Коллеги, всех приветствую! Ни для не секрет, что одним из основных средств информационной безопасности является межсетевой экран, фильтрующий сетевой трафик. Использовать его могут как совсем небольшие организации, так и огромные корпорации с территориально разнесенными филиалами. Однако профиль современных угроз достаточно обширный и классические пакетные межсетевые экраны стремительно устаревают с каждым днем, поэтому все чаще и чаще такие задачи решаются с помощью межсетевых экранов нового поколения (Next-Generation Firewall, NGFW). Одни из наиболее известных российских производителей в данном классе является компания «Код Безопасности» с её флагманским продуктом «Континент 4 NGFW». Предлагаю рассмотреть её актуальную версию на момент написания статьи – 4.1.7 (build 1375).
В рамках данного обзора предлагаю пройтись по 5 аспектам продукта:
- Варианты исполнения и лицензирование;
- Наличие сертификатов;
- Функциональные возможности;
- Главные фичи;
- Преимущества/недостатки по моему мнению и мнению сообщества.
Свой обзор я начал с фразы, что межсетевой экран могут использовать как совсем маленькие компании, так и огромные корпорации. Модельный ряд «Континент 4 NGFW» представлен как программно-аппаратными комплексами (ПАК) и в виде виртуальных машин (VM), которые делятся на 3 категории:
- базовая производительность (SOHO);
- средняя производительность (SMB);
- высокопроизводительные (Enterprise).
Что позволяет перекрыть потребность всех представителей бизнеса. Также стоит выделить наличие аппаратных платформ российского производства (с индексом «R»). Данные платформы внесены в реестр РЭП, что может играть ключевой фактор для некоторых организаций. Для остальных компаний наличие платформ российского производства может сигнализировать об отсутствии проблем, связанных с рисками долгой поставки оборудования из-за рубежа. Лицензирование продукта делится на три подраздела – лицензирование функционала NGFW, лицензирование отдельных модулей (L2VPN, NF2) и лицензирование права на подключение (для удаленных пользователей).
«Континент 4 NGFW» сертифицирован ФСТЭК России и соответствует требованиям руководящих документов к 4-му классу защиты для программно-аппаратных межсетевых экранов уровня сети (тип «А»), к 4-му классу защиты для программных межсетевых экранов уровня сети (тип «Б»), к 4-му классу защиты для систем обнаружения вторжений уровня сети, а также к 4 уровню доверия средств обеспечения безопасности информационных технологий.
Говоря про функциональные возможности, на мой взгляд стоит начать с операционной системы. «Континент 4 NGFW» функционирует на базе глубоко переработанной операционной системы RHEL/CentOS, получившей собственное название «ContinentOS». За 5 лет существования данная ОС пережила существенные доработки и изменения в ходе множества обновлений. И если первая версия была по функционалу скорее ближе к «пакетному фильтру», то к актуальной версии 4.1.7 обзавелась расширенным контролем приложений (4000 приложений и протоколов), URL-фильтрацией по преднастроенным категориям (27 категорий), фидами Treat Intelligence, модулем GeoIP, потоковым антивирусом, интеграция с Active Directory (в т.ч. с функциональном Single Sign-On) и многими другими компонентами.
Ради каких основных фич берут «Континент 4 NGFW»? На данный вопрос у меня есть несколько ответов:
-
Централизованное управление. Решение строится на строгой иерархии, где все узлы безопасности (УБ) подчиненные центру управления сетью (ЦУС), с которого осуществляется централизованная дистрибьюция политик безопасности, сетевых объектов и агрегация логов со всех узлов. Данный подход существенно упрощает администрирование и аудит при больших инсталляциях.
- ОСТ VPN. Построение каналов Site-to-Site (L2VPN, L3VPN), благодаря подходу централизованного управления, осуществляется в несколько кликов и работает крайне стабильно. Функционал Remote Access VPN, пожалуй, один из самых развитых среди российских вендоров. Настройка со стороны администратора не занимает большого количества времени, а конфигурационные файлы для пользователей предоставляются в виде готовых профилей, которые необходимо просто импортировать в простой и удобный VPN клиент, работающего на подавляющем большинстве операционных систем – Windows, Linux, MacOS, Android, iOS и Аврора.
- Функционал NGFW. В «Континент 4 NGFW» крайне развитая и функциональная система обнаружения вторжений (СОВ), база сигнатур которого одна из самых обширных – около 30 000 сигнатур. Имеются фиды Threat Intelligence, позволяющие обнаруживать угрозы безопасности по индикаторам компрометации. Из уникального функционала, отсутствующего у других отечественных вендоров – модуль поведенческого анализа (МПА). МПА – это самообучаемый модуль, предназначенный для обнаружения атак сканирования, атак на основе корректности протоколов и угроз типа «отказ в обслуживании».
- Возможность быстрой миграции с CheckPoint. Используя официальный утилиты для миграции, существует возможность перенести большинство сетевых объектов и правил фильтрации с межсетевых экранов CheckPoint (версия GAiA 77.30 или 80.20), что может быть весьма полезно при большом количестве данных объектов.
Теперь поговорим про преимущества и недостатки:
-
ГОСТ VPN. Первая спорная реализация, являющаяся одновременно и главным преимуществом, и главным недостатком устройства – это проприетарный протокол ГОСТ VPN. Из-за данного протокола «Континент 4 NGFW» не способен строить Site-to-Site VPN с другими сетевыми устройствами (Cisco, CheckPoint и т.д.), что существенно усложняет эксплуатацию данного устройства в гетерогенной среде. Более того, на текущий момент отсутствует возможность строить Site-to-Site VPN соединение между аналогичными устройствами, под управлениями разных центров управления сетей. И хотя в компании «Код Безопасности» прекрасно это понимают и обещают переход на протокол IPsec в версии 4.2, но на текущий момент с этим приходится просто мириться.
-
Установка политик. Проблема, про которую часто упоминают в сообществе – долгая установка политик на подчиненные узлы безопасности. При включении большого количества компонентов (особенно СОВ), время установки политики может кратно возрастать. Например, до включения СОВ политика устанавливается 1 минуты, а после включения – от 5 минут. При частом внесении изменений в конфигурацию это может вызывать недовольство.
- Packet Flow. Реализованная работу трех движков – «URL-фильтрации», СОВ и «Контроля приложений» – вызывает некоторые нарекания. И хотя есть официальный документ, в котором описаны принципы их работы и корректного взаимодействия, рядовому администратору все это не очевидно и сложно (особенно если он перешел с иностранного решения). Хотелось бы переработку данного аспекта.
- Техническая поддержка. Техническая поддержка «Кода Безопасности», по личному опыту, работает очень быстро и строго выдерживает свои SLA, чем существенно превосходит конкурентов. Однако при существенной проблеме пробиться через 1 и 2 линию ТП и связаться с инженером бывает проблематично. Крайне редко бывает необходимость связаться с представителями компании через сообщество, например, телеграм-чат (благо они там быстро отвечают), чтобы подтолкнуть работу ТП.
-
Сообщество. Раз уж сказал про сообщество, то хочу сказать, что для меня, как и для большинства людей, немаловажным является развитое сообщество администраторов продукта. По Континенту в Telegram таковое насчитывает почти 3000 человек. В нем можно задать любой вопрос по устройству и получить ответ как от других пользователей, так и от представителей «Кода Безопасности».
Подводя итоги – «Континент 4 NGFW» является полноценным отечественным NGFW решением со своими фичами, преимуществами и недостатками. Безусловно, много над чем еще необходимо поработать, чтобы догнать своих зарубежных коллег, но уже сейчас его можно считать решением, способным удовлетворить потребности большинства заказчиков.