Для нормальной работы сайта необходимо разрешить JavaScript, включая скрипты с доменов googlesyndication.com и doubleclick.net для отображения системы поиска по сайту и прочих сервисов Google.

Обзор решений класса NGFW. Межсетевые мониторы (брандмауэры) нового поколения.

Обзор решений класса NGFW. Межсетевые мониторы (брандмауэры) нового поколения. В современных условиях вместе с появлением нового поколения угроз для кибербезопасности корпоративных ресурсов, растёт и потребность в соответствующей защите нового поколения, которую могут обеспечить решения класса NGFW (Next Generation Fire Wall).

Мы не станем снова расписывать о том, что должны уметь решения класса NGFW (NGFW), об этом было написано в материале под заголовком "NGFW: файерволы нового поколения", а попытаемся составить краткий обзор решений класса NGFW имеющихся на день сегодняшний. В обзоре участвуют следующие решения класса NGFW:

Тестированием перечисленных выше решений класса NGFW, за исключением WatchGuard NGFW, производила независимая лаборатория сетевой безопасности NSS Labs , которая специализируется на исследовании и тестировании безопасности сетей и решений для их защиты в том числе и решений класса NGFW.

Стоит сразу отметить, что по результатам NSS Labs тестирования решений NGFW класса, в битве за за статус Рекомендовано NSS Labs победили продукты от компании Check Point Software Technologies, Stonesoft Stonegate NGFW, Palo Alto Networks и SonicWALL SuperMassive. Продукты от компаний Check Point Software Technologies, Stonesoft Stonegate NGFW, Palo Alto Networks и SonicWALL SuperMassive сертифицированы и рекомендованы лабораторией NSS Labs. Как обычно, продукция западных народов является более интеллектуальной и долговечной, включая и решения класса NGFW, а отечественная, увы, лишь жалкая их пародия.

Результаты тестирования наиболее популярных решений класса NGFW можно просмотреть в документе 2012 Next Generation Firewall Security Value Map.


Barracuda Networks F900

Barracuda Networks F900

Межсетевой экран Barracuda NG представляет собой семейство аппаратных и виртуальных устройств предназначенных для защиты сетевой инфраструктуры, улучшения связи и упрощения администрирования сетевых операций. Кроме мощного межсетевого экрана и VPN технологии, Barracuda NG Firewall (брандмауэр) включает полный набор технологий нового поколения, в том числе 7 уровней контроля приложений, предотвращение вторжений (IPS), веб-фильтрацию, защиту от вирусов, спама и контроля доступа к сети.

Решения класса NGFW на базе аппаратных моделей Barracuda NG Firewall распределяются по мощности от небольшой сети малого предприятия до поддержки крупных дата-центров, Barracuda NG Firewall может быть использован для всего предприятия. Barracuda NG Control Center позволяет администраторам управлять безопасностью, контентом и политиками его распределения с централизованного модуля управления. Централизованное управление предоставляет большие преимущества преимуществ, а именно:

  • Скоординированное управление безопасностью и поддержка созданных правил для всего предприятия
  • Оперативный сбор и формирование отчетов для многих шлюзов
  • Возможность полного документирования статистики, а при необходимости возможность восстановления конфигурации и изменений процедур для всей сетевой инфраструктуры
  • Централизованное обновление антивирусного, антиспамного программного обеспечения, веб-фильтра и управления доступом к сети

Это решение класса NGFW будет вам стоить примерно в пределах $32.999.00 - $37.248.05 у.е..

Технические данные NG Firewall (Datasheet) в .pdf формате.

Основные возможности Barracuda Networks F900:

  • Размеры (W x L x H): 8.8 x 44.2 x 66.0 cm
  • Тип корпуса / форм-фактор: 2U Rack-mountable
  • Вес: 18.0 kg
  • Технология подключения: Проводная
  • Протокол передачи данных: Gigabit Ethernet
  • Пропускная способность Firewall (брандмауэра): 19,845 Mbps
  • Пропускная способность VPN используя AES128, NOHASH: 2 886 Mbps
  • Параллельные сессии: 1,000,000
  • Рекомендуемое безопасное количество Web пользователей: 2000
  • Интегрированная Wi-Fi точка доступа: нет
  • 3G USB модем: опционально
  • Возможности брандмауэра (Firewall):
    • Сеансовая передача пакетов
    • Прозрачное проксирование (TCP)
    • NAT (src, dst, nets), NAPT, PAT
    • Объектно ориентированные правила
    • Динамические правила / Триггеры
    • Виртуальная среда тестирования правил
    • Поддержка фреймов Jumbo
  • Возможности управления трафиком:
    • Мониторинг соединений
    • Молитики маршрутизации
    • Формирование трафика
    • Смена приоритетности на лету
  • Инфраструктура сервисов:
    • DHCP сервер, relay
    • HTTP, SSH, FTP прокси
    • SMTP шлюз
    • Аутентификация – поддерживаются x.509, NTLM, RADIUS, RSA SecurID, LDAP/LDAPS, Active Directory, TACACS
  • Поддержка протоколов:
    • IPv4, ARP, IPv6 (2011)
    • VoIP (H.323, SIP, SCCP [skinny])
    • RPC protocols (ONC-RPC, DCE-RPC)
    • 802.1q VLAN
    • IPinIP и GRE тунели
    • OSPF/RIP маршрутизатор
    • SNMP агент
  • VPN возможности:
    • PPTP/L2TP (IPsec)
    • Поддержка AES-128/256, 3DES, DES, Null шифрования
    • Приватные CA или внешние PKI
    • IPsec VPN клиент для Windows, Mac, Linux
    • Application-aware traffic intelligence across sites
  • Большая доступность:
    • Active-Active (with external load balancer only) or Active-Passive
    • Уведомления о отказоустойчивости сети
    • Прозрачная отказоустойчивость без потери сессии
    • Шифрование HA связи
  • Возможности защиты:
    • Barracuda NG Web Security: optional Barracuda NG Web Filter and Barracuda NG Malware Protection
    • Barracuda NG Secure Web Proxy (HTTPS traffic inspection option): optional
    • Barracuda NG SSL VPN and NAC (optional): Clientless access from web browsers and Network Access Control validates client security access
  • Поддерживаемые интерфейсы:
    • Copper Ethernet NICs: 0/24 x 1 Gigabit Ethernet
    • Copper Ethernet NICs: 1 x Ethernet 10Base-T / 100Base-TX
    • 1Gb SFP NICs (std/max): 0/12
    • 10Gb SFP+ NICs (std/max): 0/6
  • Требования к питанию:
    •  Power supply: Single, external
    • AC Input Current: 5.0 Amps.

Check Point 12600

Check Point 12600

Каждое решение класса NGFW от компании Check Point поддерживает Check Point 3D безопасность и обеспечивает непревзойденную защиту в сочетании с политиками из любой комбинации таких уровней контроля как: (1) Firewall, (2) VPN, (3) IPS, (4) Application Control, (5) Mobile Access, (6) DLP, (7) URL Filtering, (8) Antivirus, (9) Anti-spam, (10) Identity Awareness and (11) Advanced Networking & Clustering.

Стоимость Check Point 12600 класса NGFW имеющего 7-мь уровней защиты $46.138.00 - $59.000.00, 8-мь уровней защиты $54.349.00 - $69.500.00, 10-ть уровней защиты $50.830.00 - $65,000.00

Check Point 12000 Appliances Getting Started Guide

  • Основные параметры:
    • Интерфейс RJ-45
    • Метод аутентификации PSW, RDS, TCS, X.509, SecurID
    • Требования к питанию 100 - 240V, 50/60Hz
    • Характеристики сети Gigabit Ethernet
    • Соответствие промышленным стандартам IEEE 802.3, IEEE 802.3u, IEEE 802.3ab
    • Тип подачи питания AC
  • Технические характеристики
    • Формат 2U
    • Монтаж в стойку Да
    • Сопутствующие соединения 1200000
    • Исходные данные листов Icecat.biz
  • Соединения
    •  Технология подключения проводной
    • Количество портов Ethernet LAN ( RJ-45) 14
    • Количество последовательных портов 1
    • Количество портов USB 2.0 2
  • Безопасность
    • Алгоритмы шифрования данных 128-bit AES, 256-bit AES, 3DES, 802.1x RADIUS, SSL/TLS
    • Поддержка VPN (виртуальной частной сети) STS, MEP
    • Защита с помощью брандмауэра NAT
    • Фильтрация контента Да
  • Системные требования
    • Минимальный объём ОЗУ 1024 МБ
    • Минимальный процессор Intel Pentium 4
    • Совместимые операционные системы Windows 2000\nWindows 2003\nWindows XP\nWindows ME\nWindows 98\nLinux\nSolaris\nMacintosh
  • Внешние условия
    • Диапазон относительной влажности при эксплуатации 20 - 90 %
    • Диапазон рабочих температур 0 - 40 `C
    • Диапазон относительной влажности при хранении 5 - 95 %
    • Диапазон температуры хранения -20 - 70 `C
  • Содержимое упаковки
    • Поставляемые кабели сеть переменного тока, LAN (RJ-45), Серийный
    • Сертификаты
    • Безопасность CB, UL, cUL
    • Сертификация CE, FCC, TUV, VCCI, C-Tick
  • Энергопитание
    • Потребляемая мощность 220 Вт
    • Источник питания 400 Вт
    • Поддержка резервного блока питания (РБП) Да
    • Число блоков питания 2
  • Вес и размеры
    • Вес 23400 г
    • Размеры (ШхГхВ) 438 x 562 x 88 мм
  • Характеристики управления
    • Светодиодные индикаторы HDD, LAN, Power, Status, Да
    • Управление через веб-интерфейс Да
  • Память
    • Оперативная память 6144 МБ
  • Протоколы
    • Протокол маршрутизации OSPF, BGP, RIPv1/2
  • Передача данных
    • Пропускная способность брэндмауэра 30000 Мбит/с
    • Пропускная способность VPN 6000 Мбит/с
    • Пропускная способность IPS / IDS 17000 Мбит/с
  • Сеть
    • Число VLAN 4095
    • DHCP сервер Да
    • Поддержка Quality of Service (QoS) Да
    • Подключение WLAN Нет
    • Стандарты сети IEEE 802.3, IEEE 802.3ab, IEEE 802.3u
  • Индикация/сигналы
    • LED индикатор питания Да
  • Контроллеры хранения данных
    • Уровни RAID 1
  • Диск
    • Емкость жесткого диска 500 ГБ
    • Число установленных жестких дисков 2
    • Полный объем хранения 1000 ГБ

Fortinet FortiGate 3140B

Fortinet FortiGate 3140B

Благодаря встроенному фаерволу Fortinet FortiGate 3140B обеспечивает хорошую защиту от вторжений и способен пропускать объем данных размером до 40 Гбит/с. Наличие 22 гигабитных Ethernet портов, 10 из которых способны функционировать в качестве ускоренных 10 гигабитных SFP портов, придаёт этому решению класса NGFW способность выполнять роль свича.

В комплект также водят 1 хранилище данных емкостью 64 ГБ (предусмотрена установка до четырех хранилищ), 2 трансивера SX типа, двойной источник питания, а также сервисные пакеты Forticare и FortiGuard.

Стоимость Fortinet FortiGate 3140B класса NGFW около $90.583.00 у.е..

Fortinet FortiGate 3140B соответствует европейским стандартам связи.

FortiGate 3140B Datasheets

  • Производитель Fortinet
  • Артикул FG-3140B-EU
  • Тип товара Устройство обеспечения безопасности
  • Основные характеристики модели
    • Локализация Европа
    • Дополнительные сервисы Сервисные пакеты Forticare и FortiGuard.
    • Емкость хранилища 64 ГБ
    • Протоколы передачи данных Ethernet, Fast Ethernet, Gigabit Ethernet.
    • Протокол коммутации Ethernet
    • Протокол удаленного администрирования HTTP.
  • Пропускная способность
    • фаервол (1518 / 512 / 64 байта UDP пакеты): 58/55/43 Гбит/с
    • фаервол: 68 млн пакетов в секунду;
    • IPsec VPN: 22 Гбит/с;
    • SSL-VPN: 500 Мбит/с;
    • IPS: 8,4 Гбит/с;
    • антивирус (прокси/поток): 2,3/4,6 Гбит/с
  • Производительность фаервола
    • одновременных сессий: 10 000 000;
    • новых сессий (в секунду): 200 000;
    • политик (System / VDOM): 100 000/ 50 000
    • шлюз-шлюз IPsec VPN тоннелей (System / VDOM): 10 000/5 000;
    • клиент-шлюз IPsec VPN тоннелей: 64 000;
    • одновременных SSL-VPN пользователей: 22 000;
    • виртуальных доменов: 10 (до 250);
    • FortiAP: 1024;
    • FortiToken: 5 000;
    • лицензии пользователей: не ограничено.
  • Отличительные особенности Фильтрация контента, зашита фаерволом, защита от вторжений IPS, поддержка VPN.
  • Интерфейсы, слоты расширения
  • Всего интерфейсов 20
  • Типы интерфейсов
    • 8 аппаратно ускоренных 10-гигабитных SFP
    • 10 аппаратно ускоренных гигабитных SFP
    • 2 стандартных 10/100/1000
    • 2 трансивера SR SFP+
    • 1 консольный последовательный порт, разъем RJ-45
    • 2 USB сервера
  • Слоты расширения 4 FSM (Fortinet Storage Module) слота
  • Другие характеристики
    • Питание 100 - 240 В переменного тока, 50-60 Гц,4.18-2.09A (макс); 383 - 460 Вт;
    • Габариты 89 x 442 x 555 мм
    • Вес 18,6 кг
    • Гарантия 1 год

Palo Alto Networks PA-5020

Palo Alto Networks PA-5020

PA-5000 Series брандмауэры следующего поколения (сетевые экраны класса NGFW) предназначены для защиты центров обработки данных, крупных шлюзов Интернет предприятия, и поставщиков Интернет услуг. Эти высокопроизводительные платформы сделаны специально, чтобы обеспечить защиту корпоративного уровня на пропускной скоростью до 20 Гбит/с.

Это решение класса NGFW идеально подходит для центров обработки данных и развертывания услуг Интернет провайдеров, PA-5000 работает на более чем 40 процессорах, распределенных по четырем функциональным направлениям: сети, безопасности, контроля и управления контентом.

Стоимость Palo Alto Networks PA-5020 класса NGFW = $47.997.00

Palo Alto Networks PA-5020 Datasheet

Базовые возможности:

  • 5 Gbps firewall throughput(App-ID enabled1)
  • 2 Gbps threat prevention throughput
  • 2 Gbps IPsec VPN throughput
  • 1,000,000 max sessions
  • 120,000 new sessions per second
  • 2,000 IPsec VPN tunnels/tunnel interfaces
  • 5,000 SSL VPN Users
  • 20 virtual routers
  • 10/20 virtual systems (base/max2)
  • 80 security zones
  • 10,000 max number of policies

Juniper Networks SRX 3600

Juniper Networks SRX 3600

Компания Juniper Networks была основана в 1996 году и признана мировым лидером по производству и разработке телекоммуникационного оборудования для предприятий малого и среднего бизнеса, а также крупных Интернет-провайдеров.

Корпорации, операторы связи, научно-исследовательские и правительственные учреждения по всему миру предпочитают использовать высокопроизводительные IP-платформы Juniper, которые дают клиентам возможность поддерживать широкий спектр услуг и приложений с большим уровнем масштабируемости.

Juniper Network считается лидирующим участником рынка в области инноваций по производству и разработке комплексных сетевых решений класса NGFW для сервис-провайдеров.

Штаб-квартира Juniper Network расположена в городе Саннивейле (Калифорния, Силиконовая долина).

Juniper Networks SRX 3600 укомплектован такими модулями и платами: SCB, RE, SPC, NPC, IOC, SRX.

Управляющий модуль коммутации (SCB) является сердцем архитектуры динамического предоставления услуг. SCB превращает обычное шасси, вмещающее различные модули, в высокоэффективную сеть с ячеистой структурой. SCB позволяет всем модулям в шасси осуществлять обмен данными с чрезвычайно высокой пропускной способностью.

Модуль маршрутизации (RE) тесно связан с функциональностью SCB. Если управляющий модуль коммутации является сердцем архитектуры, то RE — ее центральная нервная система. Модуль маршрутизации представляет собой систему контроля шасси, которая обеспечивает общее управление и взаимодействие с системными администраторами, а также производит расчет таблиц маршрутов для сетевого трафика.

Плата обработки сервисов (SPC). Подобно «мозгам» в шлюзах SRX3000, платы обработки сервисов (SPC) обрабатывают все имеющиеся на шлюзе сервисы. Благодаря тому, что не нужно устанавливать специальное оборудование для определенных служб или функций, никакое оборудование больше не работает с полной загрузкой, в то время как другие модули простаивают. Все обрабатывающие ресурсы плат SPC используются для поддержки всех служб и функций шлюза. На шлюзах SRX3600 и SRX3400 используются одинаковые платы обработки услуг. (Примечание. Для надлежащего функционирования системы требуется как минимум одна плата NPC и одна плата SPC.)

Сетевые платы обработки (NPC). Чтобы обеспечить максимальную производительность и гибкость, в линейке шлюзов SRX3000 используются сетевые платы обработки (NPC), которые распределяют входящий и исходящий трафик на соответствующие платы SPC и IOC, применяют правила QoS, а также обеспечивают защиту от атак DOS/DDOS. Шлюз SRX3600 можно сконфигурировать так, чтобы он поддерживал от 1 до 3 плат NPC, а шлюз SRX3400 может поддерживать 1 или 2 платы NPC. Установка дополнительных плат NPC в шлюзах позволяет организациям настраивать решение в соответствии со своими требованиями к уровню производительности. (Примечание. Для надлежащего функционирования системы требуется как минимум одна плата NPC и одна плата SPC.)

Платы ввода-вывода (IOC). В дополнение к поддержке идеального сочетания встроенных медных портов, портов SFP и портов обеспечения доступности (НА), линейка SRX300 обеспечивает наибольшую плотность портов ввода-вывода по сравнению с другими конкурентными предложениями того же класса. В каждом шлюзе SRX3000 можно установить одну или несколько плат ввода-вывода (IOC), каждая из которых будет поддерживать 16 гигабитных интерфейсов (16 х 1 медный или оптоволоконный Gigabit Ethernet) или 20 гигабитных интерфейсов (2 х 10 Gigabit XFP Ethernet). Благодаря возможности установки дополнительных плат IOC, линейка шлюзов SRX3000 может обеспечивать идеальный баланс между интерфейсами и обрабатывающими ресурсами. (Примечание. Для надлежащего функционирования системы требуется как минимум одна плата NPC и одна плата SPC.)

Кластерный модуль SRX — это аппаратный модуль, который можно устанавливать на шлюзе SRX3600, чтобы обеспечить двойные (резервные) каналы управления Н/А для кластеров шасси. При развертывании шлюза SRX3600 в кластерах Н/А кластерный модуль SRX использует архитектуру резервирования, которая применяется в линейке SRX3000, чтобы обеспечить полное резервирование каналов управления для критических важных сред.

Стоимость девайса Juniper Networks SRX 3600 класса NGFW = $60.000

Juniper Networks SRX 3600 datasheet

  • Проверенная версия JUNOS: Junos 10.4
  • Производительность межсетевого экрана (максимум): 30 Гбит/c
  • Производительность IPS (NSS 4.2.1) 10 Гбит/c
  • Производительность сетей VPN AES256+SHA-1 / 3DES+SHA-1 10 Гбит/c
  • Максимальное количество сессий 2,25/6 млн сеансов (* Дополнительная лицензия Extreme требуется для 3 млн сеансов)
  • Скорость создания сессий (устойчивые, TCP, 3-сторонние), в секунду 175 000
  • Максимальное количество политик безопасности 40 000
  • Максимальное количество поддерживаемых пользователей Unrestricted
  • Максимальное количество разъемов для карт ввода-вывода (IOC) 6 (передних разъема)
  • Фиксированные порты ввод-вывода 8 10/100/1000 + 4 SFP
  • Поддержка CX111 3G Bridge Неприменимо
  • Внутренний разъем для платы 3G Express Неприменимо
  • Интерфейсы LAN
    • 16 x 1 10/100/1000, медные
    • Трансиверы 16 х 1 Gigabit Ethernet SFP
    • 2 x 10 Gigabit Ethernet XFP
  • Поддержка функций обеспечения доступности
    • Активная/пассивная, активная/активная
    • Обслуживание кластера на шасси с минимальным снижением уровня сервиса
    • Группы агрегации интерфейсов в кластере шасси
  • Службы AppSecure
    • Идентификация приложений: да
    • Защита приложений от атак типа «отказ в обслуживании» (AppDoS): да
    • AppTrack: да
  • Межсетевой экран
    • Обнаружение атак на уровне сети: Да
    • Защита от DOS и DDOS: Да
    • Повторная сборка TCP для защиты фрагментированных пакетов: Да
    • Противодействие атакам методом перебора: Да
    • Защита cookie SYN: Да
    • Подмена IP-адресов в зонах: Да
    • Защита от неверно сформированных пакетов: Да
    • Инспекция GPRS с контролем состояния соединений: Да
  • Система защиты от вторжения
    • Сигнатуры протокола с контролем состояния: Да
    • Механизмы обнаружения атак: Сигнатуры с контролем состояния соединений, обнаружение аномальных изменений протокола (отражение атак, использующих бреши в приложениях), идентификация приложений
    • Механизмы реагирования на атаки: Сброс соединения, остановка соединения, журнал пакетов сессии, сводный отчет по сессии, передача сообщения по электронной почте, настройка сессии
    • Механизмы уведомления об атаках: Структурированный системный журнал
    • Защита от червей: Да
    • Инспекция трафика, шифруемого с помощью SSL: Да
    • Упрощенная установка с использованием рекомендованных политик: Да
    • Защита от троянов: Да
    • Защита от шпионских/рекламных программ и логгеров клавиатуры: ДаЗащита от других вредоносных программ: Да
    • Защита от непрерывных атак со стороны инфицированных систем: Да
    • Защита от зондирования: Да
    • Защита от подделки межсайтовых запросов: Да
    • Распределенные атаки — комбинация сигнатур с контролем соединений и обнаружения аномалий протоколов: Да
    • Создание собственных сигнатур атак: Да
    • Контексты доступа для настройки: 500+
    • Внесение изменений в описания атак (диапазон портов и т. д.): Да
    • Сигнатуры потоков: Да
    • Границы протоколов: Да
    • Сигнатуры протокола с контролем состояния: Да
    • Приблизительное количество отражаемых атак: 6,000+
    • Подробное описание угроз и сведения об устранении угрозы/патчах: Да
    • Создание и применение подходящих политик использования приложений: Да
    • Создание отчетов и контрольных записей о злоумышленниках и цели атак: Да
    • Режимы развертывания: Встроенный или TAP
  • Размеры и питание
    • Размеры (Д x Ш x В): 44,5 x 64,8 x 22,2 см
    • Вес: Шасси: 19,8 кг, полная конфигурация: 52,6 кг
    • Модуль питания (переменный ток): 100-240 В переменного тока
    • Модуль питания (постоянный ток): -40 – -72 В постоянного тока
    • Максимальная потребляемая мощность: 1750 Вт (переменный ток), 1850 Вт (постоянный ток)
    • Резервная поддержка источников питания: 2 + 1 / 2 + 2

SonicWALL SuperMassive E10800

SonicWALL SuperMassive E10800

Расширяемая архитектура класса NGFW для экстремальной масштабируемости и производительности. Dell SonicWALL сверхмассивные шасси включает в себя 6 х 10-GbE SFP + и 16 х 1-GbE SFP порты, резервные блоки питания 850 Вт с возможностью горячей замены резервных модулей, содержит до 96 процессорных ядер.

Конструкция обеспечивает практически линейный прирост производительности и вычислительной мощности, что позволяет обеспечивать более 40 Гбит/с пропускной способности брандмауэра, 30+ Гбит/с на инспекцию прикладного уровня и систему предотвращения вторжений, а также 10+ Гб/с на антивирусную защиту.

Состоит это решение класса NGFW из E10100, E10200, E10400 и E10800, SuperMassive E10000 Series с возможностью обновления, что является перспективными инвестициями в безопасность инфраструктуры, с возможностью наращивания пропускной способности сети и повышения требований безопасности.

Решение класса NGFW на базе SonicWALL SuperMassive должно обеспечить потребности большого бизнеса и бизнеса выше среднего, а соответственно и адекватная бизнес-уровню стоимость $198.000.00 - $203.616.65

Более подробную информацию про SonicWALL SuperMassive класса NGFW можно получить на официальном веб-сайте...

Stonesoft StoneGate FW-1301

Stonesoft StoneGate FW-1301

Корпорация Stonesoft, сообщила, что брандмауэр (межсетевой экран) нового поколения (класса NGFW) по результатам теста NSS Labs получил статус «Рекомендован». В сравнительных тестах принимали участие 7 различных вендоров, но только три из решений класса NGFW получили вожделенный статус «Рекомендован». Продукты Stonesoft с успехом прошли тестирование NSS Labs по обеспечению защиты против известных техник обхода, а также на отсутствие утечки трафика и общую стабильность работы.

Межсетевой экран следующего поколения Stonesoft FW-1301 класса NGFW, продемонстрировавший 100 процентную защиту от эксплойтов 2011 года, в этом году также показал 100 процентную защиту против используемых в тесте техник обхода. Кроме этого, решение Stonesoft успешно прошло 100% тестов на долговременную стабильность, что гарантирует высокий уровень защиты сетевого трафика даже в условиях атаки.

Внушительная производительность, продемонстрированная Stonesoft FW-1301 класса NGFW в тестах, удовлетворит потребности самых требовательных клиентов, при этом решение отличает как высочайший уровень защиты, так и экономическая эффективность.

«Мы очень довольны результатами тестов, особенно хочется отметить отличную для этого класса продуктов стоимость защиты на 1 мегабит трафика. С настройками по умолчанию базовой политики наш межсетевой экран следующего поколения обеспечивает высочайший уровень защиты даже от продвинутых угроз», - отметил Antti Kuvaja, директор по управлению продуктами Stonesoft.

Межсетевой экран следующего поколения Stonesoft NGFW предназначен для защиты сложных гетерогенных сетей крупных предприятий, провайдеров, многопользовательских сред, центров обработки данных и государственных учреждений. Stonesoft FW-1301 класса NGFW идеально подходит для организаций, которые хотят упростить управление сетью и снизить стоимость владения (ТСО) и, в то же время, иметь высочайший уровень защиты сети.

Основываясь на отзывах клиентов Stonesoft во всем мире, NSS Labs так прокомментировал способности Stonesoft NGFW по управлению в своем отчете: «Интерфейс управления продуктов Stonesoft хорошо спроектирован и интуитивно понятен. Пользователям межсетевого экрана Stonesoft не потребуется длительного обучения, поскольку настройка и обслуживание просты и хорошо продуманы».

В настоящее время ведется работа по сертификации этого решения класса NGFW в системе сертификации ФСБ России.

Официально заявленную стоимость обнаружить пока не удалось, вероятно коммерческая тайна :) Ненавижу и стараюсь обходить десятой дорогой всех продавцов скрывающих цену (диапазон цен) своего товара или услуги, это даёт основания полагать, что в стандартной комплектации цена товара или услуги для отдельно взятого покупателя будет разной - тобишь лотерея на лоха!

StoneGate FW-1301 Data Sheet (PDF)

Check Point Power-1 11065 2011

Check Point Power-1 11065 2011

Компания Check Point Software Technologies сообщила о завершении тестирования в NSS Labs со 100-процентными показателями среди шлюзов безопасности, систем аутентификации и прикладных средств контроля в апреле 2011 года. Компания Check Point Software Technologies была первой из тех, которые в данной отрасли получили статус «Рекомендовано NSS Labs» среди решений класса NGFW (Next Generation Firewalls — NGFW).

NSS Labs выполняла тестирование Check Point Power-1 11065 класса NGFW по «Методике тестирования решений класса ngfw», содержащей около 1179 вредоносных кодов с учетом различных протоколов, видов трафика и размера пересылаемых пакетов. Согласно отчету, «интерфейс административного управления Check Point хорошо спроектирован и интуитивно понятен. Для мультигигабитных сред, испытывающих потребность в увеличении защиты по сравнению с действующими шлюзами безопасности, Check Point Power-1 11065 класса NGFW обеспечивает отличную защиту и выдающиеся показатели совокупной стоимости владения (TCO)».

Ниже представлены основные выводы отчета, в котором освещаются исключительные характеристики шлюза безопасности нового поколения от Check Point:

  • на 100% прошел тестирование для традиционных шлюзов безопасности — обеспечил полную защиту и выполнение правил политики безопасности. Кроме того, в недавнем тесте NSS Labs IPS Group test Check Point Power-1 11065 класса NGFW заблокировал 86.6% атак при активной защите «по умолчанию» и 97,3% атак после соответствующей тонкой настройки;
  • на 100% прошел тесты по идентификации приложений и контролю за ними — правильно идентифицировал и корректно применил политики для широкого спектра различных приложений, таких как протокол SSH, социальные сети, программы мгновенного обмена сообщениями, Skype и другие приложения Web 2.0;
  • на 100% прошел тестирование системы пользовательской и групповой аутентификации — успешно идентифицировал пользователей и применил необходимые политики шлюза безопасности при непосредственной интеграции со службой Active Directory;
  • на 100% прошел тест уклонения — успешно определил и заблокировал атаки, применявшие специальные техники обмана маскировки и сокрытия;
  • низкая стоимость владения — отношение производительность/цена для заказчиков оценивается в 49 долларов за защиту мегабита в секунду.

Последняя версия программного обеспечения Check Point Release R75 на основе архитектуры блейдов Software Blade Architecture обеспечивает компаниям преимущество упрощенного доступа к управлению прикладными процессами (Application Control), системе аутентификации (Identity Awareness) и предотвращения вторжений (Intrusion Prevention) на мультигигабитных скоростях в одном решении. Результаты NSS демонстрируют способность компании Check Point предоставлять клиентам сочетание надежной технологии безопасности, осведомленности пользователя и широкого управления прикладными процессами, необходимое организациям для использования инструментов Web 2.0 без ущерба для безопасности бизнеса. Кроме того, клиенты получают преимущество непревзойденного обзора приложений за счет использования Check Point AppWiki, крупнейшей в мире библиотеки приложений (более 100 000 приложений Web 2.0 и каталог виджетов социальных сетей). Дополнительную информацию и полный отчет по тесту NSS Labs Next Generation Firewall Test можно найти на сайте.

Цена сего девайса класса NGFW равна $51.618.99

NSS labs Network IPS 2010 Comparative Test Results

WatchGuard NGFW

WatchGuard NGFW - ещё один представитель решений класса ngfw. Серия WatchGuard NGFW (брандмауэры нового поколения) содержит в себе две высокоэффективные платформы, XTM 1050 и XTM 2050, разработанных для выполнения задач по обеспечению всесторонней защиты корпоративных ресурсов, предоставляя клиентам безопасные соединения на "корпоративной" скорости.

Поддерживается мульти-гигабитная пропускная способность фильтрации пакетов, а также в составе имеется уникальный инструмент установки VPN филиалов, при этом осуществляются максимальный уровень безопасности на большой скорости по всему сетевому трафику. Оба устройства предназначены для крупных предприятий, которые не могут допускать простоев, штаб-квартиры, центра обработки данных (ЦОД). Эти решения класса NGFW позволяют компаниям легко определять и осуществлять контроль уровня безопасности с эффективным применением политик допустимого использования, что в результате повышает производительность труда и соответственно снижает уровень риска потери критически важных данных и интеллектуальной собственности клиентов.

Примерная цена устройств WatchGuard NGFW XTM 1050 класса NGFW = $30-50.000 у.е.

WatchGuard NGFW XTM 1050

WatchGuard NGFW XTM 2050 класса NGFW = $60-90.000 у.е..

WatchGuard NGFW XTM 2050

Заключение

С появлением решений класса NGFW жизнь хакеров существенно усложняется по сравнению с временами когда операционные системы занимали от нескольких сотен КБ до нескольких МВ, для взлома которых требовалось нажать с десяток клавиш.

Относительно надёжное и безопасное решение класса NGFW для крупных организаций можно приобрести начиная от более чем 30.000 у.е. за Barracuda Networks F900 и белее чем $100.000.00 - $200.000.00 за такие решения класса NGFW как SonicWALL SuperMassive E10800.

Но, малому и среднему бизнесу не стоит отчаиваться потому, как и для их кошелька найдутся неплохие решения класса NGFW в ценовом диапазоне от 3-5.000 у.е. и выше, а про их ассортимент мы, возможно, напишем в будущих публикациях.

Рекомендуемый контент


Об авторе
АдМинь БагоИскатель
АдМинь БагоИскатель ярый борец за безглючную работу любых механизмов и организмов во всей вселенной и потому пребывает в вечном поиске всяческих багов, а тот кто ищет как известно всегда находит. Когда что-то или кого-то вылечить не в состоянии, то со словами "Я в аду, а вы все черти" уходит в запой выйдя из которого снова берётся лечить неизлечимое.
Ещё статьи автора

Добавить комментарий


Защитный код
Обновить

Рейтинг@Mail.ru 10 megabytes