До Континента мы использовали зарубежный NGFW FortiGate-100D одного из лидеров рынка компании Fortinet. У которого 2020 году истек срок действия сертификат ФСТЭК России (по условиям регулятора использовать его можно до окончания срока технической поддержки, т.е. до марта 2023 года), и мы заменили FortiGate отечественным NGFW Континент 4 платформа IPC 1000NF2. Выполняя указанную замену у нас возник ряд неудобств, однако все функции, которые были настроены в Fortigate получилось перенести в Континент.
В работе Континент 4 выделены следующие неудобства:
Ввиду отсутствия работы с интерфейсами на Континент 4 усложняется работа с правилами фильтрации, а именно увеличивается в 2 раза количество правил.
Допустим, у нас есть сеть и нам необходимо выпустить один из серверов пускай это будет сервер с ip-адресом 192.168.1.1 в интернет и в одну из подсетей нашей корпоративной сети.
В NGFW который имеет функционал, позволяющий работать с интерфейсами это правило выглядело следующим образом.
Мы указали исходящий интерфейс, к которому подключен сервер, входящий интерфейс, который подключен к сети провайдера и интерфейсу выбранного сегмента корпоративной сети. Источник в нашем случае — это сервер, назначение мы не указывали так как не было необходимости. Кроме того, необходимо было указать порты для взаимодействия. Именно возможности указать интерфейсы позволяет сокращать количество правил.
Для того что бы создать такое же правило в Континенте потребуется написать, как минимум 2 правила. Первым правилом запретим работу данному серверу с всеми внутренними сетями по всем портам. Вторым правилом так как мы незнаем на какой ip-адрес необходим будет доступ разрешим серверу выходить в любую сеть по определенным портам т.е. выпустим в интернет и в внутреннюю сеть, которую не запретили в первом правиле.
Похожая ситуация с увеличением правил происходит в случае трансляции (NAT) нескольких портов. В Континенте необходимо прописать правило на каждый порт трансляции отдельно т.е. необходимо нам открыть 5 портов значит и правил необходимо прописать 5.
Для настройки динамической маршрутизации (OSPF) потребуется вспомнить основы программирования либо обратиться за помощью в техническую поддержку, так как для настройки необходимо прописать ряд команд, которые и будут осуществлять организацию динамической маршрутизации по опыту советую сразу обращаться к специалистам в техническую поддержку. Они предоставят файл с краткими пояснениями в который необходимо будет внести информацию от провайдера и наши маршруты.
За чуть больше чем год использования Континент 4 в работе выделены следующие положительные качества
Первое, что стоит отметить это динамичность выпуска новых релизов в которых появляются реально необходимые инструменты. Для примера: в момент, когда мы приобрели Континент, а это сентябрь 2022 года, инструмент Geo-IP востребованный для использования в работе отсутствовал, но уже в январе 2023 года вышел релиз с Geo-IP. Для тех, кто не сталкивался с функционалом Geo-IP, поясню. Geo-IP позволяет ограничить запросы к инфраструктуре из определённых стран и как Вы понимаете в прошлом году данный функционал был очень востребован. В нашем случае включение функции Geo-IP позволило сократить серый трафик как минимум в 2 раза.
К сожалению, исключить его полностью не вышло так как злоумышленники обладают широкой базой ботов и у нас в стране, кроме того все больше набирает обороты краткосрочная аренда белых ip-адресов.
Также требуется отметить, что у компании Код безопасности сильной стороной, является техническая поддержка, которая функционирует достойно. Существует возможность задать интересующий вопрос в телефонном режиме, по электронной почте или мессенджере Telegram и получить конкретный ответ на заданный вопрос. Ввиду того, что некоторые функции не всегда описаны тривиально в инструкциях, появляется необходимость либо искать пояснения в интернете и терять кучу времени, либо обратиться за разъяснением к техподдержке, которая в свою очередь уже либо пришлет отписку спустя пару дней, а то и больше, либо как в случае с Континентом оперативно предоставит развернутый ответ.
Третий момент, который мы для себя выделили это большой срок работы на отказ. С момента внедрения Континент 4 платформа IPC 1000NF2 — это чуть больше года у нас не возникла потребность перезагружать его.
Подводя итог можно сказать, что в настоящее время существуют определенные неудобства в работе и отсутствует некоторый функционал по сравнению с зарубежными лидерами рынка NGFW. Однако уже сейчас Континент 4 сочетает в себе МЭ и СОВ, компания Код безопасности динамично развивает его функционал, а по наработке на отказ платформа IPC1000NF2 которую мы используем уже сопоставима с зарубежными аналогами.
