Введение
В 2022 году начался уход западных продуктов с российского рынка. Не стали исключением и брандмауэры NGFW. И одновременно с этим, у многих отечественных решений появилась эта приставка. Вендора, чьи межсетевые экраны умели хоть немного больше чем работать на 4 уровне модели OSI, стали гордо приписывать своим продуктам четыре заветные буквы — NGFW. В связи с этим, у многих появляются сомнения при выборе отечественных МЭ нового поколения. Прежде чем приступить к обзору текущего рынка NGFW следует определиться, что же подразумевать под этой аббревиатурой.
Что такое NGFW
NGFW (NextGenerationFirewall) — межсетевой экран следующего поколения. Термин придумали ещё в далёком 2008 году. Данное решение является более производительным чем UTM (Unifiedthreatmanagement).
Garthner даёт такое определение:
NGFWs — это брандмауэры с глубокой проверкой пакетов (DPI), которые выходят за рамки проверки портов/протоколов и блокировки, имеют механизмы проверки на уровне приложений, предотвращения вторжений и предоставления информации извне брандмауэра. NGFW не следует путать с автономной системой предотвращения сетевых вторжений (IPS), которая включает в себя брандмауэр, или брандмауэр и IPS в одном устройстве, которые не тесно интегрированы. [1]
Как видим из определения, основными требованиями было наличие DPI и тесного взаимодействие системы обнаружения вторжений (СОВ) с МЭ. В то время как в UTM функционал был значительно шире. Но со временем различия между этими решениями стали стираться, NGFW всё больше перенимали функций характерных для UTM и на сегодняшний день провести чёткую границу между ними нельзя. Сам Garthner, придумавший термин совместно с PaloAlto, перестал публиковать отдельно свои квадраты для UTM и NGFW в 2018 году.
Также может присутствовать и дополнительный функционал:
Как выбирать межсетевой экран
Как можно было понять, NGFW — это комплексные решения, которые обладают различными функциями. Каждая функция представляет собой значительную нагрузку на процессор и оперативную память. А потребности по сетевой защите у различных компаний могут быть разными и, возможно, не требующими всех функций одновременно. Также производительность NGFW зависит и от аппаратного оснащения. Поэтому выбор NGFW — зачастую процесс очень индивидуальный.
Несмотря на это, существуют основные критерии, на которые нужно опираться:
Наличие необходимого функционала. Не всегда нужно искать решение с максимальным количеством функций. Ищите те, которые подходят именно под ваши потребности. К примеру, одной компании для успешного прохождения аттестации необходимо как сертифицированный МЭ, так и СОВ. А другой необходимо обеспечить выход пользователей в интернет с возможностью реализации гостевого портала и сквозной аутентификации, плюс контент-фильтр. Ответ один — внедрение NGFW, который берет на себя функции нескольких разрозненных решений. Именно из-за своей многофункциональности, NGFW подходит для компаний самых разных профилей и направлений. Главное — отталкиваться от необходимых задач и условий.
Механизм кластеризации. Обратите внимание на то, как реализована кластеризация. Является ли кластер —кластером высокой доступности (HA). Как быстро происходит переключение между нодами кластера. Как реагирует кластер на восстановление сбойной ноды — продолжает работать на текущей ноде или же переключается на ту, что ранее была главной. Есть ли возможность собрать кластер Active-Active. Сколько нод может быть в таком кластере, и какая деградация производительности при этом происходит (сколько ресурсов будет уходить на синхронизацию между нодами). За счет распределения нагрузки между нодами увеличивается пропускная способность.
Пропускная способность. При выборе решения стоит заложить рост мощностей. Стоит помнить, что подключение каждой новой функции просаживает производительность. Наиболее существенную просадку вызывает СОВ и DPI. Кроме того, указывая производительность, производители NGFW опираются на лабораторные условия и даже если пишут, что проверяли на EMIX трафике, то это ещё не гарантирует, что вы получите такие же цифры.
Размер и формфактор. Размер имеет значение. При выборе устройства стоит понимать сколько юнитов в стойке будет занято для обеспечения нужной производительности. Если же монтаж предусмотрен не в стойку, то желательно, что бы NGFW имел соответствующие крепления, например на DIN-рейку.
Исполнение. Ряд NGFW существуют в 2х видах исполнения — физическом и виртуальном. В ряде случаев использование виртуального исполнения может быть удобнее. Например когда мест в стойке нет, но есть виртуализация, куда можно поместить решение, или же используется облако. Физическое исполнение подходит лучше всего если нет возможности получить виртуальный вариант или же сертификат на него, а также при отсутствии мощностей на виртуальное исполнение.
Портоваяёмкость и скорость портов. Для аппаратного исполнения крайне важно правильно определить сколько и каких портов потребуется — сколько портов 8P8C (RJ-45), нужна ли оптика, если да то какая — SFP, SFP+, QSFP. Если заранее ничего не известно - стоит предусмотреть чтобы на устройстве были порты разного вида, это даст место для манёвра в дальнейшем.
Наличие сертификатов регуляторов. Отечественное законодательство обязывает для ряда случаев использовать сертифицированные СЗИ. Поэтому при выборе NGFW обратите внимание на наличие сертификатов ФСТЭК, ФСБ, на какой уровень аттестовано решение и какие исполнения имеют сертификаты.
Качество технической поддержки. Обратите внимание на то, как оказывается техподдержка. Прочтите SLA (соглашение об уровне обслуживания) — некоторые компании публикуют их на своих сайтах в общем доступе. Если ранее не работали с данным вендором, поспрашивайте коллег из других компаний, пообщайтесь с сообществом на эту тему. Качественная ТП играет важную роль при выборе NGFW.
Стоимость владения. Зачастую просто купить решение недостаточно. Придётся потратиться на ТП, а также на различные подписки баз сигнатур, обновления и прочее. Следуетрассчитатьежегодные расходы, чтобы продукт не превратился в «тыкву».
Наличие централизованного управления. Если у вас более двух устройств (что предпочтительно), необходима возможность централизованного управления ими. При большом парке крайне неудобно заходить на каждый NGFW отдельно и прописывать на нём правила.
Поддержка динамической маршрутизации. Порой важно, чтобы была поддержка различный протоколов динамической маршрутизации (BGP, OSPF, RIP). На практике нередко приходится решать этот вопрос именно с помощью NGFW, а не другого сетевого оборудования, т. к. его может просто не быть.
Интеграция с системами управления пользователями (AD, FreeIPA). Данный функционал может существенно упростить процедуру разграничения доступов. Оперировать учётными записями или целыми группами пользователей при написании правил гораздо удобнее чем использование IP-адресов и позволяет сильно сэкономить время.
Заключение
При подборе NGFW помните, что больше — не значит лучше. Искать устройство в котором будет всё и сразу нет никакого смысла — потратите время и переплатите за ненужный функционал. При выборе опирайтесь именно на ваши нужды. На текущий момент среди российских производителей не так уж много NGFW решений, и каждое из них имеет свои особенности и лучше справляется с определёнными задачами. Решений, абсолютно лучших во всем, на рынке нет. Также у некоторых производителей есть возможность миграции с зарубежных решений, что значительно упростит переход с иностранного NGFW на отечественный. И наконец помните — цена защиты информации не должна быть выше потерь от недопустимых событий.
Автор: Михайлов Владислав, Начальник отдела внедрения “Астрал. Безопасность”