Преимущества и недостатки Континент 4.1.7 - NGFW

Обзоры

Вендоры

Рейтинг NGFW

Контакты

Профиль

Рубрики

О портале

Соцсети

Искать

Преимущества и недостатки Континент 4.1.7

Автор: Пожелавший остаться неизвестным    Дата: 13.07.2023
Вендор     Продукт     Версия
4.0
Централизованное управление и мониторинг
4.0
Обнаружение вторжений и защита вредоносного ПО
5.0
Эргономика
4.0
Контроль приложений и доступа в интернет
4.0
Масштабируемость и отказойстойчивость
5.0
VPN и удаленный доступ
5.0
Расшифровка трафика
4.0
Сетевые функции
5.0
Предсказуемость ценообразования
4.0
Стоимость и сроки поставки
В обзоре представлена информация по продукту Континент 4.1.7. Выделены основные (по мнению автора) функции решений класса NGFW и представлены оценки (преимущества и недостатки) для каждой основной функциональной возможности NGFW
4.4

Континент 4.1.7 – межсетевой экран следующего поколения (NGFW). В данном обзоре мы сосредоточимся на преимуществах и недостатках данного решения. Поэтому предлагаю выделить основные функциональные возможности решений класса Next Generation Firewall (далее NGFW) и подробно рассмотреть, как это реализовано в Континент 4.1.7 с преимуществами и недостатками.

Когда только появлялись первые решения класса NGFW, считалось, что их основным преимуществом являются:

  1. Разбор L7-трафика, т.е. если раньше политики безопасности писались для конкретных портов и протоколов (tcp/80, tcp/445, udp/123 и др), то теперь нет гарантии, что на tcp/80 у вас будет только http трафик. Злоумышленники могут маскировать вредоносный трафик под известные и доступные порты. Поэтому, появилась необходимость определять, что по tcp/80 или по tcp/81 мы будем передавать только http трафик. Или же нам необходимо запретить смотреть видео на сайте, при этом сам сайт должен быть доступен. Как раз такие задачи и решают решения класса NGFW, которые умеют работать с L7-трафиком, а не только с L4.
  2. Использование идентификаторов пользователей, т.е. если раньше в политиках безопасности фигурировали ip-адреса, то теперь появилась потребность, когда нам нужно разрешать или блокировать доступ конкретного для определенных пользователей без привязки к его ip-адресу (ведь один пользователь может иметь несколько рабочих устройств)

Со временем, к возможностям NGFW стали приписывать и другой функционал безопасности:

  1. Система обнаружения/предотвращений вторжений (IPS/IDS)
  2. Защита от вирусов на уровне сети (AntiVirus)
  3. Защита от ботнет-сетей (AntiBot)
  4. Веб-фильтрация (URL-filter)
  5. Проверка зашифрованного трафика (SSL-inspection)

Также не стоит забывать и про сетевые функции, которые могут быть реализованы средствами NGFW:

  1. VPN
  2. Публикация общедоступных приложений
  3. Маршрутизация
  4. Резервирование каналов связи
  5. Приоритезация трафика
  6. Логирование и отчетность

Таким образом, дальше я предлагаю рассмотреть преимущества и недостатки именно данного функционала в Континент 4.1.7

Критерий Преимущества Недостатки
Контроль приложений
  • База из ~7000 приложений;
  • Возможность кастомизации приложений
 Есть ограничения по совместному использованию фидов Касперского и Кода безопасности с контролем приложений для одинаковых отправителей/получателей/сервисов. Нужно учитывать определенную логику при написании таких правил для совместного использования.
Идентификация пользователей
  • Есть возможность формировать правила межсетевого экранирования с идентификаторами пользователей;
  • Есть прозрачная аутентификация пользователей через Kerberos
  • Пользователи могут быть как доменные (LDAP-коннектор), так и локальные;
  • Имеется агент идентификации под Windows
 Отсутствует Radius-коннектор
IPS/IDS
  • База из ~30000 сигнатур с возможностью их кастомизации;
  • Возможность добавления собственных сигнатур (на языке Suricata)
 Невозможность расшифровки HTTPS-трафика модулем IPS/IDS
AntiVirus
  • Проверка трафика по хэшам вредоносных файлов
  • Есть возможность добавлять собственные хэши вредоносных (или не очень) файлов
  • Отсутствие сигнатурного анализа;
  • Отсутствие эвристического анализа
AntiBot Блокировка доступа к ботнет сетям (несколько категорий с ботнет-сетями)
URL-filter
  • 32 категории сайтов для использования в правилах межсетевого экранирования;
  • Фиды Threat Intelligence (Касперского и Кода Безопасности), блокирующие ботнет-сети, вредоносные и фишинговые сайты
 Есть ограничения по совместному использованию фидов Касперского и Кода безопасности с контролем приложений для одинаковых отправителей/получателей/сервисов. Нужно учитывать определенную логику при написании таких правил для совместного использования.
SSL-inspection
  • Имеется возможность расшифровки веб-трафика (TLS 1.0-1.3)
  • Имеется возможность формировать исключения для SSL-inspection
VPN
  • Быстрый и удобный способ формирования Site-to-Site VPN;
  • Имеется собственный сертифицированный клиент для Remote Access VPN
 Возможность формирования Site-to-Site VPN только между узлами безопасности Континент 4 (используется проприетарный протокол)
Публикация общедоступных ресурсов Публикация общедоступных ресурсов через технологию NAT
Маршрутизация Поддержка протоколов динамической маршрутизации: OSPFv2, BGPv4
Резервирование каналов связи
  • Возможность работы в режиме обеспечения отказоустойчивости каналов связи;
  • Возможность работы в режиме балансировки трафика между внешними интерфейсами узла безопасности
 Настройка возможна только для физических интерфейсов узла безопасности
Приоритезация трафика Полноценный функционал по использованию механизма QoS
Логирование и отчетность
  • Встроенная централизованная система логирования и отчетности;
  • Возможность экспорта логов по syslog;
  • Возможность экспорта данных по протоколу NetFlow
 Отсутствует глубокая аналитика по совершаемым действиям пользователей в Интернет с помощью встроенных механизмов логирования
Другие функции
  • Возможность передавать данные на проверку в сторонние системы безопасности по протоколу ICAP;
  • Имеется встроенный модуль поведенческого анализа, который позволяет обнаруживать протокольные атаки (например, DoS-атаки);
 Отсутствие высокопроизводительных платформ для защиты ЦОД функционалом NGFW (максимум 9 Гб/сек)

Подводя итог, я бы хотел обратить внимание именно на функционал Континент 4.1.7.

  1. Функционал, который изначально выделял NGFW из числа всех остальных межсетевых экранов – контроль приложений – у Континент 4.1.7 реализован на отличном уровне: есть возможность как разрешать, так и блокировать определенные приложения (а их порядка 7000).
  2. Функционал, который изначально не относился к NGFW, а именно веб-фильтрация, у Континент 4.1.7 присутствует в хорошем виде. Есть возможность блокировать категории URL, есть возможность проверять трафик на наличие вредоносов, и это работает хорошо. Но есть определенные моменты, которых не хватает для заказчиков:
    • совместно использовать и контроль приложений, и веб-фильтрацию без каких-либо ограничений;
    • использовать сигнатурный/эвристический анализ модулем антивируса (Тут много можно спорить о явной необходимости сигнатурного/эвристического анализа на NGFW, ведь антивирусная проверка, как правило, реализуется на уровне хостов, а на NGFW это используется как второй этап, и здесь вполне хватит проверки по хэшам. Но что, если речь идет о SMB-сегменте, где не всегда есть возможность использовать антивирусы уровня хоста?);
    • просматривать детальную информацию о действиях пользователей при посещении веб-сайтов: какой пользователь, что делал.
    Также, в рамках веб-защиты стоит отдельно выделить фиды Threat Intelligence (Касперского и Кода Безопасности), которые позволяют эффективно блокировать большинство известных ресурсов, распространяющих вредоносный контент.
  3. Отдельно, хочу выделить систему обнаружения/предотвращений вторжений, которая является большим преимуществом. Это преимущество заключается в огромной вендорской базе сигнатур (~30000). Причем, часть данных сигнатур я смело могу отнести к антивирусным. Таким образом, одним модулем IPS можно обнаруживать и блокировать бОльшую часть вредоносного контента.

По моему мнению, среди различных вариантов отечественных NGFW, Континент 4 имеет огромное преимущество:

  1. В функционале защиты
  2. В организации VPN
  3. В централизации управления

© 2024 Все права защищены 18+