Экспресс-подбор NGFW

Имеют сертификат ФСБ (ГОСТ VPN), но формально не являются NGFW:

• Код Безопасности версии 3.9
• Решения VipNet, S-Terra, Фактор ТС, TSS Dimond и прочие

Код Безопасности 4.1 является NGFW, поддерживает ГОСТ VPN (и пока только его), но в данный момент НЕ имеет сертификата. Поэтому такой вариант является компромиссом, когда требуется реализовать и NGFW и ГОСТ VPN на одном устройстве. Надо только дождаться сертификации, которая ожидается к концу 2024 года.

NGFW от UserGate обладает лучшими механизмами фильтрации интернет трафика среди отечественных решений. Больше категорий, больше микроприложений и т.д. Это обусловлено историей продукта, он вырос из Proxy решения.

UG NGFW с появлением моделей на базе новых FPGA процессоров позволяет обрабатывать более 10 гбит/с трафика с включенным IPS. А также переработанный IPS движок позволяет лучше обнаруживать и предотвращать вторжения разного уровня угрозы.

Код Безопасности предоставляет наиболее стабильный функционал в части VPN, как Site-to-Site, так и RA VPN. У решения есть собственные VPN клиенты и проверенная интеграция с решением Сакура (проверка рабочих станций перед/после подключения - ZTNA концепт).

Если требуется обеспечить более 10 Гбит/с трафика, есть возможность использования внешних балансировщиков, например DS Integrity

Важно! На текущий момент Код Безопасности 4.1 может строить VPN туннели ТОЛЬКО с Код Безопасности устройствами. Поддержка сторонних устройств через стандартный IPSec ожидается к концу 2024 года.

У UG NGFW выходом UGOS7.1 появилась возможность построения VPN на IKEv2, что добавляет производительность, стабильность и, главное, защищенность данного соединения. А со скорым выходом UserGate Client в релиз для основных ОС, появится больше возможностей для обеспечения безопасности удаленного подключения со встроенной проверкой complince на соответствие политикам организации.

По нашим собственным тестам IPS у Код Безопасности 4.1 показывает лучшие результаты по обнаружению угроз. Поэтому отлично подходит в качестве МЭ ядра или же для защиты критично важного сегмента.

User Gate NGFW с появлением моделей на базе новых FPGA процессоров позволяет обрабатывать более 10 гбит/с трафика с включенным IPS. А также переработанный IPS движок позволяет лучше обнаруживать и предотвращать вторжения разного уровня угрозы.

PT NGFW имеет высокую производительность и экспертизу, заложенную в PT NAD. К тому же PT NGFW позволяет обрабатывать более 10 Гбит/с трафика. В том числе при включенной HTTPS инспекции и IPS. В будущем планируются модели более чем на 60 Гбит/с.

Не смотря на то, что у NGFW от Check Point нет SD-WAN с локальным управлением, есть только облачный — это одно из лучших решений для организации филиальной сети:
1) У NGFW от Check Point одна из лучших систем управления, с централизованным логированием и мониторингом
2) Есть дешевые устройства Spark для небольших филиалов
3) Высокая производительность: десятки гигабит VPN трафика на центральных узлах

На текущий момент на российском рынке только Sangfor NGAF обладает и функциональностью NGFW и при этом имеет ЛОКАЛЬНО управляемый SD-WAN, т.е. без зарубежных облаков.

В качестве альтернативных решений по SD-WAN может быть рассмотрен еще Kaspersky SD-WAN и Bi.Zone SD-WAN. Правда ни одно из этих решений не обладает NGFW функционалом, а значит не может обеспечить самостоятельный защищенных выход в интернет для филиалов.

В этом плане Sangfor NGAF довольно уникален, т.к. содержит в себе дополнительный функционал WAF, сканера уязвимостей и даже Honeypot. Но стоит помнить следующие моменты:
1. WAF/Scanner — дополнительные платные подписки
2. Встроенные WAF и Scanner уступают по качеству профильным решениям

Учитывая эти пункты можно однозначно сказать, что такой вариант "все в одном" подходит только для небольших компаний. Для крупных инсталляций стоимость этих дополнительных лицензий будет уже сопоставима с покупкой профильных решений.

Check Point много лет подряд является мировым лидером среди NGFW именно по качеству защиты. IPS, Antivirus, Sandbox, AppControl, URL фильтрация — одни из лучших на рынке.

Отдельно отметить стоит линейку Spark, для которой не нужен сервер управления. Есть некоторые функциональные ограничения, но эти шлюзы отлично подходят для малого и среднего бизнеса, а так же в качестве VPN шлюзов для филиалов:

• Есть встроенные RA VPN лицензии
• Встроенная поддержка двухфакторной аутентификации
• Одни из самых дешевых устройств с точки зрения цена/производительность.

Sangfor NGAF показывает отличные результаты в тестах IPS и Антивируса и не требует выделенного сервера управления

Оба решения — Sangfor NGAF и NGFW от Check Point — имеют возможность обеспечить RA VPN.

Однако Check Point NGFW с технической точки зрения выдает бОльшую производительность. Ключевое преимущество — наличие Harmony Endpoint агента, который позволяет реализовать принцип ZTNA (активная проверка рабочих станций на соответствие требованиям безопасности). На Sangfor NGAF такое можно реализовать только с использованием отдельного решения — Sangfor aTrust.