В чем преимущества файрволов следующего поколения? Обзор популярных NGFW.
Термин «файрвол следующего поколения» (Next-Generation Firewall — NGFW) был придуман аналитиками Gartner Research и подразумевает использование в устройствах технологий сетевого брандмауэра третьего поколения. Эти решения основаны на брандмауэрах предыдущего поколения, функциональность которых была ограничена лишь простой проверкой и блокировкой при необходимости портов/протоколов. Но поскольку все большее число предприятий сейчас используют онлайн-приложения и службы SaaS, только лишь контроля портов и протоколов уже недостаточно для обеспечения эффективной сетевой безопасности. В отличие от них, в новых устройствах добавлена тесная интеграция дополнительных возможностей, таких как встроенная глубокая проверка пакетов (DPI), предотвращение вторжений (IPS) и проверка трафика на уровне приложений (Web Application Firewall). Некоторые NGFW также включают проверку зашифрованного трафика TLS/SSL, фильтрацию веб-сайтов, управление пропускной способностью и QoS, антивирусную проверку и интеграцию со сторонними системами управления идентификацией, такими как LDAP, RADIUS и Active Directory.
Файрволы следующего поколения в настоящее время относятся к категории зрелых решений. Однако продолжающийся массовый переход действующих ИТ-систем на общедоступные облачные платформы IaaS, такие как Amazon Web Services, Microsoft Azure и Google Cloud Platform, и, как следствие, рост сложности гибридных сетевых архитектур, является движущей силой для дальнейшего расширения возможностей межсетевых экранов нового поколения. В том числе, для обеспечения расширенного управления трафиком, оптимизации WAN, качества обслуживания и прозрачной интеграции облачной платформы.
Схема работы Next-Generation Firewall. Источник: Palo Alto Networks
Стоит отметить, что помимо прочего, NGFW предоставляют множество инструментов для автоматизированной защиты от киберугроз в социальных сетях. В рамках защиты от фишинга эти системы могут проверять веб-ссылки, которые получают сотрудники компании, и блокировать их в том случае, если они ведут на вредоносные сайты. Кроме того, NGFW способны анализировать вложения, которые рассылаются через сообщения в социальных сетях, и запрещать их, если они содержат вредоносный код.
Ниже приведено краткое описание наиболее популярных продуктов в сегменте NGFW. Более подробную информацию о продуктах можно получить в таблице сравнения NG Firewall на ROI4CIO, основанной на сравнении лидеров(по результатам исследования Gartner).
BARRACUDA
Barracuda CloudGen Firewall — это семейство физических, виртуальных и облачных устройств, которые нацелены на защиту инфраструктуры распределенной сети предприятия. Такие устройства обеспечивают повышенную безопасность, поскольку содержат полный набор технологий NGFW, включая профилирование приложений уровня 7, предотвращение вторжений, веб-фильтрацию, защиту от вредоносных программ и угроз, защиту от спама и контроль доступа к сети.
Кроме того, межсетевые экраны Barracuda CloudGen сочетают в себе продвинутую отказоустойчивую технологию VPN с интеллектуальным управлением трафика и возможностями оптимизации глобальной сети. Это позволяет снизить линейные затраты, повысить общую доступность сети, улучшить межсетевое соединение и обеспечить бесперебойный доступ к приложениям, размещенным в облаке. Масштабируемое централизованное управление помогает снизить административные издержки при определении и применении гранулированных политик во всей рассредоточенной сети.
Облачные брандмауэры Barracuda оптимально подходят для предприятий с множеством филиалов, поставщиков управляемых услуг и других организаций со сложной распределенной сетевой инфраструктурой.
Для мгновенной реакции на угрозы компания Barracuda предоставляет сервис Advanced Threat Protection — интегрированную облачную службу, которая анализирует трафик по всем основным векторам угроз.
Сервис Barracuda Advanced Threat Protection обеспечивает защиту инфраструктуры компании, а также возможность выявлять и блокировать новые сложные угрозы без ущерба для производительности и пропускной способности сети. Сервис Advanced Threat Protection доступен на всех моделях межсетевых экранов Barracuda CloudGen.
Среди основных преимуществ продуктов Barracuda CloudGen также можно назвать следующие:
Palo Alto Networks
Брандмауэры следующего поколения от компании Palo Alto Networks обнаруживают как известные, так и неизвестные угрозы (в том числе — в зашифрованном трафике) за счет использования данных, полученных со многих тысяч инсталлированных устройств. Благодаря такому подходу продукты Palo Alto Networks способны предотвращать широкий спектр атак. Например, эти файрволы позволяют пользователям получать доступ к данным и приложениям на основе бизнес-требований, а также предотвращают кражу учетных данных и возможность для злоумышленников применять похищенные учетные данные.
С помощью NGFW от Palo Alto Networks предприятия могут быстро создавать правила безопасности, которые соответствуют бизнес-политике, просты в обслуживании и адаптируются к динамической среде предприятия. Они сокращают время отклика благодаря автоматическим ответным действиям на основе политик, при этом ИТ-департамент получает возможность быстро автоматизировать рабочие процессы за счет интеграции с инструментами администрирования, такими как службы создания тикетов или с любой системой с RESTful API.
Файрволы следующего поколения Palo Alto Networks поставляются в виде виртуальных и аппаратных устройств. Например, серия VM защищает частные и общедоступные облачные среды, обеспечивая доступ к приложениям и предотвращая угрозы. Трафик классифицируется на основе приложений, а не портов, что дает детальное представление об угрозах.
Palo Alto Networks также поставляет широкий спектр аппаратных NGFW — от компактной модели PA-200 до супермощной системы корпоративного уровня PA-7000. Продукт PA-200 — это брандмауэр следующего поколения в небольшом форм-факторе, который защищает сети, блокируя широкий спектр киберугроз и одновременно обеспечивая безопасное включение приложений.
В то же время, устройства серии PA-7000 сочетают в себе сверхэффективное программное обеспечение с почти 700 специализированными высокопроизводительными процессорами для работы в сети, обеспечения безопасности, проверки содержимого и управления.
SonicWall
Компания SonicWall предлагает заказчикам защиту публичной, приватной или гибридной облачной среды с помощью виртуализированных версий межсетевых экранов нового поколения. Решения SonicWall позволяют упростить администрирование благодаря общей системе управления виртуальной и физической инфраструктурой.
Серия устройств SonicWall Network Security (NSA) предоставляет компаниям среднего и крупного размера набор функций для расширенного предотвращения угроз. За счет инновационных технологий глубокого обучения в облачной платформе SonicWall Capture, серия NSA обеспечивает автоматизированное детектирование и блокирование атак в режиме реального времени.
Устройства NGFW серии NSA отличаются двумя основными технологиями безопасности, обеспечивающими надежный заслон от кибератак. Усовершенствованная многопроцессорная служба расширенной защиты от угроз (ATP) — это фирменная технология глубокой проверки памяти в режиме реального времени (RTDMI) от SonicWall. Механизм RTDMI активно обнаруживает и блокирует массовые угрозы и угрозы нулевого дня, а также неизвестные вредоносные программы путем проверки непосредственно в памяти. Благодаря архитектуре реального времени технология SonicWall RTDMI сводит к минимуму ложные срабатывания, а также выявляет и смягчает изощренные атаки, когда атака вредоносного ПО осуществляется менее 100 наносекунд. Кроме того, запатентованный SonicWall механизм однопроходной глубокой проверки пакетов (RFDPI) проверяет каждый байт входящего и исходящего трафика. Применение в серии NSA облачной платформы SonicWall Capture, в дополнение к встроенным возможностям, включающим защиту от вторжений, вредоносных программ и фильтрацию веб/URL-адресов, позволяет блокировать даже самые опасные и коварные угрозы на шлюзе.
Кроме того, брандмауэры NGFW от SonicWall обеспечивают дополнительный уровень безопасности за счет выполнения полной расшифровки и проверки зашифрованных соединений TLS/SSL и SSH независимо от порта или протокола. Брандмауэр тщательно изучает каждый пакет (заголовок и данные) в поисках несоответствия протокола, угроз, нулевых дней, вторжений и даже определенных критериев. Механизм глубокой проверки пакетов обнаруживает и предотвращает скрытые атаки, которые используют криптографию, блокирует зашифрованные загрузки вредоносных программ, прекращает распространение инфекций и препятствует обмену данными между инфицированным компьютером и контрольным центром. Правила включения и исключения позволяют полностью контролировать, какой трафик подвергается дешифровке и проверке на основе определенных организационных требований и/или требований законодательства.
Когда предприятия активируют в своих брандмауэрах функции глубокой проверки пакетов, такие как IPS, антивирус, антишпионское ПО, расшифровка/проверка TLS/SSL и другие, производительность сети обычно снижается, иногда — кардинально. Однако межсетевые экраны серии NSA построены на многоядерной архитектуре, в которой применяются специализированные микропроцессоры. В сочетании с модулями RTDMI и RFDPI эта архитектура устраняет падение производительности сетевых систем.
Check Point
Сегодня сотрудники в повседневной работе используют больше приложений, чем когда-либо. И если у отдела информационной безопасности нет специализированных средств защиты, ему приходится идти на различные ухищрения, чтобы обеспечить должный уровень безопасности. Межсетевой экран Check Point Next Generation обеспечивает самый большой в отрасли охват приложений — более 8 тысяч приложений и 260 тысяч виджетов социальных сетей. Администраторы могут создавать детальные политики безопасности на основе пользователей или групп, чтобы идентифицировать, блокировать или ограничивать использование веб-приложений и виджетов, таких как мгновенные сообщения, публикации в социальных сетях, потоковое видео, VoIP, игры и многое другое.
Бесшовная интеграция с ведущими поставщиками систем Identity and Access Management (IAM), такими как Microsoft Active Directory, гарантирует детальную идентификацию пользователя, которая может быть получена через:
Для быстрой аналитики данных о событиях безопасности, разработчик включил в состав решения SmartLog — расширенный анализатор журналов, который предоставляет результаты поиска за доли секунды. Таким образом, отдел получает видимость угроз в режиме реального времени для многих миллионов записей в журнале.
Унифицированное управление безопасностью от Check Point упрощает монументальную задачу управления средой безопасности компании. Отдел ИБ будет видеть и контролировать угрозы, устройства и пользователей с помощью интуитивно понятного графического интерфейса, предоставляющего диаграммы и отчеты о состоянии системы безопасности.
NGFW от Check Point содержит программный блейд Check Point IPS, который защищает корпоративную сеть путем проверки пакетов, проходящих через шлюз. Это полнофункциональная IPS-система, обеспечивающая надежную защиту от вторжений и частые автоматические обновления базы определений угроз. Поскольку IPS является частью интегрированной архитектуры программных блейдов, заказчик получает все преимущества развертывания и управления унифицированным и расширяемым решением.
Cisco ASA NGFW
Файрволы следующего поколения от Cisco предлагают сразу целый ряд уникальных технологий. Прежде всего, следует отметить сервис Talos, обеспечиваемый командой из свыше 250 исследователей, ежедневно анализирующих миллионы угроз и создающих инструменты, которые Cisco NGFW применяет для защиты от следующей масштабной атаки. Помните эпидемии WannaCry, NotPetya, VPNFilter? Talos остановил эти мегаатаки (как и многие другие), прежде чем достигли цели, таким образом, клиенты NGFW Cisco получили автоматическую защиту.
Cisco NGFW используют встроенные расширенные функции безопасности, такие как IPS-системы следующего поколения, расширенная защита от вредоносных программ и «песочница», позволяющая видеть пользователей, хосты, сети и инфраструктуру. Они постоянно отслеживают подозрительную активность и, в случае нахождения, автоматически блокируют ее.
Следует отметить и еще один важный пункт: Cisco NGFW автоматизирует работу корпоративной сети и систем безопасности, что позволяет отделу ИБ экономить время и сосредоточиться на задачах с более высоким приоритетом. Оповещения об угрозах ранжированы по значимости, поэтому вы можете прекратить «стрелять наугад» и сосредоточиться на самых важных направлениях. Cisco NGFW работают вместе с остальными интегрированными инструментами безопасности Cisco, что позволяет своевременно предоставить информацию о всех направлениях атак. Когда эта система инструментов обнаруживает угрозу в одном месте, она автоматически блокирует ее везде.
Резюме: 5 советов по выбору продуктов класса NGFW
Независимо от того, какой размер бизнеса у заказчика — малое, среднее или крупное предприятие — межсетевой экран должен отвечать специфическим требованиям этого предприятия.
В настоящее время стандартное время обнаружения угроз составляет от 100 до 200 дней; это слишком долго. Межсетевой экран следующего поколения должен уметь:
Брандмауэр следующего поколения не должен быть изолированным инструментом: он должен обмениваться информацией и работать вместе с остальными компонентами архитектуры безопасности. Поэтому выбирайте продукт, который удовлетворяет следующим требованиям:
В обзоре приведено краткое описание только 5 продуктов NGFW. Больше продуктов NGFW и детальную информацию по ним можно найти всравнительной таблице NGFW на ROI4CIO
Межсетевой экран следующего поколения (NGFW): критерии выбора
Существует три главных критерия выбора межсетевых экранов нового поколения (NGFW): качество, цена и производительность.
Автор: Денис Батранков, советник по безопасности корпоративных сетей.
Существует три главных критерия выбора межсетевых экранов нового поколения (NGFW): качество, цена и производительность.
Есть еще такие критерии как удобство управления, стабильность работы, существующие интеграции, наличие обученных инженеров, уровни техподдержки, страна-производитель, санкции, сертификация, поддержка русских приложений и русских URL, возможность работы без подписок, и эти критерии я буду тоже постепенно рассматривать. Начнем с основных.
Качество защиты NGFW
Качество защиты определяется набором встроенного функционала и качеством работы каждой отдельной функции. Преимуществом NGFW является то, что здесь один функционал дополняет другой. Например, инспекция приложений дополняет IPS, или песочница помогает URL фильтрации и так далее. По качеству выбирать просто: существуют публичные независимые тесты лаборатории NSS Labs, где тестируется эффективность защиты NGFW. NSS в основном проверяет движок системы предотвращения атак (IPS). Согласно последнему групповому тесту 12 различных производителей, которые провела NSS Labs в 2019 году, лидером по эффективности защиты является Palo Alto Networks, с результатом 97,9%. Если посмотреть на весь список, то пятерка лидеров выглядит так в порядке убывания эффективности защиты:
Сами результаты тестов NSS Labs стоят 4500$ и их нужно покупать у NSS Labs (подробнее). И также можно воспользоваться лайфхаком: вызвать к себе на встречу представителя любого вендора и они показывают тесты NSS labs своим заказчикам бесплатно.
Однако IPS не единственный критерий, по которому стоит судить о качестве NGFW. Перечислю функционал, который должен быть в современном NGFW.
Цена NGFW
Часть заказчиков при выборе производителя NGFW исходят из цены. Здесь я обрадую: все производители в последнее время стоят одинаково. Если у производителя функций меньше и его качество хуже, то он все равно просит денег как лучший NGFW. Да, производители после торгов выдают разную скидку, но точно цены не отличаются в 2-3 раза больше, как это сейчас на рынке автомобилей или недвижимости. Одновременно качественно, дешево и быстро не бывает – таких продуктов нет ни в какой отрасли. Если вам предлагают такое чудо, то стоит поискать подвох. Для примера, часто производители завышают свою производительность, чтобы показать, что другие производители дороже, поэтому нужно быть осторожным выбирая NGFW по datasheet. На бумаге вы купите быстрое устройство, а в реальности – в 2-3 раза медленнее. Что означает, что вы переплатили производителю в 2-3 раза и не купили настоящее устройство, которое выдержит требуемую нагрузку. Иногда возникает вопрос, а почему именно NGFW: ведь можно купить нужную защиту по отдельности: антивирус, веб фильтр, IPS, песочницу и др. Тут рынок уже дал ответ – когда мы покупаем по отдельности, то получается еще дороже. Поэтому купить NGFW дешевле. Вашим критерием должна быть не цена, а ценность. Важно понимать, какие функции защиты актуальны для вашей компании. И нужно оценить сможет ли купленное устройство это реализовать. На периметре Интернет у предприятия обычно 200-400 различных приложений и все они требуют индивидуального подхода. В ЦОД работает около 50 различных приложений. Кому-то нужно защищаться от криптолокера в SMB или электронной почте, кому-то защищать уязвимости в голосовом трафике, кому-то блокировать атаки на WEB сервера, кому-то анализировать SQL запросы к базам данных. И когда у вас есть список приложений, которые вы хотите защитить – уже можно переходить к подбору конкретных моделей. И прийти с вашими требованиями к производителю. Скорость любого NGFW в первую очередь зависит от набора ваших приложений, которые он будет инспектировать и тех функций защиты, которые будут включены в устройстве. Основной принцип ценообразования: чем больше сложных функций безопасности вы хотите получить в одном устройств, тем дороже NGFW (потому что это требует дополнительных подписок и разработки) и тем медленнее он работает (потому что в одну секунду ему требуется сделать больше работы). Например, приложения SMB, FTP, Skype являются сложными для анализа файлов и поэтому устройство надо покупать мощнее и, соответственно, дороже.
Скорость NGFW
У каждого производителя обычно есть набор моделей под разные скорости с разной ценой. Обычно логика простая: в 2 раза быстрее устройство стоит в 2 раза дороже.
И по идее все поставщики пишут данные о своей производительности для того, чтобы заказчики могли подобрать устройство в сравнении моделей друг с другом и затем сравнили цены для одной и той же скорости. Те принципы выбора, которые используются для свитчей и роутеров уже нельзя использовать, поскольку роутеры пакеты не собирают в файлы и не анализируют. Представьте, что вы хотите смотреть вирусы в SMTP: там файлы передаются в форматe BASE64, который надо собрать в единый поток из фреймов и перекодировать в бинарный вид, чтобы проверить сигнатурами. А для FTP проще – там файлы сразу передаются в бинарном виде. Поэтому основными двумя параметрами, которые влияют на производительность: какие приложения надо анализировать и каким функционалом. Например, если одно и то же устройство настроить проверять файлы всеми сигнатурами своими, а потом только половиной своих сигнатур – это значит оно будет в 2 раза быстрее самого себя, хотя вы лишь просто поменяли функционал. Продвинутые производители добавляют в устройство для проверки сигнатур специализированные чипы ускорения ASIC и FPGA. Их преимущество в том, что на них не влияет число включенных сигнатур– они одинаковы быстры с 1% и с 100% включенных сигнатур. Также как в играх используют графические ускорители, в безопасности тоже можно выделить часть функций на специализированные чипы.
Сравнивать производительность NGFW по datasheet некорректно, поскольку производители публикуют скорости на разных приложениях, и с разным включенным функционалом защиты. Возьмем, например, datasheet четырех основных производителей, которые представлены на рыке России: Cisco, Check Point, Fortinet, Palo Alto Networks. И проанализируем основные термины, которые они используют и как эти термины используются.
Обзор программных межсетевых экранов при защите ИСПДн
Выбор межсетевого экрана для определенного уровня защищенности персональных данных
В данном обзоре мы будем рассматривать межсетевые экраны, представленные в таблице 1. В этой таблице указано название межсетевого экрана и его класс. Данная таблица будет особенно полезна при подборе программного обеспечения для защиты персональных данных.
Таблица 1. Список сертифицированных ФСТЭК межсетевых экранов
| Программный продукт | Класс МЭ |
| МЭ «Блокпост-Экран 2000/ХР» | 4 |
| Специальное программное обеспечение межсетевой экран «Z-2», версия 2 | 2 |
| Средство защиты информации TrustAccess | 2 |
| Средство защиты информации TrustAccess-S | 2 |
| Межсетевой экран StoneGate Firewall | 2 |
| Средство защиты информации Security Studio Endpoint Protection Personal Firewall | 4 |
| Программный комплекс «Сервер безопасности CSP VPN Server.Версия 3.1» | 3 |
| Программный комплекс «Шлюз безопасности CSP VPN Gate.Версия 3.1» | 3 |
| Программный комплекс «Клиент безопасности CSP VPN Client. Версия 3.1» | 3 |
| Программный комплекс межсетевой экран «Ideco ICS 3» | 4 |
| Программный комплекс «Трафик Инспектор 3.0» | 3 |
| Средство криптографической защиты информации «Континент-АП». Версия 3.7 | 3 |
| Межсетевой экран «Киберсейф: Межсетевой экран» | 3 |
| Программный комплекс «Интернет-шлюз Ideco ICS 6» | 3 |
| VipNet Office Firewall | 4 |
Все эти программные продукты, согласно реестру ФСТЭК, сертифицированы как межсетевые экраны.
Согласно приказу ФСТЭК России №21 от 18 февраля 2013 г. для обеспечения 1 и 2 уровней защищенности персональных данных (далее ПД) применяются межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы (ИС) с сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия ИС с Интернетом.
Для обеспечения 3 уровня защищенности ПД подойдут межсетевые экраны не ниже 3 класса (или 4 класса, в случае актуальности угроз 3-го типа и отсутствия взаимодействия ИС с Интернетом). А для обеспечения 4 уровня защищенности подойдут самые простенькие межсетевые экраны — не ниже 5 класса. Таковых, впрочем, в реестре ФСТЭК на данный момент не зарегистрировано. По сути, каждый из представленных в таблице 1 межсетевых экранов может использоваться для обеспечения 1-3 уровней защищенности при условии отсутствия угроз 3-го типа и отсутствия взаимодействия с Интернетом. Если же имеется соединение с Интернетом, то нужен межсетевой экран как минимум 3 класса.
Сравнение межсетевых экранов
Межсетевым экранам свойственен определенный набор функций. Вот и посмотрим, какие функции предоставляет (или не предоставляет) тот или иной межсетевой экран. Основная функция любого межсетевого экрана — это фильтрация пакетов на основании определенного набора правил. Не удивительно, но эту функцию поддерживают все брандмауэры.
Также все рассматриваемые брандмауэры поддерживают NAT. Но есть довольно специфические (но от этого не менее полезные) функции, например, маскировка портов, регулирование нагрузки, многопользовательских режим работы, контроль целостности, развертывание программы в ActiveDirectory и удаленное администрирование извне. Довольно удобно, согласитесь, когда программа поддерживает развертывание в ActiveDirectory — не нужно вручную устанавливать ее на каждом компьютере сети. Также удобно, если межсетевой экран поддерживает удаленное администрирование извне — можно администрировать сеть, не выходя из дому, что будет актуально для администраторов, привыкших выполнять свои функции удаленно.
Наверное, читатель будет удивлен, но развертывание в ActiveDirectory не поддерживают много межсетевых экранов, представленных в таблице 1, то же самое можно сказать и о других функциях, таких как регулирование нагрузки и маскировка портов. Дабы не описывать, какой из межсетевых экранов поддерживает ту или иную функцию, мы систематизировали их характеристики в таблице 2.
Таблица 2. Возможности брандмауэров 
Как будем сравнивать межсетевые экраны?
Основная задача межсетевых экранов при защите персональных — это защита ИСПДн. Поэтому администратору часто все равно, какими дополнительными функциями будет обладать межсетевой экран. Ему важны следующие факторы:
Безопасность у всех межсетевых экранов примерно одинаковая, иначе у них бы не было сертификата.
Брандмауэры в обзоре
Далее мы будем сравнивать три межсетевых экрана — VipNet Office Firewall, Киберсейф Межсетевой экран и TrustAccess.
Брандмауэр TrustAccess — это распределенный межсетевой экран с централизованным управлением, предназначенный для защиты серверов и рабочих станций от несанкционированного доступа, разграничения сетевого доступа к ИС предприятия.
Киберсейф Межсетевой экран — мощный межсетевой экран, разработанный для защиты компьютерных систем и локальной сети от внешних вредоносных воздействий.
ViPNet Office Firewall 4.1 — программный межсетевой экран, предназначенный для контроля и управления трафиком и преобразования трафика (NAT) между сегментов локальных сетей при их взаимодействии, а также при взаимодействии узлов локальных сетей с ресурсами сетей общего пользования.
Время защиты ИСПДн
Что такое время защиты ИСПДн? По сути, это время развертывания программы на все компьютеры сети и время настройки правил. Последнее зависит от удобства использования брандмауэра, а вот первое — от приспособленности его установочного пакета к централизованной установке.
Все три межсетевых экрана распространяются в виде пакетов MSI, а это означает, что можно использовать средства развертывания ActiveDirectory для их централизованной установки. Казалось бы все просто. Но на практике оказывается, что нет.
На предприятии, как правило, используется централизованное управление межсетевыми экранами. А это означает, что на какой-то компьютер устанавливается сервер управления брандмауэрами, а на остальные устанавливаются программы-клиенты или как их еще называют агенты. Проблема вся в том, что при установке агента нужно задать определенные параметры — как минимум IP-адрес сервера управления, а может еще и пароль и т.д.
Следовательно, даже если вы развернете MSI-файлы на все компьютеры сети, настраивать их все равно придется вручную. А этого бы не очень хотелось, учитывая, что сеть большая. Даже если у вас всего 50 компьютеров вы только вдумайтесь — подойти к каждому ПК и настроить его.
Как решить проблему? А проблему можно решить путем создания файла трансформации (MST-файла), он же файл ответов, для MSI-файла. Вот только ни VipNet Office Firewall, ни TrustAccess этого не умеют. Именно поэтому, кстати, в таблице 2 указано, что нет поддержки развертывания Active Directory. Развернуть то эти программы в домене можно, но требуется ручная работа администратора.
Конечно, администратор может использовать редакторы вроде Orca для создания MST-файла.
Рис. 1. Редактор Orca. Попытка создать MST-файл для TrustAccess.Agent.1.3.msi
Но неужели вы думаете, что все так просто? Открыл MSI-файл в Orca, подправил пару параметров и получил готовый файл ответов? Не тут то было! Во-первых, сам Orca просто так не устанавливается. Нужно скачать Windows Installer SDK, из него с помощью 7-Zip извлечь orca.msi и установить его. Вы об этом знали? Если нет, тогда считайте, что потратили минут 15 на поиск нужной информации, загрузку ПО и установку редактора. Но на этом все мучения не заканчиваются. У MSI-файла множество параметров. Посмотрите на рис. 1 — это только параметры группы Property. Какой из них изменить, чтобы указать IP-адрес сервера? Вы знаете? Если нет, тогда у вас два варианта: или вручную настроить каждый компьютер или обратиться к разработчику, ждать ответ и т.д. Учитывая, что разработчики иногда отвечают довольно долго, реально время развертывания программы зависит только от скорости вашего перемещения между компьютерами. Хорошо, если вы заблаговременно установили инструмент удаленного управления — тогда развертывание пройдет быстрее.
Киберсейф Межсетевой экран самостоятельно создает MST-файл, нужно лишь установить его на один компьютер, получить заветный MST-файл и указать его в групповой политике. О том, как это сделать, можно прочитать в статье «Разграничение информационных систем при защите персональных данных». За какие-то полсача (а то и меньше) вы сможете развернуть межсетевой экран на все компьютеры сети.
| Продукт | Оценка |
| VipNet Office Firewall | |
| Киберсейф Межсетевой экран | |
| TrustAccess | |
Удобство использования
Брандмауэр — это не текстовый процессор. Это довольно специфический программный продукт, использование которого сводится к принципу «установил, настроил, забыл». С одной стороны, удобство использования — второстепенный фактор. Например, iptables в Linux нельзя назвать удобным, но ведь им же пользуются? С другой — чем удобнее брандмауэр, тем быстрее получится защитить ИСПДн и выполнять некоторые функции по ее администрированию.
Что ж, давайте посмотрим, насколько удобны рассматриваемые межсетевые экраны в процессе создания и защиты ИСПДн.
Начнем мы с VipNet Office Firewall, который, на наш взгляд, не очень удобный. Выделить компьютеры в группы можно только по IP-адресам (рис. 2). Другими словами, есть привязка к IP-адресам и вам нужно или выделять различные ИСПДн в разные подсети, или же разбивать одну подсеть на диапазоны IP-адресов. Например, есть три ИСПДн: Управление, Бухгалтерия, IT. Вам нужно настроить DHCP-сервер так, чтобы компьютерам из группы Управление «раздавались» IP-адреса из диапазона 192.168.1.10 — 192.168.1.20, Бухгалтерия 192.168.1.21 — 192.168.1.31 и т.д. Это не очень удобно. Именно за это с VipNet Office Firewall будет снят один балл.
Рис. 2. При создании групп компьютеров наблюдается явная привязка к IP-адресу
В межсетевом экране Киберсейф, наоборот, нет никакой привязки к IP-адресу. Компьютеры, входящие в состав группы, могут находиться в разных подсетях, в разных диапазонах одной подсети и даже находиться за пределами сети. Посмотрите на рис. 3. Филиалы компании расположены в разных городах (Ростов, Новороссийск и т.д.). Создать группы очень просто — достаточно перетащить имена компьютеров в нужную группу и нажать кнопку Применить. После этого можно нажать кнопку Установить правила для формирования специфических для каждой группы правил.
Рис. 3. Управление группами в Киберсейф Межсетевой экран
Что касается TrustAccess, то нужно отметить тесную интеграцию с самой системой. В конфигурацию брандмауэра импортируются уже созданные системные группы пользователей и компьютеров, что облегчает управление межсетевым экраном в среде ActiveDirectory. Вы можете не создавать ИСПДн в самом брандмауэре, а использовать уже имеющиеся группы компьютеров в домене Active Directory.
Рис. 4. Группы пользователей и компьютеров (TrustAccess)
Все три брандмауэра позволяют создавать так называемые расписания, благодаря которым администратор может настроить прохождение пакетов по расписанию, например, запретить доступ к Интернету в нерабочее время. В VipNet Office Firewall расписания создаются в разделе Расписания (рис. 5), а в Киберсейф Межсетевой экран время работы правила задается при определении самого правила (рис. 6).
Рис. 5. Расписания в VipNet Office Firewall
Рис. 6. Время работы правила в Киберсейф Межсетевой экран
Рис. 7. Расписание в TrustAccess
Все три брандмауэра предоставляют очень удобные средства для создания самих правил. А TrustAccess еще и предоставляет удобный мастер создания правила.
Рис. 8. Создание правила в TrustAccess
Взглянем на еще одну особенность — инструменты для получения отчетов (журналов, логов). В TrustAccess для сбора отчетов и информации о событиях нужно установить сервер событий (EventServer) и сервер отчетов (ReportServer). Не то, что это недостаток, а скорее особенность («feature», как говорил Билл Гейтс) данного брандмауэра. Что касается, межсетевых экранов Киберсейф и VipNet Office, то оба брандмауэра предоставляют удобные средства просмотра журнала IP-пакетов. Разница лишь в том, что у Киберсейф Межсетевой экран сначала отображаются все пакеты, и вы можете отфильтровать нужные, используя возможности встроенного в заголовок таблицы фильтра (рис. 9). А в VipNet Office Firewall сначала нужно установить фильтры, а потом уже просмотреть результат.
Рис. 9. Управление журналом IP-пакетов в Киберсейф Межсетевой экран
Рис. 10. Управление журналом IP-пакетов в VipNet Office Firewall
С межсетевого экрана Киберсейф пришлось снять 0.5 балла за отсутствие функции экспорта журнала в Excel или HTML. Функция далеко не критическая, но иногда полезно просто и быстро экспортировать из журнала несколько строк, например, для «разбора полетов».
Итак, результаты этого раздела:
| Продукт | Оценка |
| VipNet Office Firewall | |
| Киберсейф Межсетевой экран | |
| TrustAccess | |
Стоимость
Обойти финансовую сторону вопроса просто невозможно, ведь часто она становится решающей при выборе того или иного продукта. Так, стоимость одной лицензии ViPNet Office Firewall 4.1 (лицензия на 1 год на 1 компьютер) составляет 15 710 р. А стоимость лицензии на 1 сервер и 5 рабочих станций TrustAccess обойдется в 23 925 р. Со стоимостью данных программных продуктов вы сможете ознакомиться по ссылкам в конце статьи.
Запомните эти две цифры 15710 р. за один ПК (в год) и 23 925 р. за 1 сервер и 5 ПК (в год). А теперь внимание: за эти деньги можно купить лицензию на 25 узлов Киберсейф Межсетевой экран (15178 р.) или немного добавить и будет вполне достаточно на лицензию на 50 узлов (24025 р.). Но самое главное в этом продукте — это не стоимость. Самое главное — это срок действия лицензии и технической поддержки. Лицензия на Киберсейф Межсетевой экран — без срока действия, как и техническая поддержка. То есть вы платите один раз и получаете программный продукт с пожизненной лицензией и технической поддержкой.
| Продукт | Оценка |
| VipNet Office Firewall | |
| Киберсейф Межсетевой экран | |
| TrustAccess | |
Срок поставки
По нашему опыту время поставки VipNet Office Firewall составляет около 2-3 недель после обращения в ОАО «Инфотекс». Честно говоря, это довольно долго, учитывая, что покупается программный продукт, а не ПАК.
Время поставки TrustAccess, если заказывать через «Софтлайн», составляет от 1 дня. Более реальный срок — 3 дня, учитывая некоторую задержку «Софтлайна». Хотя могут поставить и за 1 день, здесь все зависит от загруженности «Софтлайна». Опять-таки — это личный опыт, реальный срок конкретному заказчику может отличаться. Но в любом случае срок поставки довольно низкий, что нельзя не отметить.
Что касается программного продукта КиберСейф Межсетевой экран, то производитель гарантирует поставку электронной версии в течение 15 минут после оплаты.
| Продукт | Оценка |
| VipNet Office Firewall | |
| Киберсейф Межсетевой экран | |
| TrustAccess | |
Что выбрать?
Если ориентироваться только по стоимости продукта и технической поддержки, то выбор очевиден — Киберсейф Межсетевой экран. Киберсейф Межсетевой экран обладает оптимальным соотношением функционал/цена. С другой стороны, если вам нужна поддержка Secret Net, то нужно смотреть в сторону TrustAccess. А вот VipNet Office Firewall можем порекомендовать разве что как хороший персональный брандмауэр, но для этих целей существует множество других и к тому же бесплатных решений.