Главная / Результаты независимого тестирования NGFW / Решение китайского вендора 8.0

Решение китайского вендора 8.0

Функциональное тестирование

Базовые функции
Работа в режиме L3 (Routing Mode)
Работа в режиме L2 (Transparent Mode)
Режим получения динамических маршрутов при работе в кластере
VRF
Поведение МСЭ при ассиметричной маршрутизации
Настройка Proxy ARP
Возможность указывать исходящий интерфейс при настройке маршрутизации
Приоритизация маршрутов
Поддержка Fullview (маршрутизация)
ECMP
BFD
Протоколы маршрутизации
Ограничения для поддерживаемых динамических протоколов
VXLAN
Резервирование канала
Сколько ISP поддерживается
Статическая балансировка трафика
Динамическая балансировка трафика
Потери пакетов при выходе из строя одного линка при использовании LoadSharing Active/Active
Механизмы мониторинга физических линков
Работа ISP redundancy с VPN
Задание приоритета для линка
Поддержка виртуальных контекстов
Compliance Check клиента
Fail Close/Fail Open (настройка поведения устройства при высокой нагрузке)
Поведение устройства при обновлении правил/применении политики
Netflow
LACP
Интеграция с Radius
Протоколы аутентификации при интеграции с Radius
Использование нескольких Radius-серверов
Приоритизация Radius-серверов
ICAP Server
ICAP Client
Возможность поддержки ICAP без установки дополнительных модулей
Необходимость указывать VIP-адрес в качестве ICAP Server адреса на стороне клиентов при использовании VIP-адреса для кластера
QoS
Применение QoS политик отдельно для интерфейсов
Применение QoS политик для зон (zones)
МСЭ (L4)
Использование зон безопасности в политиках ACL
Использование интерфейсов в политиках ACL
Возможность включения интерфейсов в зоны
Drag&Drop при работе с объектами и политиками
Stateful Inspection
Ускорение обработки трафика
NAT-правила для определенных правил МСЭ
Расписание действия правил МСЭ
Поддержка временных правил МСЭ
Просмотр Implicit-правил
Управление Implicit-правилами
Hit Count для каждого правила
Поиск правил по объекту
Проверка правил на дубликаты
Объекты для создания правил
Блокировка по GeoIP
NAT
Очередность выполнения NAT
Возможность выбора интерфейса, на котором будет осуществляться NAT
Source NAT
Destination NAT
Bidirectional NAT
NAT inside VPN
SSL Inspection
Поддерживаемые модули для SSL Inspection
Поддерживаемые протоколы
Поддержка нестандартных портов для поддерживаемых протоколов
Возможность использовать сертификаты стороннего УЦ
Инспектирование для отдельных пользователей
Инспектирование для отдельных сайтов
Поддержка Wildcard-сертификатов
Client-Side (Outbound SSL Inspection)
Server-Side (Inbound SSL Inspection)
IPS
IPS
Возможность выбора определенной группы сигнатур для защиты
Создание исключений
Создание кастомных сигнатур
Наличие документации, описывающей синтаксис, используемый при написании сигнатуры
Веб-фильтрация
Использование собственных или сторонних списков URL
Тип используемой базы URL
Создание кастомных URL-категорий
Переопределение категории URL
Ограничение используемых методов (GET, POST и др.) для отдельных URL-категорий
Настройка доступа к определенным URL/доменам
URL Lookup (проверка принадлежность URL к определенной категории)
Страница блокировки/ предупреждения
Какие списки URL использует производитель
Botnet
Типы защищаемого трафика
Частота обновлений
Место хранения баз
Выявление трафика RAT
Выявление обращений к вредоносными URL и доменам
Выявление IRC-коммуникаций
Кластеризация 
Требования к нодам кластера
Механизмы резервирования кластера
VIP-адрес и адреса физических интерфейсов должны принадлежать одной подсети
Дополнительная лицензия для кластера
Добавление сетевых интерфейсов после сборки кластера
Поведение при отключении сетевого интерфейса
GARP
Время переключения между нодами
Синхронизация сессий
Кластер системы централизованного управления
Кластер системы централизованного логирования
Просмотр состояния кластера
Тип кластера
VMAC
Количество нод кластера
SD-WAN
SD-WAN
Распределение пользователей (локальных и доменных) по каналам
Распределение трафика приложений/сайтов по каналам
Мониторинг трафика
IPsec over SD-WAN
Интеграция с модулями URL Filtering / Application Control
Типы фильтров в политиках SD-WAN
Логирование и отчёты
Модули с логированием
Выгрузка логов
Отправка логов на сторонний сервер
Типы отчеты
Автоматические отчеты (по расписанию)
Типы логирования (вся сессия, начало сессии, выбранное кол-во пакетов и т. д.)
Виджеты для мониторинга трафика
Защита почты
Защита почты
Поддерживаемые протоколы
Антиспам
Антивирусная проверка писем
MTA
DMARC/DKIM/SPF
Поддержка протоколов с шифрованием
Загрузка сторонних списков спам-сайтов
Remote Access VPN
Поддерживаемые протоколы
Интеграция с LDAP
VPN-клиент
Автоматическое назначение IP-адреса клиенту
Поддержка 2FA
Получение маршрутов от шлюза
SPLIT Tunnel
Направление всего трафика через VPN
Подключение к VIP-адресу кластера шлюзов
ОС для клиента
Способ получения клиента (ПО)
Автозапуск при включении ПК
Проверка трафика на шлюзе
Проверка трафика на клиентском устройстве
Централизованная установка клиента
Алгоритмы шифрования
WEB-portal VPN
Кастомизация портала
Типы приложений для публикации
Публикация нескольких порталов (на разных IP-адресах)
Распространение через портал Remote Access Client
Публикация собственных приложений на портале
Авторизация пользователя по сертификату
Публикация портала на разных URL
Поддержка 2FA
Site-to-Site VPN
Поддерживаемые протоколы
DPD / Tunnel Test
Инструменты диагностики VPN-соединений
SA lifetime
Аутентификация
Исключение из VPN-трафика на основании сервиса
Алгоритмы шифрования
NAT-T (NAT Traversal)
IKEv1 Aggressive Mode
PFS (Perfect Forward Secrecy)
NAT внутри VPN
GRE over IPSEC
IPSEC over GRE
VPN со сторонними вендорами
Content Filtering
Контентная фильтрация
Типы файлов для фильтрации
Блокировка файлов в архивах
Блокировка архивов внутри архивов
Запрет загрузки файлов
Запрет отправки файлов
2FA
2FA + Remote Access VPN с клиентом
2FA + Remote Access VPN с SSL-порталом
Централизованное управление
Выделенный сервер управления
Импорт правил/политик с локального МСЭ
Кластер сервера управления
Установка на ВМ
Поведение МСЭ при отключении сервера управления
Экспорт и резервное копирование политик
Централизованное логирование
Выделенный сервер логирования
Режим логирования
Автоматическая выгрузка логов на сторонний сервер
Формат хранения логов
Регистрация и управление зарегистрированными инцидентами
Proxy (explicit/transparent)
Explicit Proxy
Transparent Proxy
Модули, работающие вместе с HTTPS Proxy
Авторизация Kerberos
Страница блокировки на Captive Portal
Captive Portal для авторизации на Proxy
Траблшутинг
Модули диагностики в GUI
Модули диагностики в CLI
Доступ к логам ОС
Активация дебага отдельных модулей безопасности
Обновление версии ПО
Обновление кластера
Обновление кластера без простоя
Резервное копирование при автоматическом обновлении
Возможность отката к предыдущей версии
Доступ к дистрибутивам на сайте производителя
Офлайн-обновления
Обновление с web-ресурсов производителя
Обновление через Систему централизованного управления
Обновление лицензии
Офлайн-установка лицензии (без доступа в интернет)
DOS
Защита от DoS
Функционал защиты от DoS в правилах IPS
PBR (Policy Based Routing)
PBR
Отказоустойчивый линк с провайдером при использовании PBR
Совместная работа с GRE
Совместная работа с Route-based VPN
Наличие API или других инструментов для миграции правил
API
Модули, доступные через API
Загрузка политик через web-интерфейс
Загрузка политик через CLI
Поддержка миграции с других продуктов
Требуется ли установка стороннего ПО для модернизации политик/скрипта
Межсетевое экранирование (L7 - Application Control)
Ограничение трафика пользователя или группы пользователей в нерабочее или обеденное время
Ограничение трафика IP-адресу или группе IP-адресов в нерабочее или обеденное время
Поддержка сложных правил. Например:1. Разрешить трафик на YouTube, но запретить оставлять комментарии2. Разрешить трафик VK, но запретить пользоваться Multimedia
Добавление собственных приложений
Конфигурация сервисов на определенных портах
Политика реализации Application Control
Политика для трафика — «Неизвестный или не мог быть опознан устройством»
Страница оповещения для пользователя (блокировка)
Блокировка QUIC-протокола
Antivirus
Проверка почтового трафика SMTP(S), POP3, IMAP
Использование сторонних сигнатур Threat Feed
Страница блокировки сайта в случае наличия вируса на странице (URL-категория)
Условия работы антивируса
Проверка скачиваемых файлов
Проверка FTP, SFTP, SCP
Проверка SMB
Типы файлов
Проверка файлов в архивах без паролей
Проверка файлов в архивах с паролями
Выбор действий для определенных типов файлов
Антивирусный движок
Поддержка добавления пользовательских хешей
Интеграция с LDAP
Использование пользователей из LDAP для создания политик
Права УЗ для интеграции с LDAP
Поддержка более одного домена
Требования к ПО для LDAP-аутентификации
Просмотр импортированных пользователей
Kerberos
Proxy-аутентификация 
Прозрачная аутентификация
Версия ОС LDAP-сервера
Secure LDAP
Значение
Да
Да
При использовании OSPF маршруты получает активная нода и синхронизирует их с пассивной нодой
Да
Трафик блокируется
Ручная настройка
Да
Да
Не тестировалось
Да
Да
RIP, OSPF, BGP
Max BGP members 128
Да
Да
Без ограничений
Да
Нет
Не тестировалось
BDF, ICMP, ARP, DNS
Да
Да
Да
Нет
Да
Повторное сравнение согласно новой политике.Устройство продолжает обрабатывать трафик, сессии не разрываются
Нет
Да
Да
PAP, CHAP, MS CHAP, MS CHAP2, EAP_MD5
Да
Нет
Нет
Нет
Нет
Нет
Да
Да, с ограничениями
Нет
Да
Да, с ограничениями
Да
Да
Да
Да
Нет
Да
Нет
Да
Да
Да
Да
Да
Source Zone, Source Address, User/Group, Destination Address, Service, Applications/Groups
Да
По порядку написания в политике NAT
Да
Да
Да
Да
Да
Все модули
HTTPS
Да, с ограничениями
Да
Нет
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да, обновление в ручном режиме
Локальная
Да
Да
Да
Да
Да
Да
Собственные списки производителя
Пользовательский трафик, трафик опубликованных серверов
База вендора обновляется по мере выявления новых угроз. База на МСЭ обновляется по настраиваемому расписанию
Локально
Да
Да
Нет
Требуется одинаковое оборудование (модель, ОС)
Кастомизированный VRRP
Нет
Да
Да
Переключение мастер-ноды
Да
Менее 3 секунд. Время переключения зависит от причины сбоя и значений параметра Heartbeat Interval и может быть от «без задержек» до 3х Heartbeat Interval
Да
Да
Нет
Да
Active-Passive
Да
2
Да
Нет
Да
Да
Да, с ограничениями
Да, с ограничениями
Все категории AppControl
FW, IPS, Botnet, AppControl
Да
Да
Встроенные
Да
Session start, Session stop
Да
Да
SMTP, POP3, IMAP
Нет
Да
Нет
Нет
Нет
Нет
SSL VPN
Да
Да
Да
Да
Да
Да
Нет
Да
Windows, Linux, MacOS, Android, iOS
SSL VPN портал, ТП вендора
Да
Да
Нет
Нет
DES, 3DES, AES/AES128, AES192, AES256, проприетарный_DES
Да
HTTP, HTTPS, FileShare, DNS, H.323, SMTP, POP3, Telnet, SSH, LotusNote, Terminal Service, VNC, MSSQL Server, Citrix ICA (old version), MSN, Sinfor DNet, NetMeeting base, NetMeeting desktop, FTP (port/pasv mode), Citrix ICA (latest version), ORACLE, MYSQL, Other (ICMP, UDP, TCP, any protocol)
Нет
Да
Да
Да
Да
Да
IKEv1, IKEv2, IPSec, проприетарный VPN
Да
Логирование
Да
Да
Да
DES, 3DES, AES/AES128, AES192, AES256, SM4, проприетарный_DES
Да
Да
Да
Да, с ограничениями
Да
Да
Да
Да
Более 100 типов файлов, можно редактировать
Да
Да
Да
Да
TOTP, Hardware ID
TOTP, Hardware ID
Да
Не тестировалось
Да
Да
Продолжит работу. Если локальное управление не запрещено, то будет возможность редактировать все из консоли самого МСЭ
Да
Нет
Локально, внешний log-сервер
Да
Встроенная БД
Да
Нет
Да
Нет
Нет
Да
Да
Packet Tracing, Route Tracing, Logs
Packet Tracing, TCPDump, Logs, Traceroute, ping
Да, с ограничениями
Нет
Да
Да
Да, с ограничениями
Да
Да
Да
Да
Не тестировалось
Да
Да
Да
Да
Да
Да
Да
Да
Все
Да
Да
Нет
Нет
Да
Да
Да, с ограничениями
Да
Да
Blacklist, Whitelist
Нет
Нет
Да
Да
Нет
Да
Нет дополнительных условий
Да
Да, с ограничениями
Да
Более 100 типов файлов, можно редактировать
Да
Нет
Да
Собственный
Нет
Да
Чтение домена
Да
Дополнительные требования отсутствуют
Да
Да
Нет
Да
Windows Server 2008 и старше, Linux с поддержкой OpenLDAP
Нет
Комментарий
Для AppControl
Работает только с WAN-интерфейсами. Требует создания Bandwidth-каналов, с указанием криетриев трафика
Через зоны
Оптимизация CPU для L4 firewall
Local ACL, Default Deny Any (AppControl)
Default Deny Any (AppControl), в Local ACL можно добавлять свои правила, изменять встроенные правила нельзя
Регистрозависимый поиск
Через техническую поддержку вендора
Для входящих соединений
Используются встроенные группы. Сигнатуры группируются по типам уязвимостей
При работе кластера используется один IP на каждом кластерном интерфейсе пары, серые IP не требуются
Только между продуктами данного вендора
Latency, Jitter, Packet loss
Только для проприетарного VPN
Поддерживается интеграция с Application Control
В режиме секунды/минуты
PSK, сертификат, SM2 Certificate V1.1
Для проприетарного протокола
IKEv1, IKEv2, IPSec
До 16 уровней вложенности
Реакции для NetworkSecurity
Все логи есть внутри GUI
1. Обновить активную ноду. 2. Обновить пассивную ноду. Возможен даунтайм в процессе переключения между нодами
В процессе обновления есть обязательный шаг по созданию резервной копии
Если нужные сигнатуры есть в базе вендора
Все обрабатывается согласно написанным правилам
Только FTP

Нагрузочное тестирование

EMIX, Гбит/c
Платформа
Комментарий
результаты теста вендора
12.50
7000 series
Значения других параметров при тестировании EMIX Throughput: PPS 1,7Mpps, CPS 12,1k, CC 26,5k
результаты «Инфосистемы Джет»
12.50

Свяжитесь с нами

Согласен получать информацию о новых исследованиях и результатах тестирования от компании "Инфосистемы Джет"

Сайт использует файлы cookies. Продолжая использование настоящего сайта, вы выражаете своё согласие на использование файлов cookies в соответствии с Политикой обработки персональных данных. В случае несогласия с обработкой ваших персональных данных вы можете отключить сохранение cookie в параметрах настройки вашего браузера.


Читать полностью