Гид по NGFW. 10 наиболее заметных продуктов, доступных на российском рынке

Концепция межсетевого экрана нового поколения (Next Generation Firewall - NGFW) была сформулирована компанией Gartner в 2008 году. Иностранные разработчики средств защиты реализовали ее в своих продуктах и практически полностью захватили российский рынок. Конкурировать с ними можно было только в очень узких нишах, например, при защите критической инфраструктуры или секретной информации. Однако после их ухода из России у клиентов возникла огромная потребность в покупке санкционно-устойчивых NGFW, то есть отечественного производства. Поэтому количество производителей, которые решили попытать счастья на этом рынке, сильно увеличилось. TAdviser собрал гид по NGFW от наиболее заметных отечественных разработчиков этого класса средств защиты.

Разработчик: АО «Инфовотч»
Страница продукта: ссылка
Минцифры: №11445 от 20.09.2021
Сертификат ФСТЭК: №4429 от 27.07.2021 до 27.07.2026
Города присутствия: Москва, Казань, Куала-Лумпур

Межсетевой экран нового поколения разработан на базе индустриального межсетевого экрана InfoWatch ARMA Industrial Firewall, который развиваться компанией с 2019 года. В 2022 году он был переделан под общую защиту корпоративных сетей. InfoWatch ARMA NGFW позволяет предприятиям организовать веб-фильтрацию, VPN с использованием алгоритмов ГОСТ, контроль приложений и TLS-инспекцию. Для реализации других функций защиты можно использовать протокол ICAP — в частности, с его помощью и организовано взаимодействие с DLP-системой InfoWatch Traffic Monitor. Исторически команда InfoWatch ARMA фокусировалась на разработке системы кибербезопасности для промышленных предприятий.

Имеющийся функционал InfoWatch ARMA Industrial Firewall позволяет рассматривать его как NGFW для защиты промышленных сетей. Этот продукт отвечает большинству требований к NGFW в области информационной безопасности, отмечен наградой TAdviser как лучшее решение по защите ИТ-систем в промышленности в 2021 году, - отметил Алексей Петухов, руководитель отдела по развитию бизнеса InfoWatch ARMA.

Межсетевой экран реализации имеет следующие особенности:

• Собственная база сигнатур постоянно пополняется командой экспертов InfoWatch ARMA;
• Система обнаружения и предотвращения вторжений (IPS/IDS);
• Безопасное удаленное подключение (IPsec/OpenVPN/OpenVPN-ГОСТ);
• Интеграция с DLP-системой InfoWatch Traffic Monitor;
• Имеет возможность настройки прозрачной аутентификации пользователей (SSO);
• Обеспечивает динамическую маршрутизацию трафика (OSPF, RIP, BGP)
• Поддерживает протокол IPv6.

Разработчик: Positive Technologies
Страница продукта: ссылка
Минцифры: №20399 от 14.12.2023
Сертификат ФСТЭК: Нет
Города присутствия: Москва, Санкт-Петербург, Нижний Новгород, Новосибирск, Самара, Томск

Разработка NGFW в Positive Technologies началась в 2022 году и ведется с нуля силами команды разработки. Главный акцент в продукте сделан на ключевых показателях работы NGFW: отказоустойчивости, высокой производительности и удобстве эксплуатации в распределенных иерархических инфраструктурах.

В продукте реализованы: отказоустойчивый кластер (Active-Standby), URL-фильтрация, GeoIP и база из более чем 10 000 сигнатур. По скорости NGFW от Positive Technologies, согласно внутренним тестам вендора, конкурирует с западными решениями и на порядок превосходит российские. Так, PT NGFW фильтрует трафик с включенным контролем приложений на скоростях до 160 Гбит/c, а в режиме IPS (предотвращения вторжений) — до 60 Гбит/c.

Команда PT NGFW сконцентрирована на создании продукта, работа с которым будет вызывать позитивные эмоции как у ИТ, так и ИБ-специалистов. Достигается это за счет лаконичного и понятного интерфейса управления, до мелочей продуманного промышленного дизайна, за который также отвечал сам вендор. Продукт доступен в виде виртуальной машины и ПАК.

При разработке программного обеспечения PT NGFW и выборе аппаратной платформы мы поставили для себя цель представить рынку производительный, надежный и качественный продукт. Общаясь с клиентами, мы убедились в том, что, во-первых, рынку действительно не хватает этих характеристик в существующих российских решениях. Во-вторых, что мы верно обозначили себе цели. По этой причине многие программные решения Positive Technologies разрабатывает самостоятельно и не полагается на уже готовые. По этой же причине при выборе аппаратного обеспечения мы пошли в контрактную разработку платформ, - рассказал Юрий Дышлевой, руководитель практики PT NGFW в Positive Technologies.

Особенности NGFW от Positive Technologies:

• IPS, скорость которого по оценке вендора, на порядки превышает российские NGFW
• Поддержка работы с оборудованием на базе x86
• Инспекция TLS
• Собственная аппаратная платформа
• Виртуальные контексты
• Самое современное «железо», доступное на рынке — 4th Gen Intel Xeon Scalable и последнее поколение оперативной памяти DDR5
• Централизованная система управления с подключаемыми 100 000 устройств

Разработчик: ООО «Код Безопасности»
Страница продукта: ссылка
Минцифры: №13885 от 14.06.2022
Сертификат ФСТЭК: №4496 от 14.12.2021 до 14.12.2026
Города присутствия: Москва, Санкт-Петербург, Пенза

Многофункциональный межсетевой экран (NGFW/UTM) «Континент 4» планомерно развивается компанией «Код Безопасности». Континент 4 начали разрабатывать в 2014 году, в качестве прообраза для него взяли «Континент СОВ», сертифицированный как «Континент 3.7.5 (исполнение 2)». Тогда продукт вышел с индексом 4.0.1, в 2018-м появилась версия 4.0.3, а в марте 2021 года – версия 4.1.

На текущий момент последняя актуальная версия Континент 4 включает в себя Межсетевой экран с контролем состояний (FW SPI), Контроль приложений (DPI), Защита от вторжений (IPS), Блокировку вредоносных сайтов, URL-категории, Гео-фильтрацию, Антивирус, Механизм защиты каналов связи, Безопасный удаленный доступ, Механизм определения пользователей с помощью интеграции с Active Directory, Поведенческий анализ (на основе машинного обучения).

Одним из направлений развития Континент 4 является создание КиберАльянса с ведущими технологическими вендорами по кибербезопасности в Российской Федерации. Например, имеются интеграции с песочницей KATAP от Лаборатории Касперского, многофакторной аутентификацией Avanpost, системой анализа правил Efros Defense Operations, и другими отечественными системами.

Другим направлением развития является создание высокопроизводительных платформ на основе модульной архитектуры. Такие платформы являются многоюнитовыми и используют коммутатор-балансировщик, а также несколько отдельных серверов (вычислительных лезвий) со своими процессорами и оперативной памятью. Новый платформы будут представлены в первом квартале 2025 года. Ожидаемая пропускная способность таких платформ – 600 Гбит/сек в режиме МСЭ и 100 Гбит/сек в режиме NGFW.

Главная тенденция нашего рынка – активная фаза перехода инфраструктур отечественных организаций с иностранных продуктов, даже дружественных стран, на российские. При этом заказчики предпочитают покупать решения сразу нескольких вендоров, а затем выбирать, кто более качественно выполняет свои обещания, насколько эффективно работают продукты, каков уровень техподдержки. «Код Безопасности» - один из лидеров рынка, чьи решения заказчики активно внедряют в свои инфраструктуры, - пояснил Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности».

Особенности «Континент 4»:

• Аппаратное исполнение в виде ПАК собственного производства;
• Централизованное управление и мониторинг сети;
• Широкая линейка устройств;
• Инструменты миграции со сторонних NGFW, таких как Check Point, FortiGate, Cisco, Palo Alto, UserGate;
• Предотвращение атак с помощью поведенческого анализа, работающего на основе машинного обучения;
• VPN-клиенты под все основные ОС (Windows, Linux, MacOS, iOS, Android, Аврора)
• Включение в реестр ТОРП.

Разработчик: ГК «Солар»
Страница продукта: ссылка
Минцифры: №20043 от 27.11.2023
Сертификат ФСТЭК: Нет (№4784 от 05.03.2024 до 05.03.2029 для Solar webProxy версии 3)
Города присутствия: Москва, Самара, Нижний Новгород, Ростов-на-Дону, Хабаровск, Томск, Ижевск, Санкт-Петербург

Продукт Solar NGFW был выпущен компанией «Солар» в 2023 году. Он построен на базе известного ранее веб-фильтра Solar webProxy, в который были добавлен контроль приложений, система обнаружения вторжений, потоковый антивирус и другие компоненты защиты, взаимодействие с которыми можно организовать через ICAP. Система также позволяет расшифровать TLS-трафик и анализировать его. Первый продукт поставляется в программном виде, однако компания выпускает и высокопроизводительную аппаратную реализацию в виде ПАК.

Ключевыми особенностями продукта является:

• Сигнатуры IPS от Solar JSOC;
• Гибкие иерархические политики доступа пользователей к веб-ресурсам;
• Категоризатор для блокирования доступа к нежелательному контенту;
• Досье на сотрудника и интерактивные отчеты для анализа использования интернета;
• Реверс-прокси для контроля доступа к внутренним веб-ресурсам: OWA, 1С и т. д.;
• Интеграция с DLP-системой Solar Dozor для предотвращения утечек;
• Контроль приложений с помощью глубокого анализа пакетов (DPI) на скоростях до 20 Гбит/с.

Разработчик: ООО «Юзергейт»
Страница продукта: ссылка
Минцифры: №1593 от 05.09.2016
Сертификат ФСТЭК: №3905 от 26.03.2018 до 26.03.2026
Города присутствия: Новосибирск, Москва, Хабаровск, Санкт-Петербург

Межсетевой экран UserGate Next-Generation Firewall (NGFW) развивается с 2009 года одноименной компанией, хотя вначале она называлась Entensys. Изначально разработчики этого межсетевого экрана ориентировались на программные решения, однако в последнее время компания занимается разработкой собственного ПАК, причем поставка ПО отдельно от устройств прекращена. Также компания предлагает поставку в виде виртуальных машин (контейнеров) и из облака — услуги SECaaS. После выпуска платформы UserGate SUMMA в продукте появились механизмы сквозной авторизации пользователей, идентификации приложений и расшифрования сетевого трафика, что позволяет реализовать концепцию доступа с «нулевым доверием» (Zero Trust Network Access – ZTNA). Продукт может обеспечить веб-фильтрацию, обнаружение и предотвращение атак, сквозной контроль доступа пользователей к приложениям, мониторинг защищённых соединений по TLS, включая поддержку отечественных алгоритмов шифрования.

Нашим ключевым преимуществом является набор мер и функций, которые позволяют проводить импортозамещение безболезненно. То есть наш продукт максимально соответствует иностранным аналогам как по функциональным характеристикам, так и по возможностям технической поддержки, - отметил Иван Чернов, менеджер по развитию UserGate.

Ключевые особенности следующие:

• Максимальная видимость событий безопасности;
• Вариативность форматов поставки: ПАК, виртуальный межсетевой экран, SECaaS;
• Экосистема, позволяющая интегрировать различные механизмы защиты в экран;
• Реализация концепции ZTNA, которая позволяет динамически авторизовать пользователей на доступ к различным приложениям;
• Контроль на уровне отдельных приложений и пользователей, что максимально соответствует концепции NGFW.

Разработчик: МТС RED
Страница продукта: ссылка
Минцифры: нет
Сертификат ФСТЭК: нет
Города присутствия: по всей России

Разработка многофункционального межсетевого экрана уровня операторов связи и крупного бизнеса МТС RED NGFW ведется с 2022 года. Продукт представляет собой программно-аппаратную платформу, которая ориентирована на масштабные распределенные и высоконагруженные инфраструктуры и позволит заменить лидирующие решения зарубежного производства.

Продукт ориентирован на сетевую безопасность enterprise-сегмента: телеком-операторов, облачных провайдеров, поставщиков ИТ-сервисов, крупных заказчиков с широкими каналами связи, собственными ЦОД или большим количеством пользователей, а также банки или схожие организации с высоким риском атак, которым необходима инспекция и фильтрация сетевого трафика и контента в сетях Ethernet, с пропускной способностью от 25 до 100 Гбит/с.

MTC RED NGFW поддерживает IPv6, NAT, множество виртуальных контекстов (Logical Context), кластеризацию active-passive. В планах разработки – поддержка active-active для обеспечения непрерывности и отказоустойчивости, централизованная корпоративная система управления десятками кластеров устройств, а также Multi-Tenant.

Ключевые особенности продукта следующие:

• Поставка в формате ПАК
• Уровень пропускной способности в режиме L4 FW – до 100 Гбит/с (в зависимости от профиля трафика и размеров сетевых пакетов)
• Уровень пропускной способности в режиме IPS+AppControl (для трафика EMIX) – 50 Гбит/с
• Уровень производительности – более 15 млн сетевых пакетов в секунду
• Количество одновременно поддерживаемых соединений – 1 млн

Разработчик: АО «ИнфоТеКС»
Страница продукта: ссылка
Минцифры: №5923 от 19.11.2019
Сертификат ФСТЭК: №4501 от 28.12.2021 до 28.12.2026
Города присутствия: Москва, Санкт-Петербург, Хабаровск, Томск, Новосибирск, Екатеринбург, Уфа, Ростов-на-Дону, Пенза, Владивосток, Рязань, Красноярск

Изначально компания «ИнфоТеКС» специализировать на разработке отечественного аппаратного VPN-решения ViPNet, однако постепенно в него были добавлены и функции межсетевого экранирования. Версия ViPNet xFirewall 5 уже стала полноценным NGFW сочетающая функции классического межсетевого экрана: анализ состояния сессии, проксирование, трансляция адресов; с расширенными функциями анализа и фильтрации трафика такими как: глубокая инспекция протоколов, выявление и предотвращение компьютерных атак, инспекция TLS-трафика, взаимодействие с антивирусными решениями, DLP и песочницами. ПАК ViPNet xFirewall 5 устанавливается на границе сети, предназначен для комплексного решения задач информационной безопасности в корпоративных сетях, позволяет создать гранулированную политику безопасности на основе учетных записей пользователей и списка приложений, обеспечивает обнаружение и нейтрализацию сетевых вторжений.

Ключевые особенности продукта следующие:

• Гранулированная политика безопасности, которая привязана к пользователям и приложениям — основной отличительной признак NGFW;
• Обеспечение безопасного использования персональных устройств за счёт интеграции с инфраструктурой ViPNet;
• Выявление и блокировка более 5000 прикладных протоколов и приложений: игры, социальные сети, torrent и т.д.;
• Обнаружение и нейтрализация сетевых вторжений с использованием встроенной системы предотвращения вторжений (IPS);
• Инспекция TLS-трафика средствами глубокой инспекции протоколов, системой предотвращения атак, антивирусными решениями и контентной фильтрацией.

Разработчик: ООО «Айдеко»
Страница продукта: ссылка
Минцифры: №329 от 08.04.2016
Сертификат ФСТЭК: Нет (№4503 от 28.12.2021 до 28.12.2026 для Ideco UTM)
Города присутствия: Екатеринбург

Компания Ideco изначально ориентировалась на создание универсального аппаратного межсетевого экрана (UTM), который предназначен не только для фильтрации сетевых коммуникаций, но и может выявить признаки атаки, обнаружить вредоносные коды и создать защищённое VPN-соединение с удаленными пользователями. Продукты компании успели поконкурировать с иностранными производителями, занимая ниши UTM и NGFW там, где иностранные продукты не приживались.

Ключевыми особенностями Ideco NGFW является:

• Централизованное управление серверами Ideco NGFW;
• Гибкие сценарии интеграции за счёт поддержки гипервизоров VMware, Microsoft Hyper-V, VirtualBox, KVM, Citrix XenServer, контроля приложений (DPI), Web Application Firewall, анти-DoS и почтовых релей;
• Интеграция с системами мониторинга (Zabbix-агент, SNMP), DLP (по ICAP), Microsoft Active Directory, ALD Pro;
• Антивирусная проверка веб-трафика с технологиями «Лаборатории Касперского»;
• Поставка в виде ПАК.

Разработчик: АО «НПО `Эшелон`»
Страница продукта: ссылка
Минцифры: №240 от 18.03.2016
Сертификат ФСТЭК: №3290 от 04.12.2014 до 04.12.2025
Города присутствия: Москва, Санкт-Петербург

Компания «НПО Эшелон» занимается разработкой высокопроизводительных межсетевых экранов операторского класса для защиты магистральных сетей. Она ориентируется за продукты для защиты ключевой информационной инфраструктуры, в требованиям к которых появляются различные дополнительные функции по системам обнаружения вторжений, глубокой фильтрации веб-трафика и другие. Поэтому компании приходиться добавлять в свои продукты элементы NGFW. В частности, ПАК «Рубикон-К» объединяет функции маршрутизатора, межсетевого экрана типа «А» и типа «Б» четвертого класса защиты и системы обнаружения вторжений уровня сети четвертого класса защиты. ПАК «Рубикон-К» предназначен для защиты информации ограниченного доступа, а также несекретных сведений, используемых в значимых объектах КИИ 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.

Отличительными особенностями этого продукта является:

• Наличие системы обнаружения вторжений (СОВ или IDS) и предотвращения вторжений (IPS);
• возможность анализа сетевого трафика средствами СОВ, поступающего от внешних источников, с использованием технологии SPAN-порта;
• возможность совместного использования HTTP-прокси с внешним антивирусом (по протоколу ICAP);
• Web-интерфейс управления с ролевой моделью доступа;
• Возможность фильтрации сетевых пакетов по мандатным меткам отечественных защищенных операционных систем (Astra Linux и МСВС).

Разработчик: ООО «Фактор-ТС»
Страница продукта: ссылка
Минцифры: №9891 от 25.03.2021
Сертификат ФСТЭК: №4225 от 13.02.2020 до 13.02.2025
Города присутствия: Москва

Компания «Фактор-ТС» специализируется на поставках ИБ-устройств для организации бизнеса. Поэтому в ее ассортименте есть в том числе и межсетевые экраны в виде ПАК, предназначенные для защиты филиальных инфраструктур и корпоративных сетей. Это скорее маршрутизатор со встроенными механизмами защиты, тем не менее с его помощью можно защитить как филиальную сеть, так и корпоративную инфраструктуру на 2 тыс. устройств. Он работает под управлением операционной системы Dionis NX 2.0. ПАК можно использовать одновременно и как серверы доступа, и как детекторы сетевых атак на базе Snort, причем в устройствах могут быть установлены модули Wi-Fi и LTE для подключения мобильных пользователей.

Отличительными особенностями являются:

• Компактная реализация ПАК для установки в удаленных офисах;
• Поддержка и защита беспроводных сетей доступа мобильных пользователей;
• Возможность централизованного управления;
• Работа на базе собственной операционной системы Dionis NX 2.0;
• Сертификация ФСТЭК России и ФСБ России.

Когда Gartner сформулировал концепцию NGFW, ее аналитики определяли, что основное отличие нового поколения межсетевого экрана от предыдущих в том, что правила фильтрации в них должны использовать имена и роли пользователей, а также название приложений вместо IP-адресов и портов, как это было в межсетевых экранах первых поколений. Однако как и к первым МСЭ присоседились VPN-решения, что оказалось на тот момент востребовано для рынка, так и к NGFW была применена концепция многофункциональных устройств сетевой защиты (Unified threat management - UTM).

В результате, полноценными NGFW стали считать решения, которые кроме фильтрации пакетов занимаются также поиском признаков атак и вредоносных приложений, причем в зашифрованном с помощью TLS трафике. Главное, чтобы решения могли бы обеспечить быструю работу этих механизмов. Поэтому ФСТЭК считает NGFW высокоскоростными многофункциональными межсетевыми экранами (требования к ним утверждены приказом №44 от 7 марта 2023 года). Однако максимальная производительность достигается за счёт использования специализированного аппаратного обеспечения, поэтому NGFW тяготеют к программно-аппаратным комплексам (ПАК).

Из приведенного выше списка межсетевых экранов требованиям Gartner соответствуют не все. Наиболее яркие представители это UserGate NGFW и ViPNet xFirewall 5. А, например, «Рубикон-К» вообще «не видит» отдельных пользователей, что для оборудования операторского класса логично. Значит с точки зрения определения Gartner он не является NGFW. Однако с точки зрения приказа ФСТЭК именно «Рубикон-К» будет лучше соответствовать требованиям по производительности, чем указанные выше «канонические» NGFW. Основной же задачей данного гида является представить максимально широкий спектр отечественных NGFW, поэтому в него включены и те, и другие решения.