся на этапе выбора решений класса NGFW/USG, всегда могут изучить показатели и данные групповых тестов от ведущих лабораторий, проверяющих функциональность и производительность продуктов по обеспечению безопасности  например, таких, как NSS Labs. Для принятия более верного и проверенного решения мы рекомендуем проводить пилотные тестирования продуктов основных претендентов в одинаковых условиях и на реальной инфраструктуре.

Помимо валидации сравнительных критериев, перед нами стояла вторая очень важная задача: отбор участников. Используя опыт, полученный при подготовке сравнения SIEM-систем, решено было отобрать для первой части сравнения оптимальное число решений, а точнее — семь наиболее популярных на российском рынке разработок отечественных и зарубежных производителей.

Зарубежные продукты:

  1. Cisco Firepower (Cisco Systems) на FTD OS 6.4
  2. Check Point Security Gateway и Sandblast Network на R80.20 (Check Point Software Technologies)
  3. Fortinet FortiGate на FortiOS 6.0 (Fortinet)
  4. Huawei USG 5.0
  5. Palo Alto Networks NGFW на PAN-OS 9.0 (Palo Alto Networks)

Российские продукты:

  1. Континент 4.0 («Код Безопасности»)
  2. UserGate («Юзергейт»)

Хотелось бы отметить, что представители всех указанных производителей принимали непосредственное участие в финальной стадии, где нужны были некоторые пояснения и проверка сведений в сравнительной таблице.

Важно оговориться, что, готовя это сравнение, мы не ставили целью назвать лучших, мы констатировали факты о продуктах в соответствии с критериями сравнения. Выводы о выборе решения, наиболее подходящего под потребности и возможности конечного потребителя, может сделать только он сам.

 

Общие сведения

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
Компания Cisco Systems Inc. Check Point Software Technologies Ltd. Fortinet HUAWEI Palo Alto Networks ООО «Код Безопасности» UserGate / ООО "Юзергейт"
Веб-сайт cisco.com checkpoint.com fortinet.com huawei.com paloaltonetworks.com securitycode.ru usergate.com
Штаб-квартира Сан-Хосе, США Тель-Авив, Израиль Саннивейл, США Шэньчжэнь, Китай Саннивейл, США Москва, Россия Новосибирск, Россия
Полное название системы Межсетевые экраны нового поколения Cisco Firepower Программный комплекс сетевой безопасности нового поколения Check Point Software Technologies Межсетевой экран следующего поколения FortiGate Межсетевые экраны нового поколения Huawei Palo Alto Networks Next Generation Firewall "Континент" 4.0 Универсальный шлюз безопасности "UserGate"
Сравниваемая линейка продуктов (модели, версии ОС) Серия Cisco Firepower (1010, 1100, 2100, 4100, 9300) на FTD OS 6.4 Серия Check Point Secure Gateways и Check Point Sandblast Network на R80.20 Серия FortiGate на FortiOS 6.0 (от FG-30D до FG-5001) Huawei USG v5 (6320, 6330, 6350, 6360, 6370, 6380, 6390, 6620, 6630, 6650, 6660, 6670, 6680, 9560, 9580) Серия Palo Alto Networks на PAN-OS 9.0.2 (аппаратные NGFW от PA-220 до PA-7080 и виртуальных от VM-50 до VM-700) Континент 4.0.3 (IPC-10, IPC-25, IPC-50, IPC-100, IPC-500, IPC-500F, IPC-600, IPC-800F, IPC-1000F, IPC-3000F, IPC-3000FC, IPC-1000NF2, IPC-3000NF2) UserGate на UGOS 5.0.6 (модели C, D, E, F, X)
Целевой сегмент Малый, средний и крупный бизнес, государственный и коммерческий сектор Малый, средний и крупный бизнес, государственный и коммерческий сектор Малый, средний и крупный бизнес, государственный и коммерческий сектор Малый, средний и крупный бизнес, государственный и коммерческий сектор Средний и крупный бизнес, государственный и коммерческий сектор Малый, средний и крупный бизнес, государственный и коммерческий сектор Малый, средний и крупный бизнес, государственный и коммерческий сектор
Сертификаты Сертификат ФСТЭК России №3973 со сроком действия до 25.07.2021 на межсетевой экран серии Cisco ASA 5500-X (ASA 5506-X, ASA 5508-X, ASA 5516-X) с установленным программным обеспечением Cisco ASA версии 9.х , профиль защиты МЭ по новым требованиям (А шестого класса защиты. ИТ.МЭ.А6.ПЗ, Б шестого класса защиты. ИТ.МЭ.Б6.ПЗ). В процессе сертификации - Firepower 2100, Firepower 4100, профиль защиты МЭ (А шестого класса защиты ИТ.МЭ.А6.ПЗ и Б шестого класса защиты ИТ.МЭ.Б6.ПЗ) Сертификат ФСТЭК России №3634, срок действия до 03.10.2019, на R77.10 для МЭ и СОВ по новым требованиям;
Положительное заключение ФСТЭК для R77.30 (шлюзы, песочницы, в планах - агенты).
Сертификат ФСТЭК России №3720 со сроком действия до 16.03.2020 на FortiGate под управлением FortiOS 5.х, профили защиты СОВ (cети четвертого класса защиты, ИТ.СОВ.С4.ПЗ), профиль защиты МЭ (А четвертого класса защиты ИТ.МЭ.А4.ПЗ, Б четвертого класса защиты ИТ.МЭ.Б4.ПЗ). Принято решение о сертификации FortiGate под управлением FortiOS 6.00. Сертификат ФСТЭК №4083, срок действия до 04.02.2024, на версию V500, профиль защиты МЭ по новым требованиям (А четвертого класса защиты ИТ.МЭ.А4.ПЗ, Б четвертого класса защиты ИТ.МЭ.Б4.ПЗ). Нет Планируется получение сертификатов:
ФСТЭК по требованиям к межсетевым экранам тип "А" 4-го класса и СОВ уровня сети 4-го класса,
ФСБ на СКЗИ класса КС3
Cертификат ФСТЭК №3905, срок действия до 26 марта 2021 года на “Универсальный шлюз безопасности “UserGate”. Сертификация была пройдена по требованиям к Межсетевым Экранам (4-й класс, профили А и Б) и по требованиям к Системам Обнаружения Вторжений (4-й класс) для программно-аппаратных (модели UserGate C, D, D+, E, E+, F, X1) и виртуальных платформ UserGate.
Процедура ввоза оборудования в РФ Нотификация Нотификация Нотификация Лицензия Минпромторга Нотификация Продукт производится в России. Регламентация процедуры ввоза не требуется. Продукт производится в России. Регламентация процедуры ввоза не требуется.
Локальное производство в РФ Нет ООО "ВЕЛОКС", Санкт-Петербург. Модели: SG 2200, SG 4800, SG 12600, SG 13500, SG 15400, SG 15600, SG 23500, SG 23800, SG 23900, SG 3100, SG 3200, SG 5100, SG 5200, SG 5400, SG 5600, SG 5800, SG 5900 Многофункциональный программно-аппаратный комплекс «ГРАНИЦА» производства АО “НИЦ”. Бандл FortiGate и VPN-шлюза c шифрованием ГОСТ. Комплекс может быть оснащён модулем доверенной загрузки. Нет Нет Устройства проходят выходной контроль в Москве. Ожидается получение статуса "Телекоммуникацион-ного оборудования российского происхождения" (ТОРП) от Минпромторга. Сборка в Новосибирске на основе аппаратных платформ Lanner
Дополнительные профессиональные сервисы Подразделение по оказанию услуг: проведение обследований, консалтинг, разработка и внедрение проектов, а также их сопровождение Консультирование, оптимизация сети, установка и настройка оборудования Разработка проекта, установка и настройка оборудования, проведение удаленных тестов на проникновение Разработка проекта, установка и настройка оборудования Разработка проекта, миграция, установка и настройка оборудования, сопровождение Разработка проекта, внедрение и эксплуатация сложных сетевых инфраструктур, проведение тестов на проникновение Проектирование, установка, настройка, миграция с других решений, обучающие курсы
Поддерживаемые языки интерфейса Английский Английский, испанский, французский, японский, китайский (традиционный и упрощенный) Английский, французский, испанский, португальский, японский, китайский, корейский Английский, китайский Английский, французский, китайский (традиционный и упрощенный), японский, испанский Русский, английский Русский, английский
Соответствие требованиям ФЗ-187 "О безопасности критической информационной инфраструктуры РФ" Удовлетворяет требованиям приказа ФСТЭК №235 в части используемых средств защиты объектов КИИ и выполняет часть мер, перечисленных в приказе ФСТЭК №239 Сертифицированный МЭ, СОВ, поддерживающий интеграцию с ГосСОПКА через REST API и позволяющий защищать сегменты АСУ ТП Сертифицированный МЭ, обеспечивающий безопасность информационных систем, информационно-телекоммуникационных сетей КИИ. Удовлетворяет требованиям приказа ФСТЭК №235 в части используемых средств защиты объектов КИИ и выполняет часть мер, перечисленных в приказе ФСТЭК №239 Сертифицированный МЭ, обеспечивающий безопасность информационных систем, информационно-телекоммуникационных сетей КИИ. Удовлетворяет требованиям приказа ФСТЭК №235 в части используемых средств защиты объектов КИИ и выполняет часть мер, перечисленных в приказе ФСТЭК №239 Выполняет часть мер, перечисленных в приказе ФСТЭК №239 Удовлетворяет требованиям приказа ФСТЭК №235 в части используемых средств защиты объектов КИИ, выполняет часть мер, перечисленных в приказе ФСТЭК №239 Сертифицированное средство, обеспечивающее безопасность информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления (АСУ) субъектов КИИ, сбор и хранение информации о произошедших на объекте инцидентах безопасности для последующей передачи этих данных в ГосСОПКА
Секторы экономики, в которых выполнены внедрения Коммерческие, государственные и муниципальные учреждения из разных секторов, операторы связи и др. Ритейл, энергетика, промышленность, фармацевтика, медицинские центры, логистика, финансовые организации, региональные и федеральные органы власти, страховые компании, телекоммуникационные компании, коммерческие ЦОД Финансы, ритейл, государственный сектор, телеком, MSP, промышленность Государственный сектор, энергетика и др. Крупные международные, государственные компании, финансовый сектор, атомная промышленность, металлургия, горнодобыча, ТЭК, наука, ритейл, телеком, транспорт, здравоохранение Государственный сектор, финансовые организации и др. Органы власти, телекоммуникации, здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, ТЭК, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность и др.
Крупнейшее из известных внедрений Предоставляется по запросу Трубная Металлургическая Компания (ТМК)
Государственная транспортная лизинговая компания (ГТЛК)
Предоставляется по запросу Предоставляется по запросу ООО «Аэроэкспресс»
ГАС Выборы (версия 3.х)
СМЭВ (версия 3.х)
Федеральное казначейство (версия 3.х)
Группа «ФосАгро»
anti-malware.ru
ПАО «МРСК Сибири» (входит в состав ПАО «Россети»)
anti-malware.ru

 

Архитектура NGFW/USG

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
Поддерживаемые варианты исполнения Аппаратное, виртуальное Аппаратное, виртуальное Аппаратное, виртуальное, облачное Аппаратное, виртуальное, контейнерное Аппаратное, виртуальное Аппаратное Аппаратное, виртуальное
Поддерживаемые платформы при виртуальном исполнении VMware, KVM Cisco ACI, VMware NSX, ESXi, Microsoft Hyper-V, Openstack, KVM VMware ESXi, VMware NSX-T, Microsoft Hyper-V Server, Microsoft AzureStack, Citrix Xen XenServer, Open source Xen, KVM, Enterprise Linux / CentOS/, Ubuntu 16.04 LTS (generic kernel), Nutanix AHV, Cisco Cloud Services Platform VMware, Microsoft HyperV, KVM VMware ESXi, Citrix SDK, KVM, Nutanix, Microsoft Hyper-V, OpenStack, Cisco ACI, AWS, Azure, vCloud Air, Google Cloud, Oracle Cloud, Alibaba Cloud Нет, ожидается в новой версии VMware ESXi, Microsoft Hyper-V, KVM, Xen, OpenStack, VirtualBox
Поддерживаемые физические и сетевые интерфейсы 10/100/1000 BaseT, 1G-SX, 1G-LH/LX, 1G-EX, 1G-ZX, 10G-SR, 10G-SR-S, 10G-LR, 10G-LR-S, 10G-LRM, 10G-ER, 10G-ER-S, 10G-ZR-S, 10G Cu, 10G AOC, 40G-SR4, 40G-SR4-S, 40G-CSR4, 40G-SR-BD, 40GE-LR4, 40GE-LR4-S, 40G-LR4L, 40G-CU, 40G-4X10G-CU, 40G-CU-A, 40G-AOC, 100G-SR4-S, 100G-LR4-S, 100G-AOC, 100G-CUxM 10/100/1000Base-T RJ45, 1000Base-F SFP, 10GBase-F SFP+, 40G QSFP+, 100/25G QSFP28, RJ45 Console, Mini-USB Console, Type-C USB Console, LOM SFP (GE), XFP (10 GE), SFP+ (10 GE), QSFP+ (40 GE), CFP2 (100 GE), QSFP28 (100 GE)
FG-60E-DSL/FWF-60E-DSL - Internal ADSL2/2+ and VDSL2 (Annex A/M) modem, SFP28 (25GE/10GE)
10/100/1000Base-T RJ45, 1000Base-F SFP, 10GBase-F SFP+, 40G QSFP+, 100/25G QSFP28, RJ45 Console, Mini-USB Console, Type-C USB Console, LOM 100/1000/10G RJ45, 1G/10G SFP/ SFP+, 40G/100G QSFP28, 10/100/1000 out-of-band management RJ45, Console port RJ45, Mini-USB Console 10/100/1000BASE-T RJ45, 1G SFP, 10G SFP+ 1GbE RJ45, 1GbE SFP+, 10GbE SFP+, 10GbE FO
Поддерживаемые логические интерфейсы VLAN, VXLAN Alias, VLAN, Bond, Bridge, Loopback, 6in4 tunnel, PPPoE Link Aggregation, Loopback, VLANs (802.1Q and Trunking), VLAN, VXLAN, EMAC-VLAN, Virtual Wire Pair, Redundant, Tunnel (IPSec Tunnel/IPSec Aggregate, GRE, IP-IP, SSL VPN, SSID/CAPWAP) L1, L2, L3, Subinterface, SPAN, Loopback, SVI, VBDIF, Tunnel (IPSEC/GRE/IP-IP/SSL) L1, L2, L3, Subinterface, SPAN, Loopback, Link Aggregation VLAN, Bonding, Bridging, Loopback VLAN, Bonding, Bridging, PPPoE, VPN
Используемая операционная система Собственная операционная система на основе CentOS Собственная операционная система Gaia (на ядре Red Hat Enterprise Linux 5) Собственная операционная система FortiOS Собственная операционная система VRP8 (специализированная сборка Linux) Собственная операционная система PAN-OS Собственная операционная система ContinentOS (специализированная сборка Linux) Собственная операционная система UGOS (специализированная сборка Linux)
Модули решения МСЭ нового поколения, система обнаружения и предотвращения вторжений, защита от вредоносных программ, анализ угроз, фильтрация доступа к ресурсам сети Интернет и др. Firewall, IPSEC, Mobile Access, Application Control, URL Filtering, Identity Awareness, Threat Emulation, Threat Extraction, IPS, Anti-Bot, Anti-Virus, QoS, Monitoring, DLP, Anti-Spam, Compliance, SmartEvent Единая аппаратная платформа или модульное исполнение (шасси). Модули решения: Anti-Malware, IPS&DoS, Application Control, Web Filtering, Firewall, VPN, DLP, Email filtering, SD WAN, Explicit proxy, Device identification, SSL/SSH Inspection, Log&Report, Monitoring , Routing/NAT, L2/Switching, Offline Inspection, ATP, Vulnerability assesment, IOC Detection, Wireless controller, Switch Controller, Cloud&SDN integration, Central management and provisioning Firewall, URL Filtering, песочница, IPS, Anti-Bot, Anti-Virus, QoS, Monitoring, DLP, Anti-Spam, DDoS, Load-Balance, VPN, Application Control, Identity Firewall APP-ID, CONTENT-ID, USER-ID, SSL- и SSH-инспекция, URL-фильтрация, IPS, Anti-spyware, Anti-Virus, песочница, QoS, PBF, DLP, DDoS, External Block Lists, Threat Intelligence, оптимизатор политик NGFW Security Management Server, Firewall (включая улучшенный контроль приложений и защиту от обращений к вредоносным сайтам), L2VPN,
L3VPN, IPS, сервер доступа, идентификация пользователей, модуль поведенческого анализа
Межсетевой экран, контентная фильтрация, VPN-сервер, IPS/IDPS, Антивирусная защита, защита почтового трафика, защита АСУ ТП, балансировщик, shaper, защита от DoS, Reverse proxy, web-портал (SSL VPN), контроль приложений L7; UserGate Log Analyzer - внешний сервер сбора и анализа журналов; UserGate Central Console - внешний сервер центрального управления удаленными устройствами UserGate.
Поддержка развёртывания в публичном облаке Да, Amazon AWS, Microsoft Azure Да, Amazon AWS, Microsoft Azure, Google Cloud, Oracle Cloud, Alibaba Cloud, IBM Cloud Да, Amazon AWS (включая GovCloud и AWS China), VMware Cloud на AWS, Microsoft Azure (включая US Gov, Germany и China) и AzureStack syndication, Google GCP (Google Cloud Platform), Oracle OCI, Alibaba Cloud (AliCloud) Да, Huawei Cloud Да, Amazon AWS, Microsoft Azure, vCloud Air, Google Cloud, Oracle Cloud, Alibaba Cloud Нет Да, Amazon AWS
Контроль работоспособности Да, отчеты, REST API, уведомления по почте, оперативные уведомления в графическом интерфейсе, SNMP, Syslog, правила корреляции и т.п. Да, WebGui, CLI, Email, REST API, SNMP, bash scripts Да, SNMP, API, SSH (CLI) Да, CLI, WEB, NETCONF, SNMP Да, REST API, SNMP, плагин Chrome, приложение Splunk, система управления Panorama Да, веб-интерфейс, SNMP, Email Да, SNMP, Email, SMS
Поддерживаемые варианты масштабирования производительности для аппаратного и виртуального исполнения Зависит от профиля трафика. От 650 Мб/с до 168 Гб/с. Поддерживаются технологии ECLB, HA, кластеризация, выстраивание программных сервисных цепочек, внешние и инфраструктурные балансировщики Масштабирование при помощи Maestro Orchestrator Технологии масштабирования FortiGate Session Life Support Protocol (FGSP), FortiGate Clustering Protocol (FGCP), Session-aware Load Balancing Cluster (SLBC), Virtual Router Redundancy Protocol (VRRP), Enhanced Load Balancing Clustering (ELBC) Аппаратно - до 2 Тбит/с, виртуально - до 80 Гбит/с Модельный ряд поддерживает скорости до 1 Тб/с с APP-ID. Шасси масштабируются за счет дополнительных сетевых модулей, каждый из которых дает 20 Гбит/с с APP-ID.
Виртуальные NGFW масштабируются путем изменения лицензирования - увеличение вычислительных ресурсов до 16 Гбит/с c APP-ID.
Подключение аппаратного криптоускорителя для старшей платформы (IPC-3000F) Виртуальные платформы масштабируются путем лицензирования - увеличение вычислительных ресурсов. Active-Active кластеризация для всех типов платформ
Реализация аппаратного ускорения (если применимо) Да, регулярные выражения (для МСЭ и СОВ) и криптографические функции (для VPN и обработки SSL) Да, аппаратные модули ускорения Falcon. Ускорение пропускной способности Firewall-only, VSX, QoS, HTTPS Inspection, Antivirus Deep Inspection Да, специализированные аппаратные модули ускорения SPU (SoC, NP, CP, DP) Да, платформа выполнена с использованием архитектуры ARM или ускорителей FPGA + x86 Да, платформа выполнена с использованием ускорителей FPGA + ASIC + x86 компонентной базы Management Plane в каждом. NGFW разделен - работает на своих процессорах, памяти и дисках Да, криптоускоритель для VPN ГОСТ (производительность до 20 Гбит/с, задержки при обработке трафика около 50 микросекунд) Нет

 

Функции межсетевого экранирования в NGFW/USG

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
Статическая трансляция сетевых адресов SNAT (Static Network Address Translation) Да Да Да Да Да Да Да
Динамическая трансляция сетевых адресов DNAT (Dynamic Network Address Translation) Да Да Да Да Да Да Да
Варианты поддержки трансляции сетевых адресов Static NAT, dynamic NAT, PAT, NAT64, PAT64, policy-based NAT/PAT, Carrier Grade NAT, dual NAT и т.п. Static NAT, Hide NAT, NAT64 NAT64, NAT46, static NAT, dynamic NAT, PAT, Full Cone NAT, STUN, CGNAT Source IP address based NAT, Destination IP address based NAT, NAT No-PAT, NAPT, Easy IP, Smart NAT, Bidirectional NAT, NAT ALG, NAT444, DS-Lite, NAT64, NAT66(2019.7), IPv4 over IPv6, IPv6 over IPv4 Static NAT (IPv4/IPv6), Dynamic NAT (IPv4,IPv6), NAT64, IPv6 NPTv6 (Network Prefix Translation) Source NAT, Destination DNAT, Hide NAT, Dynamic NAT Трансляция портов NAT с PAT, Persistent NAT, NAT64, двойной NAT, PBR
Поддержка технологии SPI (Stateful Packet Inspection) Да Да Да Да Да Да Да
Политики контроля по зонам Да Да Да Да Да Нет Да
Политики контроля на основе интерфейсов Да Да Да Да Да, при условии создания зоны безопасности для интерфейса Да Нет
Управление полосой пропускания Да Да Да Да Да Да Да
Двунаправленная поддержка DSCP Да Да Да Да Да Нет Да
Поддержка IEEE 802.1p Нет Да Да Да Да Нет Да
Поддержка политик на основе identity (user-based политики) Да Да Да Да Да Да Да
Многоадресная передача (Multicast) Да, IGMP v2 и v3, PIM-SM, PIM Boostrap Router, Stub Multicast Routing Да, IGMP v2 и v3, PIM-SM, PIM-SSM, PIM-DM Да, PIM-SM/DM/SSM, IGMP v1/2/3, MLD, BSR (Boot Start Router) Да, IGMP v2 и v3, PIM-SM, PIM-SSM, PIM-DM Да, IP multicast, PIM-SM, PIM-SSM, IGMP v1, v2, v3 (только IPv4) Нет Нет
Качество обслуживания (QoS) Да Да Да Да Да Да Да

 

Создание виртуальных частных сетей VPN

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
IPsec VPN (клиентский VPN) Да Да Да Да Да Используется собственный стек протоколов Да
Поддержка конфигурации site-to site VPN - Route-based IPsec tunnel Да Да Да Да Да Используется собственный стек протоколов Да
Поддержка конфигурации site-to site VPN - Policy-based IPsec tunnel Да Да Да Да Да Используется собственный стек протоколов Да
IPsec VPN client Да, Windows, Linux, macOS, Android Да, Windows, Linux, macOS Да, поддержка встроенных в ОС VPN-клиентов (Windows, macOS, Android), например, Windows 7 и выше (Embedded IKEv2 VPN Client) Да, бесплатный SecoClient для Windows, macOS и Linux Да, бесплатный клиент GlobalProtect для Windows, macOS, Android, iOS Используется собственный стек протоколов. Доступно на Windows, Linux, Android, iOS Да, поддержка встроенных VPN-клиентов в Microsoft Windows 7 и выше, Linux, macOS, Android, iOS
IPsec VPN с поддержкой ГОСТ Нет Да Нет Нет Нет Используется собственный стек протоколов Нет
Алгоритмы шифрования AES, DES, 3DES NSA Suite-A, Suite-B DES, 3DES, AES128, AES192, AES256, NULL, AES128GCM, AES256GCM, CHACHA20POLY1305, ARIA128, ARIA192, ARIA256 и SEED DES, 3DES, AES-128, AES-192, AES-256, SM1, SM4 DES, 3DES, AES-128-CBC, AES-192-CBC, AES-256-CBC, AES-128-CCM, AES-128-GCM, AES-256-GCM и др. Собственный стек протоколов с шифрованием по ГОСТ 28147-89, ГОСТ Р 34.10-2012, в разработке поддержка алгоритма "Кузнечик" ГОСТ Р 34.12-2015 AES-128, AES-256, 3DES
Алгоритмы хеширования MD5, SHA-1, SHA-256, SHA-384, SHA-512 AES-XCBC, MD5, SHA-1, SHA-256, SHA-384 MD5, SHA-1, SHA-256, SHA-384, SHA-512, NULL AES-XCBC, MD5, SHA-96, SHA-256, SHA-384, SHA-512 MD5, SHA, SHA-256, SHA-384, SHA-512 ГОСТ Р 34.11-2012 MD5, SHA-1, SHA-256
Поддержка протокола Internet Key Exchange Да, IKE v1, IKE v2 Да, IKE v1, IKE v2 Да, IKE v1, IKE v2 Да, IKE v1, IKE v2 Да, IKE v1, IKE v2 Нет Да, IKE v2
Поддержка протокола L2TP Нет Да Да Да Нет Нет Да
Поддержка протокола PPTP Нет Да Да Нет Нет Нет Нет
Собственная реализация VPN-туннеля Нет Нет Нет Да, собственный VPN-клиент SecoClient (SSL VPN, L2TP VPN и L2TP over IPsec VPN) Да, GlobalProtect VPN Client передает Host Information Profile для проверки на NGFW Континент-АП для собственного стека протоколов Своя реализация стандартного L2TP IPsec. Поддерживается работа встроенных VPN-клиентов в Microsoft Windows 7 и выше, Linux, macOS, Android, iOS
SSL VPN (бесклиентский VPN) Да Да Да Да Да Да, отдельный продукт Континент TLS Да
SSL VPN client Да, Windows, Linux, macOS, Android, iOS Да, Windows, Linux, macOS Да, Windows, Linux, macOS, Android, iOS Да Да, бесплатный клиент GlobalProtect для Windows, macOS, Android, iOS Да, отдельный продукт Континент TLS Да, Windows, Linux, macOS, Android, iOS
ГОСТ SSL VPN Нет Да Нет Нет Нет Да, отдельный продукт Континент TLS Нет
SSL VPN-портал (публикуемые приложения) Нет Да Да Да Да, RDP Да, отдельный продукт Континент TLS Да, HTTP/HTTPS, SSH, RDP

 

Поддержка сетевых сервисов

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
Туннелирование трафика (Tunneling) IPsec site-to-site VPN, SSL VPN IPsec site-to-site VPN, SSL VPN L2TP, L2TP over IPsec, PPTP, GRE, GRE over IPsec, SSL VPN, VXLAN, IP-IP, IP-IP over IPsec, VXLAN over IPsec, SIT (IPv6 over IPv4), IPv6 Tunnel (IPv4 over IPv6), Mobile Tunnel (NEMO), GTP v1/v2 (FortiCarrier), ADVPN IPsec, SSL, GRE, MPLS, VXLAN IPsec site-to-site, IPsec client-to-site, LSVPN, SSL client-to-site, GRE, GTP, VXLAN, Cisco SGT, HTTP/2, 802.1q VLAN tagging IPsec site-to-site VPN, SSL VPN, L2TP, VLAN tagging
Маршрутизация (Routing) Да Да Да Да Да Да Да
Статическая маршрутизация Да, многоадресная маршрутизация IPv4 и IPv6, контроль доступности Да, многоадресная маршрутизация IPv4 и IPv6 Да, многоадресная маршрутизация IPv4 и IPv6 Да, многоадресная маршрутизация IPv4 и IPv6 Да, многоадресная маршрутизация IPv4 и IPv6 Да, IPv4 Да, IPv4
Динамическая маршрутизация Да, IPv4, IPv6, BGP, BGP Stub, OSPF, IS-IS, EIGRP, PIM-SM Да, RIP и RIPng, OSPF и OSPFv3, BGP, IGMP, PIMv4/PIMv6 Да, RIP v1 and v2, OSPF v2 and v3, ISIS, BGP4, RIPng Да, RIP и RIPng, OSPF и OSPFv3, BGP для IPv4/IPv6, MP-BGP, IGMP, EVPN, L3 VPN Да, OSPF v2/v3 with graceful restart, BGP with graceful restart, RIP Да, OSPF, BGP Да, OSPF, BGP
Маршрутизация на основе политик Да Да Да Да Да Нет Да
Поддержка функции выделения в контексте устройства логических устройств – виртуальных маршрутизаторов Да Да, виртуальные системы (VSX) Да Да Да Нет Нет, в разработке. Будет доступен в следующих обновлениях
Маршрутизация трафика различных приложений по различным маршрутам передачи данных Да Нет Да Да Да Нет Да
Маршрутизация трафика различных URL-запросов по различным маршрутам передачи данных Нет Нет Да Да Нет Нет Нет
Layer 4 load balancing Нет Да Да Да Да Нет Да
Layer 7 load balancing Нет Да Да Да Да Нет Да
Поддержка функций VoIP Да, CTIQBE, H.323, MGCP, RTSP, SIP, Skinny (SCCP), STUN Да, SIP, SCCP, H.323, MGCP Да, SIP/H.323 /SCCP NAT traversal, RTP pin holing Да, SIP, SCCP, H.323, MGCP Да, SIP, SCCP, H.323, H.225, H.248, MGCP, RTP, RTSP, UNIStim Нет Да, SIP, SCCP, H.323

 

Функции прокси (Proxy)

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
DNS-прокси Да Нет, прозрачная инспекция и DNS Trap Да Да Да Нет Да
HTTP-прокси Нет Да, HTTP 1.1, HTTP 2.0, HTTPS Да, Explicit HTTP и HTTPS, FTP over HTTP, SOCKS, прозрачный веб-прокси Да, HTTP 1.1, HTTP 2.0, HTTPS Нет, потоковый анализ HTTP(S) Нет Да, HTTP, HTTPS
SMTP-шлюз Нет Нет, Mail transfer agent (MTA) Нет, FortiMail в роли MTA Да Нет, потоковый анализ SMTP(S) Нет Да, SMTP-прокси
Поддержка ICAP Да Да Да Нет, в разработке Нет, но есть альтернатива в виде брокера Decryption Broker Нет Да, reqmod, respmod, поддержка кластеров ICAP, отправка трафика по правилам
Поддержка кеширования Нет Нет Да Да Нет Нет Да
Поддержка прозрачного режима работы Да Да Да Да Да Нет Да
Поддержка работы X-forward IP Да Да Да Да Да, поддерживается логирование X-Forwarded-For (для URL-фильтрации), использование X-Forwarded-For в качестве User-ID, сброс X-Forwarded-For из HTTP-заголовка Нет Да
Поддержка технологии обратного прокси (Reverse proxy) Нет Да Да Да Нет, предполагается наличие в сети внешнего балансировщика HTTP(S) или SaaS-прокси Нет Да
Поддержка DHCP relay Да Да Да Да Да Да Да

 

Основные функции NGFW 

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
Поддержка глубокого пакетного анализа (Deep packet inspection, DPI) Да Да Да Да Да, поддерживается анализ трафика внутри туннелей GRE, GTP, VXLAN, 802.1q, Cisco SGT, анализируется HTTP/2, трафик медицинских сетей, ICS/SCADA, IoT, CIoT и др. Да Да
Поддержка расшифрования входящего и исходящего трафика по протоколу SSL/TLS Да, HTTPS Inspection Да, HTTPS Inspection Да, MITM Да, MITM Да, поддержка двух методов: SSL Forward-Proxy и SSL Inbound Inspection Да, MITM Да, MITM. Применение согласно политикам дешифрования
Поддержка формирования исключений из инспекции трафика SSL/TLS Да, по IP, URL, категориям и т.п. Да, по категориям Да, по категориям, по IPv4 и IPv6-адресам, по FQDN, по URL, URI (+Regular Expressions) Да, по категориям, по IPv4 и IPv6-адресам, по FQDN, по URL Да, по категориям сайтов, по URL, по IP, по пользователям и пользовательским группам, проверка отозванных ключей по OCSP, исключение двойного MITM. Встроенный готовый список исключений для приложений, не поддерживающих SSL Decrypt MITM Да, по IP Да, по категориям, по URL, по IP, по пользователям и группам
Возможность расшифрования протокола TLS 1.2 Да Да Да Да Да Да Да
Возможность расшифрования протокола TLS 1.3 Нет, принудительный переход на TLS 1.2 Нет, в разработке Да Нет, в разработке, принудительный переход на TLS 1.2 Нет, в разработке, принудительный переход на TLS 1.2 Нет Да
Возможность расшифрования протокола SSH Нет Да Да Да Да Нет Нет
Поддержка поведенческого анализа Да, в модуле AVС Да, в модуле Anti-Bot Да, в модулях Application control, Web filtering, IPS and DoS Да, в модулях IPS, AV, APT Да, zone protection, корреляционные правила, правила для бот-сетей Да, модуль поведенческого анализа Да, сценарии для автоматизированной реакции системы на нестандартное поведение
Встроенная корреляция событий Да, Firepower Management Center Да, SmartEvent Да, FortiView Да, Huawei Monitoring System Да, Palo Alto Networks Automated Correlation Engine Нет Да, через сценарии реагирования
Система обнаружения / предотвращения вторжений (IDS/IPS) Да, модуль IPS/IDS Да, модуль IPS с собственными сигнатурами Да, модуль IPS/IDS Да, модуль IPS/IDS Да, используется единый модуль для обнаружения приложений, IPS и антивируса Да, модуль IPS с собственными сигнатурами Да, модуль IPS с собственными сигнатурами
Поддержка формирования исключений для сигнатур Да Да Да Да Да Да, реализован список правил, позволяющий использовать / не использовать IPS в каждом конкретном правиле фильтрации. Для каждого шлюза безопасности может устанавливаться индивидуальный профиль сигнатур Да, через список правил, позволяющий указывать тип трафика для проверки и применяемый к нему профиль IPS/IDPS
Поддержка написания собственных сигнатур Да, в формате SNORT Да, в формате SNORT и индикаторы по REST API Да Да Да, импорт в формате SNORT, Professional Service по написанию сигнатур приложений Да, в формате Suricata Да
Поддержка возможности индивидуализации сигнатур Да Да, для настраиваемых сигнатур Да Да Да Да Нет, в разработке
Поддержка набора IPS-сигнатур для SCADA Да Да, DNP3, OPC, IEC-104, MODBUS и др. Да Да Да Да Да
Поддержка возможности импорта сторонних сигнатур Да, в формате SNORT Да, в формате SNORT Да, в формате SNORT Да, в формате SNORT Да, в формате SNORT Да, в формате Suricata Да, через службу технической поддержки
Поддержка автоматического сбора дампа трафика при срабатывании сигнатуры для последующего анализа Да Да Да Да Да, хранится в журнале событий Да Нет, в разработке
Поддержка автоматического применения новых сигнатур после обновления Да Да Да Да Да Да Да
Поддержка уведомлений, отправка отчетов Да Да, SmartEvent Да Да Да Да Да
Противодействие известным методам обхода сигнатурного анализа Да, препроцессоры обработки транспортных и прикладных протоколов, нормализация, декодирование и т.п. Да, нормализация трафика, настройки Anti-Evasion Да, IP Packet Fragmentation/TCP Segmentation, RPC Fragmentation, URL Obfuscation, FTP / Telnet Evasion, HTTP Evasions, HTML Evasions, TCP Split Handshake, Resiliency, Attacks on nonstandard ports Да, IDS Avoidance Да Да, IP Packet Fragmentation, Tunnel decoding, Stream Segmentation, URL Obfuscation, HTML Obfuscation, Protocol-level Misinterpretation Да, нормализация HTTP / HTTPS трафика. Возможность блокировки фрагментированных пакетов (включена по умолчанию), защита от VPN over DNS, блокирование туннелей Teredo, IP6-IP4, IP4-IP6
Контроль приложений (Application Control) Да, модуль Cisco Application Visibility and Control Да, модуль Application Control Да, модуль Application Control Да, модуль Huawei Smart Application Control Да, единый модуль для анализа приложений, атак и вредоносного кода Да, модуль "Расширенный контроль приложений" Да, модуль L7
Контроль доступа (блокирование / разрешение, отслеживание) на основе распознаваемых сетевых приложений Да, тысячи приложений и десятки тысяч микроприложений, возможность добавления своих приложений через OpenAppID Да, более 8000 приложений Да, более 3000 приложений да, более 6000 приложений Да, 3145 приложений Да, распознается более 2600 приложений VoIP, социальных сетей, файлообмена, видеотрансляций, корпоративных инфокоммуникационных систем Да, определение приложений в транзитном трафике, блокирование известных приложений, блокирование всех неизвестных приложений
Возможность блокирования нераспознанных приложений Да Да Да Да Да, позволяет следовать политике Zero Trust в разрешении доступа сотрудников в сеть Да, возможно заблокировать правилом все неизвестные приложения Да
Возможность контроля доступа по категориям / группам приложений Да Да Да Да Да, можно создавать свои группы Да Да
Обнаружение протоколов на нестандартных портах Да Да, для HTTP, HTTPS Да Да Да, возможно разрешить одним правилом работу приложений только по их стандартным портам Да Да, для HTTP, HTTPS
Наличие открытой базы приложений Да Да, Check Point ThreatWiki Да Да Да, портал Applipedia Да Нет
Обнаружение российских приложений Да, ВКонтакте, Яндекс, Одноклассники и др. Да, Mail.ru, Яндекс, 1C Bitrix и др. Да, Mail.ru, Яндекс, ВКонтакте, Telegram и др. Да, 1C Bitrix, Telegram, Mail.ru, Яндекс.Диск, ВКонтакте и др. Да, 1C Bitrix, Telegram, Антивирус Касперского, Mail.ru, Яндекс.Диск, ВКонтакте, Одноклассники, VIPNET и др. Да, Яндекс, Одноклассники, ВКонтакте, Mail.ru, Rutube, Почта России и др. Да, 1C Bitrix, ВКонтакте, Одноклассники, Mail.ru Агент, Яндекс, Avito, Кинопоиск, Lenta.ru, Pikabu, Gismeteo, Госуслуги, Studfiles, Сбербанк, hh.ru, Rutube, Едадил и др.
Создание сигнатур собственных приложений L7 Да, через плагин OpenAppID Да, самостоятельно с помощью бесплатной утилиты Check Point Signature Tool (для Windows) или по запросу Да, через Web GUI или CLI, используя специальный синтаксис Да, через консоль управления Да, через консоль управления Да, через обращение к вендору Да, через обращение к вендору
Защита от DDoS-атак Да, возможность установки модуля vDP Radware для Firepower 4100/9300 Да, специализированное решение Check Point DDoS Protector Да Да Да, встроенная защита от IP-спуфинга, SYN-флуда, UDP, ICMP, защита серверов ЦОД от нагрузки по числу соединений и других видов атак Да, обнаружение small packet MTU, DNS mismatch, DNS reply mismatch, SYN flood, SMURF, FIN/RST flood, FRAGGLE attack, LAND-attack Обнаружение и защита от SYN-, UDP-, ICMP-флуда, защита приложений от превышения сессий
Антивирусная защита (Anti-virus) Да, Cisco AMP Да, движок Kaspersky или BitDefender Да, собственная лаборатория по разработке антивирусного движка Да, Huawei AV Да, собственная лаборатория UNIT42 по разработке антивирусного движка Защита от вирусов осуществляется путем запрета доступа к URL-адресам с низкой репутацией (Malicious URL block) Да, собственный и Kaspersky
Поддерживаемые протоколы для антивирусной проверки HTTP(S), SMTP, IMAP, POP3, FTP, SMB HTTP(S), FTP, SMTP, SMB HTTP(S), SMTP(S), POP3(S), IMAP(S), MAPI, FTP(S), IM HTTP(S), FTP(S), SMTP(S), SMB(S), POP3(S), IMAP(S) HTTP(S), HTTP/2, FTP(S), SMTP(S), POP3(S), IMAP(S), SMB Нет HTTP(S), SMTP, POP3
Возможность анализа содержимого архивных файлов Да, ZIP, RAR, TAR и другие, используя автоматизированный анализ или технологию Glovebox JAR, ARJ, ARC, ACE, 7Z, LBR, RAR, TAR, SHAR, ZOO, ZIP 7Z, ACE, APK, APP, ARJ, BAT, BZ2, CAB, DMG, GZ, ISO, JAR, LZH, MSI, RAR, TAR, TGZ, Z, ZIP ZIP, RAR, 7Z, JAR, ACE, CAB и др. 7Z, RAR, ZIP, APK, APP, CAB, DMG, GZ, ISO, JAR, MSI, TAR, TGZ Нет Поддерживаются все основные форматы, более 6 тыс. версий
Возможность блокировки передачи определенных типов файлов Да Да Да Да Да Нет Да
Антибот-защита (Anti-bot) Да, Talos для всех модулей, включая AVC, IPS/IDS, фильтрацию HTTP/HTTPS, AMP Да, модуль Anti-Bot Да, функция в модуле АV Да, через модуль IPS Да, через модуль IPS, защиту DNS, антивирусный модуль, механизм корреляции Да, запрет доступа к известным командным серверам на основе данных Kaspersky Feed Да, запрет доступа к известным командным серверам в настройках межсетевого экранирования
Поддерживаемые методы детектирования и блокировки бот-зараженных машин Обнаружение ботов по аналитике Talos, профилю трафика, корреляции событий. Блокирование соединений, в т.ч. на других МСЭ и маршрутизаторах, микросегментация с использованием Cisco ISE и т.п. По репутации командных серверов (C&C), по сигнатурам в трафике, предсказание новых C&C путем анализа известных Domain Generation Algorithm (DGA), DNS Trap По репутации C&C. Блокирование DDoS-атак от известных зараженных серверов По репутации C&C, по сигнатурам в трафике, DNS Trap По индикаторам компрометации IP, по репутации C&C, по срабатыванию DNS Security, корреляционных и поведенческих правил, по обнаружению сигнатуры подключения в IPS или Anti-Spyware. Автоблокирование по тегам IP-адресов По репутации C&C По репутации C&C
Блокировка взаимодействия бот-сети с командными серверами (C&C) Да Да Да Да Да Да Да
Анализ и подмена вредоносных DNS-запросов к системам управления бот-сетями (фильтрация DNS-запросов) Да Да Да Да Да, DNS Sinkholing Нет Да
Защита почтового трафика (безопасность почты, антиспам) Нет Да, модуль Anti-Spam Да, модуль Email Filtering Да, модуль Mail Filtering Да, механизм EDL Нет Да, модуль защиты почтового трафика
Поддержка собственной базы или интеграции с партнерами Нет Да, собственная база Да, собственная база Да, собственная база Да, внешняя база RBL Нет Да, собственная база и DNSBL
Фильтрация и анализ почтового трафика SMTP, POP3, IMAP Нет Да, MTA Да Да Да Нет Да
Проверка ссылок в теле письма Нет Да, по репутации, эмуляция файлов по ссылкам в песочнице Да Да Да, проверка в песочнице WildFire Нет Да
Поддержка проверки вложенных файлов и архивов Нет Да, проверка антивирусом, в песочнице, проактивная очистка/конвертация (Threat Extraction) Да Да Да, проверка в песочнице WildFire Нет Да
Поддерживаемые механизмы идентификации спама Нет По репутации SMTP-заголовков и ссылок в теле письма, лингвистический анализ Белый и черный списки IP-адресов, DNS-проверка отправителя Нет По спискам спамеров, механизм External Dynamic Lists (EDL) Нет DNSBL, антиспам UserGate
Поддержка блокировки скачивания по типам файлов Нет Да Да Да Да Нет Да
Веб-фильтрация Да, HTTP/HTTPS-фильтрация Да, модуль URL Filtering Да, модуль Web Filtering Да, модуль URL Filtering Да, модуль URL Filtering Только запрет доступа к опасным ресурсам на основе данных Kaspersky Feed Да, модуль контентной фильтрации
Cигнатуры веб-фильтрации Собственные (Talos) и сторонние (Brightcloud) Собственные Собственная база, поддержка сторонних источников, статических фильтров Собственные Собственные, постоянное обновление Сторонние, Kaspersky URL reputation feed Собственные, постоянное обновление
Категории URL-адресов Более 80 категорий. Возможность добавления собственных категорий и внешних фидов, определяемых заказчиком 114 категорий 78 категорий, 70 языков 138 категорий 75 категорий, каждый URL может иметь четыре категории и три степени риска Нет 72 категории
Поддержка создания черных и белых списков URL-адресов Да Да Да Да Да, также возможно подгружать готовые списки из внешних источников, например, от Роскомнадзора и ФинЦЕРТ Да, администратор может создать черные списки URL-адресов Да
Поддержка создания своих категорий Да Да Да Да Да Нет Да
Поддержка фильтрации по репутации домена, IP Да Да Да Да Да Да Да
Поддержка возможности блокировки по произвольному списку URL и IP Да Да Да Да Да, в т.ч. по DNS, по динамической группе на основе тегов Да, администратор может создать черные списки URL-адресов Да
Поддержка фильтрации с учетом встроенных URL (Embedded URL) Да Да Да Да Да Нет Да
Обнаружение утечек информации (DLP) Нет Да, модуль DLP Да, модуль DLP Да, модуль DLP Да, модуль Data Filtering Нет Нет
Собственная встроенная функциональность DLP Нет Да Да Да Да Нет Нет
Интеграция с внешними DLP-системами Нет Да, ICAP Да, ICAP Нет Да, Infowatch Traffic Monitor Нет Да, ICAP
Поддерживаемые методы детектирования конфиденциальных данных Нет Цифровые отпечатки, регулярные выражения и словари Формальные признаки, цифровые метки, цифровые отпечатки, регулярные выражения Нет Формальные признаки, регулярные выражения, статистика Нет Нет
Используемые способы категоризации / классификации Нет Использование и пополнение базы из 800+ готовых паттернов конфиденциальных данных (MS AD, PCI DSS, HIPAA и т.д.); возможность сканирования сетевых папок с файлами для формирования базы отпечатков файлов По готовым шаблонам, цифровым отпечаткам и регулярным выражениям Нет Готовые шаблоны, парсер заголовков приложений и создание шаблонов на базе REGEX Нет Нет
Поддерживаемые типы файлов для анализа Нет Более 800 типов файлов Более 60 типов файлов 7Z, BAT, BMP, BZIP2, CAB, CHM, CLASS, DOC, DOCX, DPS, EML, ET, GIF, GZ, HLP, HTML, JAR, JPG, JS, MHT, MSI, PDF, PE32, PNG, PPT, PPTX, RAR, RTF, SWF, TAR, TIF, VBS, WPS, XLS, XLSX, ZIP Любые типы файлов, которые идут в открытом виде или внутри SSL Нет Нет
Поддержка сетевых протоколов Нет Да, HTTP(S), TLS, SMTP, FTP Да, HTTP(S)-POST, HTTP(S)-GET, SMTP(S), POP3(S), IMAP(S), MAPI, FTP(S), NNTP Да, HTTP, FTP, SMTP, POP3, NFS, SMB, IMAP, RTMPT Да, HTTP(S), HTTP2, FTP(S), POP3(S), IMAP(S), SMTP, POP3(S) и др. Нет Нет
Поддержка режима блокировки / логирования Нет Да Да, существует возможность архивирования файлов на внешний FortiAnalyzer Да Да, блокирование и логирование Нет Нет
Threat Intelligence Да, Cisco Talos, поддержка внешних фидов по STIX/TAXII Да, ThreatCloud, магазин внешних фидов, REST API для импорта сторонних IoC в формате STIX/TAXII, импорт собственных YARA-правил для анализа файлов в песочнице Да, список доменов, список IP, хеши вредоносных программ, а также STIX/TAXII с использованием сервисов FortiGuard TIS Да, WeiRan Lab, поддержка внешних фидов Да, собственные и дополнительные фиды через Autofocus, возможность импорта с помощью приложения MineMeld Нет Да, модуль ATP (Advanced Threat Protection), наличие собственной базы Threat Intelligence
Песочница (Sandbox) Да Да, Threat Emulation Да Да Да, WildFire Нет Нет
Поддержка собственной песочницы Да Да Да Да Да Нет Нет
Интеграция со сторонними песочницами Нет Да, при помощи ICAP Да, при помощи ICAP Нет Да, при помощи SSL Decrypt Mirror, EDL или REST API Нет Да, при помощи ICAP
Поддерживаемые варианты исполнения Облачная и локальная Облачная, локальная и гибридная Облачная и локальная Облачная и локальная Облачная и локальная Нет Нет
Поддерживаемые операционные системы Windows 7, 10 Windows XP, 7, 8.1, 10 Windows XP, 7, 8.1, 10, macOS, Linux и Android, а также custom images (включая Windows Server) Windows XP, 7, 8.1, 10, Linux Windows XP 32-bit, Windows 7 32 / 64-bit, Windows 10 64-bit, macOS X, Android, Linux Нет Нет
Поддержка технологий определения попыток обхода песочницы Да Да, CPU-Level Emulation и технологии Anti-Evasion Да Да Да, собственная версия гипервизора, анализ на реальных компьютерах без виртуализации, эмуляция сети Интернет для вредоносного кода Нет Нет
Поддержка балансировки нагрузки между несколькими песочницами Да Да Да Да, кластер песочниц Да, также балансировка между собственной и облачной Нет Нет
Поддержка протоколов, из которых возможна отправка файлов в песочницу HTTP(S), SMTP, IMAP, POP3, FTP, SMB. Любые файлы по REST API HTTP(S), FTP, SMTP, SMB HTTP(S), SMTP(S), POP3(S), IMAP(S), MAPI, FTP(S), IM HTTP, SMTP, POP3, NFS, SMB, IMAP, RTMPT HTTP(S), SMTP(S), IMAP(S), POP3(S) Нет Нет
Поддерживаемые типы файлов BAT, XZ, BZ, GZ, HWP, HWT, HWPX, HTA, JTD, JTT, JTDC, JTTC, MSI, JAR, JS, JSE, MHTML, MSCHM, MSEXE 32/64bit-PE32, MSOLE2, MSXML (DOCX, .XLSX, .PPTX), PDF, PS1, VBN, SEP, RTF, SWF, TAR, TGZ, VBS, VBE, WSF, ZIP, URLs, Unknown file type EXE, DOC, DOCX, XLS, XLSX, PDF, PPT, PPTX, TGZ, ISO, BAT, PIF, GZ, BZ2, TBZ2, TB2, TBZ, COM, XZ, ZIP, CPL, PS1, RAR, 7Z, SLK, RTF, DOT, IQY, DOCM, DOTX, DOTM, XLT, TAR, O, DYLIB, APP, DMG, XLM, PKG, XLTX, DLL, LNK, XLSM, UUE, XLTM, MSG, XLSB, XLA, XLAM, XLL, XLW, PPS, PPTM, POTX, POTM, PPAM, PPSX, PPSM, SLDX, SLDM, CSV, SCR, SWF, HWP, JAR, CAB 7Z, ACE, APK, APP, ARJ, BAT, BZ2, CAB, CMD, DLL, DMG, DOC, DOCM, DOCX, DOT, DOTM, DOTX, EML, EXE, GZ, HTM, HTML, IQY, ISO, JAR, JS, KGB, LNK, LZH, MACH-O, MSI, PDF, POT, POTM, POTX, PPAM, PPS, PPSM, PPSX, PPT, PPTM, PPTX, PS1, RAR, RTF, SLDM, SLDX, SWF, TAR, TGZ, UPX, URL, VBS, WEBLINK, WSF, XLAM, XLS, XLSB, XLSM, XLSX, XLT, XLTM, XLTX, XZ, Z, ZIP, пользовательские типы 7Z, BAT, BMP, BZIP2, CAB, CHM, CLASS, DOC, DOCX, DPS, EML, ET, GIF, GZ, HLP, HTML, JAR, JPG, JS, MHT, MSI, PDF, PE32, PNG, PPT, PPTX, RAR, RTF, SWF, TAR, TIF, VBS, WPS, XLS, XLSX, ZIP APK, SWF, JAR, MS-OFFICE, WINDOWS PE, DEX, BAT, PDF, DMG, EMAIL-LINK, ARCHIVE, LINUX ELF, скрипты, размер файлов до 50 мегабайт Нет Нет

 

Дополнительные функции NGFW

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
Поддержка функций программно определяемых глобальных сетей (SD-WAN) Нет Нет, но возможно с помощью решения Network Security as a Service Да Нет Да Нет Нет
Маршрутизация трафика различных приложений, определяемых интеллектуальным методом на базе сигнатур и поведенческого анализа, по различным маршрутам передачи данных Да, через систему корреляции событий и REST API Нет Да Да Да, поддерживается Policy Based Routing на базе L7-приложений Нет Нет
Пассивный мониторинг параметров (задержка, джиттер, потери пакетов) тракта передачи трафика для отдельных прикладных приложений Нет Нет Да Нет Да Нет Нет
Автоматическое перенаправление трафика приложения в случае, если параметры канала не соответствуют требованиям этого приложения для обеспечения заданного качества его работы Да, только полное переключение на другой канал Нет Да Да Да Нет Да, через функцию Connectivity checker

 

Аутентификация в NGFW/USG

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
Варианты аутентификации Administrative log-ins, S2S VPN, SSL VPN, Network login Administrative log-ins, SSL VPN, IPsec VPN Administrative log-ins, SSL VPN, IPsec VPN Administrative log-ins Administrative log-ins, SSL VPN, IPsec VPN, авторизация пользователей при доступе в интернет, Captive Portal Administrative log-ins, Network log-ins, Site-to-Site VPN Administrative log-ins, Network log-ins, Site-to-site VPN, SSL VPN, IPsec VPN, авторизация пользователей при доступе в интернет
Методы аутентификации X.509, XAUTH, Trustsec и т.п. Практически любой метод при применении Cisco ISE. PSK, X.509 X.509, XAUTH, EAP, RADIUS, электронная цифровая подпись, MAC authentication X.509, EAP SMS, аппаратные токены, Active Directory, сертификаты, логин/пароль, SAML, RADIUS, TACACS+, KERBEROS Сертификат, логин/пароль, EAP, CHAP Логин/пароль, цифровые сертификаты X.509, Active Directory, SAML, RADIUS, TACACS+, Kerberos
Аутентификация пользователей AD, локальная база, Captive Portal и т.п. Расширенный список методов при применении Cisco ISE. Локальная база, AD, LDAP, Security Gateway Password, RADIUS, TACACS, SAA, Captive Portal, Terminal Agent LDAP, Radius and TACACS+,Captive Portal, двухфакторная аутентификация LDAP, LDAPS, RADIUS, TACACS, двухфакторная аутентификация LDAP, TACACS+, RADIUS, двухфакторная аутентификация, Web Form, Client Certificate Authentication Локальная база, LDAPS, Captive Portal LDAP, LDAPS, RADIUS, TACACS +, Captive Portal, авторизация по IP, MAC, IP+MAC, агент авторизации для Windows, агент авторизации терминальных серверов
Поддержка паролей, смарт-карт и токенов Да, RSA Secure ID, DUO и т.п. Да, RSA SecurID, DynamicID One Time Password, OS Password, SecurID One Time Password, SoftID Да, FortiToken (аппаратные и мобильное приложение, облачный сервис), сторонние токены, SMS, e-mail Нет Да, Duo v2, Okta Adaptive, PingID, RSA SecurID Да, поддерживаются токены Аладдин Р.Д., Актив, Esmart Да, любые, позволяющие работать с Internet Explorer
Поддержка SSO Да, Kerberos, NTLM, Trustsec Да, Kerberos Да, FortiClient SSOMA, Kerberos, NTLM, Web Form, Client Certificate Authentication Нет Да, Kerberos, SAML, NTLM Нет Да, Kerberos, NTLM, SAML

 

Высокая доступность и кластеризация NGFW/USG

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
Поддерживаемые режимы кластеризации High Availability (Active/Passive), Load Sharing (Active/Active) High Availability (Active/Passive), Load Sharing Multicast (Active/Active), Load Sharing Unicast (Active/Active), VRRP High Availability (Active/Passive), Load Sharing (Active/Active), балансировка Virtual Domain, VRRP (IPv4/IPv6) Active/Active, Active/Standby High Availability режим Active/Passive и Active/Active с восстановлением сессий вплоть до 7 уровня модели OSI ISO High Availability (Active/Passive) High Availability (Active/Passive), Load Sharing (Active/Active)
Поддерживаемые режимы переключения при сбоях Переключение по контролю доступности устройства, его компонентов и сетевых интерфейсов Failover Active-Active, Active-Passive c синхронизацией сессий Failover или перестроение динамических маршрутов Active/Passive и Active/Active с синхронизацией сессий L4 и L7 Failover, время переключения не более 2 секунд Переключение с активного узла на запасной по проверке работоспособности компонентов, доступности сетей и интерфейсов
Изменение режима работы кластера в ходе использования Да, добавление или отключение устройств Да, опциональный переход на узел с высшим приоритетом, переход между HA и LS Да, не требует перезагрузки Да Да Нет Да
Синхронизация сессий Да, stateful sync - IP, TCP, UDP, HTTP/HTTPS Да, Full Sync (полная синхронизация состояний kernel tables), Delta Sync (обмен только изменениями состояний kernel tables) Да, в режиме stateful - TCP, UDP, ICMP Да, TCP, UDP, ICMP Да, все протоколы вплоть до 7 уровня модели OSI/ISO Да, синхронизация состояния соединений (TCP, UDP, ICMP) Да, TCP, UDP
Мониторинг состояния кластера Да Да, SmartConsole, CLI, snmp trap Да, контроль состояния устройств, сетевых сегментов, удалённых узлов Да, API Check, interface check Да Да Да
Максимальное поддерживаемое количество устройств в кластере 16 на Firepower 4100/9300 31 при помощи Check Point Maestro 4-16 (в зависимости от режима) 16 2 (кластер L7) 2 4 в режиме Active-Active, 2 в режиме Active-Passive, без ограничений в конфигурации Кластер

 

Централизованное управление NGFW/USG

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
Поддерживаемые варианты управления (варианты консоли) Централизованная система управления FMC, локальная система управления FDM, облако CDO, интерфейс командной строки Централизованная система управления Smart Console, CLI, API Веб-консоль, мобильное приложение FortiExplorer, интерфейс командной строки, API Централизованная система управления, SSH, netconf Веб-консоль, интерфейс командной строки, API Configuration Manager, толстый клиент для Windows, веб-консоль для системы централизованного мониторинга Веб-консоль, CLI-консоль, API
Поддержка единого интерфейса для возможности управления системными настройками и настройками функциональности Да Да Да Да Да Да Да
Максимальное количество управляемых шлюзов на один сервер управления До 750 при централизованной системе управления, нет ограничений при облачной системе управления Cisco CDO До 5 000 До 100 000 До 20 000 До 5 000 До 500 Нет ограничений
Поддерживаемые модели управления Однодоменная и многодоменная Многодоменная, SMART LSM Иерархическая модель, глобальные политики, административные домены управления, ролевой доступ Распределенная модель Распределенная (для масштабируемости) и многодоменная Строго централизованная модель Распределенная модель. Управление независимыми областями (уровень предприятия), группировка по географическому и/или функциональному признаку. Возможность оставить ряд полномочий управления локальному администратору
Поддержка отказоустойчивой архитектуры управления Да Да Да, централизованная и децентрализованная архитектура Да Да, NGFW управляется самостоятельно при потере связи с внешней системой управления Panorama Да, добавление резервных ЦУС с инкрементальной синхронизацией БД Да, поддержка кластеризации
Способы масштабирования централизованного управления Выбор соответствующей платформы централизованного управления FMC или использование облачного управления CDO Кластер из серверов управления На уровне узлов управления SecoManager/eSight Policy Center Возможно сделать иерархию систем Panorama, когда несколько лог-коллекторов управляются одним программным менеджером Перенос системы управления на более производительную аппаратную платформу. Вынос подсистемы журналирования на отдельный сервер Через применение паттернов
Поддержка управления доступом на основе ролей Да Да Да Да Да Да Да
Автоматическое оповещение о событиях по электронной почте Да Да Да Да Да Да Да
Поддержка механизма протоколирования действий администраторов Да Да Да Да Да Да Да
Поддержка возврата устройства на предыдущую конфигурацию, версию ПО Да Да Да Нет Да Да Да

 

Мониторинг работы и система отчетности в NGFW/USG

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
Просмотр журналов (логов) Да Да Да, локально с устройства (память, диск), из облака или из системы централизованного управления Да Да Да Да
Экспорт логов Да, Syslog, eStreamer Да, CEF, LEEF, Syslog, generic Да, CEF, Syslog, FortiAnalyzer, text, CSV Да, Binary, Syslog, Netflow Да, Syslog, CEF, CSV, SFTP, SCP Да, Syslog Да, FTP, SSH, Syslog
Срок хранения логов В зависимости от выбранного метода сбора - FMC, CDO, внешний SIEM Не ограничен Не ограничен До заполнения, 1,2 Тб До заполнения, вcтроенный в NGFW диск SSD на 240 Гб, иерархия лог-коллекторов Panorama до 5 000 штук с объемом диска до 78 Гб каждый. Облачное хранилище на основе Google Cloud - без ограничений Не ограничен Не ограничен
Графическое представление различных показателей мониторинга Да Да Да Да Да Да Да
Поддержка мониторинга по SNMP Да Да Да Да Да Да Да
Поддержка NetFlow и IPFIX для выгрузки данных в сторонние системы Да Да, только Netflow 5,9 Да Да Да Нет Да
Поддерживаемые виды отчетов Оперативные отчеты, детальные отчеты, ситуационные, по расписанию и т.п. Собственная система отчетности SmartEvent Гибкий конструктор отчётов, предустановленные шаблоны Гибкий конструктор отчётов, предустановленные шаблоны Гибкий конструктор отчётов, предустановленные шаблоны Система отчетности позволяет создать отчет по сотне различных параметров (топ атак, топ трафика по источнику и назначению, топ регионов и т.д.) Отчеты о системных событиях, системе обнаружения вторжений, сетевой активности, веб-порталу, captive-порталу, трафику, веб-активности
Использование внешних систем отчетности Да, любые SIEM Да, любые SIEM (через Syslog или встроенный коннектор OPSEC LEA) Да, любые SIEM (Syslog и встроенные коннекторы) Да, через SecoManager/CIS Да, любые SIEM, Cortex XDR, системы управления межсетевыми экранами Да, любые SIEM (через Syslog) Да, любые SIEM (через Syslog)
Возможность формирования индивидуально настроенных отчетов Да, любые показатели. Создание шаблонов отчетов Да Да Да Да Да Нет
Поддерживаемые форматы отчетов и каналы передачи Отчеты в форматах PDF, HTML или CSV. Локальное хранение или передача по SMB, NFS, SSH Экспорт из веб-интерфейса в PDF и XLS, отправка по e-mail Отчеты в форматах PDF, RTF, TXT и HTML. Локальное хранение или передача по e-mail, FTP, SFTP, SCP (syslog, text) Экспорт в PDF из веб-интерфейса Отправка по электронной почте и через REST API. Прямое скачивание из веб-интерфейса в формате PDF, CSV, XML Выгрузка отчета через web-интерфейс в формате PDF Формирование отчетов в веб-интерфейсе, рассылка отчетов по расписанию по SMTP. Отчеты в форматах HTML, CSV, PDF

 

Возможности интеграции NGFW/USG

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
AD/LDAP Да, Cisco ISE или агент Да Да Да Да Да, поддерживается несколько серверов LDAP Да, поддерживается несколько серверов LDAP, интеграция по Kerberos
SIEM Да, Syslog или eStreamer Да, Syslog, SSH, SNMP, REST API Да, Syslog, CEF, SNMP, SSH Да, Huawei eLog Да, Syslog, CEF, SNMP, REST API, EDL Да, выгрузка через Syslog Да, выгрузка через Syslog
IDM Нет, но возможна интеграция через ISE PxGrid, RADIUS и т.п. Нет Да Да Да Нет Нет
Поддержка открытого API-интерфейса для интеграции с продуктами сторонних производителей Да, REST API Да, REST API Да, REST API, Terraform, Netconf Да, Netconf Да, XML RPC, REST API Нет Да, XML RPC
Режим зеркалирования (отдача проходящего через шлюз трафика во внешнюю систему по SPAN) Нет, в разработке Да Да Да Да, для расшифрованного SSL-трафика Нет Нет
Режим зеркалирования SSL (отдача расшифрованного трафика во внешнюю систему по SPAN) Нет, в разработке Да, mirror&decrypt Да Нет, в разработке Да, Decryption Broker Нет Да, с использованием ICAP
Режим ICAP-клиента для передачи трафика на инспекцию во внешние системы Нет Да Да Нет, в разработке Нет Нет Да

 

Техническая поддержка

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
Прямая техническая поддержка со стороны вендора Да Да Да Да, Hi-Care и кооперативная техническая поддержка Co-Care "партнер + вендор" Да Да Да
Базовая техническая поддержка Да, по телефону, через веб-чат или e-mail (круглосуточно) Да, по телефону, через веб-чат или e-mail Да, по телефону, через веб-чат или e-mail Да, по телефону, через веб-чат или e-mail Да, по телефону, e-mail (круглосуточно) Да, по телефону, через веб-портал или e-mail Да, по телефону, через веб-чат или e-mail, выезд к заказчику
Наличие русскоговорящей технической поддержки Да Да Да Да Да Да Да
Расширенная техническая поддержка Да, доступ к базе знаний и обновлению ПО, оперативная замена оборудования (новое устройство предоставляется до возврата старого) Да, Premium (SLA), Diamond (выделенный инженер) Да, выделенный инженер Да, тарифы OnSite (круглосуточная поддержка, выделенный инженер, оперативная замена оборудования) Да, выделенный инженер Да, VIP-техподдержка (сокращенное время ответа, круглосуточная поддержка, выделенный инженер, выделенный менеджер, присутствие на площадке у заказчика, дополнительные консультации) Да, выделенный инженер, улучшенный SLA
Замена оборудования при поломке Да, в течение суток или 4-х часов доставка нового устройства заказчику с 1 из 10 сервисных складов на территории России Да, через открытие кейса в центре технической поддержки, замена через локальный склад в РФ Да Да, через открытие кейса в центре технической поддержки Да, через обращение в авторизованный сервисный центр на территории России: Netwell или Axoft Да Да, возможность "горячей замены"
Дорожная карта (roadmap) Следующая версия ПО FTD 6.5 в конце 2019 года. Список планируемых функций доступен по запросу R80.40 - Identity Awareness improvements, CPview improvements, поддержка Hyper-V 2019 Предоставляется по запросу Дорожная карта обновляется каждый квартал Предоставляется после подписания NDA Предоставляется по запросу До конца 2019 года планируется серьезное развитие функций, связанных с индивидуализацией отчетов, возможностями создания собственных сигнатур атак и расширению базы сигнатур приложений L7

 

Лицензирование NGFW/USG

Параметр сравнения Cisco Check Point Fortinet Huawei Palo Alto Networks Код Безопасности Usergate
Описание политики лицензирования Функции межсетевого экранирования и анализа и контроля приложений (AVC) входят в базовую (бесплатную) лицензию. Бандлы NGTP, NGTX (без ограничения по трафику или пользователям) По модулям безопасности и группам модулей (бандлам) По модулям безопасности (по трафику или максимальной производительности) Подписки на каждое устройство. Например, подписка Threat Prevention включает весь функционал IPS, антивирус, антишпион, антибот, Threat Intelligence Лицензирование по функциональным модулям и аппаратным платформам Лицензирование основано на ограничении по одному из следующих критериев - число пользователей, число ядер (для виртуальных решений), аппаратная модель.Требуется ежегодичное продление подписки Security Updates.
Отдельно лицензируемые компоненты Система обнаружения вторжений (IPS), фильтрация URL, защита от вредоносного программного обеспечения Virtual System, DLP Virtual Systems, Application Control, антивирус, система обнаружения вторжений (IPS), фильтрация URL, FortiSandbox, антиспам Cloud Management, Virtual FW, Flow Probe Function, IPS, AV, URL, Cloud Sandbox, Threat Protection, SSL VPN users Threat Prevention (IPS, антивирус, антишпион, Threat Intelligence), URL Filtering, Virtual Systems, WildFire, GlobalProtect, AutoFocus IPS, Расширенный контроль приложений, Kaspersky URL reputation feed, L2 over L3 VPN Дополнительные компоненты UserGate Log Analyzer, UserGate Central Console
Дополнительно лицензируемые модули и функции VPN удаленного доступа по количеству пользователей Mobile Access Blade FortiCASB, FortiManager Cloud, FortiAnalyzer Cloud, SD-WAN, VPN, FortiConverter Service - DNS Security, Decrypt Mirror (бесплатно) - ATP, Mail Security, Heuristic Antivirus, Cluster
Калькулятор цен Конфигуратор по ссылке: cisco.com. Цены предоставляют партнеры usercenter.checkpoint.com Закрытый прайс-лист huawei.com Закрытый прайс-лист Закрытый прайс-лист Закрытый прайс-лист

 

Методика выбора оптимального USG или NGFW

Далее мы публикуем краткую инструкцию по проведению индивидуальной экспертной оценки NGFW и USG собственными силами, которая поможет, ориентируясь на данные из таблицы, оценить применимость представленных решений к вашим задачам. Методика основана на известной методике «домик качества».

Для примера приведем ниже краткий вариант, но вполне возможно по указанному методу развернуть все критерии, приведенные в таблице, и полностью оценить соответствие продуктов вашим нуждам.

1-й шаг — определение списка потребностей, в отсортированном по приоритетности порядке. Берем условный список и проставляем индекс значимости (1-9):

  1. Простота установки — 9
  2. Импортозамещение — 7
  3. Простота использования — 5
  4. Оперативность реагирования — 3
  5. Стоимость закупки и эксплуатации — 1

Индекс проставляется в соответствии с вашей экспертной оценкой, при наличии достаточных обосновывающих факторов.

2-й шаг — определение технических характеристик. Мы для упрощения возьмем группы критериев, приведенные в нашем сравнении выше. Для подсчета в более достоверном варианте можно начать с критериев и подгрупп, при переходе на уровень выше определяя среднее значение. Предлагается, ориентируясь на информацию в таблице, заполнить поля весовыми значениями от 0 до 9, а затем по итогам выставить среднее значение для каждой группы критериев.

 

Таблица 1. Выставление значений

Критерий \ Решение

NGFW №1

NGFW №2

NGFW №3

Архитектура решения 4 3 4
Функциональные особенности 3 4 4
Соответствие направлению импортозамещения  4 4 3
Интеграционные возможности 4 4 4
Дополнительные критерии 4 4 4

 

Для нас основным показателем будет связь критерия и потребности:

  1. Сильная связь — умножаем значение критерия на индекс значимости, разделенный на 100.
  2. Средняя связь — умножаем значение критерия на индекс значимости, разделенный на 200.
  3. При отсутствии связи между критерием и потребностью — проставляется 0.

Итак, попробуем применить полученные значения критериев (Таблица 1) относительно наших потребностей, определенных выше.

 

Таблица 2. Оценка значимости критериев

Критерий \ потребность

Простота установки (0,9)

Импортозамещение (0,7)

Простота использования (0,5)

Оперативность реагирования (0,3)

Стоимость закупки и эксплуатации (0,1)

Архитектура решения 3,6 0 2 0 0,4
Функциональные особенности 0 0 1,5 0,9 0,3
Соответствие направлению импортозамещения  0 2,8 0 0 0
Интеграционные возможности 3,6 2,8 2 1,2 0
Дополнительные критерии 3,6 2,8 0 0 0,4
ИТОГО 10,8 8,4 5,5 2,1 1,1

При таком расчете можно определить предпочтительное решение простой подстановкой значений из таблицы 1 в таблицу 2. При этом, если показатели систем различаются незначительно (как в рассматриваемом случае), то итоговое значение будет наглядным. Поэкспериментировав на наших умозрительных данных, получаем таблицу 3.

 

Таблица 3. Результаты выбора

NGFW №1

NGFW №2

NGFW №3

27,9 27,3 28,1

 

Таким образом, учитывая определенные нами цели, стратегию компании и оценку критичности влияющих факторов, можно отдать предпочтение наиболее подходящему нам NGFW — №3.

 

Выводы

На этапе подготовки данного детального сравнения многофункциональных шлюзов безопасности мы не ставили перед собой задачу выявить лидера. Основная цель была иной: помочь организациям понять объём функциональности, поддерживаемой современными решениями класса NGFW/USG, а также предоставить возможность компаниям, которые ознакомились с представленными нами критериями оценки и результатами сравнения, самостоятельно решить, какой из рассмотренных продуктов, с каким функциональным наполнением, какого именно вендора наиболее подходит для закрытия их насущных потребностей. Это даёт нам право предположить, что данное сравнение будет отличным источником информации для составления актуальных списков ожиданий, позволит проводить внутренние сравнительные анализы, эффективные пилоты и в итоге поможет прийти к правильному выбору нужного инструмента.

Понимая интерес и важность получения полной картины предложений на рынке решений многофункциональных шлюзов безопасности, мы планируем выход второй части данного обзора, где будет проведено сравнение решений данного класса от производителей, не попавших в первую часть сравнения.

 

Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:

Денис Батранков, Консультант по информационной безопасности, Palo Alto Networks

Михаил Кадер, Заслуженный инженер, Cisco Systems

Михаил Текунов, Технический архитектор, "Северсталь-инфоком"

Никита Дуров, Технический директор представительства, Check Point Software Technologies в России

Сергей Забула, Руководитель группы консультантов ИБ, Check Point Technologies в России

Алексей Андрияшин,  Технический директор в России и странах СНГ, Fortinet

Михаил Шпак, Технический директор департамента корпоративных сетевых решений, Huawei

Алмаз Мазитов, Менеджер по продуктам безопасности, Huawei

Павел Коростелев, Руководитель отдела продвижения продуктов, "Код Безопасности"

Вадим Плесский, менеджер по маркетингу, Usergate

...
и еще 160 активным и не очень участникам открытой группы Сравнение NGFW.

 

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru