Межсетевой экран NGFW Ideco UTM

  • 21.02.2023
  • 535

Автор
Сергей Калашников, CCIE

Технический директор


Этой технической статьей мы продолжаем цикл обзоров отечественных решений, которые подготовили наши инженеры на основе действующего демо-стенда Российские NGFW.

Компания Ideco является одним из лидеров в области межсетевых экранов (NGFW) на российском рынке. Решения вендора отличаются достаточно простым интерфейсом управления и стабильностью в работе.

Оглавление

Основные функции

  • межсетевой экран;
  • система предотвращения вторжений;
  • контент-фильтр;
  • контроль приложений;
  • многоуровневая антивирусная и антиспам-проверка трафика;
  • защита от ботнетов, фишинга и spyware;
  • VPN.

Линейка

В линейке оборудования доступны как аппаратные комплексы, так и программные.

Сертификат ФСТЭК

Межсетевой экран Ideco UTM сертифицирован ФСТЭК как сертифицированный межсетевой экран и система обнаружения вторжения. Сертификата ФСБ нет, так как нет поддержки российских алгоритмов шифрования.

Режимы работы

Ideco может работать как NGFW, так в режиме прокси-сервера.

В качестве МСЭ доступен один режим работы - L3 МСЭ.

В плане отказоустойчивости поддерживается кластер отказоустойчивости (Актив-Пассив).

Маршрутизация

Типы поддерживаемой маршрутизации:

  • статическая маршрутизация,
  • динамическая (OSPF, BGP).

Как и у большинства российских решений в Ideco нет контекстов, а также VRF.

Интеграция с внешними источниками учетных записей пользователей

Поддерживается интеграция по LDAP и RADIUS.

Для обеспечения прозрачной аутентификации используется чтение логов безопасности Windows Active Directory, NTLM или Kerberos.

Ideco UTM VPN

VPN для защищенного соединения офисов (Site-to-Site VPN):

  • IPSec IKEv2

VPN-сервер для удаленного доступа клиентов (Remote access VPN):

  • IPSec IKEv2
  • SSTP
  • L2TP over IPSec
  • PPTP

Доступен собственный клиент для Windows.

Поддерживается двухфакторная аутентификация через сервис SMS Aero.

Ideco UTM настройка правила

Правила NGFW распределены по ряду вкладок:

  • файрвол FORWARD – L3/L4 правила для транзитного трафика;
  • файрвол DNAT – правила перенаправления портов (в терминах Cisco - PAT) для трафика извне к внутренним ресурсам;
  • файрвол INPUT – правила доступа к самому устройству;
  • файрвол SNAT – трансляция адресов при доступе во вне;
  • контроль приложений;
  • контент-фильтр.

В правилах файрвола можно фильтровать по гео-локации (GeoIP).

IPS

Используется движок Suricata. Доступно включение/отключение сигнатур и добавление исключений для всего трафика. Создавать различные профили сигнатур под разный тип трафика невозможно. Также нет возможности создавать собственные сигнатуры.

Антивирус

Потоковый антивирус, обеспечивающий проверку трафика на наличие вредоносного кода путем анализа сигнатур получаемых файлов и приложений.

Доступно два варианта:

  • ClamAV (OpenSource-антивирус),
  • антивирус от Лаборатории Касперского.

Отправка файлов в облако/песочницу отсутствует.

Фильтрация приложений

База приложений – около 500. Не все приложения доступны. Например, нет российских приложений (Яндекс, mail.ru и пр.). Также присутствуют не все приложения по удалённому управлению (нет Ammyy Admin).

Траблшутинг

Решение построено на базе Linux системы. CLI позаимствована оттуда, но без доступа к root. Доступны базовые утилиты ping, tcdump и пр. Также через CLI доступны лог-сообщения (в том числе контроль приложений, IPS и пр.). Из Web-интерфейса доступен терминал командной строки (CLI). В документации описан порядок обработки трафика устройством, что облегчает дальнейший траблшутинг.

Документация и поддержка

Достаточно подробная документация. Присутствует описания API. Доступны списки изменений для каждой версии. Не хватает примеров настройки.

Очень удобная опция открытия кейса сразу из Web-интерфейса устройства.

Вывод

Решение Ideco обладает достаточной функциональностью в плане NGFW, понятным интерфейсом управления и стабильностью в работе. Данное решение может быть успешно использовано для замены западных вендоров, прекративших работу на территории РФ.

Если у вас остались вопросы по межсетевому экрану Ideco UTM и хотелось бы посмотреть на работу решения, приглашаем вас на демо-стенд, который развернут у нас в офисе. Наши инженеры проведут презентацию решения и ответят на технические вопросы.

Список литературы
  1. Документация Ideco v14
Возможно, вас заинтересует
  1. Управление сетью передачи данных
  2. Стекирование коммутаторов Cisco. Часть 1
  3. Основные особенности стандарта 802.11ac
  4. Ограничение скорости передачи трафика. Policer или shaper, что использовать в сети?
  5. Работа дешифрации NGFW: расшифровка SSL трафика