Обзорная статья по ViPNet xFirewall 5 - NGFW

Обзоры

Вендоры

Рейтинг NGFW

Контакты

Профиль

Рубрики

О портале

Соцсети

Искать

Обзорная статья по ViPNet xFirewall 5

Автор: Михаил Карлин, Инженер NeptunIT    Дата: 12.09.2023
Вендор     Продукт     Версия
4.0
Централизованное управление и мониторинг
4.0
Обнаружение вторжений и защита вредоносного ПО
3.0
Эргономика
4.0
Контроль приложений и доступа в интернет
3.0
Масштабируемость и отказойстойчивость
4.0
Расшифровка трафика
4.0
Сетевые функции
3.0
Предсказуемость ценообразования
3.0
Стоимость и сроки поставки
В обзоре представлена информация по продукту xFirewall 5 версии 5.6.0. Рассказывается опыт автора по использованию продукта.
3.2

Вступление

Всем доброго времени суток. В данной статье хочу рассказать вам про такой продукт от вендора Infotecs как ViPNet xFirewall 5, а именно про достоинства и недостатки данного продукта, свой личный опыт. Приступим.

Введение

В современном цифровом мире защита данных и сетевая безопасность играют критически важную роль для организаций, независимо от их размера или отрасли. От вредоносных программ до хакерских атак, угрозы в сети могут привести к серьезным последствиям, включая сбои в работе, утечку данных и потерю доверия клиентов. Одним из ведущих продуктов в сфере сетевой безопасности является ViPNet xFirewall 5, который обеспечивает надежную защиту информации.

Что такое xFirewall 5

ViPNet xFirewall 5 - это решение в области сетевой безопасности, разработанное компанией Infotecs. Этот продукт предназначен для обеспечения максимальной защиты корпоративных сетей и данных от различных угроз и атак в современном цифровом мире. xFirewall может быть как в аппаратном исполнении, так и в виртуальном. Сертифицирован по ФСТЭК.

Модельный ряд состоит из четырех аппаратных платформ: xF100 N1 (для маленьких филиалов), xF 1000 Q7 и Q8 (для средних и больших филиалов) и xF5000 Q2 (для ЦОД). Как и многие Next-Generation Firewall решения xFirewall 5 имеет широкий функционал: IPS, DPI, Инспекция SSL/TLS трафика, контроль приложений, URL-фильтрация, интеграция с Active Directory и др., но не имеет VPN :) . Под VPN, а именно ГОСТ VPN, у Infotecs есть другой продукт под названием ViPNet Coordinator, без которого xFirewall “не заведется”, об этом расскажу в личном опыте ниже.

Опыт использования ViPNet xFirewall 5

Итак, впервые познакомился с данным продуктом 2 года назад. Начнем с главного:

  1. Для интеграции xFirewall 5 в вашу сеть вам потребуется установить 3(!) программы:
    • Центр Управления сетью (ЦУС), в данной программе создаются узлы в сети ViPNet, связываются узлы для отправления служебных пакетов и построения VPN, создание межсетевого взаимодействия с другими сетями ViPNet;
    • Удостоверяющий и ключей центр (УКЦ), тут мы выпускаем ключи (файл .dst) и пароли (файл .xps) для узлов;
    • ViPNet Client, админский клиент сети, толстый VPN клиент, считается самым “главным”, так как в ЦУС создается первым и с помощью него через центральный ViPNet Coordinator отправляются служебные пакеты на остальные узлы в сети, в том числе на xFirewall 5. Через него осуществляется подключение по https к нашему NGFW.
    Итого, чтобы поставить одну железку, потребуется еще время на установку немаловажных компонентов, без которых xFirewall не проинициализировать.
  2. Как уже было сказано выше, у xFirewall нет VPN, и для организации site-to-site или Remote VPN требуется дополнительно докупать еще один ПАК ViPNet Coordinator (криптографический шлюз безопасности), а это лишние расходы. Получается, нужно купить Coordinator для NGFW, чтоб вы смогли управлять NGFW через Coordinator.
  3. Из второго пункта образовывается третий пункт: общение между ViPNet Coordinator и xFirewall. Проблема в том, что Coordinator ждет зашифрованный пакет от NGFW, а NGFW отправляет пакет в открытом (не зашифрованном виде), из-за чего пакет блокируется на Coordinator. После трех часов танцев с бубном и благодаря широкому списку возможностей CLI, получилось убедить ViPNet Coordinator в том, что от xFirewall не будут приходить зашифрованные пакеты, так как он не умеет это делать. Таким образом, получается лишняя трата времени администратора на корректную “видимость” узлов.

  4. Командная строка в xFirewall 5 достаточно многофункциональная. В режиме enable открываются все возможные настройки, которых нет в Web-интерфейсе. Тут можно настроить транзитные правила, NAT правила, включить/выключить IPS, провалиться в конфигурационный файл iplir.cfg, где вы будете очень часто бывать, для изменения тех или иных параметров, и т.д.

    По-моему мнению, это очень большой плюс, так как у вас “развязаны” руки для точечной настройки и диагностики, что у некоторых вендоров я не видел.

  5. Логи и диагностика. Системный журнал информативный, не составляет труда определить причину возникновения той или иной проблемы в устройстве (совместно с технической поддержкой от Infotecs).

    Сетевой журнал содержит достаточно большое количество информации, по которым можно корректно настроить транзитные правила, но логируется весь сетевой трафик, нет возможности в транзитных правилах отключить логирование по тому или иному правилу. Сетевой журнал ViPNet xFirewall 5 можно посмотреть как в Web-интерфейсе и CLI (iplir view).

    По диагностике все очень хорошо. Из режима enable (ViPNet shall) можно попасть в bash оболочку, в ней можно запустить такие команды, как tcpdump, iplirdiag и другие. Правда, про bash ни в какой документации “Руководство администратора” вы не найдете, но она есть и очень полезна. Вендор не рекомендует вносить какие-либо изменения через это оболочку, будьте аккуратны.

  6. IPS/Application Control
    • IPS работает корректно, претензий к ней нет. Единственное, это нет возможности добавление своих сигнатур. В новых версиях добавят.
    • Application Control (инспектирует более 5000 приложений и протоколов(!)) работает так, как и должен. Корректно определяет приложение, в зависимости от транзитного правила блокирует или пропускает трафик. Список приложений постоянно обновляется. Вместе с AD можно создать правила для человека или группы людей для блокировки того или типа приложения.
    Функции xFirewall 5, которые не были затронуты, отвечают всем требованиям, которые заявляет вендор.

    7. Заключение

    В заключение хотел сказать, что ViPNet xFirewall 5 может решить практически любую задачу, нужную заказчику, как по части маршрутизации, так и по мощным функциям безопасности: эффективно обнаруживает и блокирует угрозы, а также обеспечивает гибкую настройку политик безопасности. Единственным недостатком, который заметил, является сложность настройки данного продукта для новичков, и, в целом, продуктов Infotecs, будет сложно втянуться в процесс работы данного большого механизма, но с поддержкой Infotecs и их подробной документацией по каждому продукту, в том числе и xFirewall 5, можно получить, безусловно, ценный опыт.

© 2024 Все права защищены 18+