Чем заменить NGFW

NanoSuit

Специалист
Enterprise
Собственно вопрос.. чем можно заменить cisco / palo alto / чекпойнты и прочее?? Из отечественного знаю только АПШ континент но пугают отзывы:
Хорошая попытка, но нет. Некоторое время назад работал с Континентом. Если коротко — трэш, содомия и кровь из глаз. Вся внутрянка — собственные разработки. IPSec не умеет (внутри собственный протокол построения туннелей). Если ты однажды купил Континент, то всё — ты посадил себя на иглу, слезть с которой возможно только целиком заменив все устройства. Континент умеет работать только с Континентом. Невозможно чтобы на одном конце туннеля был Континент, а на другом другой вендор (даже если он тоже умеет шифровать по ГОСТ). Софт на Континентах жутко кривой. Выражается это от внезапных зависаний (которые лечатся только перезагрузкой. Да, это рекомендация ТП) до увеличения производительности в 2,5 раза просто от смены софта на версию чуть поновее. Маршрутизация на железке убогая — из-за старой версии quagga. Хотите нормальную фильтрацию и community? Извините, появится в будущих версиях. Вы только что применили новый access-list? Пожалуйста, полностью рестартаните демона. Я могу долго перечислять минусы этого убожества. Интерфейс управления только графический. CLI нет. WEB-морды нет. API нет.Невозможно посмотреть что происходит на оборудовании в любой момент времени. Мониторинга нет. По SNMP отдаются только совсем базовые метрики типа CPU и трафик на интерфейсе. Автоматизация и Континент понятия не совместимые. Невозможно динамически вносить изменения в правила да и вообще любые настройки с помощью скриптов или иным способом. Только руками. Полагаю, что разрабы убеждены, что инженер должен всегда быть чем-то занят. Написание правил на континенте это вообще боль. Там ужасно всё начиная от создания объектов и наследования свойств и заканчивая применением этих правил (при нажатии кнопки "применить" 100% происходит перерыв сервиса). В общем, я могу долго говорить, насколько эта убогая поделка не соответствует базовым требованиям бизнеса. По слухам и непроверенным данным хуже континента только випнет. В телеграме даже стикерпак есть, где на одном написано "Инженер континента должен страдать".
 
Сам не использовал, но вроде есть железки

Континент 4 IPC-3000NF2
Формфактор: 1U
Сетевые интерфейсы: 9х 1000BASE-T RJ45
8x 10G SFP+
Количество устройств под управлением ЦУС:
Стандартная платформа: до 150
Количество одновременных подключений к Серверу доступа: до 3 000
Производительность устройства:
Режим работы Производительность
Режим UTM (комбинированный режим МЭ+IPS+DPI) до 7 000 Мбит/с
Режим VPN (недоступен в режиме NF2) до 8 000 Мбит/с
Режим МЭ (единственный активный механизм защиты) до 40 000 Мбит/с
Режим NF2 (высокопроизводительный МЭ, запатентованный Кодом Безопасности) до 80 000 Мбит/с
Режим L2 IPS (обнаружение и предотвращение атак на канальном уровне) до 10 000 Мбит/с
Возможно использование в режиме кластера высокой доступности с автоматической синхронизацией состояния сессий.
 
Наверное единственный вариант Huawei. Mikrotik помоему тоже уехал, D-Link, cisco и прочее тоже
 
Межсетевой экран UserGate F8000

Комплексная защита инфраструктуры​

Крупные проекты накладывают особые требования на производительность системы, ее безопасность и отказоустойчивость. UserGate F работает на базе максимально мощных платформы и процессоров, эффективно обеспечивая выполнения множества функций безопасности для большого числа пользователей. Как и другие платформы UserGate F защищает корпоративную сеть от современных атак и других вторжений, обеспечивает анализ и фильтрацию трафика по контенту, контроль интернет-приложений, блокирование опасных скриптов и приложений, защиту от вирусов и спама, а также другие функции безопасности.

Контроль пользователей и абонентов​

UserGate F может обеспечивать безопасность и соблюдение корпоративных политик для предприятий любого размера, а также может использоваться в операторских проектах и для предоставления облачных сервисов.

Наличие сертификата ФСТЭК России​

Межсетевой экран UserGate сертифицирован ФСТЭК России по требованиям к Межсетевым Экранам (4-й класс, профили А и Б) и к Системам Обнаружения Вторжений (4-й класс), а также по 4 уровню доверия. Таким образом, UserGate может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г, значимых объектов КИИ I категории, информационных системах персональных данных (ИСПДн) 1 уровня защищенности, государственных информационных системах (ГИС) 1 класса защищенности, автоматизированных систем управления технологическими процессами 1 класса защищенности и информационных системах общего пользования II класса.

 
4.1. Сертифицированные межсетевые экраны и системы обнаружения вторжений российского производства

4.1.1. Threat Detection System
4.1.2. PT Network Attack Discovery
4.1.3. Программный комплекс «Аркан»
4.1.4. Межсетевой экран UserGate
4.1.5. Маршрутизатор доступа «ГАРДА 10G»
4.1.6. ViPNet IDS 2
4.1.7. ViPNet xFirewall 4
4.1.8. АПКШ «Континент»
4.1.9. Kaspersky Industrial CyberSecurity
4.1.10. Программный комплекс обнаружения вторжений «Ребус-СОВ»
4.1.11. Программно-аппаратный комплекс «Рубикон»
4.1.12. Программно-аппаратный комплекс «Рубикон-К»
4.1.13. Система обнаружения вторжений «Кречет»
4.1.14. Numa Edge
4.1.15. Маршрутизаторы ESR
4.1.16. Система обнаружения атак «ФОРПОСТ» версии 3.0
4.1.17. Traffic Inspector Next Generation
4.1.18. «С-Терра Шлюз 4.2»
4.1.19. «С-Терра СОВ 4.2»
4.1.20. Diamond VPN/FW
4.1.21. «Дионис NX»
4.1.22. Аппаратно-программный комплекс обнаружения компьютерных атак «Аргус»
4.1.23. Аппаратно-программный комплекс «VPN/FW «ЗАСТАВА-150»

4.2. Сертифицированные межсетевые экраны и системы обнаружения вторжений зарубежного производства
4.2.1. Межсетевые экраны нового поколения Cisco ASA серии 5500-X
4.2.2. Многофункциональное устройство обеспечения безопасности Cisco 5500-X с сервисами FirePOWER
4.2.3. Аппаратные межсетевые экраны и шлюзы безопасности Huawei
4.2.4. Система защиты от угроз Trend Micro TippingPoint
4.2.5. FortiGate
4.2.6. Check Point NGFW


Источник: https://www.anti-malware.ru/analyti...ntrusion-detection-systems-certified-by-FSTEC
 
Назад
Верх