...
Первое публичное сравнение популярных на российском рынке отечественных и зарубежных многофункциональных шлюзов безопасности USG (Unified Security Gateway), имеющих в основе межсетевой экран следующего поколения NGFW (Next-Generation Firewall), по 191 критерию. В первой части сравнения участвуют программно-аппаратные комплексы: Cisco Firepower, Check Point Security Gateway, Fortinet FortiGate, Huawei USG, Palo Alto Networks, «Континент», UserGate. Исследование призвано помочь корпоративным заказчикам выбрать наиболее подходящий для себя продукт.
- Введение
- Методология сравнения
- Сравнение универсальных шлюзов безопасности USG (NGFW)
- 3.1. Общие сведения
- 3.2. Архитектура решения
- 3.3. Функции межсетевого экранирования
- 3.4. Создание виртуальных сетей VPN
- 3.5. Поддержка сетевых сервисов
- 3.6. Функции прокси-сервера
- 3.7. Основные функции NGFW
- 3.8. Дополнительные функции NGFW
- 3.9. Аутентификация
- 3.10. Высокая доступность и кластеризация
- 3.11. Централизованное управление
- 3.12. Мониторинг работы и система отчетности
- 3.13. Возможности интеграции
- 3.14. Техническая поддержка
- 3.15. Лицензирование
- Выводы
Введение
Это первая часть сравнения, куда не вошли отдельные универсальные шлюзы безопасности USG (NGFW). Со второй частью можно ознакомиться здесь — "Сравнение универсальных шлюзов безопасности USG (NGFW). Часть 2".
Сетевая безопасность является обязательной составляющей общего объема мер противодействия современным угрозам. Под воздействием быстрого роста количества и сложности кибератак уровень ожиданий от сетевых средств защиты повышается, и, соответственно, их функциональность с каждым годом становится все шире.
Сегодня на рынке основным и наиболее востребованным организациями элементом сетевой безопасности являются многофункциональные межсетевые экраны нового поколения (NGFW) или многофункциональные шлюзы безопасности UTM (Unified Threat Management), которые обеспечивают комплексную защиту от сетевых угроз. В последние годы обозначение UTM постепенно заменяется на более понятный и соответствующий реальным задачам термин — многофункциональные шлюзы безопасности USG (Unified Security Gateway). Поэтому далее по тексту мы будем придерживаться его.
NGFW и UTM/USG имеют схожую функциональность. UTM-устройства исторически ориентировались на потребности среднего и крупного бизнеса, которым было важно иметь «все функции сетевой безопасности в одной коробке». При этом корпоративный межсетевой экран является в них лишь одним из важных модулей.
С появлением межсетевых экранов нового поколения NGFW (Next Generation Firewall), в которых правила межсетевого экрана стало возможным создавать на уровне приложения (L7 в сетевой модели OSI), все изменилось. Появилась вторая ветвь развития функциональности — в сторону работы на прикладном уровне. При этом одновременно развивались и смежные с межсетевым экраном функции, входящие в состав UTM. Подобные устройства также могут работать в режиме прокси, поддерживать различные сетевые сервисы и объединять в себе множество других технологий, связанных с обеспечением информационной безопасности, например: обнаружение и предотвращение вторжений (IDS/IPS), VPN, антивирус, DLP, веб-фильтрацию, контроль почтового трафика и многое другое, полностью оправдывая название универсальных средств сетевой защиты.
В настоящее время любой современный UTM/USG имеет в своем составе NGFW. В свою очередь, продукты, изначально позиционируемые как NGFW, «обросли» всеми смежными функциями, соответствующими UTM/USG. Поэтому логичнее всего говорить об имеющихся на рынке USG с функциями NGFW на борту.
Современные продукты класса USG покрывают функциональность большого количества отдельных классов решений для сетевой безопасности, представляя собой необходимый набор инструментов с гибкими настройками в рамках одного физического устройства или аппаратной платформы. Универсальные шлюзы безопасности с единой консолью управления позволяют организациям повысить уровень контроля со стороны ИТ- и ИБ-департамента, исключают рутинные операции, связанные с эксплуатацией большого количества отдельных узкоспециализированных систем, и позволяют организациям двигаться в сторону перехода от отдельных решений к комплексной и интегрированной защите от сложных угроз.
Возникновение массового спроса и предложений со стороны признанных зарубежных и молодых российских вендоров порождает у заказчиков проблему выбора, для решения которой нужны время и экспертиза. К сожалению, до настоящего времени в публичном пространстве практически не было полномасштабных сравнительных материалов, которые бы помогали потенциальным заказчикам выбрать оптимальный USG или NGFW без принятия стороннего оценочного мнения. Мы решили это исправить.
Несмотря на сложность и, казалось бы, неподъемность задачи, мы провели первое открытое независимое сравнение функциональности популярных на российском рынке USG и NGFW. Для этого мы пригласили к участию всех желающих, создали открытую группу заинтересованных специалистов, коллегиально на протяжении 6 месяцев прорабатывали критерии сравнения и список производителей-участников, уточняли и выверяли ответы, чтобы получившееся в итоге сравнение было прозрачным. Фактически любой желающий мог высказать свое мнение по улучшению критериев сравнения или о точности приведенной в таблице информации.
Перед ознакомлением с результатами нашего сравнения имеет смысл понять, для чего вам нужны сетевые средства защиты, какие задачи, по вашему мнению, они должны решать. Вооружившись ответами на эти вопросы, можно перейти к изучению результатов сравнения. Технически рекомендуется выделить необходимые параметры и проставить для них «весовые значения» по собственному мнению, основываясь на описании критериев в таблице. Далее следует просуммировать значения и вывести собственного лидера среди сравниваемых продуктов, отвечающего задачам именно вашей компании. Подробнее об этом рассказано в главе «Методика выбора оптимального USG или NGFW».
Методология сравнения
Этап выбора критериев, по которым сравнивались решения класса NGFW/USG, у нас выглядел следующим образом: мы собрали все имеющиеся на рынке публичные и закрытые наработки вендоров, а также часто используемые заказчиками критерии выбора, изучив огромное количество запросов предложений (RFP) и запросов информации (RFI), находящихся в открытом доступе.
Получив материалы от вендоров и консолидировав их с данными от других источников, мы увидели, что критериев получается весьма много (около 400). После этого было решено создать рабочую группу по валидации собранных критериев, в первую очередь для того, чтобы услышать общественное мнение: что сегодня в первую очередь важно для компаний в вопросе сетевой безопасности и чаще всего востребовано в функциональном наполнении решений класса NGFW/USG. Основными задачами работы группы мы видели обсуждение и определение первого и второго потока вендоров для сравнения, а также согласование финального оценочного списка.
К нашему удивлению, многие коллеги очень активно подключились к проекту. Желающих поучаствовать в группе оказалось немало, кто-то помогал с критериями, кто-то критиковал, кто-то яро отстаивал свою точку зрения. Были участники, которые делились материалами по теме, а иные просто наблюдали за происходящим и делали свои выводы, которые наверняка будут полезны им в дальнейшей работе. Это была очень живая дискуссия, и мы можем смело констатировать факт того, что данная тематика, связанная с выбором и эксплуатацией решений класса NGFW/USG, очень интересна и востребованна на нашем рынке.
Что касается критериев, то мы их отсортировали по блокам. В блок более общих критериев вошли: сведения о производителе и линейке сравниваемых продуктов, наличие сертификатов, процедура ввоза в Россию, соответствие требованиям регуляторов, архитектура решения, управление решениями, возможность интеграции, доступные виды технической поддержки, а также лицензирование. В блок основных функциональных возможностей мы включили межсетевое экранирование, создание виртуальных сетей VPN, маршрутизацию, проксирование, а также функции безопасности: контроль приложений, IDS/IPS, антивирусную и антибот-защиту, DLP, безопасность почты, антиспам, защиту от DDoS-атак, веб-фильтрацию и пр. В результате получились следующие группы критериев сравнения.
- Общие сведения
- Архитектура решений
- Поддержка сетевых сервисов
- Основные функции безопасности NGFW
- Функции межсетевого экрана
- Система обнаружения/предотвращения вторжений (IDS/IPS)
- Контроль приложений (Application Control)
- Защита от DDoS-атак
- Антивирусная защита (Anti-Virus)
- Антибот-защита (Anti-Bot)
- Защита почтового трафика (безопасность почты, антиспам)
- Веб-фильтрация
- Обнаружение утечек информации (DLP)
- Threat Intelligence
- Песочница (Sandbox)
- Создание виртуальных частных сетей VPN
- Функции прокси-сервера
- Дополнительные функции NGFW
- Аутентификация
- Высокая доступность и кластеризация
- Возможности централизованного управления
- Мониторинг работы и система отчетности
- Возможности интеграции
- Техническая поддержка
- Лицензирование
Важное примечание: в данный сравнительный обзор не был включен критерий производительности — по причине того, что отсутствовала возможность провести собственное независимое тестирование такого большого количества устройств в равных условиях. Транслирование цифр из вендорских даташитов команда Anti-Malware.ru посчитала непоказательным, так как устройства зачастую тестировались производителями в разных условиях и с разным функциональным наполнением. Несмотря на это, команда аналитического центра Anti-Malware.ru обращает ваше внимание на высокую значимость учёта данного параметра при планировании проекта. Компании, которые находятся на этапе выбора решений класса NGFW/USG, всегда могут изучить показатели и данные групповых тестов от ведущих лабораторий, проверяющих функциональность и производительность продуктов по обеспечению безопасности — например, таких, как NSS Labs. Для принятия более верного и проверенного решения мы рекомендуем проводить пилотные тестирования продуктов основных претендентов в одинаковых условиях и на реальной инфраструктуре.
Помимо валидации сравнительных критериев, перед нами стояла вторая очень важная задача: отбор участников. Используя опыт, полученный при подготовке сравнения SIEM-систем, решено было отобрать для первой части сравнения оптимальное число решений, а точнее — семь наиболее популярных на российском рынке разработок отечественных и зарубежных производителей.
Зарубежные продукты:
- Cisco Firepower (Cisco Systems) на FTD OS 6.4
- Check Point Security Gateway и Sandblast Network на R80.20 (Check Point Software Technologies)
- Fortinet FortiGate на FortiOS 6.0 (Fortinet)
- Huawei USG 5.0
- Palo Alto Networks NGFW на PAN-OS 9.0 (Palo Alto Networks)
Российские продукты:
- Континент 4.0 («Код Безопасности»)
- UserGate («Юзергейт»)
Хотелось бы отметить, что представители всех указанных производителей принимали непосредственное участие в финальной стадии, где нужны были некоторые пояснения и проверка сведений в сравнительной таблице.
Важно оговориться, что, готовя это сравнение, мы не ставили целью назвать лучших, мы констатировали факты о продуктах в соответствии с критериями сравнения. Выводы о выборе решения, наиболее подходящего под потребности и возможности конечного потребителя, может сделать только он сам.
Сравнение универсальных шлюзов безопасности USG (NGFW)
Общие сведения
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| Компания | Cisco Systems Inc. | Check Point Software Technologies Ltd. | Fortinet | HUAWEI | Palo Alto Networks | ООО «Код Безопасности» | UserGate / ООО "Юзергейт" |
| Веб-сайт | cisco.com | checkpoint.com | fortinet.com | huawei.com | paloaltonetworks.com | securitycode.ru | usergate.com |
| Штаб-квартира | Сан-Хосе, США | Тель-Авив, Израиль | Саннивейл, США | Шэньчжэнь, Китай | Саннивейл, США | Москва, Россия | Новосибирск, Россия |
| Полное название системы | Межсетевые экраны нового поколения Cisco Firepower | Программный комплекс сетевой безопасности нового поколения Check Point Software Technologies | Межсетевой экран следующего поколения FortiGate | Межсетевые экраны нового поколения Huawei | Palo Alto Networks Next Generation Firewall | "Континент" 4.0 | Универсальный шлюз безопасности "UserGate" |
| Сравниваемая линейка продуктов (модели, версии ОС) | Серия Cisco Firepower (1010, 1100, 2100, 4100, 9300) на FTD OS 6.4 | Серия Check Point Secure Gateways и Check Point Sandblast Network на R80.20 | Серия FortiGate на FortiOS 6.0 (от FG-30D до FG-5001) | Huawei USG v5 (6320, 6330, 6350, 6360, 6370, 6380, 6390, 6620, 6630, 6650, 6660, 6670, 6680, 9560, 9580) | Серия Palo Alto Networks на PAN-OS 9.0.2 (аппаратные NGFW от PA-220 до PA-7080 и виртуальных от VM-50 до VM-700) | Континент 4.0.3 (IPC-10, IPC-25, IPC-50, IPC-100, IPC-500, IPC-500F, IPC-600, IPC-800F, IPC-1000F, IPC-3000F, IPC-3000FC, IPC-1000NF2, IPC-3000NF2) | UserGate на UGOS 5.0.6 (модели C, D, E, F, X) |
| Целевой сегмент | Малый, средний и крупный бизнес, государственный и коммерческий сектор | Малый, средний и крупный бизнес, государственный и коммерческий сектор | Малый, средний и крупный бизнес, государственный и коммерческий сектор | Малый, средний и крупный бизнес, государственный и коммерческий сектор | Средний и крупный бизнес, государственный и коммерческий сектор | Малый, средний и крупный бизнес, государственный и коммерческий сектор | Малый, средний и крупный бизнес, государственный и коммерческий сектор |
| Сертификаты | Сертификат ФСТЭК России №3973 со сроком действия до 25.07.2021 на межсетевой экран серии Cisco ASA 5500-X (ASA 5506-X, ASA 5508-X, ASA 5516-X) с установленным программным обеспечением Cisco ASA версии 9.х , профиль защиты МЭ по новым требованиям (А шестого класса защиты. ИТ.МЭ.А6.ПЗ, Б шестого класса защиты. ИТ.МЭ.Б6.ПЗ). В процессе сертификации - Firepower 2100, Firepower 4100, профиль защиты МЭ (А шестого класса защиты ИТ.МЭ.А6.ПЗ и Б шестого класса защиты ИТ.МЭ.Б6.ПЗ) | Сертификат ФСТЭК России №3634, срок действия до 03.10.2019, на R77.10 для МЭ и СОВ по новым требованиям; Положительное заключение ФСТЭК для R77.30 (шлюзы, песочницы, в планах - агенты). |
Сертификат ФСТЭК России №3720 со сроком действия до 16.03.2020 на FortiGate под управлением FortiOS 5.х, профили защиты СОВ (cети четвертого класса защиты, ИТ.СОВ.С4.ПЗ), профиль защиты МЭ (А четвертого класса защиты ИТ.МЭ.А4.ПЗ, Б четвертого класса защиты ИТ.МЭ.Б4.ПЗ). Принято решение о сертификации FortiGate под управлением FortiOS 6.00. | Сертификат ФСТЭК №4083, срок действия до 04.02.2024, на версию V500, профиль защиты МЭ по новым требованиям (А четвертого класса защиты ИТ.МЭ.А4.ПЗ, Б четвертого класса защиты ИТ.МЭ.Б4.ПЗ). | Нет | Планируется получение сертификатов: ФСТЭК по требованиям к межсетевым экранам тип "А" 4-го класса и СОВ уровня сети 4-го класса, ФСБ на СКЗИ класса КС3 |
Cертификат ФСТЭК №3905, срок действия до 26 марта 2021 года на “Универсальный шлюз безопасности “UserGate”. Сертификация была пройдена по требованиям к Межсетевым Экранам (4-й класс, профили А и Б) и по требованиям к Системам Обнаружения Вторжений (4-й класс) для программно-аппаратных (модели UserGate C, D, D+, E, E+, F, X1) и виртуальных платформ UserGate. |
| Процедура ввоза оборудования в РФ | Нотификация | Нотификация | Нотификация | Лицензия Минпромторга | Нотификация | Продукт производится в России. Регламентация процедуры ввоза не требуется. | Продукт производится в России. Регламентация процедуры ввоза не требуется. |
| Локальное производство в РФ | Нет | ООО "ВЕЛОКС", Санкт-Петербург. Модели: SG 2200, SG 4800, SG 12600, SG 13500, SG 15400, SG 15600, SG 23500, SG 23800, SG 23900, SG 3100, SG 3200, SG 5100, SG 5200, SG 5400, SG 5600, SG 5800, SG 5900 | Многофункциональный программно-аппаратный комплекс «ГРАНИЦА» производства АО “НИЦ”. Бандл FortiGate и VPN-шлюза c шифрованием ГОСТ. Комплекс может быть оснащён модулем доверенной загрузки. | Нет | Нет | Устройства проходят выходной контроль в Москве. Ожидается получение статуса "Телекоммуникацион-ного оборудования российского происхождения" (ТОРП) от Минпромторга. | Сборка в Новосибирске на основе аппаратных платформ Lanner |
| Дополнительные профессиональные сервисы | Подразделение по оказанию услуг: проведение обследований, консалтинг, разработка и внедрение проектов, а также их сопровождение | Консультирование, оптимизация сети, установка и настройка оборудования | Разработка проекта, установка и настройка оборудования, проведение удаленных тестов на проникновение | Разработка проекта, установка и настройка оборудования | Разработка проекта, миграция, установка и настройка оборудования, сопровождение | Разработка проекта, внедрение и эксплуатация сложных сетевых инфраструктур, проведение тестов на проникновение | Проектирование, установка, настройка, миграция с других решений, обучающие курсы |
| Поддерживаемые языки интерфейса | Английский | Английский, испанский, французский, японский, китайский (традиционный и упрощенный) | Английский, французский, испанский, португальский, японский, китайский, корейский | Английский, китайский | Английский, французский, китайский (традиционный и упрощенный), японский, испанский | Русский, английский | Русский, английский |
| Соответствие требованиям ФЗ-187 "О безопасности критической информационной инфраструктуры РФ" | Удовлетворяет требованиям приказа ФСТЭК №235 в части используемых средств защиты объектов КИИ и выполняет часть мер, перечисленных в приказе ФСТЭК №239 | Сертифицированный МЭ, СОВ, поддерживающий интеграцию с ГосСОПКА через REST API и позволяющий защищать сегменты АСУ ТП | Сертифицированный МЭ, обеспечивающий безопасность информационных систем, информационно-телекоммуникационных сетей КИИ. Удовлетворяет требованиям приказа ФСТЭК №235 в части используемых средств защиты объектов КИИ и выполняет часть мер, перечисленных в приказе ФСТЭК №239 | Сертифицированный МЭ, обеспечивающий безопасность информационных систем, информационно-телекоммуникационных сетей КИИ. Удовлетворяет требованиям приказа ФСТЭК №235 в части используемых средств защиты объектов КИИ и выполняет часть мер, перечисленных в приказе ФСТЭК №239 | Выполняет часть мер, перечисленных в приказе ФСТЭК №239 | Удовлетворяет требованиям приказа ФСТЭК №235 в части используемых средств защиты объектов КИИ, выполняет часть мер, перечисленных в приказе ФСТЭК №239 | Сертифицированное средство, обеспечивающее безопасность информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления (АСУ) субъектов КИИ, сбор и хранение информации о произошедших на объекте инцидентах безопасности для последующей передачи этих данных в ГосСОПКА |
| Секторы экономики, в которых выполнены внедрения | Коммерческие, государственные и муниципальные учреждения из разных секторов, операторы связи и др. | Ритейл, энергетика, промышленность, фармацевтика, медицинские центры, логистика, финансовые организации, региональные и федеральные органы власти, страховые компании, телекоммуникационные компании, коммерческие ЦОД | Финансы, ритейл, государственный сектор, телеком, MSP, промышленность | Государственный сектор, энергетика и др. | Крупные международные, государственные компании, финансовый сектор, атомная промышленность, металлургия, горнодобыча, ТЭК, наука, ритейл, телеком, транспорт, здравоохранение | Государственный сектор, финансовые организации и др. | Органы власти, телекоммуникации, здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, ТЭК, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность и др. |
| Крупнейшее из известных внедрений | Предоставляется по запросу | Трубная Металлургическая Компания (ТМК) Государственная транспортная лизинговая компания (ГТЛК) |
Предоставляется по запросу | Предоставляется по запросу | ООО «Аэроэкспресс» |
ГАС Выборы (версия 3.х) СМЭВ (версия 3.х) Федеральное казначейство (версия 3.х) |
Группа «ФосАгро» anti-malware.ru ПАО «МРСК Сибири» (входит в состав ПАО «Россети») anti-malware.ru |
Архитектура NGFW/USG
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| Поддерживаемые варианты исполнения | Аппаратное, виртуальное | Аппаратное, виртуальное | Аппаратное, виртуальное, облачное | Аппаратное, виртуальное, контейнерное | Аппаратное, виртуальное | Аппаратное | Аппаратное, виртуальное |
| Поддерживаемые платформы при виртуальном исполнении | VMware, KVM | Cisco ACI, VMware NSX, ESXi, Microsoft Hyper-V, Openstack, KVM | VMware ESXi, VMware NSX-T, Microsoft Hyper-V Server, Microsoft AzureStack, Citrix Xen XenServer, Open source Xen, KVM, Enterprise Linux / CentOS/, Ubuntu 16.04 LTS (generic kernel), Nutanix AHV, Cisco Cloud Services Platform | VMware, Microsoft HyperV, KVM | VMware ESXi, Citrix SDK, KVM, Nutanix, Microsoft Hyper-V, OpenStack, Cisco ACI, AWS, Azure, vCloud Air, Google Cloud, Oracle Cloud, Alibaba Cloud | Нет, ожидается в новой версии | VMware ESXi, Microsoft Hyper-V, KVM, Xen, OpenStack, VirtualBox |
| Поддерживаемые физические и сетевые интерфейсы | 10/100/1000 BaseT, 1G-SX, 1G-LH/LX, 1G-EX, 1G-ZX, 10G-SR, 10G-SR-S, 10G-LR, 10G-LR-S, 10G-LRM, 10G-ER, 10G-ER-S, 10G-ZR-S, 10G Cu, 10G AOC, 40G-SR4, 40G-SR4-S, 40G-CSR4, 40G-SR-BD, 40GE-LR4, 40GE-LR4-S, 40G-LR4L, 40G-CU, 40G-4X10G-CU, 40G-CU-A, 40G-AOC, 100G-SR4-S, 100G-LR4-S, 100G-AOC, 100G-CUxM | 10/100/1000Base-T RJ45, 1000Base-F SFP, 10GBase-F SFP+, 40G QSFP+, 100/25G QSFP28, RJ45 Console, Mini-USB Console, Type-C USB Console, LOM | SFP (GE), XFP (10 GE), SFP+ (10 GE), QSFP+ (40 GE), CFP2 (100 GE), QSFP28 (100 GE) FG-60E-DSL/FWF-60E-DSL - Internal ADSL2/2+ and VDSL2 (Annex A/M) modem, SFP28 (25GE/10GE) |
10/100/1000Base-T RJ45, 1000Base-F SFP, 10GBase-F SFP+, 40G QSFP+, 100/25G QSFP28, RJ45 Console, Mini-USB Console, Type-C USB Console, LOM | 100/1000/10G RJ45, 1G/10G SFP/ SFP+, 40G/100G QSFP28, 10/100/1000 out-of-band management RJ45, Console port RJ45, Mini-USB Console | 10/100/1000BASE-T RJ45, 1G SFP, 10G SFP+ | 1GbE RJ45, 1GbE SFP+, 10GbE SFP+, 10GbE FO |
| Поддерживаемые логические интерфейсы | VLAN, VXLAN | Alias, VLAN, Bond, Bridge, Loopback, 6in4 tunnel, PPPoE | Link Aggregation, Loopback, VLANs (802.1Q and Trunking), VLAN, VXLAN, EMAC-VLAN, Virtual Wire Pair, Redundant, Tunnel (IPSec Tunnel/IPSec Aggregate, GRE, IP-IP, SSL VPN, SSID/CAPWAP) | L1, L2, L3, Subinterface, SPAN, Loopback, SVI, VBDIF, Tunnel (IPSEC/GRE/IP-IP/SSL) | L1, L2, L3, Subinterface, SPAN, Loopback, Link Aggregation | VLAN, Bonding, Bridging, Loopback | VLAN, Bonding, Bridging, PPPoE, VPN |
| Используемая операционная система | Собственная операционная система на основе CentOS | Собственная операционная система Gaia (на ядре Red Hat Enterprise Linux 5) | Собственная операционная система FortiOS | Собственная операционная система VRP8 (специализированная сборка Linux) | Собственная операционная система PAN-OS | Собственная операционная система ContinentOS (специализированная сборка Linux) | Собственная операционная система UGOS (специализированная сборка Linux) |
| Модули решения | МСЭ нового поколения, система обнаружения и предотвращения вторжений, защита от вредоносных программ, анализ угроз, фильтрация доступа к ресурсам сети Интернет и др. | Firewall, IPSEC, Mobile Access, Application Control, URL Filtering, Identity Awareness, Threat Emulation, Threat Extraction, IPS, Anti-Bot, Anti-Virus, QoS, Monitoring, DLP, Anti-Spam, Compliance, SmartEvent | Единая аппаратная платформа или модульное исполнение (шасси). Модули решения: Anti-Malware, IPS&DoS, Application Control, Web Filtering, Firewall, VPN, DLP, Email filtering, SD WAN, Explicit proxy, Device identification, SSL/SSH Inspection, Log&Report, Monitoring , Routing/NAT, L2/Switching, Offline Inspection, ATP, Vulnerability assesment, IOC Detection, Wireless controller, Switch Controller, Cloud&SDN integration, Central management and provisioning | Firewall, URL Filtering, песочница, IPS, Anti-Bot, Anti-Virus, QoS, Monitoring, DLP, Anti-Spam, DDoS, Load-Balance, VPN, Application Control, Identity Firewall | APP-ID, CONTENT-ID, USER-ID, SSL- и SSH-инспекция, URL-фильтрация, IPS, Anti-spyware, Anti-Virus, песочница, QoS, PBF, DLP, DDoS, External Block Lists, Threat Intelligence, оптимизатор политик NGFW | Security Management Server, Firewall (включая улучшенный контроль приложений и защиту от обращений к вредоносным сайтам), L2VPN, L3VPN, IPS, сервер доступа, идентификация пользователей, модуль поведенческого анализа |
Межсетевой экран, контентная фильтрация, VPN-сервер, IPS/IDPS, Антивирусная защита, защита почтового трафика, защита АСУ ТП, балансировщик, shaper, защита от DoS, Reverse proxy, web-портал (SSL VPN), контроль приложений L7; UserGate Log Analyzer - внешний сервер сбора и анализа журналов; UserGate Central Console - внешний сервер центрального управления удаленными устройствами UserGate. |
| Поддержка развёртывания в публичном облаке | Да, Amazon AWS, Microsoft Azure | Да, Amazon AWS, Microsoft Azure, Google Cloud, Oracle Cloud, Alibaba Cloud, IBM Cloud | Да, Amazon AWS (включая GovCloud и AWS China), VMware Cloud на AWS, Microsoft Azure (включая US Gov, Germany и China) и AzureStack syndication, Google GCP (Google Cloud Platform), Oracle OCI, Alibaba Cloud (AliCloud) | Да, Huawei Cloud | Да, Amazon AWS, Microsoft Azure, vCloud Air, Google Cloud, Oracle Cloud, Alibaba Cloud | Нет | Да, Amazon AWS |
| Контроль работоспособности | Да, отчеты, REST API, уведомления по почте, оперативные уведомления в графическом интерфейсе, SNMP, Syslog, правила корреляции и т.п. | Да, WebGui, CLI, Email, REST API, SNMP, bash scripts | Да, SNMP, API, SSH (CLI) | Да, CLI, WEB, NETCONF, SNMP | Да, REST API, SNMP, плагин Chrome, приложение Splunk, система управления Panorama | Да, веб-интерфейс, SNMP, Email | Да, SNMP, Email, SMS |
| Поддерживаемые варианты масштабирования производительности для аппаратного и виртуального исполнения | Зависит от профиля трафика. От 650 Мб/с до 168 Гб/с. Поддерживаются технологии ECLB, HA, кластеризация, выстраивание программных сервисных цепочек, внешние и инфраструктурные балансировщики | Масштабирование при помощи Maestro Orchestrator | Технологии масштабирования FortiGate Session Life Support Protocol (FGSP), FortiGate Clustering Protocol (FGCP), Session-aware Load Balancing Cluster (SLBC), Virtual Router Redundancy Protocol (VRRP), Enhanced Load Balancing Clustering (ELBC) | Аппаратно - до 2 Тбит/с, виртуально - до 80 Гбит/с | Модельный ряд поддерживает скорости до 1 Тб/с с APP-ID. Шасси масштабируются за счет дополнительных сетевых модулей, каждый из которых дает 20 Гбит/с с APP-ID. Виртуальные NGFW масштабируются путем изменения лицензирования - увеличение вычислительных ресурсов до 16 Гбит/с c APP-ID. |
Подключение аппаратного криптоускорителя для старшей платформы (IPC-3000F) | Виртуальные платформы масштабируются путем лицензирования - увеличение вычислительных ресурсов. Active-Active кластеризация для всех типов платформ |
| Реализация аппаратного ускорения (если применимо) | Да, регулярные выражения (для МСЭ и СОВ) и криптографические функции (для VPN и обработки SSL) | Да, аппаратные модули ускорения Falcon. Ускорение пропускной способности Firewall-only, VSX, QoS, HTTPS Inspection, Antivirus Deep Inspection | Да, специализированные аппаратные модули ускорения SPU (SoC, NP, CP, DP) | Да, платформа выполнена с использованием архитектуры ARM или ускорителей FPGA + x86 | Да, платформа выполнена с использованием ускорителей FPGA + ASIC + x86 компонентной базы Management Plane в каждом. NGFW разделен - работает на своих процессорах, памяти и дисках | Да, криптоускоритель для VPN ГОСТ (производительность до 20 Гбит/с, задержки при обработке трафика около 50 микросекунд) | Нет |
Функции межсетевого экранирования в NGFW/USG
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| Статическая трансляция сетевых адресов SNAT (Static Network Address Translation) | Да | Да | Да | Да | Да | Да | Да |
| Динамическая трансляция сетевых адресов DNAT (Dynamic Network Address Translation) | Да | Да | Да | Да | Да | Да | Да |
| Варианты поддержки трансляции сетевых адресов | Static NAT, dynamic NAT, PAT, NAT64, PAT64, policy-based NAT/PAT, Carrier Grade NAT, dual NAT и т.п. | Static NAT, Hide NAT, NAT64 | NAT64, NAT46, static NAT, dynamic NAT, PAT, Full Cone NAT, STUN, CGNAT | Source IP address based NAT, Destination IP address based NAT, NAT No-PAT, NAPT, Easy IP, Smart NAT, Bidirectional NAT, NAT ALG, NAT444, DS-Lite, NAT64, NAT66(2019.7), IPv4 over IPv6, IPv6 over IPv4 | Static NAT (IPv4/IPv6), Dynamic NAT (IPv4,IPv6), NAT64, IPv6 NPTv6 (Network Prefix Translation) | Source NAT, Destination DNAT, Hide NAT, Dynamic NAT | Трансляция портов NAT с PAT, Persistent NAT, NAT64, двойной NAT, PBR |
| Поддержка технологии SPI (Stateful Packet Inspection) | Да | Да | Да | Да | Да | Да | Да |
| Политики контроля по зонам | Да | Да | Да | Да | Да | Нет | Да |
| Политики контроля на основе интерфейсов | Да | Да | Да | Да | Да, при условии создания зоны безопасности для интерфейса | Да | Нет |
| Управление полосой пропускания | Да | Да | Да | Да | Да | Да | Да |
| Двунаправленная поддержка DSCP | Да | Да | Да | Да | Да | Нет | Да |
| Поддержка IEEE 802.1p | Нет | Да | Да | Да | Да | Нет | Да |
| Поддержка политик на основе identity (user-based политики) | Да | Да | Да | Да | Да | Да | Да |
| Многоадресная передача (Multicast) | Да, IGMP v2 и v3, PIM-SM, PIM Boostrap Router, Stub Multicast Routing | Да, IGMP v2 и v3, PIM-SM, PIM-SSM, PIM-DM | Да, PIM-SM/DM/SSM, IGMP v1/2/3, MLD, BSR (Boot Start Router) | Да, IGMP v2 и v3, PIM-SM, PIM-SSM, PIM-DM | Да, IP multicast, PIM-SM, PIM-SSM, IGMP v1, v2, v3 (только IPv4) | Нет | Нет |
| Качество обслуживания (QoS) | Да | Да | Да | Да | Да | Да | Да |
Создание виртуальных частных сетей VPN
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| IPsec VPN (клиентский VPN) | Да | Да | Да | Да | Да | Используется собственный стек протоколов | Да |
| Поддержка конфигурации site-to site VPN - Route-based IPsec tunnel | Да | Да | Да | Да | Да | Используется собственный стек протоколов | Да |
| Поддержка конфигурации site-to site VPN - Policy-based IPsec tunnel | Да | Да | Да | Да | Да | Используется собственный стек протоколов | Да |
| IPsec VPN client | Да, Windows, Linux, macOS, Android | Да, Windows, Linux, macOS | Да, поддержка встроенных в ОС VPN-клиентов (Windows, macOS, Android), например, Windows 7 и выше (Embedded IKEv2 VPN Client) | Да, бесплатный SecoClient для Windows, macOS и Linux | Да, бесплатный клиент GlobalProtect для Windows, macOS, Android, iOS | Используется собственный стек протоколов. Доступно на Windows, Linux, Android, iOS | Да, поддержка встроенных VPN-клиентов в Microsoft Windows 7 и выше, Linux, macOS, Android, iOS |
| IPsec VPN с поддержкой ГОСТ | Нет | Да | Нет | Нет | Нет | Используется собственный стек протоколов | Нет |
| Алгоритмы шифрования | AES, DES, 3DES | NSA Suite-A, Suite-B | DES, 3DES, AES128, AES192, AES256, NULL, AES128GCM, AES256GCM, CHACHA20POLY1305, ARIA128, ARIA192, ARIA256 и SEED | DES, 3DES, AES-128, AES-192, AES-256, SM1, SM4 | DES, 3DES, AES-128-CBC, AES-192-CBC, AES-256-CBC, AES-128-CCM, AES-128-GCM, AES-256-GCM и др. | Собственный стек протоколов с шифрованием по ГОСТ 28147-89, ГОСТ Р 34.10-2012, в разработке поддержка алгоритма "Кузнечик" ГОСТ Р 34.12-2015 | AES-128, AES-256, 3DES |
| Алгоритмы хеширования | MD5, SHA-1, SHA-256, SHA-384, SHA-512 | AES-XCBC, MD5, SHA-1, SHA-256, SHA-384 | MD5, SHA-1, SHA-256, SHA-384, SHA-512, NULL | AES-XCBC, MD5, SHA-96, SHA-256, SHA-384, SHA-512 | MD5, SHA, SHA-256, SHA-384, SHA-512 | ГОСТ Р 34.11-2012 | MD5, SHA-1, SHA-256 |
| Поддержка протокола Internet Key Exchange | Да, IKE v1, IKE v2 | Да, IKE v1, IKE v2 | Да, IKE v1, IKE v2 | Да, IKE v1, IKE v2 | Да, IKE v1, IKE v2 | Нет | Да, IKE v2 |
| Поддержка протокола L2TP | Нет | Да | Да | Да | Нет | Нет | Да |
| Поддержка протокола PPTP | Нет | Да | Да | Нет | Нет | Нет | Нет |
| Собственная реализация VPN-туннеля | Нет | Нет | Нет | Да, собственный VPN-клиент SecoClient (SSL VPN, L2TP VPN и L2TP over IPsec VPN) | Да, GlobalProtect VPN Client передает Host Information Profile для проверки на NGFW | Континент-АП для собственного стека протоколов | Своя реализация стандартного L2TP IPsec. Поддерживается работа встроенных VPN-клиентов в Microsoft Windows 7 и выше, Linux, macOS, Android, iOS |
| SSL VPN (бесклиентский VPN) | Да | Да | Да | Да | Да | Да, отдельный продукт Континент TLS | Да |
| SSL VPN client | Да, Windows, Linux, macOS, Android, iOS | Да, Windows, Linux, macOS | Да, Windows, Linux, macOS, Android, iOS | Да | Да, бесплатный клиент GlobalProtect для Windows, macOS, Android, iOS | Да, отдельный продукт Континент TLS | Да, Windows, Linux, macOS, Android, iOS |
| ГОСТ SSL VPN | Нет | Да | Нет | Нет | Нет | Да, отдельный продукт Континент TLS | Нет |
| SSL VPN-портал (публикуемые приложения) | Нет | Да | Да | Да | Да, RDP | Да, отдельный продукт Континент TLS | Да, HTTP/HTTPS, SSH, RDP |
Поддержка сетевых сервисов
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| Туннелирование трафика (Tunneling) | IPsec site-to-site VPN, SSL VPN | IPsec site-to-site VPN, SSL VPN | L2TP, L2TP over IPsec, PPTP, GRE, GRE over IPsec, SSL VPN, VXLAN, IP-IP, IP-IP over IPsec, VXLAN over IPsec, SIT (IPv6 over IPv4), IPv6 Tunnel (IPv4 over IPv6), Mobile Tunnel (NEMO), GTP v1/v2 (FortiCarrier), ADVPN | IPsec, SSL, GRE, MPLS, VXLAN | IPsec site-to-site, IPsec client-to-site, LSVPN, SSL client-to-site, GRE, GTP, VXLAN, Cisco SGT, HTTP/2, 802.1q | VLAN tagging | IPsec site-to-site VPN, SSL VPN, L2TP, VLAN tagging |
| Маршрутизация (Routing) | Да | Да | Да | Да | Да | Да | Да |
| Статическая маршрутизация | Да, многоадресная маршрутизация IPv4 и IPv6, контроль доступности | Да, многоадресная маршрутизация IPv4 и IPv6 | Да, многоадресная маршрутизация IPv4 и IPv6 | Да, многоадресная маршрутизация IPv4 и IPv6 | Да, многоадресная маршрутизация IPv4 и IPv6 | Да, IPv4 | Да, IPv4 |
| Динамическая маршрутизация | Да, IPv4, IPv6, BGP, BGP Stub, OSPF, IS-IS, EIGRP, PIM-SM | Да, RIP и RIPng, OSPF и OSPFv3, BGP, IGMP, PIMv4/PIMv6 | Да, RIP v1 and v2, OSPF v2 and v3, ISIS, BGP4, RIPng | Да, RIP и RIPng, OSPF и OSPFv3, BGP для IPv4/IPv6, MP-BGP, IGMP, EVPN, L3 VPN | Да, OSPF v2/v3 with graceful restart, BGP with graceful restart, RIP | Да, OSPF, BGP | Да, OSPF, BGP |
| Маршрутизация на основе политик | Да | Да | Да | Да | Да | Нет | Да |
| Поддержка функции выделения в контексте устройства логических устройств – виртуальных маршрутизаторов | Да | Да, виртуальные системы (VSX) | Да | Да | Да | Нет | Нет, в разработке. Будет доступен в следующих обновлениях |
| Маршрутизация трафика различных приложений по различным маршрутам передачи данных | Да | Нет | Да | Да | Да | Нет | Да |
| Маршрутизация трафика различных URL-запросов по различным маршрутам передачи данных | Нет | Нет | Да | Да | Нет | Нет | Нет |
| Layer 4 load balancing | Нет | Да | Да | Да | Да | Нет | Да |
| Layer 7 load balancing | Нет | Да | Да | Да | Да | Нет | Да |
| Поддержка функций VoIP | Да, CTIQBE, H.323, MGCP, RTSP, SIP, Skinny (SCCP), STUN | Да, SIP, SCCP, H.323, MGCP | Да, SIP/H.323 /SCCP NAT traversal, RTP pin holing | Да, SIP, SCCP, H.323, MGCP | Да, SIP, SCCP, H.323, H.225, H.248, MGCP, RTP, RTSP, UNIStim | Нет | Да, SIP, SCCP, H.323 |
Функции прокси (Proxy)
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| DNS-прокси | Да | Нет, прозрачная инспекция и DNS Trap | Да | Да | Да | Нет | Да |
| HTTP-прокси | Нет | Да, HTTP 1.1, HTTP 2.0, HTTPS | Да, Explicit HTTP и HTTPS, FTP over HTTP, SOCKS, прозрачный веб-прокси | Да, HTTP 1.1, HTTP 2.0, HTTPS | Нет, потоковый анализ HTTP(S) | Нет | Да, HTTP, HTTPS |
| SMTP-шлюз | Нет | Нет, Mail transfer agent (MTA) | Нет, FortiMail в роли MTA | Да | Нет, потоковый анализ SMTP(S) | Нет | Да, SMTP-прокси |
| Поддержка ICAP | Да | Да | Да | Нет, в разработке | Нет, но есть альтернатива в виде брокера Decryption Broker | Нет | Да, reqmod, respmod, поддержка кластеров ICAP, отправка трафика по правилам |
| Поддержка кеширования | Нет | Нет | Да | Да | Нет | Нет | Да |
| Поддержка прозрачного режима работы | Да | Да | Да | Да | Да | Нет | Да |
| Поддержка работы X-forward IP | Да | Да | Да | Да | Да, поддерживается логирование X-Forwarded-For (для URL-фильтрации), использование X-Forwarded-For в качестве User-ID, сброс X-Forwarded-For из HTTP-заголовка | Нет | Да |
| Поддержка технологии обратного прокси (Reverse proxy) | Нет | Да | Да | Да | Нет, предполагается наличие в сети внешнего балансировщика HTTP(S) или SaaS-прокси | Нет | Да |
| Поддержка DHCP relay | Да | Да | Да | Да | Да | Да | Да |
Основные функции NGFW
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| Поддержка глубокого пакетного анализа (Deep packet inspection, DPI) | Да | Да | Да | Да | Да, поддерживается анализ трафика внутри туннелей GRE, GTP, VXLAN, 802.1q, Cisco SGT, анализируется HTTP/2, трафик медицинских сетей, ICS/SCADA, IoT, CIoT и др. | Да | Да |
| Поддержка расшифрования входящего и исходящего трафика по протоколу SSL/TLS | Да, HTTPS Inspection | Да, HTTPS Inspection | Да, MITM | Да, MITM | Да, поддержка двух методов: SSL Forward-Proxy и SSL Inbound Inspection | Да, MITM | Да, MITM. Применение согласно политикам дешифрования |
| Поддержка формирования исключений из инспекции трафика SSL/TLS | Да, по IP, URL, категориям и т.п. | Да, по категориям | Да, по категориям, по IPv4 и IPv6-адресам, по FQDN, по URL, URI (+Regular Expressions) | Да, по категориям, по IPv4 и IPv6-адресам, по FQDN, по URL | Да, по категориям сайтов, по URL, по IP, по пользователям и пользовательским группам, проверка отозванных ключей по OCSP, исключение двойного MITM. Встроенный готовый список исключений для приложений, не поддерживающих SSL Decrypt MITM | Да, по IP | Да, по категориям, по URL, по IP, по пользователям и группам |
| Возможность расшифрования протокола TLS 1.2 | Да | Да | Да | Да | Да | Да | Да |
| Возможность расшифрования протокола TLS 1.3 | Нет, принудительный переход на TLS 1.2 | Нет, в разработке | Да | Нет, в разработке, принудительный переход на TLS 1.2 | Нет, в разработке, принудительный переход на TLS 1.2 | Нет | Да |
| Возможность расшифрования протокола SSH | Нет | Да | Да | Да | Да | Нет | Нет |
| Поддержка поведенческого анализа | Да, в модуле AVС | Да, в модуле Anti-Bot | Да, в модулях Application control, Web filtering, IPS and DoS | Да, в модулях IPS, AV, APT | Да, zone protection, корреляционные правила, правила для бот-сетей | Да, модуль поведенческого анализа | Да, сценарии для автоматизированной реакции системы на нестандартное поведение |
| Встроенная корреляция событий | Да, Firepower Management Center | Да, SmartEvent | Да, FortiView | Да, Huawei Monitoring System | Да, Palo Alto Networks Automated Correlation Engine | Нет | Да, через сценарии реагирования |
| Система обнаружения / предотвращения вторжений (IDS/IPS) | Да, модуль IPS/IDS | Да, модуль IPS с собственными сигнатурами | Да, модуль IPS/IDS | Да, модуль IPS/IDS | Да, используется единый модуль для обнаружения приложений, IPS и антивируса | Да, модуль IPS с собственными сигнатурами | Да, модуль IPS с собственными сигнатурами |
| Поддержка формирования исключений для сигнатур | Да | Да | Да | Да | Да | Да, реализован список правил, позволяющий использовать / не использовать IPS в каждом конкретном правиле фильтрации. Для каждого шлюза безопасности может устанавливаться индивидуальный профиль сигнатур | Да, через список правил, позволяющий указывать тип трафика для проверки и применяемый к нему профиль IPS/IDPS |
| Поддержка написания собственных сигнатур | Да, в формате SNORT | Да, в формате SNORT и индикаторы по REST API | Да | Да | Да, импорт в формате SNORT, Professional Service по написанию сигнатур приложений | Да, в формате Suricata | Да |
| Поддержка возможности индивидуализации сигнатур | Да | Да, для настраиваемых сигнатур | Да | Да | Да | Да | Нет, в разработке |
| Поддержка набора IPS-сигнатур для SCADA | Да | Да, DNP3, OPC, IEC-104, MODBUS и др. | Да | Да | Да | Да | Да |
| Поддержка возможности импорта сторонних сигнатур | Да, в формате SNORT | Да, в формате SNORT | Да, в формате SNORT | Да, в формате SNORT | Да, в формате SNORT | Да, в формате Suricata | Да, через службу технической поддержки |
| Поддержка автоматического сбора дампа трафика при срабатывании сигнатуры для последующего анализа | Да | Да | Да | Да | Да, хранится в журнале событий | Да | Нет, в разработке |
| Поддержка автоматического применения новых сигнатур после обновления | Да | Да | Да | Да | Да | Да | Да |
| Поддержка уведомлений, отправка отчетов | Да | Да, SmartEvent | Да | Да | Да | Да | Да |
| Противодействие известным методам обхода сигнатурного анализа | Да, препроцессоры обработки транспортных и прикладных протоколов, нормализация, декодирование и т.п. | Да, нормализация трафика, настройки Anti-Evasion | Да, IP Packet Fragmentation/TCP Segmentation, RPC Fragmentation, URL Obfuscation, FTP / Telnet Evasion, HTTP Evasions, HTML Evasions, TCP Split Handshake, Resiliency, Attacks on nonstandard ports | Да, IDS Avoidance | Да | Да, IP Packet Fragmentation, Tunnel decoding, Stream Segmentation, URL Obfuscation, HTML Obfuscation, Protocol-level Misinterpretation | Да, нормализация HTTP / HTTPS трафика. Возможность блокировки фрагментированных пакетов (включена по умолчанию), защита от VPN over DNS, блокирование туннелей Teredo, IP6-IP4, IP4-IP6 |
| Контроль приложений (Application Control) | Да, модуль Cisco Application Visibility and Control | Да, модуль Application Control | Да, модуль Application Control | Да, модуль Huawei Smart Application Control | Да, единый модуль для анализа приложений, атак и вредоносного кода | Да, модуль "Расширенный контроль приложений" | Да, модуль L7 |
| Контроль доступа (блокирование / разрешение, отслеживание) на основе распознаваемых сетевых приложений | Да, тысячи приложений и десятки тысяч микроприложений, возможность добавления своих приложений через OpenAppID | Да, более 8000 приложений | Да, более 3000 приложений | да, более 6000 приложений | Да, 3145 приложений | Да, распознается более 2600 приложений VoIP, социальных сетей, файлообмена, видеотрансляций, корпоративных инфокоммуникационных систем | Да, определение приложений в транзитном трафике, блокирование известных приложений, блокирование всех неизвестных приложений |
| Возможность блокирования нераспознанных приложений | Да | Да | Да | Да | Да, позволяет следовать политике Zero Trust в разрешении доступа сотрудников в сеть | Да, возможно заблокировать правилом все неизвестные приложения | Да |
| Возможность контроля доступа по категориям / группам приложений | Да | Да | Да | Да | Да, можно создавать свои группы | Да | Да |
| Обнаружение протоколов на нестандартных портах | Да | Да, для HTTP, HTTPS | Да | Да | Да, возможно разрешить одним правилом работу приложений только по их стандартным портам | Да | Да, для HTTP, HTTPS |
| Наличие открытой базы приложений | Да | Да, Check Point ThreatWiki | Да | Да | Да, портал Applipedia | Да | Нет |
| Обнаружение российских приложений | Да, ВКонтакте, Яндекс, Одноклассники и др. | Да, Mail.ru, Яндекс, 1C Bitrix и др. | Да, Mail.ru, Яндекс, ВКонтакте, Telegram и др. | Да, 1C Bitrix, Telegram, Mail.ru, Яндекс.Диск, ВКонтакте и др. | Да, 1C Bitrix, Telegram, Антивирус Касперского, Mail.ru, Яндекс.Диск, ВКонтакте, Одноклассники, VIPNET и др. | Да, Яндекс, Одноклассники, ВКонтакте, Mail.ru, Rutube, Почта России и др. | Да, 1C Bitrix, ВКонтакте, Одноклассники, Mail.ru Агент, Яндекс, Avito, Кинопоиск, Lenta.ru, Pikabu, Gismeteo, Госуслуги, Studfiles, Сбербанк, hh.ru, Rutube, Едадил и др. |
| Создание сигнатур собственных приложений L7 | Да, через плагин OpenAppID | Да, самостоятельно с помощью бесплатной утилиты Check Point Signature Tool (для Windows) или по запросу | Да, через Web GUI или CLI, используя специальный синтаксис | Да, через консоль управления | Да, через консоль управления | Да, через обращение к вендору | Да, через обращение к вендору |
| Защита от DDoS-атак | Да, возможность установки модуля vDP Radware для Firepower 4100/9300 | Да, специализированное решение Check Point DDoS Protector | Да | Да | Да, встроенная защита от IP-спуфинга, SYN-флуда, UDP, ICMP, защита серверов ЦОД от нагрузки по числу соединений и других видов атак | Да, обнаружение small packet MTU, DNS mismatch, DNS reply mismatch, SYN flood, SMURF, FIN/RST flood, FRAGGLE attack, LAND-attack | Обнаружение и защита от SYN-, UDP-, ICMP-флуда, защита приложений от превышения сессий |
| Антивирусная защита (Anti-virus) | Да, Cisco AMP | Да, движок Kaspersky или BitDefender | Да, собственная лаборатория по разработке антивирусного движка | Да, Huawei AV | Да, собственная лаборатория UNIT42 по разработке антивирусного движка | Защита от вирусов осуществляется путем запрета доступа к URL-адресам с низкой репутацией (Malicious URL block) | Да, собственный и Kaspersky |
| Поддерживаемые протоколы для антивирусной проверки | HTTP(S), SMTP, IMAP, POP3, FTP, SMB | HTTP(S), FTP, SMTP, SMB | HTTP(S), SMTP(S), POP3(S), IMAP(S), MAPI, FTP(S), IM | HTTP(S), FTP(S), SMTP(S), SMB(S), POP3(S), IMAP(S) | HTTP(S), HTTP/2, FTP(S), SMTP(S), POP3(S), IMAP(S), SMB | Нет | HTTP(S), SMTP, POP3 |
| Возможность анализа содержимого архивных файлов | Да, ZIP, RAR, TAR и другие, используя автоматизированный анализ или технологию Glovebox | JAR, ARJ, ARC, ACE, 7Z, LBR, RAR, TAR, SHAR, ZOO, ZIP | 7Z, ACE, APK, APP, ARJ, BAT, BZ2, CAB, DMG, GZ, ISO, JAR, LZH, MSI, RAR, TAR, TGZ, Z, ZIP | ZIP, RAR, 7Z, JAR, ACE, CAB и др. | 7Z, RAR, ZIP, APK, APP, CAB, DMG, GZ, ISO, JAR, MSI, TAR, TGZ | Нет | Поддерживаются все основные форматы, более 6 тыс. версий |
| Возможность блокировки передачи определенных типов файлов | Да | Да | Да | Да | Да | Нет | Да |
| Антибот-защита (Anti-bot) | Да, Talos для всех модулей, включая AVC, IPS/IDS, фильтрацию HTTP/HTTPS, AMP | Да, модуль Anti-Bot | Да, функция в модуле АV | Да, через модуль IPS | Да, через модуль IPS, защиту DNS, антивирусный модуль, механизм корреляции | Да, запрет доступа к известным командным серверам на основе данных Kaspersky Feed | Да, запрет доступа к известным командным серверам в настройках межсетевого экранирования |
| Поддерживаемые методы детектирования и блокировки бот-зараженных машин | Обнаружение ботов по аналитике Talos, профилю трафика, корреляции событий. Блокирование соединений, в т.ч. на других МСЭ и маршрутизаторах, микросегментация с использованием Cisco ISE и т.п. | По репутации командных серверов (C&C), по сигнатурам в трафике, предсказание новых C&C путем анализа известных Domain Generation Algorithm (DGA), DNS Trap | По репутации C&C. Блокирование DDoS-атак от известных зараженных серверов | По репутации C&C, по сигнатурам в трафике, DNS Trap | По индикаторам компрометации IP, по репутации C&C, по срабатыванию DNS Security, корреляционных и поведенческих правил, по обнаружению сигнатуры подключения в IPS или Anti-Spyware. Автоблокирование по тегам IP-адресов | По репутации C&C | По репутации C&C |
| Блокировка взаимодействия бот-сети с командными серверами (C&C) | Да | Да | Да | Да | Да | Да | Да |
| Анализ и подмена вредоносных DNS-запросов к системам управления бот-сетями (фильтрация DNS-запросов) | Да | Да | Да | Да | Да, DNS Sinkholing | Нет | Да |
| Защита почтового трафика (безопасность почты, антиспам) | Нет | Да, модуль Anti-Spam | Да, модуль Email Filtering | Да, модуль Mail Filtering | Да, механизм EDL | Нет | Да, модуль защиты почтового трафика |
| Поддержка собственной базы или интеграции с партнерами | Нет | Да, собственная база | Да, собственная база | Да, собственная база | Да, внешняя база RBL | Нет | Да, собственная база и DNSBL |
| Фильтрация и анализ почтового трафика SMTP, POP3, IMAP | Нет | Да, MTA | Да | Да | Да | Нет | Да |
| Проверка ссылок в теле письма | Нет | Да, по репутации, эмуляция файлов по ссылкам в песочнице | Да | Да | Да, проверка в песочнице WildFire | Нет | Да |
| Поддержка проверки вложенных файлов и архивов | Нет | Да, проверка антивирусом, в песочнице, проактивная очистка/конвертация (Threat Extraction) | Да | Да | Да, проверка в песочнице WildFire | Нет | Да |
| Поддерживаемые механизмы идентификации спама | Нет | По репутации SMTP-заголовков и ссылок в теле письма, лингвистический анализ | Белый и черный списки IP-адресов, DNS-проверка отправителя | Нет | По спискам спамеров, механизм External Dynamic Lists (EDL) | Нет | DNSBL, антиспам UserGate |
| Поддержка блокировки скачивания по типам файлов | Нет | Да | Да | Да | Да | Нет | Да |
| Веб-фильтрация | Да, HTTP/HTTPS-фильтрация | Да, модуль URL Filtering | Да, модуль Web Filtering | Да, модуль URL Filtering | Да, модуль URL Filtering | Только запрет доступа к опасным ресурсам на основе данных Kaspersky Feed | Да, модуль контентной фильтрации |
| Cигнатуры веб-фильтрации | Собственные (Talos) и сторонние (Brightcloud) | Собственные | Собственная база, поддержка сторонних источников, статических фильтров | Собственные | Собственные, постоянное обновление | Сторонние, Kaspersky URL reputation feed | Собственные, постоянное обновление |
| Категории URL-адресов | Более 80 категорий. Возможность добавления собственных категорий и внешних фидов, определяемых заказчиком | 114 категорий | 78 категорий, 70 языков | 138 категорий | 75 категорий, каждый URL может иметь четыре категории и три степени риска | Нет | 72 категории |
| Поддержка создания черных и белых списков URL-адресов | Да | Да | Да | Да | Да, также возможно подгружать готовые списки из внешних источников, например, от Роскомнадзора и ФинЦЕРТ | Да, администратор может создать черные списки URL-адресов | Да |
| Поддержка создания своих категорий | Да | Да | Да | Да | Да | Нет | Да |
| Поддержка фильтрации по репутации домена, IP | Да | Да | Да | Да | Да | Да | Да |
| Поддержка возможности блокировки по произвольному списку URL и IP | Да | Да | Да | Да | Да, в т.ч. по DNS, по динамической группе на основе тегов | Да, администратор может создать черные списки URL-адресов | Да |
| Поддержка фильтрации с учетом встроенных URL (Embedded URL) | Да | Да | Да | Да | Да | Нет | Да |
| Обнаружение утечек информации (DLP) | Нет | Да, модуль DLP | Да, модуль DLP | Да, модуль DLP | Да, модуль Data Filtering | Нет | Нет |
| Собственная встроенная функциональность DLP | Нет | Да | Да | Да | Да | Нет | Нет |
| Интеграция с внешними DLP-системами | Нет | Да, ICAP | Да, ICAP | Нет | Да, Infowatch Traffic Monitor | Нет | Да, ICAP |
| Поддерживаемые методы детектирования конфиденциальных данных | Нет | Цифровые отпечатки, регулярные выражения и словари | Формальные признаки, цифровые метки, цифровые отпечатки, регулярные выражения | Нет | Формальные признаки, регулярные выражения, статистика | Нет | Нет |
| Используемые способы категоризации / классификации | Нет | Использование и пополнение базы из 800+ готовых паттернов конфиденциальных данных (MS AD, PCI DSS, HIPAA и т.д.); возможность сканирования сетевых папок с файлами для формирования базы отпечатков файлов | По готовым шаблонам, цифровым отпечаткам и регулярным выражениям | Нет | Готовые шаблоны, парсер заголовков приложений и создание шаблонов на базе REGEX | Нет | Нет |
| Поддерживаемые типы файлов для анализа | Нет | Более 800 типов файлов | Более 60 типов файлов | 7Z, BAT, BMP, BZIP2, CAB, CHM, CLASS, DOC, DOCX, DPS, EML, ET, GIF, GZ, HLP, HTML, JAR, JPG, JS, MHT, MSI, PDF, PE32, PNG, PPT, PPTX, RAR, RTF, SWF, TAR, TIF, VBS, WPS, XLS, XLSX, ZIP | Любые типы файлов, которые идут в открытом виде или внутри SSL | Нет | Нет |
| Поддержка сетевых протоколов | Нет | Да, HTTP(S), TLS, SMTP, FTP | Да, HTTP(S)-POST, HTTP(S)-GET, SMTP(S), POP3(S), IMAP(S), MAPI, FTP(S), NNTP | Да, HTTP, FTP, SMTP, POP3, NFS, SMB, IMAP, RTMPT | Да, HTTP(S), HTTP2, FTP(S), POP3(S), IMAP(S), SMTP, POP3(S) и др. | Нет | Нет |
| Поддержка режима блокировки / логирования | Нет | Да | Да, существует возможность архивирования файлов на внешний FortiAnalyzer | Да | Да, блокирование и логирование | Нет | Нет |
| Threat Intelligence | Да, Cisco Talos, поддержка внешних фидов по STIX/TAXII | Да, ThreatCloud, магазин внешних фидов, REST API для импорта сторонних IoC в формате STIX/TAXII, импорт собственных YARA-правил для анализа файлов в песочнице | Да, список доменов, список IP, хеши вредоносных программ, а также STIX/TAXII с использованием сервисов FortiGuard TIS | Да, WeiRan Lab, поддержка внешних фидов | Да, собственные и дополнительные фиды через Autofocus, возможность импорта с помощью приложения MineMeld | Нет | Да, модуль ATP (Advanced Threat Protection), наличие собственной базы Threat Intelligence |
| Песочница (Sandbox) | Да | Да, Threat Emulation | Да | Да | Да, WildFire | Нет | Нет |
| Поддержка собственной песочницы | Да | Да | Да | Да | Да | Нет | Нет |
| Интеграция со сторонними песочницами | Нет | Да, при помощи ICAP | Да, при помощи ICAP | Нет | Да, при помощи SSL Decrypt Mirror, EDL или REST API | Нет | Да, при помощи ICAP |
| Поддерживаемые варианты исполнения | Облачная и локальная | Облачная, локальная и гибридная | Облачная и локальная | Облачная и локальная | Облачная и локальная | Нет | Нет |
| Поддерживаемые операционные системы | Windows 7, 10 | Windows XP, 7, 8.1, 10 | Windows XP, 7, 8.1, 10, macOS, Linux и Android, а также custom images (включая Windows Server) | Windows XP, 7, 8.1, 10, Linux | Windows XP 32-bit, Windows 7 32 / 64-bit, Windows 10 64-bit, macOS X, Android, Linux | Нет | Нет |
| Поддержка технологий определения попыток обхода песочницы | Да | Да, CPU-Level Emulation и технологии Anti-Evasion | Да | Да | Да, собственная версия гипервизора, анализ на реальных компьютерах без виртуализации, эмуляция сети Интернет для вредоносного кода | Нет | Нет |
| Поддержка балансировки нагрузки между несколькими песочницами | Да | Да | Да | Да, кластер песочниц | Да, также балансировка между собственной и облачной | Нет | Нет |
| Поддержка протоколов, из которых возможна отправка файлов в песочницу | HTTP(S), SMTP, IMAP, POP3, FTP, SMB. Любые файлы по REST API | HTTP(S), FTP, SMTP, SMB | HTTP(S), SMTP(S), POP3(S), IMAP(S), MAPI, FTP(S), IM | HTTP, SMTP, POP3, NFS, SMB, IMAP, RTMPT | HTTP(S), SMTP(S), IMAP(S), POP3(S) | Нет | Нет |
| Поддерживаемые типы файлов | BAT, XZ, BZ, GZ, HWP, HWT, HWPX, HTA, JTD, JTT, JTDC, JTTC, MSI, JAR, JS, JSE, MHTML, MSCHM, MSEXE 32/64bit-PE32, MSOLE2, MSXML (DOCX, .XLSX, .PPTX), PDF, PS1, VBN, SEP, RTF, SWF, TAR, TGZ, VBS, VBE, WSF, ZIP, URLs, Unknown file type | EXE, DOC, DOCX, XLS, XLSX, PDF, PPT, PPTX, TGZ, ISO, BAT, PIF, GZ, BZ2, TBZ2, TB2, TBZ, COM, XZ, ZIP, CPL, PS1, RAR, 7Z, SLK, RTF, DOT, IQY, DOCM, DOTX, DOTM, XLT, TAR, O, DYLIB, APP, DMG, XLM, PKG, XLTX, DLL, LNK, XLSM, UUE, XLTM, MSG, XLSB, XLA, XLAM, XLL, XLW, PPS, PPTM, POTX, POTM, PPAM, PPSX, PPSM, SLDX, SLDM, CSV, SCR, SWF, HWP, JAR, CAB | 7Z, ACE, APK, APP, ARJ, BAT, BZ2, CAB, CMD, DLL, DMG, DOC, DOCM, DOCX, DOT, DOTM, DOTX, EML, EXE, GZ, HTM, HTML, IQY, ISO, JAR, JS, KGB, LNK, LZH, MACH-O, MSI, PDF, POT, POTM, POTX, PPAM, PPS, PPSM, PPSX, PPT, PPTM, PPTX, PS1, RAR, RTF, SLDM, SLDX, SWF, TAR, TGZ, UPX, URL, VBS, WEBLINK, WSF, XLAM, XLS, XLSB, XLSM, XLSX, XLT, XLTM, XLTX, XZ, Z, ZIP, пользовательские типы | 7Z, BAT, BMP, BZIP2, CAB, CHM, CLASS, DOC, DOCX, DPS, EML, ET, GIF, GZ, HLP, HTML, JAR, JPG, JS, MHT, MSI, PDF, PE32, PNG, PPT, PPTX, RAR, RTF, SWF, TAR, TIF, VBS, WPS, XLS, XLSX, ZIP | APK, SWF, JAR, MS-OFFICE, WINDOWS PE, DEX, BAT, PDF, DMG, EMAIL-LINK, ARCHIVE, LINUX ELF, скрипты, размер файлов до 50 мегабайт | Нет | Нет |
Дополнительные функции NGFW
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| Поддержка функций программно определяемых глобальных сетей (SD-WAN) | Нет | Нет, но возможно с помощью решения Network Security as a Service | Да | Нет | Да | Нет | Нет |
| Маршрутизация трафика различных приложений, определяемых интеллектуальным методом на базе сигнатур и поведенческого анализа, по различным маршрутам передачи данных | Да, через систему корреляции событий и REST API | Нет | Да | Да | Да, поддерживается Policy Based Routing на базе L7-приложений | Нет | Нет |
| Пассивный мониторинг параметров (задержка, джиттер, потери пакетов) тракта передачи трафика для отдельных прикладных приложений | Нет | Нет | Да | Нет | Да | Нет | Нет |
| Автоматическое перенаправление трафика приложения в случае, если параметры канала не соответствуют требованиям этого приложения для обеспечения заданного качества его работы | Да, только полное переключение на другой канал | Нет | Да | Да | Да | Нет | Да, через функцию Connectivity checker |
Аутентификация в NGFW/USG
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| Варианты аутентификации | Administrative log-ins, S2S VPN, SSL VPN, Network login | Administrative log-ins, SSL VPN, IPsec VPN | Administrative log-ins, SSL VPN, IPsec VPN | Administrative log-ins | Administrative log-ins, SSL VPN, IPsec VPN, авторизация пользователей при доступе в интернет, Captive Portal | Administrative log-ins, Network log-ins, Site-to-Site VPN | Administrative log-ins, Network log-ins, Site-to-site VPN, SSL VPN, IPsec VPN, авторизация пользователей при доступе в интернет |
| Методы аутентификации | X.509, XAUTH, Trustsec и т.п. Практически любой метод при применении Cisco ISE. | PSK, X.509 | X.509, XAUTH, EAP, RADIUS, электронная цифровая подпись, MAC authentication | X.509, EAP | SMS, аппаратные токены, Active Directory, сертификаты, логин/пароль, SAML, RADIUS, TACACS+, KERBEROS | Сертификат, логин/пароль, EAP, CHAP | Логин/пароль, цифровые сертификаты X.509, Active Directory, SAML, RADIUS, TACACS+, Kerberos |
| Аутентификация пользователей | AD, локальная база, Captive Portal и т.п. Расширенный список методов при применении Cisco ISE. | Локальная база, AD, LDAP, Security Gateway Password, RADIUS, TACACS, SAA, Captive Portal, Terminal Agent | LDAP, Radius and TACACS+,Captive Portal, двухфакторная аутентификация | LDAP, LDAPS, RADIUS, TACACS, двухфакторная аутентификация | LDAP, TACACS+, RADIUS, двухфакторная аутентификация, Web Form, Client Certificate Authentication | Локальная база, LDAPS, Captive Portal | LDAP, LDAPS, RADIUS, TACACS +, Captive Portal, авторизация по IP, MAC, IP+MAC, агент авторизации для Windows, агент авторизации терминальных серверов |
| Поддержка паролей, смарт-карт и токенов | Да, RSA Secure ID, DUO и т.п. | Да, RSA SecurID, DynamicID One Time Password, OS Password, SecurID One Time Password, SoftID | Да, FortiToken (аппаратные и мобильное приложение, облачный сервис), сторонние токены, SMS, e-mail | Нет | Да, Duo v2, Okta Adaptive, PingID, RSA SecurID | Да, поддерживаются токены Аладдин Р.Д., Актив, Esmart | Да, любые, позволяющие работать с Internet Explorer |
| Поддержка SSO | Да, Kerberos, NTLM, Trustsec | Да, Kerberos | Да, FortiClient SSOMA, Kerberos, NTLM, Web Form, Client Certificate Authentication | Нет | Да, Kerberos, SAML, NTLM | Нет | Да, Kerberos, NTLM, SAML |
Высокая доступность и кластеризация NGFW/USG
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| Поддерживаемые режимы кластеризации | High Availability (Active/Passive), Load Sharing (Active/Active) | High Availability (Active/Passive), Load Sharing Multicast (Active/Active), Load Sharing Unicast (Active/Active), VRRP | High Availability (Active/Passive), Load Sharing (Active/Active), балансировка Virtual Domain, VRRP (IPv4/IPv6) | Active/Active, Active/Standby | High Availability режим Active/Passive и Active/Active с восстановлением сессий вплоть до 7 уровня модели OSI ISO | High Availability (Active/Passive) | High Availability (Active/Passive), Load Sharing (Active/Active) |
| Поддерживаемые режимы переключения при сбоях | Переключение по контролю доступности устройства, его компонентов и сетевых интерфейсов | Failover | Active-Active, Active-Passive c синхронизацией сессий | Failover или перестроение динамических маршрутов | Active/Passive и Active/Active с синхронизацией сессий L4 и L7 | Failover, время переключения не более 2 секунд | Переключение с активного узла на запасной по проверке работоспособности компонентов, доступности сетей и интерфейсов |
| Изменение режима работы кластера в ходе использования | Да, добавление или отключение устройств | Да, опциональный переход на узел с высшим приоритетом, переход между HA и LS | Да, не требует перезагрузки | Да | Да | Нет | Да |
| Синхронизация сессий | Да, stateful sync - IP, TCP, UDP, HTTP/HTTPS | Да, Full Sync (полная синхронизация состояний kernel tables), Delta Sync (обмен только изменениями состояний kernel tables) | Да, в режиме stateful - TCP, UDP, ICMP | Да, TCP, UDP, ICMP | Да, все протоколы вплоть до 7 уровня модели OSI/ISO | Да, синхронизация состояния соединений (TCP, UDP, ICMP) | Да, TCP, UDP |
| Мониторинг состояния кластера | Да | Да, SmartConsole, CLI, snmp trap | Да, контроль состояния устройств, сетевых сегментов, удалённых узлов | Да, API Check, interface check | Да | Да | Да |
| Максимальное поддерживаемое количество устройств в кластере | 16 на Firepower 4100/9300 | 31 при помощи Check Point Maestro | 4-16 (в зависимости от режима) | 16 | 2 (кластер L7) | 2 | 4 в режиме Active-Active, 2 в режиме Active-Passive, без ограничений в конфигурации Кластер |
Централизованное управление NGFW/USG
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| Поддерживаемые варианты управления (варианты консоли) | Централизованная система управления FMC, локальная система управления FDM, облако CDO, интерфейс командной строки | Централизованная система управления Smart Console, CLI, API | Веб-консоль, мобильное приложение FortiExplorer, интерфейс командной строки, API | Централизованная система управления, SSH, netconf | Веб-консоль, интерфейс командной строки, API | Configuration Manager, толстый клиент для Windows, веб-консоль для системы централизованного мониторинга | Веб-консоль, CLI-консоль, API |
| Поддержка единого интерфейса для возможности управления системными настройками и настройками функциональности | Да | Да | Да | Да | Да | Да | Да |
| Максимальное количество управляемых шлюзов на один сервер управления | До 750 при централизованной системе управления, нет ограничений при облачной системе управления Cisco CDO | До 5 000 | До 100 000 | До 20 000 | До 5 000 | До 500 | Нет ограничений |
| Поддерживаемые модели управления | Однодоменная и многодоменная | Многодоменная, SMART LSM | Иерархическая модель, глобальные политики, административные домены управления, ролевой доступ | Распределенная модель | Распределенная (для масштабируемости) и многодоменная | Строго централизованная модель | Распределенная модель. Управление независимыми областями (уровень предприятия), группировка по географическому и/или функциональному признаку. Возможность оставить ряд полномочий управления локальному администратору |
| Поддержка отказоустойчивой архитектуры управления | Да | Да | Да, централизованная и децентрализованная архитектура | Да | Да, NGFW управляется самостоятельно при потере связи с внешней системой управления Panorama | Да, добавление резервных ЦУС с инкрементальной синхронизацией БД | Да, поддержка кластеризации |
| Способы масштабирования централизованного управления | Выбор соответствующей платформы централизованного управления FMC или использование облачного управления CDO | Кластер из серверов управления | На уровне узлов управления | SecoManager/eSight Policy Center | Возможно сделать иерархию систем Panorama, когда несколько лог-коллекторов управляются одним программным менеджером | Перенос системы управления на более производительную аппаратную платформу. Вынос подсистемы журналирования на отдельный сервер | Через применение паттернов |
| Поддержка управления доступом на основе ролей | Да | Да | Да | Да | Да | Да | Да |
| Автоматическое оповещение о событиях по электронной почте | Да | Да | Да | Да | Да | Да | Да |
| Поддержка механизма протоколирования действий администраторов | Да | Да | Да | Да | Да | Да | Да |
| Поддержка возврата устройства на предыдущую конфигурацию, версию ПО | Да | Да | Да | Нет | Да | Да | Да |
Мониторинг работы и система отчетности в NGFW/USG
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| Просмотр журналов (логов) | Да | Да | Да, локально с устройства (память, диск), из облака или из системы централизованного управления | Да | Да | Да | Да |
| Экспорт логов | Да, Syslog, eStreamer | Да, CEF, LEEF, Syslog, generic | Да, CEF, Syslog, FortiAnalyzer, text, CSV | Да, Binary, Syslog, Netflow | Да, Syslog, CEF, CSV, SFTP, SCP | Да, Syslog | Да, FTP, SSH, Syslog |
| Срок хранения логов | В зависимости от выбранного метода сбора - FMC, CDO, внешний SIEM | Не ограничен | Не ограничен | До заполнения, 1,2 Тб | До заполнения, вcтроенный в NGFW диск SSD на 240 Гб, иерархия лог-коллекторов Panorama до 5 000 штук с объемом диска до 78 Гб каждый. Облачное хранилище на основе Google Cloud - без ограничений | Не ограничен | Не ограничен |
| Графическое представление различных показателей мониторинга | Да | Да | Да | Да | Да | Да | Да |
| Поддержка мониторинга по SNMP | Да | Да | Да | Да | Да | Да | Да |
| Поддержка NetFlow и IPFIX для выгрузки данных в сторонние системы | Да | Да, только Netflow 5,9 | Да | Да | Да | Нет | Да |
| Поддерживаемые виды отчетов | Оперативные отчеты, детальные отчеты, ситуационные, по расписанию и т.п. | Собственная система отчетности SmartEvent | Гибкий конструктор отчётов, предустановленные шаблоны | Гибкий конструктор отчётов, предустановленные шаблоны | Гибкий конструктор отчётов, предустановленные шаблоны | Система отчетности позволяет создать отчет по сотне различных параметров (топ атак, топ трафика по источнику и назначению, топ регионов и т.д.) | Отчеты о системных событиях, системе обнаружения вторжений, сетевой активности, веб-порталу, captive-порталу, трафику, веб-активности |
| Использование внешних систем отчетности | Да, любые SIEM | Да, любые SIEM (через Syslog или встроенный коннектор OPSEC LEA) | Да, любые SIEM (Syslog и встроенные коннекторы) | Да, через SecoManager/CIS | Да, любые SIEM, Cortex XDR, системы управления межсетевыми экранами | Да, любые SIEM (через Syslog) | Да, любые SIEM (через Syslog) |
| Возможность формирования индивидуально настроенных отчетов | Да, любые показатели. Создание шаблонов отчетов | Да | Да | Да | Да | Да | Нет |
| Поддерживаемые форматы отчетов и каналы передачи | Отчеты в форматах PDF, HTML или CSV. Локальное хранение или передача по SMB, NFS, SSH | Экспорт из веб-интерфейса в PDF и XLS, отправка по e-mail | Отчеты в форматах PDF, RTF, TXT и HTML. Локальное хранение или передача по e-mail, FTP, SFTP, SCP (syslog, text) | Экспорт в PDF из веб-интерфейса | Отправка по электронной почте и через REST API. Прямое скачивание из веб-интерфейса в формате PDF, CSV, XML | Выгрузка отчета через web-интерфейс в формате PDF | Формирование отчетов в веб-интерфейсе, рассылка отчетов по расписанию по SMTP. Отчеты в форматах HTML, CSV, PDF |
Возможности интеграции NGFW/USG
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| AD/LDAP | Да, Cisco ISE или агент | Да | Да | Да | Да | Да, поддерживается несколько серверов LDAP | Да, поддерживается несколько серверов LDAP, интеграция по Kerberos |
| SIEM | Да, Syslog или eStreamer | Да, Syslog, SSH, SNMP, REST API | Да, Syslog, CEF, SNMP, SSH | Да, Huawei eLog | Да, Syslog, CEF, SNMP, REST API, EDL | Да, выгрузка через Syslog | Да, выгрузка через Syslog |
| IDM | Нет, но возможна интеграция через ISE PxGrid, RADIUS и т.п. | Нет | Да | Да | Да | Нет | Нет |
| Поддержка открытого API-интерфейса для интеграции с продуктами сторонних производителей | Да, REST API | Да, REST API | Да, REST API, Terraform, Netconf | Да, Netconf | Да, XML RPC, REST API | Нет | Да, XML RPC |
| Режим зеркалирования (отдача проходящего через шлюз трафика во внешнюю систему по SPAN) | Нет, в разработке | Да | Да | Да | Да, для расшифрованного SSL-трафика | Нет | Нет |
| Режим зеркалирования SSL (отдача расшифрованного трафика во внешнюю систему по SPAN) | Нет, в разработке | Да, mirror&decrypt | Да | Нет, в разработке | Да, Decryption Broker | Нет | Да, с использованием ICAP |
| Режим ICAP-клиента для передачи трафика на инспекцию во внешние системы | Нет | Да | Да | Нет, в разработке | Нет | Нет | Да |
Техническая поддержка
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| Прямая техническая поддержка со стороны вендора | Да | Да | Да | Да, Hi-Care и кооперативная техническая поддержка Co-Care "партнер + вендор" | Да | Да | Да |
| Базовая техническая поддержка | Да, по телефону, через веб-чат или e-mail (круглосуточно) | Да, по телефону, через веб-чат или e-mail | Да, по телефону, через веб-чат или e-mail | Да, по телефону, через веб-чат или e-mail | Да, по телефону, e-mail (круглосуточно) | Да, по телефону, через веб-портал или e-mail | Да, по телефону, через веб-чат или e-mail, выезд к заказчику |
| Наличие русскоговорящей технической поддержки | Да | Да | Да | Да | Да | Да | Да |
| Расширенная техническая поддержка | Да, доступ к базе знаний и обновлению ПО, оперативная замена оборудования (новое устройство предоставляется до возврата старого) | Да, Premium (SLA), Diamond (выделенный инженер) | Да, выделенный инженер | Да, тарифы OnSite (круглосуточная поддержка, выделенный инженер, оперативная замена оборудования) | Да, выделенный инженер | Да, VIP-техподдержка (сокращенное время ответа, круглосуточная поддержка, выделенный инженер, выделенный менеджер, присутствие на площадке у заказчика, дополнительные консультации) | Да, выделенный инженер, улучшенный SLA |
| Замена оборудования при поломке | Да, в течение суток или 4-х часов доставка нового устройства заказчику с 1 из 10 сервисных складов на территории России | Да, через открытие кейса в центре технической поддержки, замена через локальный склад в РФ | Да | Да, через открытие кейса в центре технической поддержки | Да, через обращение в авторизованный сервисный центр на территории России: Netwell или Axoft | Да | Да, возможность "горячей замены" |
| Дорожная карта (roadmap) | Следующая версия ПО FTD 6.5 в конце 2019 года. Список планируемых функций доступен по запросу | R80.40 - Identity Awareness improvements, CPview improvements, поддержка Hyper-V 2019 | Предоставляется по запросу | Дорожная карта обновляется каждый квартал | Предоставляется после подписания NDA | Предоставляется по запросу | До конца 2019 года планируется серьезное развитие функций, связанных с индивидуализацией отчетов, возможностями создания собственных сигнатур атак и расширению базы сигнатур приложений L7 |
Лицензирование NGFW/USG
| Параметр сравнения | Cisco | Check Point | Fortinet | Huawei | Palo Alto Networks | Код Безопасности | Usergate |
| Описание политики лицензирования | Функции межсетевого экранирования и анализа и контроля приложений (AVC) входят в базовую (бесплатную) лицензию. | Бандлы NGTP, NGTX (без ограничения по трафику или пользователям) | По модулям безопасности и группам модулей (бандлам) | По модулям безопасности (по трафику или максимальной производительности) | Подписки на каждое устройство. Например, подписка Threat Prevention включает весь функционал IPS, антивирус, антишпион, антибот, Threat Intelligence | Лицензирование по функциональным модулям и аппаратным платформам | Лицензирование основано на ограничении по одному из следующих критериев - число пользователей, число ядер (для виртуальных решений), аппаратная модель.Требуется ежегодичное продление подписки Security Updates. |
| Отдельно лицензируемые компоненты | Система обнаружения вторжений (IPS), фильтрация URL, защита от вредоносного программного обеспечения | Virtual System, DLP | Virtual Systems, Application Control, антивирус, система обнаружения вторжений (IPS), фильтрация URL, FortiSandbox, антиспам | Cloud Management, Virtual FW, Flow Probe Function, IPS, AV, URL, Cloud Sandbox, Threat Protection, SSL VPN users | Threat Prevention (IPS, антивирус, антишпион, Threat Intelligence), URL Filtering, Virtual Systems, WildFire, GlobalProtect, AutoFocus | IPS, Расширенный контроль приложений, Kaspersky URL reputation feed, L2 over L3 VPN | Дополнительные компоненты UserGate Log Analyzer, UserGate Central Console |
| Дополнительно лицензируемые модули и функции | VPN удаленного доступа по количеству пользователей | Mobile Access Blade | FortiCASB, FortiManager Cloud, FortiAnalyzer Cloud, SD-WAN, VPN, FortiConverter Service | - | DNS Security, Decrypt Mirror (бесплатно) | - | ATP, Mail Security, Heuristic Antivirus, Cluster |
| Калькулятор цен | Конфигуратор по ссылке: cisco.com. Цены предоставляют партнеры | usercenter.checkpoint.com | Закрытый прайс-лист | huawei.com | Закрытый прайс-лист | Закрытый прайс-лист | Закрытый прайс-лист |
Сравнение универсальных шлюзов безопасности USG (NGFW). Часть 2
Методика выбора оптимального USG или NGFW
Далее мы публикуем краткую инструкцию по проведению индивидуальной экспертной оценки NGFW и USG собственными силами, которая поможет, ориентируясь на данные из таблицы, оценить применимость представленных решений к вашим задачам. Она основана на известной методике «домик качества», изложенной в статье "Методика выбора оптимального средства защиты информации".
Для примера приведем ниже краткий вариант, но вполне возможно по указанному методу развернуть все критерии, приведенные в таблице, и полностью оценить соответствие продуктов вашим нуждам.
1-й шаг — определение списка потребностей, в отсортированном по приоритетности порядке. Берем условный список и проставляем индекс значимости (1-9):
- Простота установки — 9
- Импортозамещение — 7
- Простота использования — 5
- Оперативность реагирования — 3
- Стоимость закупки и эксплуатации — 1
Индекс проставляется в соответствии с вашей экспертной оценкой, при наличии достаточных обосновывающих факторов.
2-й шаг — определение технических характеристик. Мы для упрощения возьмем группы критериев, приведенные в нашем сравнении выше. Для подсчета в более достоверном варианте можно начать с критериев и подгрупп, при переходе на уровень выше определяя среднее значение. Предлагается, ориентируясь на информацию в таблице, заполнить поля весовыми значениями от 0 до 9, а затем по итогам выставить среднее значение для каждой группы критериев.
Таблица 1. Выставление значений
|
Критерий \ Решение |
NGFW №1 |
NGFW №2 |
NGFW №3 |
| Архитектура решения | 4 | 3 | 4 |
| Функциональные особенности | 3 | 4 | 4 |
| Соответствие направлению импортозамещения | 4 | 4 | 3 |
| Интеграционные возможности | 4 | 4 | 4 |
| Дополнительные критерии | 4 | 4 | 4 |
Для нас основным показателем будет связь критерия и потребности:
- Сильная связь — умножаем значение критерия на индекс значимости, разделенный на 100.
- Средняя связь — умножаем значение критерия на индекс значимости, разделенный на 200.
- При отсутствии связи между критерием и потребностью — проставляется 0.
Итак, попробуем применить полученные значения критериев (Таблица 1) относительно наших потребностей, определенных выше.
Таблица 2. Оценка значимости критериев
|
Критерий \ потребность |
Простота установки (0,9) |
Импортозамещение (0,7) |
Простота использования (0,5) |
Оперативность реагирования (0,3) |
Стоимость закупки и эксплуатации (0,1) |
| Архитектура решения | 3,6 | 0 | 2 | 0 | 0,4 |
| Функциональные особенности | 0 | 0 | 1,5 | 0,9 | 0,3 |
| Соответствие направлению импортозамещения | 0 | 2,8 | 0 | 0 | 0 |
| Интеграционные возможности | 3,6 | 2,8 | 2 | 1,2 | 0 |
| Дополнительные критерии | 3,6 | 2,8 | 0 | 0 | 0,4 |
| ИТОГО | 10,8 | 8,4 | 5,5 | 2,1 | 1,1 |
При таком расчете можно определить предпочтительное решение простой подстановкой значений из таблицы 1 в таблицу 2. При этом, если показатели систем различаются незначительно (как в рассматриваемом случае), то итоговое значение будет наглядным. Поэкспериментировав на наших умозрительных данных, получаем таблицу 3.
Таблица 3. Результаты выбора
|
NGFW №1 |
NGFW №2 |
NGFW №3 |
| 27,9 | 27,3 | 28,1 |
Таким образом, учитывая определенные нами цели, стратегию компании и оценку критичности влияющих факторов, можно отдать предпочтение наиболее подходящему нам NGFW — №3.
Выводы
На этапе подготовки данного детального сравнения многофункциональных шлюзов безопасности мы не ставили перед собой задачу выявить лидера. Основная цель была иной: помочь организациям понять объём функциональности, поддерживаемой современными решениями класса NGFW/USG, а также предоставить возможность компаниям, которые ознакомились с представленными нами критериями оценки и результатами сравнения, самостоятельно решить, какой из рассмотренных продуктов, с каким функциональным наполнением, какого именно вендора наиболее подходит для закрытия их насущных потребностей. Это даёт нам право предположить, что данное сравнение будет отличным источником информации для составления актуальных списков ожиданий, позволит проводить внутренние сравнительные анализы, эффективные пилоты и в итоге поможет прийти к правильному выбору нужного инструмента.
Понимая интерес и важность получения полной картины предложений на рынке решений многофункциональных шлюзов безопасности, мы опубликовали вторую часть данного обзора, где проведено сравнение решений данного класса от производителей, не попавших в первую часть сравнения. Также можете ознакомиться с методикой выбора оптимального средства защиты информации.
Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:
Денис Батранков, Консультант по информационной безопасности, Palo Alto Networks
Михаил Кадер, Заслуженный инженер, Cisco Systems
Михаил Текунов, Технический архитектор, "Северсталь-инфоком"
Никита Дуров, Технический директор представительства, Check Point Software Technologies в России
Сергей Забула, Руководитель группы консультантов ИБ, Check Point Technologies в России
Алексей Андрияшин, Технический директор в России и странах СНГ, Fortinet
Михаил Шпак, Технический директор департамента корпоративных сетевых решений, Huawei
Алмаз Мазитов, Менеджер по продуктам безопасности, Huawei
Павел Коростелев, Руководитель отдела продвижения продуктов, "Код Безопасности"
Вадим Плесский, менеджер по маркетингу, Usergate
...
и еще 160 активным и не очень участникам открытой группы Сравнение NGFW.
Полезные ссылки:
