Comments 39
Забавно что почти все перечисленное в статье это платформы Lanner а внутри Linux, зато да отечествнное...
Впрочем как и многие мировые разработчики, например тот же WatchGuard на тех же ланерах и той же Линуксподобной системе делают свои железки или Фортики по той же схеме. Да и так сравнивать путь разработки у западных вендоров который длится десятилетиями, с нашими разработчиками которые железки делают лет десять от силы. Есть нюансы и проблемы, но конечно поддерживать всегда труднее чем критиковать.
У мировых разработчиков нет такой ерунды как импортозамещение. А эти поделки наоборот, разрабатываются исключительно под этим девизом. Что будет если нам не продадут железо? Все наработки пойдут прахом.
Что в них отчечественного? Сборка линукса? Отвертка, которой корпус закручивали?
абсолютно не профессиональный подход, как минимум изучив более внимательно отечественные разработки, станет понятно, что там есть такие штуки отечественные криптоалгоритм, платы собственных разработок типа "Сторож", Линукс сильно переработан, если возьмете образ и попытаетесь установить на обычный сервер, ни чего не заработает, и т.д. Не, конечно можно потратить миллиарды на то, что бы изобрести свой велосипед, только вот зачем?
Ideco можно на обычный сервер, у нас, например, на supermicro развернут. Но с саппортом лучше обсудить конкретную модель. ОС там действительно не "из коробки". И в целом за 4 года использования могу сказать что они реально стараются и допиливают функционал.
Добавлю, что не линуксом единым, есть, например, ССПТ-2 на FreeBSD.
"Я вам не скажу за всю Одессу", все перечисленные решения я не щупал. Но некоторые из них действительно глубоко оригинальные, на разработку потрачено много усилий и человеко-часов. У Ideco, например, скорость разработки ураганная, новые мажорные версии выходят несколько раз в год, хотя по лично моему частному мнению, в ущерб качеству... У "Эшелона" софт МСЭ примитивный, зато, по утверждениям разработчиков, аппаратная часть некоторых моделей "Рубикона" способна выдержать перегрузки до 200 "жэ". "Код безопасности" использует заказное производство материнских плат своих устройств в Москве, я там был и видел своими глазами.
Я считаю, нет ничего постыдного в использовании ядра Линкуса, ни к чему изобретать велосипед. Не зазорно и интегрировать опенсорсные компоненты в свои решения, при условии соблюдения лицензий -- так и гиганты индустрии делают. Некоторые компании при этом ещё и контрибьютят свой код в общие репозитории, это вообще прекрасно. На рынке есть действительно отечественные продукты, не стоит всех огульно хаять.
А что в Check Point своего? ОС Gaia на базе того же Linux сделана.
Надеюсь на отечественный фаер по цене -+ микротик на 150-200 рабочих станций и 500-700 узлов сети-, для небольшой компании, пусть без суперсертификации, но замена микротам нужна, так как создается впечатление что они все, так как крайний LTS 6.48.6 (2021-Dec-03 12:15), в целом на задачи RB 3011UiAS достаточно, но очень много пришлось руками пилить.
также очень смущает тот факт что цен на сайтах отечественных производителей днём с огнем не найти, хотя те же свичи элтекс вполне доступны и достаточно неплохо себя показывают.
По поводу цен есть 2 причины, которые мне озвучивали:
1. Каждая следующая поставка железа от поставщиков имеет разную стоимость. Курс валюты, затраты на логистику, количество посредников, отпускные цены поставщиков -- каждая партия уникальна. Звоните, говорят, и мы прикинем, за сколько мы сможем продать то, что придёт к нам в ближайшее время. Как правило, то, что приехало вчера, было уже продано позавчера.
2. Агрессивное участие в тендерах. Спрос намного превышает предложения, цены варьируются от плюс до минус бесконечности в зависимости от конюнктуры :)
Ну и жадность, куда ж без неё :)
А что мешает всё-таки обновить софт на микротике? Хоть на 6.49, который сейчас можно считать новым longterm, хоть на 7, который уже стабилен?
Обзор имеет наиминимальнейшую полезность. Ту же информацию можно получить за час гуглежа по сайтам производителей, или из брошюрок с выставки. А уж выводы какие познавательные! Оказывается, есть отечественные решения, и даже с разными сертификациями! Вот так откровение! :)
Может, автор сделал какое-то сравнение? Не, зачем... Может, раскрыл подробности лицензирования, протестировал реальную производительность в разных режимах? Да бросьте... Хотя бы составил матрицу поддерживаемых технологий для разных производителей? Читатели неглупые, сами справятся. Поделился какими-нибудь "киллер-фичами" каждого продукта, ради которых вообще имеет смысл углубиться в дальнейшее исследование? Не-а.
Спасибо за потраченное время.
да банально хотя бы вскрыл такой девайс. Отечественное, ага аж два раза.
Закупить за границей "Сникерс", перепаковать в обёртки "Росикерс" — Отечественное, аж три раза будет.
Дааа тут сложно, открытой информации мало, но была задача с чегото-то начать и как-то систематизировать, ..и не все производители и не все решения собраны, но работа продолжается. И спасибо за отзыв, нужно понимать запросы и вектор движения.
Интересен был бы девайс с функционалом reverse-proxy - и с поддержкой HTTPS - раньше был TMG, но сейчас его нет (официально), а из существующих железок его функционал никто не поддерживает.
Ideco уже сделали reverse proxy, но он сырой пока. Да и WAF у них так себе... но пилят, допиливают. Балансировщика нагрузки не завезли ещё.
Для замены TMG мы давно уже используем KEMP Loadmaster, но производитель ввёл санкции, и теперь мы в поисках, на что мигрировать...
Используем ideco уже 4 года, revers proxy работает нормально, постоянно публикуем сервисы наружу по http/https. Не сказал бы что он сырой у них. Конечно были определенные проблемы, но саппорт помогает достаточно оперативно.
Varnish
Не завозим, а производим российские балансировщики трафика DS Integrity, которые отлично справляются с кластеризацией NGFW.
В настоящее время уже подтвердили совместную работу с Кодом Безопасности, UserGate и Ideco. Подробный разбор схем в нашей статье
Посмотри у ИКС, может устроит.
аксиома_эскобара.jpg
Как мемка - сойдёт. На большее не тянет - согласен с предыдущими ораторами.
Ну и непонятно, почему в обзор не включён отечественный и также со всех сторон сертифицированный ViPNet Coordinator HW от ИнфоТеКС https://infotecs.ru/
Да и ALTELL NEO что-то нет.
Автору большое спасибо за статью, считаю очень актуальной, особенно при наличии объектов КИИ и требований ФЗ и ФСТЭК по их защите. Как пожелание, хотелось бы увидеть продукты от ИнфоТекс, ИнфоВотч, С-Терра и схемы лицензирования.
Как пример из личного опыта, у ЮзерГейт необходимо покупать отдельно аппаратную платформу, лицензию на право использования, лицензию на СОВ, сенсор для каждого МЭ для подключения к Центру управления, который то же покупается и лицензируется отдельно. Ежегодно, потребуется платить за продление лицензии на право использования МЭ+СОВ+Сенсор. С учетом высоких цен на данный продукт, продление лицензий дает большую нагрузку (20-30% от стоимости каждого ПАК) на ежегодный бюджет, что сразу ведёт к отказу от данного продукта.
У Инфотекс, ЮзерГейт покупаешь аппаратную платформу и Центр Управления, которая идет вместе с лицензией. Ежегодно продлевать приходиться стоимость СОВ+ТП.
Самое интересное, чего не показано в сравнении - не что есть у тех или иных решений, а чего у них нет. Иначе сравнение больше похоже на обзор функций.
Например, континент не умеет в vrf, в правилах МСЭ нельзя указать интерфейс-источник и интерфейс-назначение - оперируем только ip-адресами. Ещё он не умеет l2vpn в режиме кластера (только в standalone).
Было бы круто, если бы такие "мелочи" тоже подсвечивались.
Автор сравнивает, извините, мед, говно и палки.
Это совершенно разные продукты, для разных задач. По каким критериям их сравнивать? Что у них общего? Что они железные и у них есть L3-фаервол? Так это есть и у любого маршрутизатора даже домашнего уровня.
Я руками щупал три из представленных здесь решений, а, конкретно, по Континентам я ещё и сертифицированный инженер.
Ideco и UserGate - это UTM-решения. Это означает, что в одном продукте собран стек решений для организации полноценного шлюза безопасности. Это помимо L3-фаервола ещё анализ L7-сигнатур, прокси-сервер для анализа http-трафика (с вскрытием https, а значит ещё и свой PKI, что-бы выписывать сертификаты для того, что-бы после анализа зашифровать обратно в https), IPS/IDS (детектор атак), часто ещё и обратный прокси, впн-сервер, потоковый антивирус и почтовый антиспам.
В то время, как Континент 3, о котором говорит автор - это решение для организации криптосети. У него строго одна задача - строить высокопроизводительный site-to-site vpn-канал, шифрованный по ГОСТ, с чем он справляется хорошо. Производительность шифрования IPC1000, например, заявлена в 4,5 Гбит/с. А в остальном, это обычный маршрутизатор с весьма скромным функционалом, даже маркировку пакетов не умеет. Поэтому, когда вы покупаете Континент за 500к деревянных вы должны ясно себе представлять, зачем и для чего вы его покупаете.
Что касается начинки. Все представленные решения крутятся на x86. Ideco работает на Fedora, UserGate и Континент - это FreeBSD. У Континента дополнительно установлен "Соболь", это реализация SecureBoot от Кода Безопасности в виде отдельной печатной платы. Так что Континент загрузить в UEFI без ключей на отчуждаемом Rutoken'е нельзя. В памяти Соболя он так-же хранит все ключи шифрования каналов и самого устройства. А если у него установлена роль ЦУС, то и ключи всех подконтрольных ему устройств.
По Ideco и UserGate. L3-фаервол у них на стеке ядра, остальные решения либо OpenSource, либо свои разработки. IPS у обоих - это Suricata, естественно, со своими наборами правил, которые периодически обновляются с серверов вендора. Прокси - это Squid, потоковый антивирус у UserGate свой, у Ideco либо бесплатный ClamAV, либо Каспер (тогда нужна дополнительная лицензия). Антиспам у Ideco - опять Каспер за доп-лицензию, у UserGate свой (к слову, нихрена не работающий на момент моего пилота).
Отдельно, пару слов хочу сказать по поводу Ideco. Парни реально молодцы. Пусть им сильно не хватает функционала, особенно, в формировании отчётов (особенно возмущаются безопасники разбалованные отчётами с CheckPoint), но развиваются они, действительно, очень быстро. Мажорные версии продукта выходят раз в полгода, так что я уверен, что все свои проблемы они исправят за несколько релизов, т.е. в течении ближайших 2-х лет.
очень познавательно, спасибо за статью
Отличная статья, спасибо.
Обзор и сравнение межсетевых экранов отечественных производителей