Сравнение универсальных шлюзов безопасности USG, часть 2 (UTM или NGFW - Next-Generation Firewall)

Сравнение универсальных шлюзов безопасности USG (NGFW). Часть 2

Сравнение универсальных шлюзов безопасности USG (NGFW). Часть 2

Продолжение первого публичного сравнения популярных на российском рынке отечественных и зарубежных многофункциональных шлюзов безопасности USG (Unified Security Gateway), имеющих в основе межсетевой экран следующего поколения NGFW (Next Generation Firewall), по 191 критерию. Во второй части сравнения участвуют комплексы Juniper SRX, Zyxel ZyWall ATP, Ideco UTM, Traffic Inspector Next Generation, «Интернет Контроль Сервер» и Diamond VPN/FW. Исследование призвано помочь корпоративным заказчикам выбрать наиболее подходящий им продукт.

 

 

  1. Введение
  2. Методология сравнения
  3. Сравнение универсальных шлюзов безопасности USG (NGFW)
    1. 3.1. Общие сведения
    2. 3.2. Архитектура решения
    3. 3.3. Функции межсетевого экранирования
    4. 3.4. Создание виртуальных сетей VPN
    5. 3.5. Поддержка сетевых сервисов
    6. 3.6. Функции прокси-сервера
    7. 3.7. Основные функции NGFW 
    8. 3.8. Дополнительные функции NGFW
    9. 3.9. Аутентификация
    10. 3.10. Высокая доступность и кластеризация
    11. 3.11. Централизованное управление
    12. 3.12. Мониторинг работы и система отчетности
    13. 3.13. Возможности интеграции
    14. 3.14. Техническая поддержка
    15. 3.15. Лицензирование
  4. Выводы

 

Введение

После того как вышла первая часть сравнения многофункциональных шлюзов безопасности (USG), мы получили много отзывов и пожеланий по её дополнению. Основываясь на них, мы решили организовать вторую часть исследования, в которой сравнили ещё шесть российских и зарубежных многофункциональных шлюзов безопасности, обладающих спектром возможностей, характерных для межсетевых экранов нового поколения (NGFW).

Напомним, что для объединения этих трёх аббревиатур под общим заголовком есть основания. На текущий момент сложилась ситуация, в которой они почти тождественны: всякий современный продукт класса UTM/USG содержит модуль NGFW как замену традиционного брандмауэра организации, а те разработки, которые вышли на рынок в качестве NGFW, приобрели дополнительные функции, обычно свойственные UTM/USG.

Номенклатура функциональных возможностей — особая тема для обсуждения. Идеология унифицированной борьбы с угрозами обусловила тот факт, что исторически UTM/USG рассматривались как решения, построенные по принципу «всё в одном». Бизнес разного уровня, начиная со среднего, хотел получить устройство, которое предлагало бы как можно больше механизмов защиты одновременно. Поэтому идеальный продукт такого рода максимально универсален и может заниматься чем угодно — от стандартных задач брандмауэра (блокировка сетевых атак и предотвращение вторжений) до киберразведки и предотвращения утечек информации.

Многообразие функций в одном корпусе приводит не только к очевидной выгоде, но и к затруднениям при выборе конкретного продукта. Именно этим было изначально продиктовано наше решение осуществить первое сравнение разработок класса NGFW/USG. 

 

Методология сравнения

Поскольку это — вторая часть сравнения NGFW/USG, в ней используются те же самые критерии, что были сформулированы нами ранее. Соответственно, любой продукт из второй части исследования можно беспрепятственно сопоставлять с участниками первой. Вновь отметим, что список критериев является результатом сбора всех имеющихся на рынке публичных и закрытых наработок вендоров, а также требований, часто используемых заказчиками. Мы изучили огромное количество запросов предложений (RFP) и запросов информации (RFI), находящихся в открытом доступе, а также обсудили сформулированные критерии с рабочей группой экспертов.

Характеристики, по которым сопоставляются рассматриваемые решения, можно разделить на две группы: общие и специальные. В первый раздел входят описательные данные, такие как информация о компании-изготовителе, перечень имеющихся у продукта сертификатов и указание на особенности процедур импорта, сведения о возможности выполнить требования российских регуляторов, архитектурная специфика, разновидности предоставляемой клиенту технической поддержки, условия лицензий и т.п. В свою очередь, группа специальных возможностей включает основные и дополнительные функции межсетевого экрана нового поколения, поддержку сетевых сервисов, возможности создания защищённых каналов связи по технологии VPN и некоторые другие. Подробный список критериев сравнения приведён далее.

  1. Общие сведения
  2. Архитектура решений
  3. Поддержка сетевых сервисов
  4. Основные функции безопасности NGFW
    1. Функции межсетевого экрана
    2. Система обнаружения/предотвращения вторжений (IDS/IPS)
    3. Контроль приложений (Application Control)
    4. Защита от DDoS-атак
    5. Антивирусная защита (Anti-Virus)
    6. Антибот-защита (Anti-Bot)
    7. Защита почтового трафика (безопасность почты, антиспам)
    8. Веб-фильтрация
    9. Обнаружение утечек информации (DLP)
    10. Threat Intelligence
    11. Песочница (Sandbox)
  5. Создание виртуальных частных сетей VPN
  6. Функции прокси-сервера
  7. Дополнительные функции NGFW
  8. Аутентификация
  9. Высокая доступность и кластеризация
  10. Возможности централизованного управления
  11. Мониторинг работы и система отчётности
  12. Возможности интеграции
  13. Техническая поддержка
  14. Лицензирование

Принципы отбора участников также не изменились: в сравнении участвуют популярные на российском рынке разработки отечественных и зарубежных производителей.

Зарубежные продукты:

  1. Juniper SRX (Juniper Networks Inc.);
  2. Zyxel ZyWall ATP (Zyxel Communications Сorporation).

Российские продукты:

  1. Ideco UTM (ООО «Айдеко»);
  2. Traffic Inspector Next Generation (ООО «Смарт-Софт»);
  3. «Интернет Контроль Сервер» (ООО «А-Реал Консалтинг»);
  4. Diamond VPN/FW (ООО «ТСС»).

Напомним, что принцип нашего сравнения заключается в перечислении фактов о каждом из участвующих решений согласно критериям, которые указаны выше. Соответственно, мы берём определённый продукт в отдельности и смотрим, что можно сказать о нём по каждому из параметров, после чего результаты сводятся в единую таблицу.

 

Сравнение универсальных шлюзов безопасности USG (NGFW)

Общие сведения

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
Компания Juniper Networks Inc. Zyxel Communications Сorporation ООО «Айдеко» ООО «Смарт-Софт» ООО «А-Реал Консалтинг» ООО «ТСС»
Веб-сайт juniper.net zyxel.ru ideco.ru smart-soft.ru xserver.a-real.ru tssltd.ru
Штаб-квартира Саннивейл, США Синьчжу, Тайвань Екатеринбург, Россия Коломна, Россия Ярославль, Россия Москва, Россия
Полное название системы Межсетевой экран следующего поколения Juniper SRX Zyxel ZyWall ATP Универсальный шлюз безопасности Ideco UTM Универсальный шлюз безопасности (UTM) и система обнаружения (предотвращения) вторжений Traffic Inspector Next Generation Программный межсетевой экран «Интернет Контроль Сервер» Программно-аппаратный комплекс Diamond VPN/FW
Сравниваемая линейка продуктов (модели, версии ОС) Juniper SRX на Junos 19.4 (аппаратные модели от SRX300 до SRX5800, виртуальные vSRX, cSRX) Серия ZyWALL ATP (ATP100/200/500/800) v4.35 Ideco UTM 7.9 Версия 1.5.0. Аппаратные платформы S100, S500, M1000, L1000 ИКС 7.0 Diamond VPN/FW 1101, 2111, 3101, 410x, 51xx, 6101,71xx, 8101, 9101, NCC 5115 на базе Diamond UTM, v.3.21.0.4 для программно-аппаратных платформ. Аппаратная платформа шифрования Dcrypt XG
Целевой сегмент Малый, средний и крупный бизнес, государственный сектор Малый и средний бизнес Малый, средний и крупный бизнес, государственный сектор Малый, средний и крупный бизнес, государственный сектор Малый, средний и крупный бизнес, государственный сектор Крупный бизнес, государственный сектор
Сертификаты Нет Сертификат соответствия ЕАС № RU C-TW.АУ05.В.03206 (до 04.12.2020) Нет, планируется получение сертификата ФСТЭК по требованиям к межсетевым экранам типа «А» и «Б» пятого класса Сертификат ФСТЭК России № 3834, срок действия до 4 декабря 2020 г. по профилю МЭ типа класса защиты А4 и Б4 (только для версии 1.0.2) Нет, ожидается получение сертификатов ФСТЭК России по профилю МЭ классов защиты А4 и Б4 Сертификат ФСТЭК России №4066 сроком действия до 24 января 2024 г. по профилям СОВ и МЭ «А», «Б», «В» четвёртого класса защиты. Сертификаты ФСБ России на СКЗИ Dcrypt 1.0v2 №СФ/124-3517/3518/3519 до 08 ноября 2021 г., №СФ/124-3644/3645/3646 до 12 марта 2022 г.
Процедура ввоза оборудования в РФ Лицензия Минпромторга. Ввоз по нотификации в процессе оформления Нотификация Продукт производится в России. Регламентация процедуры ввоза не требуется Продукт производится в России. Регламентация процедуры ввоза не требуется Продукт производится в России. Регламентация процедуры ввоза не требуется Продукт производится в России. Регламентация процедуры ввоза не требуется
Локальное производство в РФ Нет Нет Екатеринбург — разработка ПО и сигнатур, аппаратные платформы производства Depo, Aquarius Программное обеспечение, аппаратная часть моделей S500, M1000 и L1000 Программное обеспечение, аппаратная часть не поставляется вендором Сборка и производство программного обеспечения осуществляются в РФ
Дополнительные профессиональные сервисы Проведение обследований, консалтинг, разработка, внедрение и сопровождение проектов, разработка архитектуры и низкоуровневого дизайна сети, внедрение и сопровождение инсталляций оборудования, сопровождение кейсов заказчика Проектирование, настройка, миграция с других решений, обучающие курсы Техническая и presale-поддержка, сервис внедрения «под ключ», «удалённый помощник» для технической поддержки, открытый форум сообщества пользователей Техническая поддержка, индивидуализация продукта под требования заказчика, консалтинг при проектировании интегрированных систем в комплексных проектах Проектирование, установка, настройка, миграция с других решений, обучающие курсы Анализ инфраструктуры и аудит безопасности, разработка проекта, шеф-монтаж, настройка, техническая поддержка эксплуатации оборудования, гарантийное обслуживание, обучающие курсы
Поддерживаемые языки интерфейса Английский Русский, английский, немецкий, французский, испанский, турецкий, китайский, польский, португальский Русский Русский, английский Русский, английский Русский, английский
Cоответствие требованиям ФЗ-187 «О безопасности критической информационной инфраструктуры РФ» Удовлетворяет требованиям приказа ФСТЭК России №235 в части используемых средств защиты объектов КИИ и выполняет часть мер, перечисленных в приказе ФСТЭК России №239 Выполняет часть мер, перечисленных в приказе ФСТЭК России №239 Выполняет часть мер, перечисленных в приказе ФСТЭК России №239 Может являться источником событий информационной безопасности для средств обработки и сбора информации о кибератаках, которые в свою очередь передают полученные данные в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) Выполняет часть мер, перечисленных в приказе ФСТЭК №239 Выполняет часть мер, перечисленных в приказе ФСТЭК России №235 в части используемых средств защиты объектов КИИ, а также перечисленных в приказе ФСТЭК России №239
Секторы экономики, в которых выполнены внедрения Операторы связи, государственный сектор, здравоохранение, образование, ритейл, финансовые организации, нефтегазовая промышленность, энергетика, коммерческие ЦОД Ритейл, промышленность, фармацевтика, медицинские центры, логистика, финансовые организации, региональные и федеральные органы власти, страховые компании Государственные структуры, учебные заведения, средний и малый бизнес Госсектор, образование, здравоохранение, промышленность, энергетика, авионика, наноэлектроника и фотоника, индустрия гостеприимства и развлечений Государственные структуры, учебные заведения, средний и малый бизнес Финансовый сектор, телекоммуникации, транспорт, энергетика, медицина, госсектор
Крупнейшее из известных внедрений Предоставляется по запросу Предоставляется по запросу Мостотрест, ФТС России, «Вертолёты России», ЦНИИмаш МАУ «ТВ Мытищи» НКО «ИНКАХРАН» (АО), ОАО «Авиационная корпорация «Рубин», МФЦ Калуга, Госфильмофонд России АО «Гринатом», ФГУП «Госкорпорация по ОрВД», Центральный банк РФ

 

Архитектура решения

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
Поддерживаемые варианты исполнения Аппаратное, виртуальное, контейнерное Аппаратное Аппаратное, виртуальное Аппаратное, виртуальное Аппаратное, виртуальное Аппаратное, виртуальное
Поддерживаемые платформы при виртуальном исполнении VMware ESXi, KVM, Nutanix, Microsoft Hyper-V, OpenStack, Contrail, Amazon Web Services, Microsoft Azure, Google Cloud, Docker, Kubernetes Нет VMware, Microsoft Hyper-V, VirtualBox, KVM, Citrix XenServer Hyper-V, VirtualBox, VMware, KVM VMware, VirtualBox, Hyper-V, KVM, Proxmox, XEN KVM, VMware ESXi, Amazon Web Services, Google Cloud
Поддерживаемые физические и сетевые интерфейсы 10/100/1000Base-T RJ45, 10GBase-X SFP+, 40GBase-X QSFP+, 100GBase-X QSFP28, WAN Serial (TIA/EIA 530, V.35, X.21, RS-232, RS-449), VDSL2 Annex A, LTE, WiFi, Out-of-band 10/100/1000Base-T RJ management, RJ45 Console, USB console 10/100/1000Base-T RJ45, 1G SFP, Console port DB9 Ethernet, FiberChannel Ethernet, сетевой мост, PPP, VPN, VLAN Все устройства с поддержкой FreeBSD 11.3 10/100/1000/10GBase-TRJ45, 1G/10G SFP/SFP+, 40G QSFP+, 100G QSFP28, Console port RJ45, Management port RJ45, Fibre Channel over Ethernet, 10x10G (разработка, август 2020 г.)
Поддерживаемые логические интерфейсы SecureWire (L1), L2, L3, Integrated routing and bridging, VLAN (802.1Q, QinQ), subinterface, logical tunnel, GRE, IPIP, SecureTunnel (VPN), Tap, PPPoE, Aggregated Ethernet (Link aggregation), Redundand Ethernet, Loopback Alias, VLAN, Bridge, 6in4 tunnel, PPPoE, PPTP, L2TP, Tunnel (IPsec / GRE / SSL), VTI, Cellular Ethernet, VLAN Мост, туннели TUN, TAP, GRE, GIF, агрегация LAGG, VLAN, PPP L1, L2, L3, Loopback, Tunnel (IPsec / GRE / IP-IP), VLAN VLAN (802.1Q), 802.1ad (QinQ), Bridge, Link-aggregation (bond), Tunnel-интерфейсы (IPsec / GRE / IP-IP / VXLAN / IPv6-IPv6)
Используемая операционная система Собственная операционная система JunOS на основе FreeBSD Собственная операционная система ZLD (специализированная сборка Linux) Linux CentOS FreeBSD FreeBSD Linux
Модули решения Firewall, Application Identification & Control, User Firewall, Device Identity Firewall, URL Filtering, Anti-Virus, Anti-Spam, Anti-Phishing, Content Filtering, Intrusion Prevention System, Threat Intelligence & Anti-Bot, Advanced Anti-Malware, DLP ICAP Redirect, DOS & DDOS Protection, SSL Proxy, GPRS, GTP & SCTP Inspection, Remote Access VPN, IPsec VPN, ALG, Chassis Cluster, Logical System & Tenant System, Routing, MPLS, QoS, Application QoS, Policy (L2-L4) Based Routing, Application Based Routing, URL Based Routing, DHCP Based Routing, Application Quality of Experience, On-Box Logging & Reporting Межсетевой экран, контентная фильтрация, VPN-сервер, IPS/IDS, антивирусная защита, песочница, репутационный фильтр, защита почтового трафика, балансировщик, shaper, защита от DoS, веб-портал (SSL VPN), контроль приложений L7; SecuReporter — внешний сервер сбора и анализа журналов; SecuManager — внешний сервер центрального управления удалёнными устройствами Антивирус Касперского, антиспам Касперского, контроль приложений, предотвращение вторжений, контент-фильтр Модуль аутентификации, Captive Portal, VPN, сетевой экран, антивирус, система обнаружения вторжений, сканер безопасности, веб-прокси сервер Межсетевой экран, IDS/IPS Suricata, Web Application Firewall, Anti-Virus, Anti-Spam, HTTPS-фильтрация, NAT, VLAN и DMZ, GRE / IPIP / OpenVPN-туннели с IPsec / PSK-шифрованием, утилита xauth, fail2ban, VPN, почтовый, файловый, FTP, прокси-, веб-, jabber-серверы, модуль IP-телефонии VPN, Firewall, отказоустойчивый кластер, IDS/IPS (система обнаружения / предотвращения вторжений), отдельное программно-аппаратное решение — Diamond NCC, модуль динамической маршрутизации, модуль синхронизации правил фильтрации и др.
Поддержка развёртывания в публичном облаке Да (Amazon Web Services, Microsoft Azure, Google Cloud) Нет Нет Нет Нет Да (Amazon Web Services, Google Cloud)
Контроль работоспособности Да (CLI, WebUI, REST API, XML API, Python/SLAX/XSLT scripts, SNMP, Netcong, Junos Telemetry Interface, Juniper Extention Toolkit, система управления Junos Space Security Director) Да (отчёты, уведомления по почте, оперативные уведомления в графическом интерфейсе, SNMP, Syslog) Да (SNMP, Zabbix-агент) Да (Monit, Zabbix-агент) Да, внутренний мониторинг сервисов Да (встроенные журналы событий, Syslog, SNMP, настраиваемые уведомления через SMTP-сервер. Управление через решение Diamond NCC)
Поддерживаемые варианты масштабирования производительности для аппаратного и виртуального исполнения Масштабирование путём добавления сервисных карт SPC (Services Processing Card) для SRX5000-серии, аппаратно — до 2 Тбит/с, виртуально — до 90 Гбит/с (сетевой экран) и 110 Гбит/с (маршрутизатор) Модельный ряд поддерживает скорости до 8 Гб/с Нет Масштабируется за счет использования встроенного HAProxy Нет Аппаратный шифратор — Dcrypt XG. Шасси 1U, 2U и 3U масштабируются за счёт добавления модулей расширения Diamond HEM (PCI-Ex16) до 16 портов по 100 Гбит/c Full Duplex. Модули расширения для 6 и 7 серий — максимально 2x40G QSFP+ интерфейса на слот.
Реализация аппаратного ускорения (если применимо) Да, в зависимости от платформы. Специализированные аппаратные модули ускорения SPC/MPC (Services Processing Cards, Network Processors), FPGA + ASIC + x86, FPGA + x86, криптоускорители Да, специализированные аппаратные модули ускорения VPN Нет Нет Нет Да, аппаратный криптоускоритель Dcrypt XG. Позволяет обеспечивать защиту каналов связи Ethernet на скорости 100 Гбит/с Full Duplex (возможно горизонтальное масштабирование).

 

Функции межсетевого экранирования

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
Статическая трансляция сетевых адресов SNAT (Static Network Address Translation) Да Да Да Да Да Да
Динамическая трансляция сетевых адресов DNAT (Dynamic Network Address Translation) Да Да Да Да Да Да
Варианты поддержки трансляции сетевых адресов Static, source/destination NAT, PAT, persistent, full cone, CGNAT, deterministic, NAT hairpinning, поддержка IPv4/v6, NAT64, NAT46, DS-Lite, STUN, двунаправленный NAT, NAT для Logical System & Tenant System, NAT для GPRS, NAT для multicast, NAT-Traversal, InterVRF NAT Source IP address based NAT, Destination IP address based NAT, NAT No-PAT, NAPT, NAT ALG, NAT64, NAT over IPsec DNAT, SNAT Переадресация портов, One-to-One, Исходящий, NPTv6 NAT, NAT с PAT, Static PAT Source NAT / PAT, Static NAT, Masquerading; Destination NAT (DNAT), Port Forwarding, Redirect. Режимы: NAT44, NAT64, NAT66 (будет с nftables v0.9.1)
Поддержка технологии SPI (Stateful Packet Inspection) Да Да Да Да Да Да, по умолчанию NAT в режиме Stateful (connection tracking включён)
Политики контроля по зонам Да Да Да Нет Нет Да
Политики контроля на основе интерфейсов Да, при условии создания зоны безопасности для интерфейса Да Да Да Да Да
Управление полосой пропускания Да Да Да Да Да Да
Двунаправленная поддержка DSCP Да Да Нет Да Нет Да
Поддержка IEEE 802.1p Да Нет Да Да Нет Да
Поддержка политик на основе identity (user-based политики) Да, в том числе на основе user-group Да Да Нет Да Нет
Многоадресная передача (Multicast) Да (IGMP v1/v2/v3, PIM-SM/DM/SSM/BSR, SDP, SAP, DMVRP, MSDP, MLD snooping, MPLS NG-MVPN, multicast over GRE, multicast в IPsec VPN в т.ч. для точка-многоточка (AVPN) и auto full-mesh VPN (ADVPN)) Да, IGMP v1/2/3 Нет Нет Да, IGMP v1/2/3 Да, средствами Quagga (Internet Group Management Protocol (IGMP v1/2/3), Protocol Independent Multicast (PIM), только PIM-SSM)
Качество обслуживания (QoS) Да (802.1p, IP precedence, DSCP, Weighted Random Early Drop (WRED), Hierarchical shaping & policing, CoS для IPsec VPN Да Нет Да Да Да, на базе утилиты tc из стандартного пакета iproute2 (классовая дисциплина HTB и другие)

 

Создание виртуальных сетей VPN

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
IPsec VPN (клиентский VPN) Да Да Да Да Да Да (отдельное, несертифицированное решение)
Поддержка конфигурации site-to site VPN — Route-based IPsec tunnel Да Да Да Да Да Да (отдельное, несертифицированное решение)
Поддержка конфигурации site-to site VPN — Policy-based IPsec tunnel Да Да Да Нет Нет Нет
IPsec VPN client Да (Windows, macOS, Android, iOS) Да, поддержка встроенных в ОС VPN-клиентов (Embedded IKEv2 VPN Client) и платный клиент Zyxel IPSec VPN для Windows Да Да Да Нет
IPsec VPN с поддержкой ГОСТ Нет Нет Нет Нет Нет Нет
Алгоритмы шифрования DES, 3DES, AES-128/192/256-GCM DES, 3DES, AES128/192/256 AES256 AES-128 /192/256-GCM, Camellia, Blowfish, 3DES, CAST128, DES AES-128/192/256-CBC/CFB/CFB1/CFB8/GCM/OFB, CAMELLIA-128/192/256-CBC/CFB/CFB1/CFB8/OFB, SEED-CBC/CFB/OFB ГОСТ 28147-89 Алгоритм криптографического преобразования (с учетом рекомендаций), ГОСТ Р34.12-2015 («Магма»), ГОСТ Р34.13-2015 (отдельное несертифицированное решение для использования AES, DES, 3DES)
Алгоритмы хеширования MD5, SHA1-96, SHA-256, SHA-384, SHA-512 MD5, SHA-1, SHA-256, SHA-512 MD5, SHA-256 MD5, SHA1, SHA256, SHA384, SHA512, AES-XCBC MD5, RSA-MD5, SHA, RSA-SHA, SHA1, RSA-SHA1, DSA-SHA, DSA-SHA1, MDC2, RSA-MDC2, DSA, RIPEMD160, RSA-RIPEMD160, MD4, RSA-MD4, ecdsa-with, RSA-SHA256, RSA-SHA384, RSA-SHA512, RSA, SHA224, SHA256, SHA384, SHA512, SHA224, whirlpool ГОСТ Р 34.11-2012 Функция хэширования (отдельное, несертифицированное решение)
Поддержка протокола Internet Key Exchange Да (IKEv1, IKEv2) Да (IKEv1, IKEv2) Да Да Да (IKEv1, IKEv2) Да, IKEv2 (отдельное несертифицированное решение)
Поддержка протокола L2TP Нет Да Да Да Да Нет
Поддержка протокола PPTP Да Да Да Да Да Нет
Собственная реализация VPN-туннеля Нет Нет Нет Нет Нет Да, на базе протокола DTLS (отдельное несертифицированное решение)
SSL VPN (бесклиентский VPN) Нет Да Да Нет Нет Нет, реализация собственного бесклиентского VPN в планах на конец 2020 г.
SSL VPN client Да (Windows, macOS, Android, iOS) Да (Windows и macOS) Нет Нет Нет Нет, но есть альтернативный VPN-клиент для Windows XP, 7 и 10, Linux
ГОСТ SSL VPN Нет Нет Нет Да Нет Нет
SSL VPN-портал (публикуемые приложения) Нет Да Нет Нет Нет Нет

 

Поддержка сетевых сервисов

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
Туннелирование трафика (Tunneling) IPsec VPN site-to-site, GRE IPv4/IPv6, GRE over IPsec, MPLS over GRE over IPsec, SSL VPN, GTPv1/v2, IP-IP, PPTP, 802.1Q (в т.ч. QinQ) IPsec, L2TP, L2TP over IPsec, PPTP, PPPoE, GRE, GRE over IPsec, SSL VPN L2TP/IPsec, IPsec IKEv2, PPTP, OpenVPN, SSTP GRE, PPTP, PPPoE, OpenVPN, IPsec, WireGuard GRE, IPIP, IPsec site-to-site Специализированное решение: DTLS VPN Tunnel, IPsec site-to-site VPN (отдельное решение), GRE, QinQ, VLAN Tagging
Маршрутизация (Routing) Да Да Да Да Да Да
Статическая маршрутизация Да, многоадресная маршрутизация IPv4 и IPv6 Да, статическая маршрутизация IPv4 и IPv6 Да, статическая маршрутизация IPv4 Да, статическая маршрутизация IPv4 и IPv6 Да, статическая маршрутизация IPv4 Да, статическая маршрутизация IPv4 и IPv6, многоадресная
Динамическая маршрутизация Да (RIP и RIPng, OSPF и OSPFv3, BGP для IPv4/IPv6, MP-BGP, IGMP, MPLS L2 VPN, L3 VPN, VPLS, MPLS Fast Reroute, RSVP, RSVP-TE, LDP, PIMv4/PIMv6, OSPF/ISIS/BGP/PIM graceful restart) Да (RIP, OSPF, BGP) Нет Да (BGP, IS-IS, LDP, OSPF, RIP) Нет Да (RIP v2 и v3, OSPFv2 и v3, BGP для IPv4 и IPv6, MP-BGP, IS-IS, L3 VPN, PIM-SSM, L2 VPN)
Маршрутизация на основе политик Да Да Нет Да Да Да, средствами nftables (policy routing selectors)
Поддержка функции выделения в контексте устройства логических устройств – виртуальных маршрутизаторов Да Нет Нет Нет Нет Нет
Маршрутизация трафика различных приложений по различным маршрутам передачи данных Да Нет Нет Да Нет Да (средствами Quagga, iproute2)
Маршрутизация трафика различных URL-запросов по различным маршрутам передачи данных Да Нет Нет Да Нет Да, средствами iproute2
Layer 4 load balancing Да Нет Да Да Да Нет
Layer 7 load balancing Да Нет Нет Нет Нет Нет
Поддержка функций VoIP Да (H.323, H.323 Avaya, RTSP, SIP, MGCP, SCCP, SCCP v20, SIP NEC) Да, SIP/H.323 ALG Нет Нет Да (поддержка АТС, SIP PBX) Нет

 

Функции прокси (Proxy)

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
DNS-прокси Да Да Да Да Да Да, кеширование DNS
HTTP-прокси Да (прозрачный прокси HTTP, HTTPS; HTTP/2 в разработке) Да, HTTP Да Да (HTTP, HTTP/2.0) Да (HTTP, HTTP/2.0 не полностью) Да (HTTP/1.0, HTTPS)
SMTP-шлюз Нет, потоковый анализ SMTP(S) Нет Да Да Да Нет, только SMTP-клиент для рассылки уведомлений
Поддержка ICAP Да Нет Да Да Да Нет
Поддержка кеширования Нет Нет Да Да Да Да
Поддержка прозрачного режима работы Да Да Да Да Да Да
Поддержка работы X-forward IP Да Нет Да Да Да Нет
Поддержка технологии обратного прокси (Reverse proxy) Да Нет Да Да Да Да
Поддержка DHCP relay Да Да Нет Да Нет Да

 

Основные функции безопасности

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
Поддержка глубокого пакетного анализа (Deep Packet Inspection, DPI) Да Да Да Да Да, реализация на основе библиотеки nDPI Да
Поддержка расшифрования входящего и исходящего трафика по протоколу SSL/TLS Да, SSL-forward proxy и SSL-reverse proxy Да, MITM Да Да Да, в HTTP-прокси Нет, используется собственный протокол открытого распределения ключей на базе DTLS
Поддержка формирования исключений из инспекции трафика SSL/TLS Да, по категориям (URL, IP, FQDN), по URL, IPv4/v6-адресам, по FQDN, в т.ч. с использованием wildcards Да, по URL Да Да Да Нет
Возможность расшифрования протокола TLS 1.2 Да, MITM с подменой сертификата Да, MITM с подменой сертификата Да, метод SSL Bump Да, метод SSL Bump Да, MITM с подменой сертификата Нет
Возможность расшифрования протокола TLS 1.3 Нет (в разработке, принудительный переход на TLS 1.2) Нет (в разработке, принудительный переход на TLS 1.2) Нет Нет Нет, только принудительный переход на TLS 1.2 Нет
Возможность расшифрования протокола SSH Нет, в разработке Нет Нет Нет Нет Нет
Поддержка поведенческого анализа Да (в модулях IPS, AV, APT; в разработке в модуле Threat Profiling) Да (в модуле Sandboxing) Да (в модулях IPS, AV (Антивируса Касперского)) Нет Нет Да, средствами IPS Suricata
Встроенная корреляция событий Да, в Junos Secure Analytics Да Нет Нет Нет Да
Система обнаружения/предотвращения вторжений (IDS/IPS) Да, модуль IPS с собственными сигнатурами Да, модуль IDP Да, IPS/IDS Suricata Да, IPS/IDS Suricata Да, IPS/IDS Suricata Да, имеются режимы IPS и IDS
Поддержка формирования исключений для сигнатур Да (для правила фильтрации включается профиль IPS, в котором можно более гранулярно детализировать, какая именно часть трафика, разрешенного правилом фильтрации, должна быть проинспектирована IPS) Да Да Нет Нет Да, глобальные исключения
Поддержка написания собственных сигнатур Да, в собственном открытом формате Да Нет Да Нет Да
Поддержка возможности индивидуализации сигнатур Да Да Нет Нет Нет Да
Поддержка набора IPS-сигнатур для SCADA Да Нет Нет Нет Нет Нет
Поддержка возможности импорта сторонних сигнатур Да, в формате SNORT Да, в формате SNORT Нет Да (в формате Suricata, SNORT) Да (в формате Suricata, SNORT) Да (в формате Suricata, SNORT)
Поддержка автоматического сбора дампа трафика при срабатывании сигнатуры для последующего анализа Да Нет Нет Нет Нет Да, автоматически создаются PCAP-файлы
Поддержка автоматического применения новых сигнатур после обновления Да Да Да Да Да Да
Поддержка уведомлений, отправка отчётов Да Да Нет Нет Да Да
Противодействие известным методам обхода сигнатурного анализа Да (в том числе дефрагментация, упорядочивание пакетов, нормализация, декодирование и определение аномалий транспортных и прикладных протоколов, сборка сообщений в потоки, разбор сообщений на контексты; противодействие, среди прочего, HTTP Evasions, HTTPS Evasions, IPv4/v6 Packet Fragmentation/TCP Segmentation, TCP Split Handshake, HTTP compression, Payload padding, HTML Evasions, RPC Fragmentation, URL Obfuscation, FTP/Telnet Evasion и комбинациям нескольких техник обхода) Да (Packet Fragmentation/Segmentation, Obfuscation, Evasions, Split Handshake, Attacks on nonstandard ports) Нет Нет Нет Да (например, противодействие эксплуатации «медленных» сигнатур)
Контроль приложений (Application Control) Да, модуль Application Security Да, AppPatrol Да, nDPI Да, nDPI Да, реализация на основе библиотеки nDPI Да (частично IDS/IPS, а также Diamond ACS (Access Control Security) как отдельное сертифицированное решение)
Контроль доступа (блокирование / разрешение, отслеживание) на основе распознаваемых сетевых приложений Да (разрешение, блокировка, отслеживание; более 4200 приложений; поддержка микроприложений) Да Да, 250 приложений Да (по протоколам HTTP, FTP, DNS, DHCP, SMTP) Да (все протоколы, распознаваемые nDPI) Да (Tor, чат-сервисы, сетевые игры)
Возможность блокирования нераспознанных приложений Да Да Нет Нет Нет Да, сигнатуры обнаружения странного поведения
Возможность контроля доступа по категориям / группам приложений Да, в том числе создание собственных групп Да Нет Нет Нет Да
Обнаружение протоколов на нестандартных портах Да, также возможно разрешить одним правилом работу приложений только по их стандартным портам Да Да Да Да Да
Наличие открытой базы приложений Да, портал Juniper Security Intelligence Да Да Нет Да Да, можно использовать открытые базы CiArmy.com и Dshield
Обнаружение российских приложений Да (ВКонтакте, Яндекс, Одноклассники, Mail.ru, Telegram, Антивирус Касперского, Avito, Kinogo, Torrentino, RuTracker и др.) Да (ВКонтакте, Одноклассники и т.д.) Да (Вконтакте, одноклассники, платные сайты мобильных операторов РФ, приложения mail.ru) Нет Нет Нет
Создание сигнатур собственных приложений L7 Да (через CLI, через WebUI, а также в системе управления Junos Space Security Director) Нет Нет Нет Нет Да, пользовательские сигнатуры могут быть созданы вручную в любом текстовом редакторе. Используется специальный язык определения сигнатур, включающий регулярные выражения и т. п.
Защита от DDoS-атак Да (защита от IP-спуфинга, защита от ICMP-, UDP-, TCP-флуда, функциональность SYN-proxy, SYN-cookie, защита инфраструктуры по числу соединений, защита от аномальных пакетов, сканирований сети (IP/UDP/TCP), блокировка туннелированного трафика; также при помощи специализированного решения Threat Defence Director) Да (обнаружение и защита от SYN-, UDP-, ICMP-флуда, защита от превышения сессий) Да (защита от SYN, ICMP, UDP-флуда, защита с помощью правил Suricata) Нет Да, на основе Suricata Да, на основе Suricata
Антивирусная защита (Anti-virus) Да (Avira, Sophos в SRX, несколько коммерческих и собственное ядро в SkyATP/JATP) Да, BitDefender Antivirus Да, Kaspersky Antivirus Да (ClamAV, Kaspersky Antivirus) Да (ClamAV, Kaspersky Antivirus) Нет
Поддерживаемые протоколы для антивирусной проверки HTTP(S), FTP(S), SMTP(S), POP3(S), IMAP(S), SMB HTTP(S), FTP(S), SMTP(S), POP3(S) HTTP(S), SMTP HTTP, SMTP HTTP, SMTP, POP3, IMAP Нет
Возможность анализа содержимого архивных файлов Да (RAR, ZIP, GZIP, OLE, CAP, MSI, TAR, EML, APK, JAR, ARJ, ACE, BAT, CAB, DMG, ISO и др.) Да (ZIP, RAR) Да (ZIP, RAR, GZIP, JAR, CAB, ACE, ARJ, TAR, TGZ, RPM) Да (ZIP, RAR, ARJ) Да, более 200 архивных форматов Нет
Возможность блокировки передачи определённых типов файлов Да Да Да Да Нет Нет
Антибот-защита (Anti-bot) Да (через модули IPS, Threat Intelligence, Anti-Virus, Application Security, Advanced Anti-Malware Protection, защиту DNS, модуль URL-фильтрации, поведенческий анализ в системе корреляции Juniper Secure Analytics) Да, модуль Botnet Filter Да, модуль IPS Нет Нет Нет
Поддерживаемые методы детектирования и блокировки бот-заражённых машин По репутации C&C, срабатыванию модулей AV, IPS, Advanced Anti-Malware Protection, Application Security, IoC от X-Force feed в Juniper Secure Analytics По IP / URL и репутации По IP / URL и репутации Нет Нет Нет
Блокировка взаимодействия бот-сети с командными серверами (C&C) Да Да (по IP / URL и репутации) Да Нет Нет Да, обнаружение команд управления ботнетом
Анализ и подмена вредоносных DNS-запросов к системам управления бот-сетями (фильтрация DNS-запросов) Да (анализ и блокировка запросов; подмена в разработке) Нет Да Нет Нет Да
Защита почтового трафика (безопасность почты, антиспам) Да (модули Anti-Spam, Anti-Virus, IPS, Advanced Anti-Malware Protection) Да (модуль Email Security) Да (модуль Kaspersky Anti-Spam) Да, использование rspamd Да (SpamAssassin, rspamd, Kaspersky Anti-Spam) Нет
Поддержка собственной базы или интеграции с партнерами Да, внешняя база SBL Да (собственная база и DNSBL) Да, Kaspersky Anti-Spam Да, использование rspamd Да (общедоступные базы для SpamAssassin и rspamd, проприетарные базы Kaspersky  Anti-Spam) Нет
Фильтрация и анализ почтового трафика SMTP, POP3, IMAP Да Да (SMTP и POP3) Да Да, SMTP Да Нет
Проверка ссылок в теле письма Да, средствами Juniper Advanced Threat Prevention Appliance Да Да Да Да Нет
Поддержка проверки вложенных файлов и архивов Да (проверка антивирусом, в песочнице) Да Да Да Да Нет
Поддерживаемые механизмы идентификации спама По спискам спамеров (SBL) По репутации SMTP-заголовков, белый / чёрный список, DNSBL DHSBL, Greylisting, SPF, SURBL, UDS SPF, DKIM, Bayes classifier, Neural network, Greylisting, DNS lists Лингвистический анализ, DMARC, на основе DNS, EASUS, распознавание изображений, чёрные и белые списки IP, фраз и email-адресов Нет
Поддержка блокировки скачивания по типам файлов Да Да Да Да (EXE, DLL, SCR, COM, CMD, JS, BAT, VBS, PS1, CPL, LNK, MSI, MSP, REG) Нет Нет
Веб-фильтрация Да (модуль URL-фильтрации, также могут использоваться модули Application Security и IPS) Да, HTTP / HTTPS-фильтрация Да, контент-фильтр Нет Да (SkyDNS, Kaspersky Web Filter) Да, реализовано в модуле СОВ/СПВ
Cигнатуры веб-фильтрации Используются внешний сервис категоризации, собственные списки URL и категории Собственные и сторонние URL-база SkyDNS, обновление раз в 12 часов Нет Сторонние (Kaspersky, SkyDNS) Собственные правила отслеживания запросов к сайтам
Категории URL-адресов Более 170 категорий и репутация URL (ранг опасности от 0 до 100 с отнесением к пяти категориям риска) 56 категорий + 8 опасных 145 категорий, 500 млн. URL Да, категории NetPolice Более 90 категорий Социальные сети, интернет-магазины, онлайн-игры, путешествия, новости и СМИ; ставки, лотереи, азартные игры; развлечения и отдых; справочные ресурсы; работа и карьера; торговля; авто и мото
Поддержка создания чёрных и белых списков URL-адресов Да Да Да Да Да Нет
Поддержка создания своих категорий Да Нет Да Нет Да Да
Поддержка фильтрации по репутации домена, IP Да Да Нет Нет Да Да
Поддержка возможности блокировки по произвольному списку URL и IP Да Да Да Да Да Да
Поддержка фильтрации с учетом встроенных URL (Embedded URL) Да Нет Да Нет Нет Да
Обнаружение утечек информации (DLP-функциональность) Да, средствами модуля IPS Нет Нет Нет Да Нет
Собственная встроенная функциональность DLP Да, средствами модуля IPS Нет Нет Нет Да Нет
Интеграция с внешними DLP-системами Да, ICAP Нет Да (ICAP) Да, ICAP Нет Нет
Поддерживаемые методы детектирования конфиденциальных данных Регулярные выражения Нет Нет Нет Контрольные суммы, хеши текстовых документов Нет
Используемые способы категоризации / классификации Паттерны конфиденциальных данных (например, номера кредитных карт, идентификационные номера) Нет Нет Нет Сравнение хешей, контрольных сумм Нет
Поддерживаемые типы файлов для анализа Любые типы файлов, которые идут в открытом виде или внутри SSL Нет Нет Нет MS-WORD, PDF, MS-EXCEL, TXT Нет
Поддержка сетевых протоколов Да (HTTP(S), HTTP/2, FTP(S), POP3(S), IMAP(S), SMTP(S), SMB, NFS и др.) Нет Да (HTTP(S), SMTP, SMB, IMAP(S), POP3(S)) Да, HTTP(S) Да (HTTP(S), POP3, IMAP) Нет
Поддержка режима блокировки / логирования Да (блокирование и протоколирование, захват пакетов трафика нарушителя) Нет Нет Нет Да, блокирование и логирование Нет
Threat Intelligence Да (модуль Threat Intelligence; собственная база, сторонние списки (из коробки), например MalwareDomainList, Dshield, Blocklist.de, RansomwareTracker и др.; импорт любых cторонних данных (IP, URL, FQDN, хеши вредоносных объектов) через API и систему управления Junos Space Security Director) Да (Threat Intelligence Machine Learning, собственная база) Нет Нет Нет Нет
Песочница Да (SkyATP/JATP) Да Нет Нет Нет Нет
Поддержка собственной песочницы Да Да Нет Нет Нет Нет
Интеграция со сторонними песочницами Да (при помощи SSL Decrypt Mirroring и ICAP) Нет Нет Нет Нет Нет
Поддерживаемые варианты исполнения Облачная и локальная Локальная Нет Нет Нет Нет
Поддерживаемые операционные системы Windows 7, 10, собственный образ Windows, macOS, Android, Linux в разработке Windows, macOS Нет Нет Нет Нет
Поддержка технологий определения попыток обхода песочницы Да, технология Sandbox Anti-Evasion Нет Нет Нет Нет Нет
Поддержка балансировки нагрузки между несколькими песочницами Да, автоматически Нет Нет Нет Нет Нет
Поддержка протоколов, из которых возможна отправка файлов в песочницу HTTP(S), SMTP(S), IMAP(S), POP3(S), SMB, любой сетевой трафик HTTP(S), SMTP(S), POP3(S), FTP(S) Нет Нет Нет Нет
Поддерживаемые типы файлов .SWF, .XAP, .XBAP, .ZIP, .RAR, .TAR, .GZIP, .C, .CC, .CPP, .CXX, .H, .HTT, .JAVA, .INF, .INI, .LNK, .REG, .PLIST, .CHM, .DOC, .DOCX, .DOTX, .HTA, .HTML, .POT, .PPA, .PPS, .PPT, .PPTSM, .PPTX, .PS, .RTF, .RTF, .TXT, .XLSX, .XML, .XSL, .XSLT, .BIN, .COM, .DAT, .EXE, .MSI, .MSM, .MST, .CLASS, .EAR, .JAR, .WAR, .A, .DLL, .KEXT, .KO, .O, .SO, OCX, .APK, .IPA, .DEB, .DMG, .BAT, .JS, .PL, .PS1, .PY, .SCT .SH, .TCL, .VBS, PLSM, PYC, PYO, .EMAIL, .MBOX, .PDF, .PDFA Архивы (.ZIP), исполняемые файлы, документы Microsoft Office, данные Macromedia Flash, PDF, RTF Нет Нет Нет Нет

 

Дополнительная функциональность

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
Поддержка функций программно определяемых глобальных сетей (SD-WAN) Да Нет Нет Нет Нет Нет
Маршрутизация трафика различных приложений, определяемых интеллектуальным методом на базе сигнатур и поведенческого анализа, по различным маршрутам передачи данных Да (маршрутизация по приложениям, URL, кодам DSCP, пользователям и пользовательским группам) Нет Нет Нет Нет Нет
Пассивный мониторинг параметров (задержка, джиттер, потери пакетов) тракта передачи трафика для отдельных прикладных приложений Да, пассивный и активный мониторинг (Application Quality of Experience) Нет Нет Нет Нет Нет
Автоматическое перенаправление трафика приложения в случае, если параметры канала не соответствуют требованиям этого приложения для обеспечения заданного качества его работы Да (в том числе дублирование пакетов по разным путям и сборка на приёмной стороне для исключения потерь трафика (Application Multipath Routing)) Нет Нет Нет Нет Да, настраиваемый (из командной строки) Connectivity checker без привязки к какому-либо приложению

 

Аутентификация

 

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
Варианты аутентификации Administrative log-ins, SSL VPN, IPsec VPN, авторизация пользователей при доступе в интернет, Captive Portal Administrative log-ins, SSL VPN, IPsec VPN, авторизация пользователей при доступе в интернет, Captive Portal Active Directory, локальная база Administrative log-ins, Network log-ins, Open VPN, IPsec VPN Administrative log-ins, Network log-ins Administrative log-ins, Network log-ins, Site-to-site VPN, Point-to-Multipoint VPN, Remote access VPN
Методы аутентификации Логин / пароль, сертификаты X.509, XAUTH, RSA Secure ID, Active Directory, RADIUS, TACACS+, EAP Сертификат, логин / пароль, EAP, CHAP NTLM, Kerberos, Web, IP, IP+MAC, Agent, журналы безопасности Active Directory EAP Логин / пароль, Active Directory Сертификаты X.509; DSS, EAP (в несертифицированных решениях)
Аутентификация пользователей Active Directory, User PC Probe, локальная база данных пользователей, LDAP(S), RADIUS, TACACS+, двухфакторная аутентификация, Captive Portal Локальная база, Active Directory, LDAP, Radius, двухфакторная аутентификация, Captive Portal NTLM, Kerberos, Web, IP, IP+MAC, Agent, журналы безопасности Active Directory Локальная база пользователей, LDAP, LDAPS, RADIUS, двухфакторная аутентификация, Captive Portal Локальная база, Captive Portal, LDAP Локальная база данных пользователей, логин / пароль; EAP, DSS, SSL-сертификаты, RADIUS, TACACS+
Поддержка паролей, смарт-карт и токенов Да (Duo, RSA Secure ID и т.п.) Да (SMS, e-mail) Нет Нет Нет Нет
Поддержка SSO Да (Kerberos, NTPL, SAML при совместной работе с Pulse Policy Secure) Да, Kerberos Да (Kerberos, NTLM, журналы безопасности контроллеров домена) Да (Kerberos, NTLM) Да, NTLM Нет

 

Высокая доступность и кластеризация

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
Поддерживаемые режимы кластеризации High Availability (Active / Passive), Load Sharing (Active / Active) с синхронизацией состояния сессий, аварийное переключение при аппаратных и программных отказах, VRRP High Availability (Active / Passive) с синхронизацией состояний Нет Аварийное переключение, cинхронизация состояний High Availability (Active / Passive) Кластер в режиме Active-Passive. Аварийное переключение по триггерам: на основе состояния отслеживаемого интерфейса и проверка доступности определённого IP-адреса. Возможно задание Failover Group. Синхронизация состояний
Поддерживаемые режимы переключения при сбоях Переключение по контролю состояния устройства, его компонентов и сетевых интерфейсов, контроль программных процессов. Контроль доступности внешних устройств (IP monitoring) Переключение по контролю доступности устройства, его компонентов и сетевых интерфейсов Нет Переключение на резервное оборудование или резервный канал Failover (Active / Passive) Переключение состояния MASTER / BACKUP, возможность выбора произвольного отслеживаемого интерфейса
Изменение режима работы кластера в ходе использования Да Да Нет Нет Да, CARP Нет
Синхронизация сессий Да (синхронизация состояния сессий, NAT, DS-Lite, ALG, состояния IPsec VPN, данных UserFW, MAC-address learning, GPRS, Application FW) Да, все протоколы вплоть до 7 уровня OSI Нет Нет Нет Нет
Мониторинг состояния кластера Да (контроль состояния устройства, его компонентов и сетевых интерфейсов, контроль программных процессов. Контроль доступности внешних узлов (IP monitoring)) Да Нет Нет Нет Да (индикация состояния кластера в веб-интерфейсе, в CLI — системный лог-файл)
Максимальное поддерживаемое количество устройств в кластере До 2-х устройств До 2-х устройств Нет До 2-х устройств За счёт использования протокола CARP До 2-х устройств

 

Управление

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
Поддерживаемые варианты управления (варианты консоли) Веб-консоль, интерфейс командной строки, API Веб-консоль, интерфейс командной строки, централизованная система управления SSH, веб-интерфейс Веб-консоль Веб-консоль, удалённая веб-консоль Централизованная система управления (NCC); веб-интерфейс, режим командной строки (CLI). Отдельно реализованный механизм синхронизации правил фильтрации (Главное устройство / Подчинённое устройство). Главное устройство может не совпадать с NCC
Поддержка единого интерфейса для возможности управления системными настройками и настройками функциональности Да Да Да Нет Да Да
Максимальное количество управляемых шлюзов на один сервер управления До 15 000 До 1 000 Ограничений не установлено Ограничений не установлено До 100 До 5 000 (зависит от аппаратной конфигурации)
Поддерживаемые модели управления Иерархическая модель, глобальные политики, административные домены управления, ролевой доступ Распределённая модель Строго централизованная модель Master — Slaves Строго централизованная модель Строго централизованная модель
Поддержка отказоустойчивой архитектуры управления Да (NGFW управляется самостоятельно при потере связи с внешней системой управления. Отказоустойчивый кластер узлов системы управления (до 6 узлов в кластере)) Да (ATP управляется самостоятельно при потере связи с внешней системой управления) Нет Нет Нет Да (возможно добавление новых шлюзов в качестве подконтрольных узлов в центр управления, миграция шлюзов между центрами управления. Отдельная настройка синхронизации правил фильтрации)
Cпособы масштабирования централизованного управления Кластер из серверов управления Нет Нет Нет Нет Апгрейд вычислительных ресурсов (CPU, ОП)
Поддержка управления доступом на основе ролей Да Да Нет Нет Да Да, возможность создания любого количества ролей
Автоматическое оповещение о событиях по электронной почте Да Да Нет Нет Да Да, возможность настройки SMTP (также с использованием шифрования: TLS, SSL) для взаимодействия с сервером
Поддержка механизма протоколирования действий администраторов Да Да Да Нет Да Да, ведение системного журнала
Поддержка возврата устройства на предыдущую конфигурацию, версию ПО Да Да Нет Да Нет Да

 

Мониторинг работы и система отчетности

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
Просмотр журналов (логов) Да (локально с устройства (память, диск), из облака или из системы централизованного управления) Да Да Да Да Да (локально на устройстве или в системе централизованного управления)
Экспорт логов Да (Syslog, Structured Syslog, Binary Syslog) Да, Syslog Да, Syslog Да, текст Да (XLS, CSV, TXT) Да, Syslog
Срок хранения логов Не ограничен Ограничен только размерами хранилица (USB-накопитель) Не ограничен От 1 до 3 месяцев Настраивается пользователем По умолчанию не ограничен. Есть возможность задать размер хранилища (% от ёмкости диска), в случае превышения включается режим ротации журналов
Графическое представление различных показателей мониторинга Да Да Да Да, загрузка сети Да Да (графическое представление аналитики СОВ, остальные показатели — в табличном виде)
Поддержка мониторинга по SNMP Да Да Да Да Нет Да
Поддержка NetFlow и IPFIX для выгрузки данных в сторонние системы Да Нет Нет Да Нет Да
Поддерживаемые виды отчётов Гибкий конструктор отчётов, предустановленные шаблоны Отчёты о системных событиях, по системе обнаружения вторжений, сетевой активности, трафику Система отчётности позволяет создать отчёт по трафику, по категориям, по пользователям в форматах HTML, CSV, XLS и web Создание отчёта по использованию сети по IP, протоколам и приложениям, статистика прокси Собственная система отчётности, конструктор отчётов с множеством параметров Отчёт по статистике угроз / атак; выгрузка в файл журналов
Использование внешних систем отчётности Да, любые SIEM (через Syslog, Netflow, API) Да, SecuReporter Да, Syslog Да, Syslog Да, экспорт на внешний Syslog-сервер Да, интеграция через Syslog
Возможность формирования индивидуально настроенных отчётов Да Да Нет Да, отчёты по прокси Да Да, возможно применение индивидуальных фильтров при просмотре и выгрузке журналов в веб-интерфейсе
Поддерживаемые форматы отчётов и каналы передачи Отправка по электронной почте и выгрузка из веб-интерфейса (Security Director) в формате PDF, выгрузка из веб-интерфейса в формате HTML, отчёты в CLI Отправка по e-mail или в SecuReporter HTML, XLS, CSV CSV TXT, CSV, XLS; выгрузка из веб-консоли Выгрузка журналов из веб-интерфейса в текстовом виде, уведомления на e-mail о событиях

 

Возможности интеграции

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
AD/LDAP Да Да Да Да Да Нет
SIEM Да, любые SIEM (через Syslog, Netflow, API) Нет Да Нет Нет Да
IDM Да Нет Нет Нет Нет Нет
Поддержка открытого API-интерфейса для интеграции с продуктами сторонних производителей Да (XML, API, NETCONF) Нет Нет Нет Нет Да (protobuf, REST API, XML RPC)
Режим зеркалирования (отдача проходящего через шлюз трафика во внешнюю систему по SPAN) Да Нет Нет Да Нет Да, средствами iproute2
Режим зеркалирования SSL (отдача расшифрованного трафика во внешнюю систему по SPAN) Да Нет Нет Нет Нет Нет
Режим ICAP-клиента для передачи трафика на инспекцию во внешние системы Да Нет Да Да Да Нет

 

Техническая поддержка

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
Прямая техническая поддержка со стороны вендора Да Да Да Да Да Да
Базовая техническая поддержка Да (по телефону, e-mail в режиме 24/7/365) Да (по телефону, через веб-чат или e-mail) Да (12х6, портал, e-mail, по телефону) Да (телефон, e-mail, чат) Да (консультации по телефону, e-mail, live-чат с оператором на сайте) Да (по телефону, e-mail, а также через веб-портал «Центр техподдержки» (в разработке))
Наличие русскоговорящей технической поддержки Да Да Да Да Да Да
Расширенная техническая поддержка Да (on-site инженер, выделенный менеджер, присутствие на площадке заказчика, валидация конфигураций и обзор изменений и их влияния на сеть, обзор изменений дизайна сети, валидация и рекомендации по обновлению ПО, проверка состояния оборудования, поддержка внедрения, автоматизированное управление инцидентами и создание кейсов с автоматическим сбором информации с устройств, проактивное уведомление о снятии оборудования с производства, найденных проблемах и их влиянии на сеть с учётом установленного оборудования и версий ОС) Да, оперативная замена оборудования в течение 24 часов (новое устройство предоставляется до возврата старого) Да (SLA по обращениях в техподдержку по e-mail, телефону, через веб-портал) Да (консультирование клиента по вопросам установки, настройки и функционирования продукта, диагностика и решение проблем в работе продукта посредством удалённого подключения специалистов технической поддержки к устройству клиента) Да (в первый год после покупки ИКС модуль действует у всех клиентов по умолчанию. Со второго года использования программы требуется его приобретение. Модуль включает доступ к релизам и обновлениям контент-фильтра ИКС, обновления списков Минюста, личный кабинет на сайте для оперативных консультаций, высший приоритет при обращении в техподдержку, удалённую поддержку по защищённому протоколу SSH, актуализацию БД и сигнатур бесплатных модулей ИКС) Да (за заказчиком фиксируется инженер технической поддержки; регламентированы выезды к заказчику по региону присутствия (Москва))
Замена оборудования при поломке Да (в зависимости от уровня поддержки в течение 4 часов. 7 сервисных складов на территории России) Да, через открытие кейса в центре технической поддержки Да Да, в течение гарантийного периода Оборудование не поставляется вендором Да
Дорожная карта (roadmap) Предоставляется по запросу после подписания соглашения о неразглашении Следующая версия ПО ZLD4.50 в марте 2020 года. Список планируемых функций доступен по запросу Поддержка Active-Active кластера в 2020 году Предоставляется после подписания соглашения о неразглашении Нет Поддержка Fibre Channel — FC 16/56 G (3 квартал 2020 г.), 10x10G (август 2020 г.); поддержка паролей, смарт-карт и токенов — 3 квартал 2020 г.

 

Лицензирование

Параметр сравнения Juniper Networks SRX Zyxel ATP Ideco UTM Traffic Inspector Next Generation Интернет Контроль Сервер (ИКС) Diamond VPN/FW
Описание политики лицензирования Лицензии, подписки на каждое устройство. Состав базовой лицензии (комплект поставки устройства): функции межсетевого экранирования, контентной фильтрации, URL-фильтрации / IPS / AppSecurity / Anti-Spam / Threat Intelligence с собственными категориями / адресами / сигнатурами, DLP ICAP, SSL proxy, SSL Decrypted Mirroring, NAT, ALG, IPsec VPN, PKI, Cluster, L2, маршрутизация, MPLS, защита от DDOS Общая лицензия на все модули (1 или 2 года) По активным пользователям (до трёх авторизованных устройств на пользователя) Лицензия на каждое устройство (по аппаратным платформам) / виртуальный образ. Лицензия на весь функциональный набор, кроме дополнительных модулей. Срок действия лицензии на образ виртуальной машины составляет 5 лет, на программно-аппаратный комплекс лицензионные ограничения по сроку действия отсутствуют Лицензирование программы определяется числом зарегистрированных пользователей в системе Лицензирование по функциональным модулям и аппаратным платформам
Отдельно лицензируемые компоненты Logical Systems & Tenant System — по количеству контекстов; Remote Access VPN — по количеству пользователей; IPS, Application Security, AntiVirus — подписка на обновления базы сигнатур; URL-фильтрация, Anti-Spam, Advanced Threats Protection, включая Threat Intelligence feeds — подписка на обновление данных, обращения к сервисам. Лицензия для работы с JATP не требуется Увеличение количества точек доступа для управления (если закончилась общая лицензия) Нет Нет Нет МЭ, Шифрование, СОВ и UTM
Дополнительно лицензируемые модули и функции Junos Space Security Director, Juniper Connected Security Policy Enforcer, Juniper Secure Analytics, Contrail Service Orchestrator, Sky Enterprise Zyxel IPsec VPN Client Антивирус и антиспам Касперского NetPolice для Traffic Inspector Next Generation, Traffic Inspector Next Generation Anti-Virus powered by Kaspersky Kaspersky Anti-Virus, Kaspersky Anti-Spam, Kaspersky Web-Filtering, категории трафика SkyDNS Dcrypt и лицензии на обновления сигнатур
Калькулятор цен juniper.bigmachines.com select.zyxel.ru Закрытый прайс-лист Закрытый прайс-лист xserver.a-real.ru Закрытый прайс-лист

 

Сравнение универсальных шлюзов безопасности USG (NGFW). Часть 1 

 

Выводы

Следуя нашему традиционному принципу, мы избегаем ранжирования сравниваемых продуктов и других попыток определить, какую из разработок нужно считать наилучшей. Сопоставляя между собой универсальные шлюзы безопасности, мы решали две основные задачи.

Во-первых, мы сравнили все заметные на российском рынке отечественные и зарубежные NGFW/USG (в общей сложности — 13 штук) по единому набору из 191 критерия. Это позволит потенциальному заказчику использовать сопоставительную базу по всему многообразию представленных на рынке продуктов.

Во-вторых, в рамках декларируемого стремления к импортозамещению в России появился целый ряд отечественных NGFW/USG, которые часто малоизвестны на рынке (или представление об их возможностях сильно устарело). Поэтому принципиальной задачей сравнения было показать их реальную функциональность и зрелость на фоне именитых зарубежных аналогов.

Всё это даёт нам право предположить, что данное сравнение будет отличным источником информации для проведения заказчиками собственных индивидуальных сравнений, что в итоге приведет к экономии ресурсов при выборе средств сетевой безопасности.

Дополнительно мы предлагаем ознакомиться с методикой выбора оптимального средства защиты информации, которую можно использовать для индивидуальной экспертной оценки NGFW/USG собственными силами.

Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:

Павел Живов, системный инженер, Juniper Networks

Александр Костин, pre-sales инженер, Zyxel

Дмитрий Гусев, директор по маркетингу и PR, Zyxel Russia

Ирина Пенькова, заместитель генерального директора по маркетингу, «СМАРТ-СОФТ»

Дмитрий Хомутов, заместитель директора по развитию, «Айдеко»

Марина Тябина, менеджер по маркетингу, «Айдеко»

Оксана Золотова, руководитель отдела маркетинга, «А-Реал Консалтинг»

Николай Рыжов, сетевой инженер, ТСС

...

и еще 160 активным и не очень участникам открытой группы «Сравнение NGFW».

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru