четверг, 29 февраля 2024 г.

Результаты тестирования межсетевых экранов 2024 года


В тесте NGFW участвовали Континент 4.1.7, CheckPoint 81.20, UserGate 7.1.0, Sangfor 8.0. Опубликовали тест 29 февраля 2024 года.

Возникает первый вопрос: был ли реальный тест функций или по документации. Коллеги заявляют, что проверяли сами часть функционала, часть смотрели по документации.

Поэтому важно посмотреть саму методику тестирования. 

Методики тут:

Впечатления 
  • Меня удивили NAT-правила для определенных правил МСЭ в Континент. Интересно посмотреть как это на практике.
  • Понравилось, что были проверки работы обнаружения приложений на нестандартных портах.
  • Интересно было посмотреть особенности каждого МСЭ - что движки делают с трафиком после расшифрования SSL - кто-то инспектирует всеми модулями безопасности открытый трафик, а кто-то избирательно реализовал, где-то еще есть ICAP. Интересно, что почти все могут HTTPS и лишь немногие смотрят в другие протоколы на базе SSL. Про работу SSL инспекции у меня есть отдельный видеоролик.
  • Интересно, что где-то нельзя загружать внешние сертификаты. Это выглядит прямо неудобным.
  • Важно что проверили исключения для работы SSL для некоторых URL категорий.
  • Мне всегда интересно какие есть режими подключения User-ID к AD и другим система аутентификации. По User-ID у меня тоже есть видеоролик.
  • Очень круто, что описали какие 2FA/MFA поддерживаются.
  • Интересно было узнать кто поддерживает ГОСТ, а кто AES для VPN.
  • Классно что проверили функциональность ZTNA, то есть проверку соответствия требованиям клиентской рабочей станции самим агентом VPN.
  • Показали кто и как интегрируется с песочницей, можно дополнить списком протоколов, которые разбираются и из которых файлы отправляются в песочницу.
Что еще бы добавить
  • Для меня не хватило теста Virtual Wire, я его часто использовал, потому что в этом режиме удобно инсталлировать NGFW как IPS, или как прозрачный сенсор в сети АСУТП, где нельзя менять топологию. 
  • Также интересно как меняются теги VLAN в L2.
  • Получается ни у кого нет анализа трафика на SPAN?
  • Также в проверках приложений было очень интересно сколько приложений поддерживается движком DPI. Таких данных не вижу - лучше в следующем тесте опубликовать.
  • Важно в проверке приложений потестировать какие-то сложные: TOR, Telegram и российские: 1С, Одноклассники и др.
  • Интересно, что некоторые производители не делают приложение критерием проверки, это лучше протестировать всегда.
  • Про IPS хотелось узнать а как обновляются сигнатуры, как часто, насколько хорошо покрытие атак хотя бы по Strike 1 набору из IXIA.
  • По правилам было интересно узнать как работает с большим количеством правил и какая просадка- как известно это проблема современных устройств. Хотя бы 10 тысяч правил добавить в методику.
  • Можно добавить стоимость за защищенный гигабит для устройств мощностью 1, 2, 5, 10 Гбит/с с включенными функциями защиты.
  • Интересно бы узнать максимальное по производительности устройство в линейке вендора.
  • Также интересно где хранятся логи: локально или на центральном сервере. Это влияет на производительность. 
  • Журналируются ли действия администраторов?
  • Что происходит при рызрыве связи NGFW и системы управления?
  • Также круто сравнить системы управления: встроенная в каждый Local Management или централизованная, сколько событий в секунду принимает лог коллектор в системе управления, что делать если не хватает одного лог коллектора и др.
  • Управление через API -  как работает, хватает ли функционала для разных сценариев, с чем получилось интегрировать, например, с каким-то SOAR.