Межсетевые экраны NGFW Usergate
- 26.01.2023
- 1072
Автор
Сергей Калашников, CCIE
Технический директор
После ухода с нашего рынка большинства иностранных производителей средств безопасности востребованными стали российские решения. В связи с этим наши инженеры протестировали некоторые российские системы безопасности для более глубокого понимания технических особенностей решений. Мы подготовили не только демо-стенд, на котором рассказываем о преимуществах и недостатках решений, но и цикл кратких обзоров, посвященных российским средствам безопасности.
В этом обзоре мы рассмотрим NGFW компании Usergate. Основной акцент сделаем на ключевые возможности продукта и отсутствующий функционал.
NGFW Usergate является одним из лидеров нашего рынка в своём сегменте.
Оглавление- Основные функции
- Линейка
- Сертификаты NGFW Usergate
- Режимы работы
- Маршрутизация
- Интеграция с внешними источниками учетных записей пользователей
- VPN Usergate
- IPS Usergate
- Антивирус
- Фильтрация приложений
- Траблшутинг
- Документация и руководство
Основные функции
- корпоративный межсетевой экран,
- контроль интернет-приложений на уровне L7,
- антивирусная защита,
- система обнаружения и предотвращения вторжений (IPS),
- дешифрование SSL,
- защита от угроз (поведенческий анализ, репутации, DoS-атаки, блокировка рекламы, морфологический анализ),
- VPN шлюз.
Линейка
Линейка оборудования достаточно широкая. Доступны как аппаратные комплексы, так и программные.
При выборе платформы стоит уделить особое внимание производительности, если предполагается дешифрация SSL. Это ресурсоёмкая операция, поэтому железо нужно брать с запасом. В программных реализациях производительность SSL-дешифрации невысокая.
Сертификаты NGFW Usergate
NGFW Usergate сертифицирован ФСТЭК как сертифицированный межсетевой экран и система обнаружения вторжения. Сертификата ФСБ нет, так как нет поддержки российских алгоритмов шифрования.
Режимы работы
Usergate может работать как NGFW, так в режиме прокси-сервера.
В качестве МСЭ доступно два режима работы: L3 и L2 (transparent FW).
В плане отказоустойчивости поддерживается кластер отказоустойчивости (Актив-Пассив и Актив-Актив). В режиме Актив-Актив один из узлов выполняет роль балансировщика, который распределяет трафик по всем узлам.
Маршрутизация
Типы поддерживаемой маршрутизации:
- статическая маршрутизация,
- динамическая (OSPF, BGP, RIP),
- маршрутизация на основе политик (policy based routing, PBR).
Как и у большинства российских решений в Usergate нет контекстов. Однако доступна функциональность VRF.
Интеграция с внешними источниками учетных записей пользователей
Поддерживается интеграция по LDAP, RADIUS и TACACS+. Для обеспечения прозрачной аутентификации используется SAML IDP, NTLM или Kerberos.
Пассивной аутентификации через логи безопасности Active Directory на данный момент нет.
VPN Usergate
VPN для защищенного соединения офисов (Site-to-Site VPN):
- Чистый IPSec IKEv1
- GRE over IPsec
- IPsec over GRE
VPN-сервер для удаленного доступа клиентов (Remote access VPN):
- L2TP over IPSec. Есть клиент для Windows.
- Двухфакторную аутентификацию можно реализовать через Captive-портал.
IPS Usergate
До версии 6.x включительно использовался движок Suricata. С версии 7.х начал использоваться собственный движок. В ближайшее время должна появится возможность создания собственных сигнатур.
Антивирус
Потоковый антивирус, обеспечивающий проверку трафика на наличие вредоносного кода путем анализа сигнатур получаемых файлов и приложений. Отправка файлов в облако/песочницу отсутствует.
Фильтрация приложений
База приложений – около 2000. Присутствуют наиболее востребованные приложения.
Траблшутинг
Ахиллесова пята всех отечественны МСЭ.
В рамках версии 7.x в решении Usergate появился CLI с определённым набором show команд. В первую очередь они связаны с транспортными функциями устройства. В Web-интерфейсе доступны трассировщик правил и захват пакетов.
Документация и руководство
Достаточно хорошо написанная подробная документация по настройке. Не хватает примеров настройки, а такое статей по отладке системы.
Если у вас остались вопросы по средствам безопасности Usergate и хотелось бы посмотреть на работу решения, приглашаем вас на демо-стенд, который развернут у нас в офисе. Наши инженеры проведут презентацию решения и ответят на технические вопросы.
- USERGATE 7 Руководство администратора
- UserGate Next Generation Firewall
- Основные этапы планирования беспроводной сети на предприятии
- Маршрутизация исходящей почты средствами Cisco ESA
- Квадрант Gartner для беспроводных и проводных сетей 2016
- Как защититься от подделки писем в электронной почте (Email spoofing, Forged email)?
- Proxy ARP: Нюансы работы оборудования Cisco и интересные случаи. Часть 2