Журнал "Information Security/ Информационная безопасность" #6, 2024

• 15 NGFW www.itsec.ru В лаборатории компании "Инфосистемы Джет" проводится независимое функ- циональное и нагрузочное исследования современных решений класса NGFW, представленных на российском рынке. Его цель – создание максимально пол- ного и объективного представления о функциональных возможностях данных систем. Используя единую методологию, мы оцениваем работу тестируемых устройств в условиях, максимально при- ближенных к реальным эксплуатацион- ным сценариям. На текущий момент в лаборатории завершено тестирование девяти реше- ний, в том числе: l Check Point R81.20, l Ideco NGFW v16, l InfoWatch ARMA Стена (NGFW), l UserGate 7.1.0 RC, l ViPNet Coordinator HW5 5.3, l Континент 4.1.7 и 4.1.9, l PT NGFW от Positive Technologies. В результате функционального тести- рования мы выяснили, что российские NGFW-решения показывают приближен- ные к эталонным значения для функций централизованного управления и отчет- ности. Другими словами, большинство отечественных разрабочиков используют для своих NGFW централизацию управ- ления и активно развивают ее. Производители усиливают сетевые функции, такие как поддержка протоко- лов динамической маршрутизации и вир- туальные роутеры в самом устройстве (функционал VRF). Отдельно стоит отме- тить, что рынок начинает задумываться и об удобстве эксплуатационных воз- можностей, например о диагностике в CLI, доступе к логам ОС и наличии API в продукте. В среднем по рынку слабее всего реа- лизованы функции SD-WAN и Web-portal VPN, они встречаются только в наиболее зрелых решениях. Важно отметить, что нашей задачей не являлось сравнение решений между собой, мы всегда сравниваем полученные в лаборатории "Инфосистемы Джет" дан- ные только с характеристиками, заявлен- ными самими вендорами. Причем на результаты испытаний влияют множество факторов: профиль трафика (в каждом тестировании он, фактически, свой), настройки NGFW (включенные модули, используемое количество сигнатур IPS и т.п.), настройки правил МСЭ (количе- ство правил, их широта и т.д.) и пр. В части нагрузочных тестов мы наблю- даем положительную динамику: декла- рируемая производительность россий- ских NGFW становится все ближе к реальным значениям. Результаты тестирования находятся в открытом доступе 1 . Стоит ли переходить, если это не обязательно? Хотя импортозамещение и является для многих вынужденной мерой, из него можно извлечь ряд позитивных эффек- тов, которые и сами могут стать аргу- ментами для миграции. Переход на отечественные решения – отличная возможность для улучшения всей сетевой архитектуры. Когда меняет- ся ядро сети и NGFW, создаются почти идеальные предпосылки для перестрой- ки и модернизации инфраструктуры. При этом актуализируются проектная документация и схемы, которые сопро- вождают процесс перехода, что делает дальнейшую эксплуатацию гораздо проще и эффективнее. Это зачастую недооцененный, но важный результат процесса миграции. Импортозамещение происходит не толь- ко в области NGFW, но и в других аспектах, включая, например, ОС и системы вир- туализации. Важно, что в этих условиях появляется возможность обеспечить взаи- модействие различных отечественных про- дуктов в едином ландшафте с помощью опыта интеграторов и производителей элементов инфраструктуры. Невзирая на сложности, с которыми сталкиваются заказчики при переходе на новые решения, при правильном под- ходе проблемы решаемы. Грамотное планирование, помощь профессионалов и использование современных решений значительно упрощают процесс мигра- ции и повышают уровень безопасности заказчика. Как не перетратиться? Важно еще на этапе предварительной оценки сообщить интегратору данные о конфигурации оборудования, а также его пиковую и среднюю недельную загрузку. Это поможет оценить реальные требования к замене. Например, если зарубежная установка недозагружена даже в моменты пиковой активности, нецелесообразно переводить системы на российские аналоги с такими же номинальными мощностями. Стоит обсудить со специалистами свои ожидания и понять, какой именно функ- ционал вам требуется заменить. Если текущий NGFW поддерживает большее количество функций, чем фактически вам необходимо, то ослабление требований в техническом задании на поиск позволит легче найти оптимальное решение. l Результаты независимого тестирования NGFW прос на отечественные NGFW существенно превышает предложение, но цена ошибки при выборе нового решения высока – выйти из строя может вся ИТ-инфраструктура. Компания “Инфосистемы Джет”, получив за два года импортозамещения опыт из более шестидесяти реализованных внедрений NGFW, организовала лабораторию для тестирования этого класса устройств. С Роман Асаев, руководитель группы сетевой безопасности центра информационной безопасности “Инфосистемы Джет” Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рисунок: Инфосистемы Джет Фото: Инфосистемы Джет 1 https://ngfw.jet.su/