В тесте NGFW участвовали Континент 4.1.7, CheckPoint 81.20, UserGate 7.1.0, Sangfor 8.0. Опубликовали тест 29 февраля 2024 года.
Возникает первый вопрос: был ли реальный тест функций или по документации. Коллеги заявляют, что проверяли сами часть функционала, часть смотрели по документации.
Поэтому важно посмотреть саму методику тестирования.
Методики тут:
Впечатления
- Меня удивили NAT-правила для определенных правил МСЭ в Континент. Интересно посмотреть как это на практике.
- Понравилось, что были проверки работы обнаружения приложений на нестандартных портах.
- Интересно было посмотреть особенности каждого МСЭ - что движки делают с трафиком после расшифрования SSL - кто-то инспектирует всеми модулями безопасности открытый трафик, а кто-то избирательно реализовал, где-то еще есть ICAP. Интересно, что почти все могут HTTPS и лишь немногие смотрят в другие протоколы на базе SSL. Про работу SSL инспекции у меня есть отдельный видеоролик.
- Интересно, что где-то нельзя загружать внешние сертификаты. Это выглядит прямо неудобным.
- Важно что проверили исключения для работы SSL для некоторых URL категорий.
- Мне всегда интересно какие есть режими подключения User-ID к AD и другим система аутентификации. По User-ID у меня тоже есть видеоролик.
- Очень круто, что описали какие 2FA/MFA поддерживаются.
- Интересно было узнать кто поддерживает ГОСТ, а кто AES для VPN.
- Классно что проверили функциональность ZTNA, то есть проверку соответствия требованиям клиентской рабочей станции самим агентом VPN.
- Показали кто и как интегрируется с песочницей, можно дополнить списком протоколов, которые разбираются и из которых файлы отправляются в песочницу.
Что еще бы добавить
- Для меня не хватило теста Virtual Wire, я его часто использовал, потому что в этом режиме удобно инсталлировать NGFW как IPS, или как прозрачный сенсор в сети АСУТП, где нельзя менять топологию.
- Также интересно как меняются теги VLAN в L2.
- Получается ни у кого нет анализа трафика на SPAN?
- Также в проверках приложений было очень интересно сколько приложений поддерживается движком DPI. Таких данных не вижу - лучше в следующем тесте опубликовать.
- Важно в проверке приложений потестировать какие-то сложные: TOR, Telegram и российские: 1С, Одноклассники и др.
- Интересно, что некоторые производители не делают приложение критерием проверки, это лучше протестировать всегда.
- Про IPS хотелось узнать а как обновляются сигнатуры, как часто, насколько хорошо покрытие атак хотя бы по Strike 1 набору из IXIA.
- По правилам было интересно узнать как работает с большим количеством правил и какая просадка- как известно это проблема современных устройств. Хотя бы 10 тысяч правил добавить в методику.
- Можно добавить стоимость за защищенный гигабит для устройств мощностью 1, 2, 5, 10 Гбит/с с включенными функциями защиты.
- Интересно бы узнать максимальное по производительности устройство в линейке вендора.
- Также интересно где хранятся логи: локально или на центральном сервере. Это влияет на производительность.
- Журналируются ли действия администраторов?
- Что происходит при рызрыве связи NGFW и системы управления?
- Также круто сравнить системы управления: встроенная в каждый Local Management или централизованная, сколько событий в секунду принимает лог коллектор в системе управления, что делать если не хватает одного лог коллектора и др.
- Управление через API - как работает, хватает ли функционала для разных сценариев, с чем получилось интегрировать, например, с каким-то SOAR.