Выбираете NGFW: полный чек-лист функций для архитекторов, пресейлов и закупщиков

При подключении NGFW в сеть могут быть разные потребности, я собрал здесь все известные мне потребности, которые бывают в сетях. И я занимаюсь межсетевыми экранами с 1998 года. Достаточно долго. Вы можете пройтись по этому чеклисту и выбрать те, которые необходимы вашей компании. Все эти функции одновременно не реализованы ни в одном NGFW. Только учтите, что тут только сетевая часть. А есть еще часть связанная с безопасностью - это будет отдельный чеклист.

1. Физические интерфейсы и аппаратные возможности

1.1. Типы портов

• Медные (RJ-45), оптические (SFP/SFP+/QSFP)
• Скорости: 1 GbE, 10 GbE, 40 GbE, 100 GbE
• Встроенные модули расширения – Wi-Fi, сотовые модемы (LTE/5G), дополнительные порты.
  

1.2. Агрегация

• LACP (802.3ad), статическая агрегация

1.3. Разделение каналов

• Breakout-кабели (QSFP → 4×10 GbE)

1.4. Аппаратное резервирование

• HA-порты (dedicated HA, HA over data ports)

1.5. PoE

• Поддержка питания по Ethernet (редко в NGFW, но иногда спрашивают)

---

2. Логические режимы интерфейсов

2.1. Virtual Wire (L1) — прозрачная вставка NGFW без изменения L2 топологии, удобна в АСУТП
2.2. Layer 2 Mode — работа как коммутатор с политиками
2.3. Layer 3 Mode — маршрутизация (static/dynamic)
2.4. Subinterfaces — VLAN-теги на одном физическом порту (802.1Q)
2.5. VLAN интерфейсы — отдельные VLAN как L3-интерфейсы
2.6. Loopback Interfaces — для сервисов NGFW
2.7. TAP mode — пассивный мониторинг сети
2.8. Security Zones — сегментация интерфейсов для политик

---

3. Сетевые функции L2/L3

3.1. VLAN trunk / access
3.2. Spanning Tree (STP/RSTP/MSTP) — редко в NGFW, но иногда требуется
3.3. MAC-фильтрация 
3.4. Proxy ARP
3.5. Gratuitous ARP — для смены MAC при failover
3.6. DHCP Client/Server/Relay
3.7. PPPoE — в провайдерских сценариях
3.8. IPv6 — SLAAC, DHCPv6, RA proxy
3.9. Jumbo Frames – поддержка MTU >1500 (актуально для iSCSI, VoIP, мультимедиа). 

---

4. Маршрутизация

4.1. Статическая маршрутизация
4.2. Динамическая маршрутизация

• OSPF v2/v3
• BGP
• RIP

4.3. Policy-based routing (PBR)
4.4. ECMP — балансировка трафика по маршрутам
4.5. VRF / Virtual Router — разделение таблиц маршрутизации
4.6. Multicast Routing – IGMP, PIM-SM/PIM-DM 
4.7. Route redistribution - обмен таблицами маршрутизации между разными протоколами

---

5. NAT (Network Address Translation)

5.1. SNAT (Source NAT) — static, dynamic, PAT
5.2. DNAT (Destination NAT)
5.3. Bidirectional NAT
5.4. Policy NAT 
5.5. NAT64 / DNS64 – для взаимодействия IPv6-IPv4.

---

6. Высокая доступность (HA)

6.1. Active/Passive
6.2. Active/Active
6.3. Link Monitoring / Path Monitoring
6.4. State Synchronization — сессии, таблицы NAT
6.5. Heartbeat Interfaces – выделенные интерфейсы для синхронизации состояния и конфигурации
6.6. Asymmetric HA – поддержка ассиметричного трафика.

---

7. Виртуализация и мультиаренда

7.1. VSYS / VDOM — несколько виртуальных firewall в одном шасси
7.2. Tenant Separation — изоляция политик и логов
7.3. Ресурсные квоты – ограничение CPU/RAM/сессий на VDOM/VSYS.

---

8. Сервисные функции подключения

8.1. NTP, DNS, syslog, OCSP, LDAP — через выделенные интерфейсы
8.2. Out-of-band management — отдельный mgmt-порт
8.3. VRF для менеджмента — изоляция mgmt-трафика
8.4. Поддержка Active Directory/RADIUS/TACACS+ – для аутентификации администраторов.
8.5. Zero Touch Provisioning (ZTP) – автоматическая настройка при первом включении. 
8.6. API-доступ (REST, CLI, SSH) – для автоматизации (Ansible, Terraform).

---

9. Безопасность подключения

9.1. Port Security — ограничение по MAC
9.2. 802.1X Authentication — редко, но встречается в NGFW с NAC-интеграцией

---

10. Интеграция с инфраструктурой

10.1. GRE, VXLAN, MPLS pass-through
10.2. SD-WAN Integration – поддержка динамической маршрутизации по метрикам. 
10.3. Cloud Integration – AWS/Azure/GCP (например, Palo Alto VM-Series, Fortinet FortiGate-VM).  10.4. Tunneling Protocols – WireGuard (если поддерживается), L2TP, IP-in-IP.
10.5. Decrypted Traffic Mirror — отправка уже расшифрованного TLS-трафика на анализ (например, в DLP или NDR).

11. Мониторинг и логирование

11.1. NetFlow / sFlow / IPFIX – экспорт статистики трафика (часто для NTA/NPM-систем).
11.2. SNMP (v1/v2c/v3) – сбор метрик (интерфейсы, CPU, память, сессии).
11.3. Syslog (TCP/UDP/TLS) – стандартный экспорт логов в SIEM.
11.4. SIEM-интеграция – готовые коннекторы для Splunk, QRadar, ArcSight, Elastic.
11.5. REST API / gRPC API – автоматизация сбора и управления.
11.6. Custom reports / scheduled reports – отчёты по трафику, угрозам, пользователям, VPN.
11.7. Real-time dashboards – онлайн-мониторинг загрузки, атак, событий.

---

12. Управление полосой пропускания

12.1. Traffic Shaping – лимиты по src/dst, приложению, пользователю.
12.2. QoS Marking / DSCP rewrite – метки приоритета для VoIP, видео, критичных сервисов.
12.3. Application-based QoS – приоритеты по App-ID.
12.4. Fair-Usage Policies – ограничения «по справедливости» для всех клиентов/пользователей.
12.5. Scheduler – разные профили QoS по времени (часам, дням недели).

---

13. DDoS Protection

13.1. Rate Limiting – SYN flood, UDP flood, ICMP flood защита.
13.2. Blackhole / Null Routing – дроп трафика на уровне маршрутизации.
13.3. Anomaly Detection – статистический анализ, автоматическое включение фильтров.
13.4. Connection limits – лимиты на количество соединений от одного IP.
13.5. Geo-IP blocking – фильтрация по странам и регионам.

---

14. IPv6-функции

14.1. Dual Stack – одновременный IPv4/IPv6.
14.2. IPv6-правила – отдельные ACL и NAT для IPv6.
14.3. ICMPv6 Filtering – контроль Neighbor Discovery, Router Advertisement.
14.4. IPv6 NAT (NAT66/NPTv6) – поддержка трансляций IPv6.
14.5. Transition Mechanisms – 6to4, ISATAP, GRE over IPv6 (редко, но иногда критично).

---

15. VPN и туннелирование 

15.1. IPsec VPN – site-to-site, hub-and-spoke, mesh, route-based, VTI/policy-based.
15.2. SSL VPN – доступ пользователей к внутренним ресурсам
15.3. IKEv1 / IKEv2 – управление туннелями.
15.4. GRE / VXLAN / MPLS pass-through – поддержка L3/L2 оверлеев.
15.5. VPN QoS – приоритезация трафика внутри туннеля.

---

16. Развёртывание и масштабируемость

16.1. Cluster Mode – кластер от 2 до 16 устройств с балансировкой.
16.2. Virtual Appliance – поддержка гипервизоров (VMware, Hyper-V, KVM).
16.3. Cloud-native – AWS, Azure, GCP marketplace-образы.
16.4. Container Form Factor – cNFGW в Kubernetes/Openshift.

---

17. Диагностика и тестирование

17.1. Packet Capture / PCAP – встроенный анализатор пакетов.
17.2. Traffic Simulator – проверка работы политики без реального трафика.
17.3. CLI-диагностика – ping, traceroute, debug flow, session table.
17.4. Health Monitoring – CPU, RAM, сессии, температура, питание.

Текущее состояние производительности NGFW у российских поставщиков

В части производительности NGFW рекомендую посмотреть публичное тестирование компании Jet Infosystems 

Здесь видно как расходятся публичные данные из рекламы и реальные результаты тестов. Ideco в тесте серьезно просело по производительности с 5 официальных до 0,75 реальных Гбит/с.

Производительность PT NGFW на 10.10.24

 Путевые заметки рынка России в NGFW

10 октября 2024 Денис Кораблев показал результаты внутренних тестов PT NGFW.

Для такой маленькой коробки на Intel Atom без вентиляторов - 880 Гбит/с в режиме все включено это очень быстро.

То же самое для 2 юнитовой железки 96 Гбит/с - это тоже очень быстро.

Человек с юмором придумал обозначение L8. Такого термина нет в науке. Зато в PT есть )

Как правильно проводить нагрузочные тесты для NGFW: советы и рекомендации

В реальных сетях невозможно, чтобы все устройства устанавливали все сессии одновременно. Даже при тестировании на скорости 400 Гбит/с нельзя подавать все 400 Гбит/с и одновременно открывать 1 000 000 сессий в секунду, так как это приведет к DDoS-атаке, которая может вывести из строя NGFW без должной защиты. NGFW подвержены атакам, основанным на большом количестве новых сессий. Чтобы предотвратить это, разработчики внедряют защиту от DoS на интерфейсах.

Для эффективного тестирования NGFW необходимо использовать стадию RAMP UP, которая предполагает постепенное увеличение количества новых соединений через тестируемое устройство.

Этапы тестирования Throughput на IXIA

Тестирование Throughput включает три ключевых этапа: RAMP UP, STEADY и RAMP DOWN.

1. RAMP UP: На этом этапе происходит плавный рост всех параметров. Например, открывается 100 новых сессий в секунду с целью достичь 1000 одновременных сессий. Этот процесс занимает несколько минут.
2. STEADY: На основном этапе мы продолжаем подавать необходимый трафик в уже установленные сессии, имитируя типичную работу сети. Это может длиться от нескольких минут до суток, чтобы удостовериться в стабильности устройства под максимальной нагрузкой. Если тест STEADY длится всего несколько минут, это может свидетельствовать о неуверенности поставщика. Длительное тестирование позволяет выявить утечки памяти, что может привести к перезагрузке устройства.
3. RAMP DOWN: На заключительном этапе мы плавно завершаем все сессии через TCP FIN или RST. Этот процесс также занимает несколько минут.

При тестировании двух NGFW в режиме HA Active-Passive, когда активное устройство выходит из строя, весь трафик перенаправляется на резервное устройство. Даже в этом случае не все сессии будут пытаться открываться одновременно. Если первая попытка не удалась, сессия будет повторно запускаться через несколько секунд.

Если ваша цель — тестирование на CPS, возможно, вам потребуется создать 1000 новых сессий в секунду, чтобы оценить реакцию устройства, его процессора, буферов памяти, лог-коллекторов и дисков. Важно также учитывать, какой функционал включен для каждой сессии. Показатель CPS будет снижаться по мере увеличения объема анализа, выполняемого NGFW, включая DPI, URL, OCSP, SSL, IPS, AV и TI.

Bi.Zone протестировал межсетевые экраны Кода Безопасности: посмотрите результаты с IPS и без

Выражаю благодарность компании Bi.Zone и Код Безопасности за достаточно смелую публикацию результатов тестирования. Поскольку я фанат NGFW и занимаюсь защитой сетей с 1998 года, то мне было интересно узнать подробности. 

PS: Ко мне обратились коллеги из Кода Безопасности.  Оказалось, что схема стенда в отчете - верна только для тестов с 5 по 10. Тесты с 1 по 3 проводились на том же стенде, где включен один межсетевой экран. По 4 тесту сейчас без схемы непонятно что там было с чем соединено и как физически и логически тестировался LAG.

Аппаратная часть

Коллеги создали мощный стенд:

• кластер из двух L3 коммутаторов Eltex MES5500-32 версия ПО — 6.6.2.9;
• кластер из двух сетевых балансировщиков DS Integrity-100G (каждый разделен логически пополам);
• кластер из 16 устройств межсетевого экранирования IPC-R3000 версия ПО — 4.1.9
• и система управления с той же версией.

Получилось всего 21 устройство. 

Схему стенда показывали сотрудники Бизон на презентации в студии 

В качестве генератора трафика были выбраны генераторы трафика Ixia Cloud Storm и Novus 100G с генератором XGS2-HSL2 с карточками L4 и L7. Напомню, что IXIA использует FPGA для ускорения работы.

Устройство IXIA.

Функционал межсетевого экрана

Само межсетевое экранирование производилось по IP портам, то есть функционал блокирования приложений движком DPI не тестировался.

Я, конечно, хотел уже дальше не читать отчет... И я думаю вы тоже.. но природная любознательность заставила... Причина проста: большинство приложений сегодня работает по 443 порту и вам обязательно нужна контентная фильтрация, потому что по портам вы либо просто запрещаете этот порт, либо просто разрешаете. И это уже не работает. Чтобы не повторяться: прошу прочитать про это статью "Межсетевой экран нового поколения - это маркетинг", где приведены какие это 173 приложения работают на 443 порту из реальной сети. То же самое с 80 портом.

Число правил для теста выбрано 1000, что подходит для небольших заказчиков.

Но поскольку производительность ожидалась 400 Гбит/с, то 1000 правил я бы поменял на 10000. Самое большое количество правил, что я видел в своей жизни - 120000. А сколько вы видели? )
Предлагаю сделать такой же тест на 10000 и 100000 правил.

Тесты

В ходе проверок было проведено 10 различных тестов.

Основные тесты это:
1. Максимальное число успешно открытых новых TCP соединений в секунду в режиме L4;
2. Максимальное число одновременных TCP соединений в памяти в режиме L4;
3. Максимальная пропускная способность в режиме L7 (DPI) без маршрутизации, с маршрутизацией, с NAT и без NAT, с IPS и без IPS; 
4. Проверка потерь сессий при выходе из строя устройства;
5. Максимальная пропускная способность в режиме L4 на UDP;
И еще пять, что описано на 11 странице отчета.

Результат 26 Гбит/с в режиме DPI и SNAT на 1 межсетевом экране

Поскольку было 73000 транзакций в секунду, то это в среднем 35Кб на транзакцию.

Сам поток трафика состоял из различных приложений, вот их список и процент разбивки в самом потоке.

19.21% 115348 байт транзакции TLS 1.2, без расширования
15.37% 26184 байт транзакции Google Search GET Home Page - я так понимаю это тоже TLS
14.09% 6267 байт транзакции Yahoo Search GET Home Page - я так понимаю это тоже TLS
12.81% 12450 байт транзакции TLS 1.2, без расшифрования 

2.56% 217403 байт транзакции GMAIL и это тоже TLS

В итоге 64% трафика был зашифрованный поток данных в TLS, в котором чаще всего нечего проверять фильтру контента, кроме TLS Handshake где можно глянуть версии TLS, SNI и URL категории. Это все не проверялось. По распределению TLS 1.2 и TLS 1.3 в интернет лучше посмотреть на сайте ssllabs.com/ssl-pulse/ на момент прочтения статьи.

Скриншот из интерфейса IXIA, где показаны настройки тестового трафика.

Результат 4 Гбит/с IPS на 1 устройстве

На мой взгляд, тестировать производительность IPS просто подачей трафика - некорректно. Нужно еще проверять, что на этом максимальном потоке трафика IPS вообще как-то работает - то есть блокирует атаки. А то, что у нас есть устройство, которое просто быстро пропускает трафик - и что? )

В других тестах мы выявляли, что при подаче трафика IPS перестает блокировать атаки. И поэтому я бы добавил еще в тест страйки IXIA. И именно так - только вместе с атаками мы понимаем максимальную производительность IPS.

Скриншот IXIA где показано сколько атак заблокировано и сколько пропущено.

Павел Луговов на конференции SSTA в Бизон отлично рассказал как правильно тестировать атаки и вирусы в трафике. Также Владислав Закревский на той же конференции показывал как падает производительность Suricata при подаче трафика.

Четыре неожиданных результата

1. Выяснилось, что сам генератор IXIA максимально может выжать 200 Гбит/с в режиме L7. Поэтому пришлось выключать генерацию трафика приложений и переходить на режим L3 без проверки, что сессии были реально уставлены. 

Если кто-то из производителей говорит, что у него больше 200 Гбит/с NGFW, то спросите их чем они трафик приложений генерировали. ;-) Вдруг yandex-tank. 

Что, в общем, совпадает с datasheet этого вендора.



2. Выяснилось, что пакетный брокер тоже пропускает не бесконечно много трафика: он достиг производительность 400 Гбит/с для двунаправленного трафика. Поэтому если вы тестируете такой трафик, то вам нужно ЧЕТЫРЕ пакетных брокера. 

3. Одна система управления не справляется с журналированием такого объема трафика: 400 Гбит/с.

4. Уперлись в ограничения BGP в коммутаторе Eltex. Ну и какие-то проблемы с ICMP (подробнее описывает 32 страница отчета).

Вывод

Ставить 16 межсетевых экранов и балансировать их - непростое решение для технических специалистов. Как написано в отчете Bi.Zone, отлаживать проблемы было почти невозможно - не проходил ICMP длиной 64 байта через стенд, не было возможности запустить сниффер трафика на Eltex. В эксплуатацию я бы такое не принял.

Тестирование на UDP трафике - это самое странное, что можно делать при выборе межсетевого экрана, ведь в реальной сети такого трафика нет. Тестировать то, чего не бывает? Чтобы что? ) Я догадываюсь, что для того, чтобы впечатлить непрофессионалов. Это все равно что, тестировать производительность поликлиники, где люди входят и сразу выходят. Очень быстрая поликлиника. Скоро видимо у нас и такие будут. А полечиться? Впрочем, я уже писал про это.

Поэтому если вам где-то пишут производительность на UDP 1500 байт (или в PPS или FPS) - шлите их лесом. Так делают Check Point и Fortinet? Вот их и шлите. Это делают их люди из маркетинга. И скажите этим людям то, что написано ниже:

Самое важное в NGFW - это
Threat Protection или Threat Prevention Troughput.

Это тот самый параметр производительности, который нужен заказчику. 

Рынок РФ должен целиться в создание высокоростных устройств: которые в одном устройстве дают нужную производительность. 

В итоге, я бы лучше купил PA-3440 две штуки и поставил в кластер HA, чем всю эту огромную конструкцию из 21 устройств. Во первых займет всего 2 юнита, во-вторых производительность даже больше в тесте trhoughput и new sessions, в третьих и питания нужно меньше. И самое главное - там будет настоящий HA где будут синхронизироваться состояния сессий. А в данном решении такого не было.

Посмотрите, число одновременных сессий у Palo Alto 3 000 000, но как мы знаем это в режиме L7, когда запоминается состояние приложений L7. Число одновременных сессий в режиме L4 и L7 отличается минимум в 10 раз, потому что в режиме L7 на состояние сессий нужен буфер большего обмена при той же памяти устройства. Поэтому 10 0000 000 сессий в тесте выше в режиме L4 будет падать до 1 миллиона сессий в режиме L7.

PS: Одна важная вещь

Когда вы смотрите datasheet или когда вы смотрите тесты независимой лаборатории, то учитывайте, что все строки - это РАЗНЫЕ тесты. Не существует такого устройства, которое одновременно дает 10 миллионов TCP сессий, одновременно при этом 150000 новых сессий и одновременно при этом 28 Гбит/с. Это все результаты трех РАЗНЫХ тестов на РАЗНОМ трафике, пусть для одного и того же устройства. Подавался разный трафик и тестировалось РАЗНОЕ. В реальной жизни эти числа достигнуты НЕ БУДУТ все одновременно.

Например, тут - три разных теста. 

Для погружения в тестирование NGFW рекомендую серию из трех видеороликов

Как проходит тестирование

Как смотрят параметры CC, CPS, Throughput разные поставщики

Разбираемся с размером транзакций через тесты NSS Labs

Как правильно оценить производительность NGFW: путеводитель по метрикам безопасности сети

Введение: аналогия с поликлиникой

Представьте себе поликлинику, способную пропускать 360 пациентов в час или одного в секунду. Звучит впечатляюще, не так ли? Но отражает ли это реальную эффективность медицинского учреждения? Конечно, нет. Ведь мы понимаем что за 1 секунду нельзя проверить здоровье человека и тем более вылечить. Это бессмысленный параметр, показывающий производительность входной двери, но не поликлиники в целом. Аналогичная ситуация складывается с оценкой производительности устройств сетевой безопасности, таких как Next-Generation Firewall (NGFW). Высокие значения пропускной способности поначалу впечатляют, а после изучения вызывают недоумение.

Ключевые факторы влияющие на производительность NGFW

1. Движки проверки трафика:
   • DPI (Deep Packet Inspection)
   • User-ID
   • IPS (Intrusion Prevention System)
   • URL-фильтрация
   • Антивирусная защита
   • Threat Intelligence
   • Песочница (Sandbox)
2. Преобразование зашифрованного трафика и сертификатов:
   • IPSEC туннели
   • SSL-шифрование

Почему "сырые" показатели скорости могут вводить в заблуждение?

Производительность NGFW, измеренная только на UDP-пакетах или в пакетах в секунду, подобна оценке работы поликлиники по скорости входа и выхода пациентов. Эти метрики не учитывают реальные процессы обработки данных и обеспечения безопасности.

На что обратить внимание при выборе NGFW?

Ключевой показатель: Threat Prevention или Threat Protection (TP)

При изучении технических характеристик (datasheet) NGFW, обратите особое внимание на параметр "Threat Prevention" или "Threat Protection". Это наиболее важный показатель, отражающий реальную скорость проверки сетевых пакетов на наличие угроз.

Заключение

Выбирая NGFW для защиты вашей сети, не поддавайтесь соблазну "сырых" показателей производительности: на UDP пакетах, Packet Per Second (PPS) Frame Per Second (FPS). Сосредоточьтесь на метриках, отражающих реальную способность устройства, чтобы затем обеспечивать комплексную защиту при реальных рабочих потоках трафика.

Для более глубокого понимания темы рекомендуем ознакомиться с видеоматериалами, демонстрирующими практические примеры оценки производительности NGFW.

Почему в datasheet у NGFW производительность одна, а потом в реальной сети - другая.

Сегодня был интересный разговор в чате по NGFW

Пользователи спрашивают: 

1. Почему в datasheet у NGFW производительность одна, а потом в реальной сети - другая. 

2. Как понять какая же скорость будет в вашей сети.

Ответ: друзья, все тесты в datasheet - искусственные. Чтобы узнать производительность межсетевого экрана, нужно его тестировать на вашем трафике.

NGFW изнутри. Вся правда о производительности.

Выпущена серия из трех видеороликов о производительности NGFW.

1. В первой части общий обзор как трафик проходит через NGFW. И это нужно знать, чтобы понять следующие две части.

2. Во второй части рассказ про то как посчитать CPS в своей будущей сети на основе знаний о числе хостов.

Также вы узнаете как производительность зависит от включенных функций.

3. В третьей части рассказ про то как сам трафик влияет на производительность, в чем разница между транзакциями 64Кб, 256Кб, 1.7Кб.

И также рассказываю как понять число одновременных соединенений (Concurrent Connections) в вашей будущей сети

 

И еще,  завершающая песня про Firewall написанная искуственным интеллектом!

Подписывайтесь на канал Топ Кибербезопасности

Результаты тестирования межсетевых экранов 2024 года

В тесте NGFW участвовали Континент 4.1.7, CheckPoint 81.20, UserGate 7.1.0, Sangfor 8.0. Опубликовали тест 29 февраля 2024 года.

Возникает первый вопрос: был ли реальный тест функций или по документации. Коллеги заявляют, что проверяли сами часть функционала, часть смотрели по документации.

Поэтому важно посмотреть саму методику тестирования. 

Методики тут:

• Функциональная методика
• Нагрузочная методика 

Впечатления 

• Меня удивили NAT-правила для определенных правил МСЭ в Континент. Интересно посмотреть как это на практике.
• Понравилось, что были проверки работы обнаружения приложений на нестандартных портах.
• Интересно было посмотреть особенности каждого МСЭ - что движки делают с трафиком после расшифрования SSL - кто-то инспектирует всеми модулями безопасности открытый трафик, а кто-то избирательно реализовал, где-то еще есть ICAP. Интересно, что почти все могут HTTPS и лишь немногие смотрят в другие протоколы на базе SSL. Про работу SSL инспекции у меня есть отдельный видеоролик.
• Интересно, что где-то нельзя загружать внешние сертификаты. Это выглядит прямо неудобным.
• Важно что проверили исключения для работы SSL для некоторых URL категорий.
• Мне всегда интересно какие есть режими подключения User-ID к AD и другим система аутентификации. По User-ID у меня тоже есть видеоролик.
• Очень круто, что описали какие 2FA/MFA поддерживаются.
• Интересно было узнать кто поддерживает ГОСТ, а кто AES для VPN.
• Классно что проверили функциональность ZTNA, то есть проверку соответствия требованиям клиентской рабочей станции самим агентом VPN.
• Показали кто и как интегрируется с песочницей, можно дополнить списком протоколов, которые разбираются и из которых файлы отправляются в песочницу.

Что еще бы добавить

• Для меня не хватило теста Virtual Wire, я его часто использовал, потому что в этом режиме удобно инсталлировать NGFW как IPS, или как прозрачный сенсор в сети АСУТП, где нельзя менять топологию. 
• Также интересно как меняются теги VLAN в L2.
• Получается ни у кого нет анализа трафика на SPAN?
• Также в проверках приложений было очень интересно сколько приложений поддерживается движком DPI. Таких данных не вижу - лучше в следующем тесте опубликовать.
• Важно в проверке приложений потестировать какие-то сложные: TOR, Telegram и российские: 1С, Одноклассники и др.
• Интересно, что некоторые производители не делают приложение критерием проверки, это лучше протестировать всегда.
• Про IPS хотелось узнать а как обновляются сигнатуры, как часто, насколько хорошо покрытие атак хотя бы по Strike 1 набору из IXIA.
• По правилам было интересно узнать как работает с большим количеством правил и какая просадка- как известно это проблема современных устройств. Хотя бы 10 тысяч правил добавить в методику.
• Можно добавить стоимость за защищенный гигабит для устройств мощностью 1, 2, 5, 10 Гбит/с с включенными функциями защиты.
• Интересно бы узнать максимальное по производительности устройство в линейке вендора.
• Также интересно где хранятся логи: локально или на центральном сервере. Это влияет на производительность. 
• Журналируются ли действия администраторов?
• Что происходит при рызрыве связи NGFW и системы управления?
• Также круто сравнить системы управления: встроенная в каждый Local Management или централизованная, сколько событий в секунду принимает лог коллектор в системе управления, что делать если не хватает одного лог коллектора и др.
• Управление через API -  как работает, хватает ли функционала для разных сценариев, с чем получилось интегрировать, например, с каким-то SOAR.

Заглянуть в зашифрованный мир интернета через SSL Decrypt в NGFW.

 Достаточно много вопросов возникает по анализу трафика, передаваемого по SSL и TLS. Этот короткий ролик показывает какие у вас будут трудности и радости при включении расшифрования SSL и анализе этого трафика движками безопасности: антивирусом, IPS, анализом приложений в NGFW. 

Посмотрите, ведь на вашем периметре 80% такого трафика. И вы не знаете что там внутри, верно? 

Другие новости в телеграм-канале Топ Кибербезопасности

Всем нужен межсетевой экран нового поколения (Next-Generation Firewall). А что это?

Всем нужен межсетевой экран нового поколения (Next-Generation Firewall). А что это?

Серия из 3 видеороликов раскрывает подробности работы межсетевых экранов нового поколения (NGFW).

Заходите за новостями в канал "Топ Кибербезопасности" https://t.me/+nAJuAfwWY2o4ZDFi

Всем нужен межсетевой экран нового поколения (Next-Generation Firewall)

Контроли не успевают за ИТ технологиями. Почему?

• Разветвлённая структура больших организаций зачастую не позволяет иметь точный перечень всех активов и сервисов, по факту доступных из сети Интернет. Поглощения, слияния, реструктуризации, реорганизации и т.п. мешают взять все под контроль.
• Shadow IT - это когда отдельные сотрудники бесконтрольно разворачивают свои сервисы о которых служба IT не знает. И Shadow IT все больше и больше.
• Ошибки конфигурации и халатность при настройке внешних сервисов и сервисов, которые не должны, а стали доступны извне.
• Вы думаете, что ресурсы Ваши и доверяете им (whitelist), а они уже Вам не принадлежат.
• Подрядчик настроил сервер для временного доступа и забыл, а Вас не уведомил, и прочее, прочее, прочее.
• Все это подвергает Вашу компанию риску проникновения.
• Необходимо снижать поверхность атаки. А как?

Вам нужен межсетевой экран нового поколения!

Куда пойти эксперту по сетевой безопасности на Positive Hack Days 19 и 20 мая 2023 года

Куда пойти эксперту по сетевой безопасности на Positive Hack Days 19 и 20 мая 2023 года

Решения по защите сетей можно разделить на хостовые, сетевые и облачные. К хостовым сегодня относят EDR, XDR, DLP, к сетевым VPN, FW, NGFW, UTM, IDS, IPS, NTA, NDR, TDR; к облачным решениям относят SASE, EASM и CASB. 

19 мая 2023

Впервые компания Positive Technologies расскажет и покажет интерфейс своего продукта PT NGFW в работе и под реальной сетевой нагрузкой с включенным режимом SSL Decrypt.

20 мая 2023

И конечно же на PHDays Standoff  идет интересный конкурс IDS Bypass, присоединяйтесь в телеграмм-канал или прямо в зале Standoff, который расположился прямо у реки.

Уязвимые сервисы подобраны так, чтобы участники сосредоточили свои усилия именно на обходе IDS.

Это соревнование для тех, кто хочет проверить свои навыки в области беспроводных сетей.

Вся программа тут

Онлайн трансляция тут

NGFW это UTM, который не умирает

Представьте, вы купили автомобиль, который в рекламе развивает скорость 250 км/ч. Выехали из автосалона и решили включить кондиционер. Включили - и автомобиль едет уже 50 км/ч. Вы набираете производителю - и вам говорят: да все верно, при включении кондиционера скорость падает в 5 раз, это написано в спецификации, мы просто вам не сказали. Вы кладете трубку. И включаете радио - и скорость падает до 5 км/ч. Вам нужен такой автомобиль? Это тот самый UTM.

Unified Threat Management (UTM) - это общий класс устройств все-в-одном, где несколько различных функций безопасности поместили на один сервер и приделали к ним единую систему управления. Поэтому так и назвали - унифицированное управление угрозами. 

Next Generation Firewall (NGFW) - это подмножество устройств класса UTM. Некоторые производители улучшили UTM и назвали NGFW потому, что функции безопасности ускорены на чипах ASIC или FPGA, а встроенная система управления работает вообще на выделенном процессоре, памяти и своем SSD. 

Вы говорите, что у них функции одинаковые - и это верно. Но из-за архитектурных отличий в UTM при включении всех рекламируемых функций скорость анализа трафика падает до нуля. В NGFW - производительность устройства остается на приемлемом уровне, даже если вы включили все функции сразу: APP-ID, USER-ID, IPS, AV, Sandbox, DLP, URL, ML, TI и др. И это главное и основное отличие, которое часто "забывают". Если вы хотите почувствовать разницу: включите функционал DLP, все проверки файлов по типам, полноценный антивирус на любых портах - и поймете разницу.

Реально весь рынок сетевой безопасности сегодня - это UTM. Все рекламируемые функции безопасности включить одновременно в таких устройствах нельзя.

Измерение производительности NGFW в PPS или TPS?

Иногда меня озадачивают таким вопросом: сколько PPS выдает данная модель NGFW. Дело в том, что packet per second - это метрика для измерения скорости роутеров, поскольку они не занимаются анализом трафика. В случае с анализаторами трафика нужно переходить на следующий уровень абстракции: измерять в транзакциях в секунду (TPS). И тогда нужно задавать другой вопрос: "Сколько транзакций HTTP длиной 64 килобайта в секунду может проанализировать ваш NGFW". 

 Да, я не спорю, что измерять можно в PPS, и еще потом сравнивать NGFW по PPS, но, на мой взгляд, это сравни обсуждению и сравнению количества еды в атомах. Сколько атомов вы съедаете за день? ) А ведь атомы воды или атомы из колбасы будут по-разному восприняты вашим организмом. Можно ли сказать, что человек употребивший 2 миллиарда молекул более сытно поел, чем другой человек, который употребил 1 миллиард молекул? Нет ) Ведь у первого могла быть вода, а у другого стейк ) Точно также и пакет HTTP/1 транзакции или HTTP/2 или SMTP или SMB транзакции по-разному обрабатывается внутри NGFW. И сбор в единое целое файла из разных пакетов внутри HTTP или SMB или HTTPS займет разное время, поэтому важно не число пакетов или фреймов, а что в них и насколько сложно эти пакеты было собрать в один файл для анализа.

Еще раз подчеркну две важных вещи в вопросе про производительность NGFW.

1) Длина транзакции (например, 64Кб) - очень важный параметр, поскольку длина транзакции приложений очень сильно влияет на их максимальное число и на общую пропускную способность устройства. Для примера,  Cisco Firepower NGFW измеряет свои устройства на транзакциях HTTP 256Кб, (в datasheet это описано фразой 1024B, 37 слайд тут)  Остальные производители стандартно измеряют производительность на HTTP транзакциях длиной 64Kб или на миксе приложений, например, Check Point, Fortinet или Palo Alto Networks. Соответственно у Cisco пропускная способность при том же числе транзакций на 256Кб транзакциях получается в 4 раза быстрее чем у других на 64К.

2) Если вы измеряете пропускную способность на солянке из разных приложений (в datasheet это помечается как appmix), то здесь еще сложнее: ведь приложения SSL без расшифрования ускоряют анализ, потому что там нечего анализировать - там все зашифровано, а приложение HTTP замедляет анализ, потому что там много файлов разных типов от EXE до картинок, также скрипты, CSS, обфускация, URL и другие объекты которые нужно проверять разными движками безопасности. Поэтому когда вендор говорит, что он измерял на миксе, то спросите что за приложения или протоколы были в этом миксе. И естественно какой у них был размер транзакций. И если измерять скорость Palo Alto Networks на миксе приложений придуманной в лаборатории Check Point, то будет быстрее или медленнее, а если наоборот? 

Про то какой у кого микс протоколов проведу исследование в следующей статье.. 

Новые подписки Palo Alto Networks NGFW

Подписки Palo Alto Networks NGFW

Группа исследователей нужна каждой компании. Можно нанять своих, можно пользоваться услугами чужих команд. Дешевле всего подписаться на получение результатов от внешней команды исследователей, которые они выпускают в виде готовых проверок или сигнатур. Такие подписки интегрируются в сетевое устройство для того, чтобы блокировать найденные исследователями атаки, вредоносный код и нежелательное поведение.  Благодаря вашему межсетевому экрану Palo Alto Networks вы можете использовать подписки на максимально возможный набор компонентов защиты на рынке информационной безопасности. 

Все основные функции NGFW работают без подписок:
- APP-ID распознавание приложений и правила по имени приложения. Это большой труд для исследователей определять приложения по сетевому трафику, писать микропрограммы для их выявления. Вы получаете новые детекторы приложений вместе со стандартным контрактом на техническую поддержку устройства или виртуальной машины.
- USER-ID идентификация пользователей и правила по имени пользователя. Существует порядка 14 способов интеграции с внешними системами аутентификации и собственные методики аутентификации и авторизации через captive portal или VPN и вам они доступны из коробки.
- CONTENT-ID идентификация типов файлов и правила по типам файлов и шаблонам, и также:
- маршрутизация, switching
- расшифрование SSL и TLS и отправка на внешний DLP 
- IPSEC VPN
- защита от DoS атак

Подписки к NGFW включают дополнительные функции NGFW, или же позволяют использовать облачные сервисы и получать обновления от Palo Alto Networks.

Подписки можно приобрести на любой срок от одного года до пяти лет. Если два устройства работают в кластере, то подписку необходимо покупать на каждое из устройств, при этом цена каждой подписки будет ниже.

Чтобы включить функционал подписки, сначала необходимо активировать соответствующую лицензию. После активации можно использовать автоматическую функцию Dynamic Content Updates для получения новых или обновления существующих возможностей NGFW.

IoT Security

Подписка и сервис IoT Security обеспечивают мониторинг и безопасность IoT-инфраструктуры. Подписка покупается на каждый межсетевой экран. Сервис IoT Security включает в себя следующие возможности:

• Выявление и мониторинг IoT-устройств без необходимости наличия сигнатур
• Выявление угроз, рисков и аномалий IoT-устройств
• Применение политик безопасности на МСЭ для различных устройств с помощью квалификатора Device-ID

Скачайте листовку IoT Security на русском языке.

SD-WAN

Подписка SD-WAN обеспечивает интеллектуальный и динамический выбор пути маршрутизации трафика в дополнение к существующей защите от угроз PAN-OS. Реализация SD-WAN управляется с помощью Panorama и включает в себя следующие функции:

• централизованное управление конфигурацией,
• автоматическое создание топологии VPN,
• распределение трафика,
• мониторинг и устранение неисправностей.

Threat Prevention

Подписка Threat Prevention обеспечивает следующие возможности:

• Защита от вирусов, шпионских программ (C&C) и уязвимостей (IPS).
• Встроенные внешние динамические списки (External Dynamic Lists), которые вы можете использовать для защиты сети от вредоносных хостов.
• Возможность идентифицировать зараженные хосты, которые пытаются подключиться к вредоносным доменам (DNS Sinkhole), на основе локально загружаемых DNS-сигнатур.

DNS Security

Подписка DNS Security обеспечивает расширенные возможности функционала DNS Sinkhole за счет динамических запросов к облачному сервису DNS Security. Этот сервис генерирует сигнатуры DNS с использованием предсказательной аналитики и машинного обучения. Подписка DNS Security обеспечивает полный доступ к постоянно растущей базе знаний о DNS-угрозах, генерируемой Palo Alto Networks.

DNS Security также обеспечивает категоризацию DNS-угроз (туннели, C&C, вредоносы, новые домены и пр.), применение политик на основе категорий и аналитику по вредоносному DNS-трафику в организации.

Чтобы использовать подписку DNS Security, нужно сначала приобрести и установить лицензию Threat Prevention.

URL Filtering

Подписка URL Filtering предоставляет возможность контролировать доступ в Интернет по категориям, черным и белым спискам сайтов, а также позволяет контролировать то, как как пользователи взаимодействуют с онлайн-контентом на основе динамических URL-категорий. Эта подписка также позволяет предотвращать кражу учетных данных за счет контроля сайтов, на которые пользователи могут отправлять свои корпоративные учетные данные.

В рамках данной подписки возможно настроить доступ к общедоступному облаку PAN-DB или к частному облаку PAN-DB для получения категорий сайтов.

WildFire

Подписка WildFire предоставляет расширенные возможности выявления 0-day и ранее неизвестных вредоносов («песочница») для организаций, которым требуется немедленное детектирование угроз, частые обновления сигнатур WildFire, расширенная поддержка анализируемых типов файлов (APK, PDF, Microsoft Office и Java-апплеты), а также возможность загрузки файлов с помощью WildFire API. Подписка WildFire также требуется, если ваши NGFW будут пересылать файлы для анализа на локальное устройство WF-500.

AutoFocus

Подписка AutoFocus предоставляет графический анализ логов трафика NGFW и определяет потенциальные риски для вашей сети с помощью анализа киберразведки на портале AutoFocus. С активной лицензией AutoFocus вы также можете осуществлять детальный анализ индикаторов на основе логов прямо в веб-интерфейсе NGFW.

Cortex Data Lake

Подписка Cortex Data Lake — это облачный сервис агрегации и централизованного хранения логов. Сервис Cortex Data Lake обязателен или рекомендован для работы некоторых других сервисов Palo Alto Networks, в том числе Cortex XDR, Prisma Access и Traps.

GlobalProtect

Подписка GlobalProtect предоставляет доступ к мобильным приложениям для VPN и расширенным функциям VPN. Без этой подписки вы можете развертывать порталы и шлюзы GlobalProtect для удаленного доступа. Следующие функции доступны при наличии подписки GlobalProtect:

• проверки HIP и обновления соответствующего контента,
• мобильные приложения GlobalProtect для iOS и Android,
• IPv6-подключения,
• бесклиентский GlobalProtect VPN,
• карантин устройств на уровне клиента GlobalProtect при выявлении вредоносного трафика.

Virtual Systems

Лицензия на виртуальные системы требуется для включения поддержки множества виртуальных систем в МСЭ PA-3200. Кроме того, вам необходимо приобрести лицензию на виртуальные системы, если вы хотите увеличить количество виртуальных систем сверх включенных по умолчанию для серий PA-5200 и PA-7000 (базовое количество зависит от платформы). Межсетевые экраны серии PA-800, PA-220 и VM-Series не поддерживают виртуальные системы.

Вы можете заказать демонстрацию или тестирование подписок, обратившись к авторизованному партнеру Palo Alto Networks или к дистрибьюторам или к партнерам.