Состояние российского рынка NGFW на 2024 год и немного больше

c24f459d6ca5ca69f1933a2ce497acab.png

Как можно описать состояние российского рынка NGFW на 2024? Затишье перед боем. Кто-то чинит баги, кто-то вносит изменения понемногу, но в воздухе чувствуется напряжение — все вендоры готовят крупные обновления на конец этого и начало 2025 года.

Но планы планами, давайте посмотрим, что есть на данный момент нового у российских вендоров.

Код Безопасности

Пока все ждут сертификации ФСБ для 4-й версии Континента, Код Безопасности выпустил обновление 4.1.9, самые востребованные улучшения на наш взгляд:

  • Реализация явного прокси. Было особенно важно для тех, кто ранее использовал явный прокси-сервер в своей сети, это облегчает постепенную миграцию на новую систему;

  • Поддержка URL-фильтрации без вскрытия SSL/TLS (по SNI). Позволяет фильтровать трафик по именам серверов (SNI) в SSL/TLS сессиях без расшифровки содержимого;

  • Поддержка VRF (Virtual Routing and Forwarding). Также работает и в кластере;

  • Поддержка протокола BFD в связке с OSPF/BGP.

Юзергейт

UserGate выкатил крупное обновление в конце 2023 года, и теперь оттачивает свой продукт, но и не забывает о поддержке уже используемого оборудования, выпуская минорные обновления для обеих поддерживаемых веток — 6.1.9 и 7.1. Последние апдейты вышли в начале июня, была оптимизирована работа устройств.

В июле 2024 года версия NGFW 7.1 признана стабильной, сейчас проводится масштабное обучение пользователей на авторизованных курсах.

NGFW UserGate FG включен в реестр российской промышленной продукции Минпромторга России. UserGate FG — решение для высоконагруженных систем: платформа с FPGA чипом, который ускоряет модуль FW (L3-L4 правила) до 160 гбит/с., в режиме EMIX — до 65 Г6ит/с.

Айдеко

Айдеко не снижает взятых темпов. С их скоростью разработки и релизов не каждый может тягаться. Они планомерно выпускают новые версии, постепенно добавляя функционал. На август 2024 г. актуальная версия 17, которая вышла весной и уже получила несколько функциональных обновлений и исправлений.

Рассмотрим некоторый функционал обновления 17:

  • Виртуальные контексты VCE (аналог VSX, VDOM, позволяет создавать виртуальные Ideco NGFW на одном сервере с независимыми друг от друга сетью, управлением и политиками безопасности)

  • Режим кластера с синхронизацией сессий;

  • Аутентификация VPN-пользователей через RADIUS-сервер;

  • GRE over IPSec, GRE-туннели;

  • ZTNA — проверка клиентом домена, антивируса, версии ОС, наличия пакетов обновлений и др. Использование профилей устройств в политиках файрвола;

  • Ideco Client авторизации для MacOS (без удаленного подключения по VPN);

  • Добавлен формат CEF и выбор TCP/UDP для интеграции с внешними сервисами (SIEM и др.) по syslog;

  • Восстановление бекапа конфигурации возможно без перезагрузки сервера.

Так же Айдеко уже анонсировали 18 версию, в которой тоже будет ряд важных изменений, например улучшенная технология виртуальных контекстов VCE; продвинутый WAF; повышенная устойчивость от DoS-атак.

Они вообще достаточно открытые ребята, как и Код безопасности, с удовольствием устраивают «поединки» между своими решениями и решениями конкурентов.

С-Терра

С-Терра обошлась без громких анонсов, а так сказать «для своих», весной обновила функционал файрволла шлюза 4.3 добавив пометку FW в конце.

Это еще не тот функционал, что ждут в версии 5, но изменения достаточно мощные:

  • реализован МЭ на основе зон;

  • добавлен модуль nDPI для глубокого инспектирования пакетов;

  • реализована синхронизация сессий в кластере при помощи сервиса conntrackd.

Проверьте свою версию S-Terra если еще не обновились, изменения в версиях 4.3.23955 и выше.

Так же, по закрытой информации, компания готовит какую-то новинку этой осенью, ждемс.

Еще ждем обещанный NGFW от С-Терра, по словам представителя компании — решение в стадии подготовки к сертификации.
Они, кстати, тоже не побоялись подискутировать на тему NGFW c конкурентами еще на стадии разработки своего продукта.

ИнфоТеКС

Пользователи VipNet наверняка знают функционал последних актуальных версий, но вот краткий список нововведений:

  • Поддержка новых аппаратных платформ;

  • Работа координаторов через TCP-туннель;

  • Управление видимостью узлов ViPNet, расположенных на мобильных устройствах;

  • Увеличено количество сетевых интерфейсов DHCP-Relay;

  • Настройка прямого подключения между клиентами для телефонии через веб-интерфейс.

Также компания активно дорабатывает свой Prime (это решение для замены администратора, Policy Manager, StateWatcher одним комплексом на линуксе) и делает сертификацию на 5 версию, которую также с нетерпением ждут пользователи.

TCC и Эшелон

Функционал линеек решений Diamond от ТСС и Рубикон от Эшелон достаточен для задач, где используются решения этих вендоров, сейчас они расширяют предложения в смежных направлениях ИБ.

Что интересного у Diamond? Есть много «железных» фишечек, умный SFP, интеграция с решениями IoT и АСУ ТП.

У Эшелона интересны решения Сканер ВС и SIEM система, они были сильно доработаны в этом году.

Элтекс

Элтекс увеличивает свое присутствие расширяя линейки маршрутизаторов коммутаторов и устройств умного дома.

В июне Элтекс обновил ПО для межсетевых экранов ESR ФСТЭК до версии 1.5.8:

  • Добавлен функционал у сервисов BGP, OSPF, MultiWan, MPLS;

  • Множество изменений в CLI (command line interface) мониторинге — Syslog, SNMP, NetFlow;

  • Добавлен функционал в фаерволле и туннелировании.

Еще Элтекс обновляет свою линейку — выходят востребованные на рынке коммутаторы с 2.5Гб интерфейсами.

Positive Technologies

PT NGFW активно анонсируется на рынке, есть даже перечень моделей с заявленными характеристиками.  Они говорят о небывалой производительности своих решений: PT NGFW 3040 в режиме FW — до 160 Гбит/c.

Реализован функционал FW и IPS:

  • Маршрутизация трафика;

  • Виртуальные контексты;

  • Отказоустойчивый кластер;

  • NAT;

  • Журналирование.

Однако в широкие массы это решение пока не выпущено, есть только отдельные закрытые тестирования.

Фактор ТС

Решение Dionis от Фактор ТС не относится к классу NGFW, у них есть функционал FW. Их решения стабильны в отсутствии громких изменений.

В 2024 году выпущено обновление с версии 2.0–3 до 2.0–5, и хоть и поменялась самая крайняя цифра версии, список изменений растянулся на 127 пунктов и затрагивает почти все сервисы.  Помимо исправлений и оптимизаций можно выделить несколько:

  • поддержка туннелей WireGuard;

  • dmvpn для mesh и mlvpn для агрегации;

  • reverse proxy;

  • сертифицированный антивирус drweb.

Нужно отметить, что данное обновление еще не сертифицировано и пока активно не устанавливается пользователями. А как мы все знаем, обещанной сертификации можно год ждать, а то и больше.

СПБ

У Квазара также нет функционала NGFW и даже нет FW и все стабильно. Его можно назвать чистый шифровальщик и ничего лишнего. С одной стороны входит нешифрованное с другой выходит шифрованное на хороших скоростях.

Заключение

Очевидно, что рынок NGFW перегрет. Но, как выяснилось, и мы что-то можем. Идет активное наращивание функционала и компетенций. Произошел колоссальный скачок за эти два года и очень много чего запланировано на 2025 г. Нас снова ждет интересный новый год.

© Habrahabr.ru